Procon-SP notifica dez bancos e três associações do setor financeiro

O Procon-SP notificou as empresas abaixo relacionadas pedindo explicações sobre dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras disponibilizados aos clientes vítimas de furto ou roubo.

O pedido se deve considerando notícias de que quadrilhas têm roubado celulares com o intuito de acessar aplicativos de bancos instalados no aparelho para fazer transferências indevidas na conta bancária da vítima.

As empresas e associações notificadas foram: Banco BMG S/A, Banco Inter S/A, Banco Pan S/A, Banco C6 S/A, Banco Bradesco S/A, Banco do Brasil S/A, Itaú Unibanco S/A, Caixa Econômica Federal, Neon Pagamentos S.A., NU Pagamentos S/A, Banco Santander Brasil S/A, ABBC - Associação Brasileira de Bancos, ABFintechs - Associação Brasileira de Fintechs e Febraban - Federação Brasileira de Bancos.

Levando em consideração as diversas formas de acesso remoto: aplicativos em Smartphones, aparelhos eletrônicos com comunicação via Bluetooth e por aproximação, dentre outros, as empresas deverão apresentar as seguintes informações:

• laudos técnicos, assinados por profissionais habilitados, dos testes de validação e eficiência realizados em seus sistemas de segurança disponibilizados ao consumidor para acesso remoto às contas bancárias e demais serviços financeiros vinculados ao titular/cliente;

• comprovação dos mecanismos de validação para acesso remoto pelo titular da conta bancária, especificando o número de etapas aplicado ao processo em todas as suas modalidades: senhas, códigos de segurança, reconhecimento de voz e facial, dentre outros;

• quanto a proposta de uso oficial dos dispositivos de segurança, especificar diferenças eventualmente aplicadas em razão do sistema operacional IOS ou ANDROID e do "pacote de serviços" a que esteja vinculado, para desbloqueio e acesso às contas bancárias com objetivo de simples consulta e/ou realização de transações financeiras, comprovando em cada caso o respectivo grau de confiabilidade/vulnerabilidade;

• providências tomadas quando o cliente identifica/comunica possíveis problemas de quebra de segurança de acesso e de violabilidade de dados por fraudes nos sistemas de segurança;

• recepção, tratamento e armazenamento aplicados aos dados fornecidos pelos usuários, no momento da habilitação para acesso remoto à conta bancária e serviços financeiros vinculados;

• período (lapso temporal) previsto para o armazenamento dos dados dos usuários - incluindo as imagens e gravações de voz, comprovando a possibilidade de sua atualização e exclusão de forma remota, se necessárias;

PIX

Especificamente sobre as transações via PIX (Pagamento Instantâneo), as instituições deverão apresentar a política de segurança aplicada para efetivação de tal meio de pagamento, informando o processo complementar - se aplicado, de verificação e validação de titularidade da chave de acesso, bem como a forma de estorno/devolução de valores em razão de comprovação de fraudes por violação de seu sistema de segurança.

Também deverão esclarecer os custos de cobrança, tendo em vista o pacote de serviços contratado pelo cliente, para utilização dos dispositivos de segurança especificando - se aplicável, a distinção em razão do sistema operacional IOS ou ANDROID;

As empresas têm até o dia 30 para responderem aos questionamentos do Procon-SP.