Nas últimas semanas, diversos clientes do Nubank (Android, iOS) têm relatado o golpe do acesso remoto, em que criminosos acessam a conta corrente do aplicativo a distância, sem que a vítima perceba, por meio de um ataque hacker ao dispositivo. O Idec (Instituto Brasileiro de Defesa do Consumidor) enviou uma notificação ao banco, na última quinta-feira, 6, para que a instituição preste esclarecimentos sobre os casos.
Segundo relatos reunidos pelo Idec em redes sociais, plataformas de reclamação e no site consumidor.gov.br, as pessoas afirmam que tiveram a conta invadida e que foram feitos empréstimos no nome delas, além de transferências de quantidades elevadas de dinheiro para outras contas. Não foi possível constatar o volume desses casos, que é justamente um dos questionamentos feitos para a empresa.
Na última quinta-feira, 6, o Nubank enviou um alerta aos seus clientes sobre o golpe do Acesso Remoto. Segundo o banco, os fraudadores tentam convencer a vítima a fazer o download de aplicativos que parecem legítimos, mas permitem que eles acessem o dispositivo de forma remota, sem que a pessoa perceba. Diferente de outros casos mais comuns de fraude, os criminosos não precisam roubar o celular ou o cartão da vítima.
“Tudo através de um programa que o próprio usuário instalou, sem que exista qualquer tipo de brecha de segurança nos apps dos bancos”, diz o comunicado. Em seguida, recomenda-se que as pessoas baixem a versão mais recente do app para se proteger desse tipo de situação, com atualizações de segurança.
Para Fabio Pasin, advogado e pesquisador do programa de serviços financeiros do Idec, há uma aparente contradição. “Ao mesmo tempo que eles falam que não há falha de segurança, recomendam que o cliente baixe a versão mais atualizada do aplicativo, porque essa versão, sim, tem a medida de segurança capaz de prevenir essa fraude”, afirma ao Mobile Time.
“No direito do consumidor, existe a teoria do risco. Na relação entre fornecedor, que no caso é o banco, e o consumidor, o risco da atividade, do que está sendo colocado no mercado, recai sobre o fornecedor, que é quem tem o domínio científico da informação, dos meios, todo o conhecimento técnico para ofertar um produto com segurança no mercado. O fornecedor tem que se certificar de que o que ele está oferecendo não corre riscos”, explica.
A principal crítica das vítimas é que o sistema do Nubank de bloqueio de transações que fogem do padrão da conta é falho. Uma pessoa afirma que conseguiram fazer quatro transferências Pix, que totalizaram R$ 150 mil, em quatro minutos, sendo que essa mesma conta nunca havia feito transferências superiores a R$ 250. O sistema antifraude do Nubank não foi capaz de identificar que havia algo de errado com essas operações.
CDC e jurisprudência
Pasin menciona o artigo 14 do Código de Defesa do Consumidor (CDC), que obriga o fornecedor a responder pela reparação dos danos causados aos consumidores por defeitos decorrentes da prestação de seus serviços. Nesse caso, é responsabilidade do banco garantir a segurança do serviço oferecido, arcando com eventuais prejuízos.
Ele fala também do artigo 6º do CDC, que discorre sobre o direito à informação adequada ao consumidor. Apesar do Nubank ter alertado sobre o golpe por e-mail, o banco deveria dar mais amplitude para isso, divulgando em outros canais também. “O direito à informação é muito importante. Isso tem que ser largamente publicizado por todos os meios possíveis. Tem que constar um alerta para que todos que sejam clientes tenham informação sobre essa falha de segurança do banco”, diz Pasin.
Decisões anteriores de tribunais superiores também dizem que o banco deve garantir a seus clientes a segurança de suas contas, coibindo golpes e fraudes. Quando não for possível, deve assumir a responsabilidade e reparar os danos causados. A jurisprudência do Superior Tribunal de Justiça (STJ) diz que instituições financeiras respondem objetivamente por danos gerados a seus clientes em casos como esse, mesmo que o crime tenha sido cometido por terceiros.
Esclarecimentos
Na notificação ao Nubank, o Idec pede para que a instituição dê mais detalhes sobre os golpes, informe por que não foram adotadas medidas preventivas com maior antecedência e de que forma está lidando com as vítimas. Segundo Pasin, ainda é cedo para afirmar se o Idec entrará com uma ação civil pública. O instituto vai aguardar a resposta do banco para avaliar possíveis medidas que poderão ser tomadas para solucionar o caso.
Após o recebimento da notificação, o Nubank tem o prazo de 15 dias corridos para enviar as respostas.
Em nota, o banco afirmou: “No Nubank, a segurança é uma prioridade desde o primeiro dia e cooperamos com as autoridades responsáveis pelo cuidado com o consumidor. Reafirmamos o nosso compromisso com a proteção dos nossos mais de 70 milhões de clientes, mantendo uma vigilância constante sobre a utilização dos nossos serviços, incluindo o desenvolvimento de ferramentas de proteção para ajudar os usuários na prevenção e inibição de golpes. Com relação a esses crimes, o Nubank mantém equipes especializadas e canais abertos 24 horas para o atendimento às vítimas. Em caso de suspeita de movimentação indevida por terceiros, os clientes devem seguir o passo a passo disponível no SOS Nu“.