Proponha uma correção, faça uma sugestão
Montepio vai ter de devolver dinheiro a clientes burlados online
Ao contrário daquilo que às vezes se pensa, as campanhas fraudulentas digitais fazem vítimas. Um casal de Coimbra foi vítima de phishing em 2017 e o banco vai agora ter de devolver o dinheiro que lhes foi burlado.
Tal acontece porque o banco não conseguiu provar que a culpa seria dos clientes. Esse facto foi agora confirmado pela Relação de Coimbra.
É considerado um ataque de Phishing quando alguém está a tentar enganá-lo(a). O objetivo é obter as suas informações pessoais através da internet ou levá-lo(a) a exercer ações com o objetivo de o burlar de alguma forma.
Em janeiro de 2017 um cliente do Montepio, há mais de 40 anos, foi alertado pelo gerente "para problemas". Depois de se deslocar ao balcão, informaram-lhe que as suas três contas haviam sido alvo de um ataque informático. Ao todo foram desviados cerca de 30 mil euros pelos piratas informáticos.
A vítima fez queixa à Polícia Judiciária, exigindo que o banco assumisse tal situação. No entanto, o banco referiu que não iria restituir o montante roubado. O casal recorreu à justiça e os juízes do Tribunal Cível de Coimbra consideraram que...
à luz dos factos apurados, a ré não logrou demonstrar, como lhe competia, qualquer culpa daqueles nessa movimentação de que foram alvo essas suas contas, e nessa medida, por força das obrigações que decorriam da relação contratual com eles estabelecida, condenou-a a reembolsar os AA. das quantias que ficarem desembolsados na sequência daquela movimentação das suas contas e ainda a indemniza-los pelos danos não patrimoniais/morais que sofreram em consequência dessa situação, a acrescerem os juros moratórios às taxas legais
O facto de terem sido usados códigos de acesso, não ficou provado que estes tenham sido dados pelo queixoso, refere o JN.
No total, o banco terá de pagar 25 513,24 euros ao cliente e 13 126,13 à sua companheira. O Montepio ainda recorreu, mas a Relação confirmou a sua decisão.
Pode ler aqui o Acórdão do Tribunal da Relação de Coimbra
Leia também...
Este artigo tem mais de um ano
Loading ...
Numa geração em que grande parte do dinheiro é digital,todo o cuidado é pouco,cada vez há mais maneiras de ser burlado,como nos recentes casos do OLX e custo justo.Ainda bem que os clientes vão ser reembolsados,essa quantia não é brincadeira, são as poupanças equivalentes a muitos anos de trabalho. Os bancos como sempre,não querem assumir qualquer responsabilidade,daqui a pouco voltamos a guardar o dinheiro debaixo do colchão.
Sabe que existem GRANDES diferenças entre o que é um ataque de Phishing e uma burla nos sites OLX e CustoJusto como refere?
A primeira e maior diferença, é que numa das opções só cai quem quer e não tiver o devido cuidado, na outra não temos o devido controlo das operações.
No caso de um ataque de phishing, que são aos milhares por dia, a culpa será do atacante…
A vitima, deixou-se cair no esquema e revelou dados cruciais para um acesso completo a uma conta bancária, dando carta branca ao atacante para movimentar o que fosse possível.
O banco, apenas deixou aceder à conta quem tinha credenciais para tal.
Se este Acórdão for o final, então pensem só no que alguns espertos podem fazer…. em “serem vitimas de phishing”, e um pirata qualquer movimentar dinheiro das contas.
De depois, o banco tem de devolver o mesmo montante, mais extras!
É um terreno muito complicado….
Mas a culpa está no atacante, e não no prestador de serviços. Excepto se o ataque fosse directo ao Banco, e este sim, tivesse falhado para com o cliente, em manter os montantes em depósito a salvo.
A culpa será sempre dos bancos que não protegem nem informam devidamente os seus clientes! Quem é que no seu perfeito juízo se punha a inventar roubos pra sacar algum ao banco? E como é que provava isso?
E o pirata informático, como é que adivinhou as credenciais de acesso que só eram do conhecimento do seu utilizador? Por uma bola de cristal?
Sou cliente da CGD e uma vez fiz uma transferencia online dum valor maior do que normalmente faço e eles automaticamente meteram a transferencia em espera e ligaram para confirmar se era eu ou não, portanto se o montepio deixou movimentar 30.000€ da conta dum cliente sem o avisar obviamente que têm culpa do sucedido….
A culpa do cliente dar os dados a ladrões, por um ataque via pishing, não é do Banco.
Quem comete o crime é o ladrão, com a ajuda do cliente. É o exemplo mais básico de um ataque de phishing.
Isto é um caso de fraude, pois o ladrão ao usar as credenciais de acesso, para todos os efeitos, é apenas mais um cliente a usar os serviços do Banco.
