Notícias


Fraude migra de cartão para web

"Prezado Cliente,

Por motivos de segurança comunicamos a todos os clientes que, visando barrar o constante aumento de fraudes A Central de Atendimento BB e no Internet Banking BB será obrigatório realizar o Recadastramento da senha de 4 Dígitos.

Caso não efetue o recadastramento com urgência, o acesso via Caixas-Eletrônicos, Atendimento por Telefone e Internet-Banking será suspenso.

Utilize o link abaixo para efetuar o Recadastramento.

Lembre-se, a Caixa Econômica Federal não se responsabilizará por danos sofridos, caso o recadastramento não seja feito.

Caixa.gov.br 2011 - Todos os direitos reservados." (sic).

É neste mau português que mensagens falsas inundam a caixa postal eletrônica do consumidor brasileiro. Apesar do léxico torto e dos alertas constantes das instituições financeiras - e, neste caso, até da assinatura trocada -, a percepção dos executivos de gestão de riscos é de que pelo menos metade das pessoas que recebe tais e-mails cai no golpe, estima o coordenador do Comitê de Segurança e Prevenção da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), Henrique Takaki. Não há, porém, estatísticas oficiais a respeito.

De qualquer modo, abrem-se, assim, as portas para o roubo de dados cadastrais e financeiros. Apesar de investirem quase R$ 2 bilhões anuais em segurança eletrônica, os bancos contabilizaram prejuízos de R$ 942 milhões com fraudes eletrônicas no ano passado (o que inclui cartões, internet e caixas eletrônicos), sendo 22% só no "internet banking", por invasão de contas. No bolo geral, o cartão de crédito é que responde ainda pela maior parte das perdas sofridas pelas instituições financeiras, com fatia de 49%, tanto no mundo físico quanto no virtual.

Mas como os bancos empreenderam, nos últimos anos, esforços na conversão das suas bases de cartões para o chip - 60% dos plásticos que circulam no país já têm o dispositivo, segundo a Febraban -, que exige senha para validar a transação, é no comércio eletrônico que o fraudador tem encontrado seu ambiente mais profícuo. "Na internet, o chip não vale para nada, basta o número do cartão, a data de validade e o código de segurança", diz Eduardo Daghum, sócio da Horus, consultoria de prevenção a fraudes.

Sem a presença física do meio de pagamento, a responsabilidade recai sobre o varejista se o consumidor contestar um determinado gasto junto ao seu banco emissor. Daghum conta que tal arranjo tem origem nas vendas por catálogo nos Estados Unidos há cerca de três décadas. As empresas foram bater às portas das bandeiras como Visa e Mastercard pedindo para aceitar cartões de pagamento nas suas vendas e a condição foi que assumissem o risco desse tipo de transação. O esquema foi transferido para o comércio eletrônico. "O estabelecimento não tem expertise de prevenção e acaba ficando com o prejuízo."

De olho nessa fragilidade, as bandeiras acabaram criando sistemas de autenticação, que forçam o dono do cartão a se identificar perante o banco na hora da compra na internet, caso do Verify by Visa, da Visa, ou do Security Code, da MasterCard - usando o mesmo padrão desenvolvido pela Visa. Só que não adianta só o varejo ter essa ferramenta, o banco tem que estar habilitado na outra ponta e isso ainda não é disseminado no Brasil, diz Takaki, da Abecs.

O Verified by Visa é a principal ação da bandeira no universo online, mas está sendo desenvolvida no país há apenas 18 meses. Segundo o diretor de produtos da Visa do Brasil, Percival Jatobá, a companhia vem auxiliando os bancos a implementar o protocolo de segurança dentro do próprio "internet banking". Bradesco, Itaú e Citi já investiram nesse tipo de autenticação e duas outras grandes instituições financeiras estão em fase de adaptação. O próximo passo é envolver as credenciadoras e, a partir delas, ampliar o universo de varejistas.

Americanas.com, Submarino, Extra e Magazine Luiza são exemplos no comércio eletrônico que já participam do programa. "Bandeira, lojistas e emissores estão cientes de que, se o Brasil não implementar um processo robusto, vai colocar em risco a credibilidade do canal", diz Jatobá. O executivo diz que, apesar de haver milhares de lojistas na rede, não é difícil, na escala do mercado atual, reduzir o índice de transações fraudulentas, já que pouco mais de uma dezena responde por 80% a 90% do volume movimentado na internet.

