2019/09/03

Bancos alemães fogem dos SMS contrariando bancos portugueses


Parece que algo de errado se passa na interpretação da Directiva PSD2 de aumentar a segurança no acesso aos serviços bancários online, já que em Portugal os bancos anunciam a utilização de SMS para esse efeito, enquanto os bancos alemães vêem isso como motivo para deixarem de utilizar SMS.

Foi já há alguns meses que diversos bancos alemães anunciaram a sua intenção de deixarem de utilizar SMS para autenticação dos clientes ou validação de operações. A parte mais curiosa é que justificam isto como sendo resultante da entrada em vigor da Directiva PSD2 (Payment Services Directive) que entrará em vigor a 14 de Setembro - a mesma que por cá os nossos bancos estão a utilizar como justificação para o reforço da utilização dos SMS!

Segundo a directiva, os bancos têm que implementar autenticação segura dos clientes (SCA - Strong Customer Authentication) e, segundo a opinião da EBA (European Banking Authority), os SMS não devem ser utilizados como forma de validar algo que os utilizadores "saibam".


No entanto, parte da confusão poderá estar a ser gerada pelo facto da mesma autoridade dizer que os SMS poderão ser utilizados para efeitos de validação de algo que os utilizadores "tenham".


De notar que esta mesma tabela elimina a utilização de cartões com códigos impressos como sendo uma forma segura de validação. Mas ainda assim, e como tem sido demonstrado com cada vez mais frequência, não se deve confiar que os SMS sirvam para validar que é o utilizador legítimo que tem acesso a eles. E se a EBA os removesse por completo desta tabela, poderia ajudar a eliminar as incoerências de termos países europeus onde os bancos vão deixar de usar os SMS - e outros que estejam a apostar ainda mais neles.


Juntando-se a isto a tabela de recomendações de algo que o utilizador seja, podemos compilar uma lista de coisas que os bancos poderão utilizar para cada um dos passos da autenticação segura.


  • Métodos válidos para coisas que os utilizadores "sejam": impressões digitais, reconhecimento de voz, reconhecimento facial / mãos / íris, padrões de movimentos, ângulo em que segura o smartphone, padrão de escrita num teclado.

  • Métodos válidos para coisas que os utilizadores "tenham": chaves físicas de segurança, cartão físico lido por um leitor, código de autenticação gerado por um dispositivo, leitura de um código QR por um dispositivo externo. (É aqui que ainda aparecem os SMS como válidos, que deveriam ser eliminados).

  • Métodos válidos para coisas que os utilizadores "saibam": password, código PIN, padrão de desbloqueio, "perguntas-e-respostas" (este último também deveria ser abolido, já que a maioria das perguntas muitas vezes consistem em coisas que se calhar até estão expostas nas redes sociais ou são conhecidas por familiares ou amigos - como o nome do primeiro professor, o primeiro animal de estimação, cor favorita, etc.)

Mas, focando-nos numa coisa de cada vez; por agora seria suficiente ver os bancos portugueses seguirem o exemplo dos bancos alemães e abolirem os SMS.

5 comentários:

  1. Os bancos não vão deixar de utilizar o SMS até serem obrigados a isso por algum decreto-lei ou similar... a mudança de todos (?) para o SMS é prova disso... eles querem SMS e ponto final.
    E não existe alternativa universal viável de momento para a qual se pudessem virar e que todos concordem ser suficientemente seguro na maioria dos casos em que o terminal do utilizador não esteja comprometido.
    Não podem utilizar as próprias APP's porque isso seria utilizar o mesmo meio pelo qual a pessoa está a aceder, só se fizerem ou utilizarem uma terceira aplicação para dar a volta à questão.
    Vão ter de surgir diversos casos mediáticos na televisão/ jornais/ redes sociais de furtos a contas bancárias de gente muito conhecida recorrendo ao sms como parte do esquema para que eventualmente os bancos abandonassem, fruto de grande pressão por parte de todos os seus clientes, o SMS... e mesmo assim provavelmente teria de ser o governo ou mesmo a assembleia da república a obrigá-los.

    ResponderEliminar
  2. Para poder usar o SMS desviado não é necessário 1º ter acesso aos dados de login e cartão matriz, para assim ser possível gerar movimentos a partir da conta?
    Não me parece um risco assim tão grande.

    ResponderEliminar
  3. O Bankinter tem cartão matriz não sei se os outros bancos possuem...

    ResponderEliminar
  4. Desde há uns anos para cá, a banca virou o bico ao prego. Se antes "resolviam" os desfalques por via digital respondo o montante em falta, após verificação que alguém usou indevidamente as credenciais de acesso, agora cabe ao cliente o ónus de provar que não descurou a segurança de computadores e qualquer dispositivo usado para validação. Se me tirarem dinheiro da conta através de card cloning, estou bem fdd... E todos os outros que tiverem um azar semelhante.

    ResponderEliminar
    Respostas
    1. Tens a certeza disso? É que a bem pouco tempo um familiar meu foi vitima de card cloning e pela legislação portuguesa, pelo menos na altura, o onus da prova era do banco, de provar que a transacção reportada tinha sido de facto feita pelo detentor da conta. Até tinham um prazo máximo de 30 dias para o conseguir provar, caso contrário tinham de devolver o dinheiro retirado. Pelo menos quando foi o caso do meu familiar, assim era, o banco não respeitou o prazo dos 30 dias, dizendo que "estava a investigar", mas quando ameaçámos com acção legal por não estarem a cumprir a lei devolveram imediatamente(quase que por magia, a "investigação" deles ficou concluída no mesmo dia que ameaçámos com acção).

      Eliminar