O Procon-SP notificou as empresas abaixo relacionadas pedindo explicações sobre dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras disponibilizados aos clientes vítimas de furto ou roubo.
O pedido se deve considerando notícias de que quadrilhas têm roubado celulares com o intuito de acessar aplicativos de bancos instalados no aparelho para fazer transferências indevidas na conta bancária da vítima.
As empresas e associações notificadas foram: Banco BMG S/A, Banco Inter S/A, Banco Pan S/A, Banco C6 S/A, Banco Bradesco S/A, Banco do Brasil S/A, Itaú Unibanco S/A, Caixa Econômica Federal, Neon Pagamentos S.A., NU Pagamentos S/A, Banco Santander Brasil S/A, ABBC – Associação Brasileira de Bancos, ABFintechs – Associação Brasileira de Fintechs e Febraban – Federação Brasileira de Bancos.
Levando em consideração as diversas formas de acesso remoto: aplicativos em Smartphones, aparelhos eletrônicos com comunicação via Bluetooth e por aproximação, dentre outros, as empresas deverão apresentar as seguintes informações:
• laudos técnicos, assinados por profissionais habilitados, dos testes de validação e eficiência realizados em seus sistemas de segurança disponibilizados ao consumidor para acesso remoto às contas bancárias e demais serviços financeiros vinculados ao titular/cliente;
• comprovação dos mecanismos de validação para acesso remoto pelo titular da conta bancária, especificando o número de etapas aplicado ao processo em todas as suas modalidades: senhas, códigos de segurança, reconhecimento de voz e facial, dentre outros;
• quanto a proposta de uso oficial dos dispositivos de segurança, especificar diferenças eventualmente aplicadas em razão do sistema operacional IOS ou ANDROID e do “pacote de serviços” a que esteja vinculado, para desbloqueio e acesso às contas bancárias com objetivo de simples consulta e/ou realização de transações financeiras, comprovando em cada caso o respectivo grau de confiabilidade/vulnerabilidade;
• providências tomadas quando o cliente identifica/comunica possíveis problemas de quebra de segurança de acesso e de violabilidade de dados por fraudes nos sistemas de segurança;
• recepção, tratamento e armazenamento aplicados aos dados fornecidos pelos usuários, no momento da habilitação para acesso remoto à conta bancária e serviços financeiros vinculados;
• período (lapso temporal) previsto para o armazenamento dos dados dos usuários – incluindo as imagens e gravações de voz, comprovando a possibilidade de sua atualização e exclusão de forma remota, se necessárias;
PIX
Especificamente sobre as transações via PIX (Pagamento Instantâneo), as instituições deverão apresentar a política de segurança aplicada para efetivação de tal meio de pagamento, informando o processo complementar – se aplicado, de verificação e validação de titularidade da chave de acesso, bem como a forma de estorno/devolução de valores em razão de comprovação de fraudes por violação de seu sistema de segurança.
Também deverão esclarecer os custos de cobrança, tendo em vista o pacote de serviços contratado pelo cliente, para utilização dos dispositivos de segurança especificando – se aplicável, a distinção em razão do sistema operacional IOS ou ANDROID;
As empresas têm até o dia 30 para responderem aos questionamentos do Procon-SP.