Dados de clientes de vários bancos, como a Caixa Geral de Depósitos, o Novo Banco, o Santander, o BCP e o BPI e o ActivoBank, foram alvo de acesso ilegal através do homebanking, com a falha a ter como objetivo o uso de um sistema de transferências criado pelo Banco de Portugal.
Ao que a Renascença apurou, os responsáveis já foram identificados.
À Renascença, o Banco de Portugal confirma a violação de dados de clientes de alguns bancos, mas esclarece que não foi executada nenhuma operação financeira.
Já segue a Informação da Renascença no WhatsApp? É só clicar aqui
O gabinete do governador Mário Centeno garante a segurança das transferências, mas admite que uma “fragilidade” permitiu que “utilizadores mal-intencionados” conseguissem “obter o IBAN completo de clientes”. Ou seja, o código internacional que identifica as contas, e que em Portugal começa por PT50.
Estes utilizadores simularam transferências através do sistema SPIN, uma plataforma do Banco de Portugal que simplifica o envio de dinheiro, porque pede apenas o número de telemóvel ou o contribuinte.
Em resposta à Renascença, o Banco de Portugal garante que a citada “fragilidade” está “identificada” e “corrigida” e os clientes afetados foram devidamente informados pelos respetivos bancos.
O Banco de Portugal não identifica as instituições visadas, mas a Renascença sabe que a violação de dados teve como primeiros alvos o Novo Banco e o ActivoBank. Além destas duas instituições, foram também afetados clientes de outros bancos, como Caixa Geral de Depósitos, Santander, BCP e BPI.
Em resposta à Renascença, a CGD indica que “não foi objeto de qualquer intrusão que afete ou comprometa os seus serviços ou o património dos seus clientes” e que se tratou de uma “situação totalmente externa” que “está a ser investigada pelas autoridades”.
Este sistema SPIN está em funcionamento desde junho de 2024 e permite aos utilizadores, de forma mais conveniente e igualmente segura, iniciarem transferências indicando o número de telemóvel ou o número de identificação fiscal (NIF) do beneficiário (no caso de ser uma pessoa singular) em vez do IBAN. O Banco de Portugal garante que o “serviço e a sua segurança não foram comprometidos”.
O regulador recomenda ainda que utilizadores não devem, em nenhum caso, divulgar informação pessoal, credenciais de acesso ao homebanking ou às apps, ou eventuais códigos que o banco lhes envie para o telemóvel.
[artigo atualizado às 21h06 com mais informações]
Deixe um comentário