A partir do momento em que a instituição financeira autentica uma transação no comércio eletrônico, a responsabilidade também muda de colo. Diante de qualquer contestação do cliente, é o banco que passa a responder pelo prejuízo. Só que ao mesmo tempo em que os participantes da cadeia de pagamentos investem em prevenção, a confirmação eletrônica torna o processo de compra mais burocrático, ressalva o diretor de gerenciamento de risco do Citi, Victor Loyola. "Isso pode complicar a vida do cliente e é possível até que se perca receita na outra ponta. É preciso dimensionar isso bem." Cedo ou tarde, porém, o volume de fraude passará a ser tão relevante no mundo on-line que esse será um caminho sem volta, assim como foi com a adoção do chip, acrescenta.

No Bradesco, a autenticação de uma compra on-line é feita por meio de senhas dinâmicas, no chamado "token", o dispositivo de segurança que o banco fornece a seus clientes, com geração de diferentes combinações para cada transação. Segundo o diretor de operações da Bradesco Cartões, Mauricio Icaza, como medida adicional de segurança o banco pré-cadastra os computadores que os correntistas usam para fazer as suas operações no internet banking, situação que acaba se estendendo para quem faz compras.

Daniel Bento, principal executivo da Braspag, processadora de pagamentos na internet, chama a atenção para o vazamento de dados em escala que ocorre no mundo físico, mas com uso para desvios na internet. "O varejista on-line tem que conhecer o seu perfil de fraude, quais os produtos mais suscetíveis, analisar os montantes", diz. Ele conta que há ferramentas que captam o perfil do fraudador, o risco de crédito de determinadas transações e até identificam o "IP" (endereço do computador) de origem da transação. "Um caso clássico é a compra de uma TV de 42 polegadas para entrega em São Paulo, mas com endereço de cadastro do Rio e IP de Roraima", exemplifica. Bento estima que nas grandes redes de varejo, em sites maduros, o índice de fraude é bastante palatável, de menos de 1% do faturamento.

Daghum, da Horus, diz que, como o fraudador consegue replicar o comportamento do consumidor, a tendência dos sistemas de prevenção é monitorar o computador de origem das transações. Uma máquina com linguagem operacional da Rússia, mas que seja usada no fuso dos Estados Unidos, vai gerar, por exemplo, uma transação com fraude potencial.

Para polícia, desafio é caçar informação 'volátil'

Na internet, a relação inicial do consumidor já começa fragilizada, porque ele não sabe quem está do outro lado da tela. Enquanto os bancos têm o desafio de educar a população que está ingressando no sistema financeiro para não cair nos golpes mais comuns, as forças da lei precisam estar em constante atualização, diz o chefe da unidade de repressão a crimes cibernéticos da Polícia Federal, Carlos Sobral.

"Diferente do mundo físico, em que a informação é acessível ao investigador por meio de uma pesquisa em cartório, uma ação de vigilância, uma busca na rua, no mundo virtual a informação normalmente não está disponível e a polícia depende de empresas, instituições, muitas vezes fora do Brasil, para levar a cabo as investigações", diz. Ele conta que, além disso, as informações na rede são voláteis, se não coletadas rapidamente facilmente se perdem e se frustra a oportunidade de encontrar o autor do delito.

Proporcionalmente ao tamanho do sistema financeiro brasileiro, os mais de R$ 940 milhões desviados em fraudes eletrônicas podem não causar espanto, mas esse é um dinheiro que acaba financiando o crime organizado, destaca Sobral. "É um problema de segurança pública." Ele confirma que, depois do advento do chip, a grande tendência que se observa é a fraude na internet.

Em 2009, a Febraban assinou convênio com a Polícia Federal para auxiliar no combate aos crimes eletrônicos. "Quando um correntista tem uma conta invadida, o banco pode, com autorização prévia, repassar a informação para a polícia, que vai tentar rastrear a operação", exemplifica o diretor técnico da Febraban, Wilson Gutierrez.

Gutierrez exemplifica que um pagamento de boleto não deve ser nunca feito numa "lan house". Ele aconselha ainda que o endereço eletrônico do banco não esteja no cardápio de "favoritos" do computador e que o cliente jamais confie em mensagens que peçam recadastramento de conta corrente ou ofereçam promoções maravilhosas com cartões.

Na rede circula, por exemplo, um e-mail com o título: "Participe do programa Surpreenda Visa e MasterCard", como se as duas bandeiras internacionais fossem uma única empresa. A mensagem pede para cadastrar os cartões em sites específicos para participar de um programa de pontuação. Ao fazer alusão direta à campanha da MasterCard na TV, não é difícil o consumidor se confundir com uma abordagem desse tipo.