Já era cliente Montepio antes de terem o acesso online. Tenho desde o inicio, e nunca sofri qualquer tipo de ataque. Não é por não tentarem, mas porque sou cauteloso com este tipo de acesso sensível. Tenho 3 camadas de segurança na conta, por isso será preciso um ataque muito diferente para conseguirem movimentar dinheiro para fora das minhas contas.
Podiam sim, pensar em aderir ao tipo de fundo que recompensa casos de fraude, em que a culpa nem é do Banco, nem do cliente. Mas pensem só como não seria simples cometer mais uma fraude e abusar deste tipo de situações.
Pensem bastante…. em 30 minutos, consigo simular que sou vitima de um ataque de phishing, e movimento o dinheiro para uma conta no Dubai… e depois peço a recompensa do banco, pois este deixou usar a plataforma online com todas as minhas credenciais e efectuar uma transferência internacional.
Obviamente? Se foram utilizadas as credenciais de acesso que eram só do conhecimento do seu utilizador? Foram efetuadas três transferências de 2 contas diferentes. A estrada da Beira não é a mesma coisa que a beira da estrada.
AS MELHORAS!!!!!!!!!!!!!!!
Deves ser desses malandros como o de hoje que gastou 838 do meu salario em compras com o meu cartão do montepio sem sequer ser necessarios os dois fatores e com a appbosta que só veio complicar isto tudo e coincidencia ou não foi precisamente ontem dia 24 que tentei comfigura o app prova a tal aplicação de segurança , que desapareceu todo o meu dinheiro da conta ordenado sem sequer eu ter conhecimento m
O banco deveria ter um meio de comunicar de forma segura com o cliente (aplicativo ou aparelho dedicado por exemplo) para informar da actividade na conta e confirmar operações de transferências.
Se a pessoa autoriza-se então aí eles podiam dizer que a pessoa tinha conhecimento e autorizou explicitamente.
O Banco tem um sistema de acesso seguro, com vários níveis de acesso. À data dos factos, para aceder ao sistema homebanking, o utilizador tinha um username e uma password que era só do seu conhecimento. Para os débitos acontecerem, era necessário inserir duas coordenadas de um cartão matriz com 270 coordenadas, que só era do conhecimento do utilizador. Quantos mais níveis são necessários. Hoje em dia está em funcionamento o SMS token, e mesmo assim continuam a dar esse código aos piratas…
Isso só sucede porque o Montepio era (não sei se ainda fazem isso) um dos poucos a usar chaves matriz para confirmar operações. Basicamente os larápios criavam uma página a imitar o Montepio, a pessoa introduzia os dados de login, e logo aí já entravam na conta. Depois começavam a pedir as coordenadas, dando sempre erro, e a pessoa ia introduzindo diferentes porque eles iam trocando as coordenadas. Assim, na posse de todas as coordenadas e as credenciais de entrada, os larápios já podiam movimentar valores, e foi o que fizeram. Se a confirmação fosse por SMS, não teriam feito este esquema.
CGD também faz isso (ainda)
Pedro Pinto, a CGD faz em valores baixos, quando ultrapassa certo valor ou se forem algumas transacções seguidas de baixo valor eles mandam sms para confirmar. Eu sou cliente da CGD e uma vez fiz uma única transferencia dum valor elevado e eles meteram a transferencia em espera e ligaram-me para confirmar a veracidade da mesma….
Nota que, todas as operações que são realizadas pelo HomeBanking, seja Montepio ou outro qualquer, é necessário confirmar por SMS.
O erro está precisamente aí. Nenhum banco decente vai trocando as coordenadas quando as mesmas dão erro. As coordenadas pedidas são sempre as mesmas a partir do momento em que há erro de coordenadas.
Hoje em dia já existe SMS token e mesmo assim, continuam a dar esse código…. Não é esse o problema… O problema está no utilizador que quando acede, não toma as precauções devidas. Por mais níveis de segurança que sejam criados, se os utilizadores não tomarem as devidas precauções, não há nada a fazer
Lembra-te que isto não foi ontem mas sim há 3 anos onde 90% dos bancos tinham coordenadas.
Claro que o problema é do banco a partir do momento em que vão circulando as coordenadas. É uma falha de segurança enorme, só não vê quem não quer.
Não descarto a culpa do utilizador mas já vi um caso de phishing no BPINet há uns anos que era impossível de distinguir, o site era igualzinho ao original (porque era o original) olhavas para o link e era correto mas por cima dos campos do utilizador e passe tinhas um overlay com outros campos do atacante e um campo extra que pedia o contacto telefónico.
Portanto mesmo estando muito atento dependendo dos ataques é possível ser-se enganado e os bancos têm de assumir a despesa quando têm pouca segurança.
Só mesmo em Portugal culpabilizar uma entidade bancária pela ingenuidade e estupidez do ser humano. Como é que possivel que no Séc XXI existe ainda quem caia nestes esquemas.