Artigos Relacionados
Um simples número de telemóvel foi suficiente para expor dados bancários sensíveis de clientes do ActivoBank. A falha, entretanto corrigida, deixou milhares de utilizadores apreensivos e levantou sérias questões sobre a privacidade e a segurança dos sistemas financeiros em Portugal.
Segundo o portal de tecnologia TugaTech, a vulnerabilidade permitia a obtenção do IBAN de contas bancárias através de simulações de transferências, sem que houvesse movimentação de fundos. Ainda que não tenha havido perda direta de dinheiro, o risco é evidente: um dado tão delicado como o IBAN pode ser explorado em esquemas de fraude e engenharia social.
Como aconteceu a falha
O incidente está ligado ao SPIN, serviço lançado pelo Banco de Portugal em 2024 para simplificar transferências bancárias. Este sistema permite enviar dinheiro apenas com o número de telemóvel, NIF ou NIPC, sem necessidade de partilhar o IBAN. A ideia era aumentar a conveniência e proteger os utilizadores.
Contudo, no caso do ActivoBank, a implementação revelou-se frágil. Através de tentativas de transferência simuladas, atacantes conseguiam forçar a plataforma a devolver o IBAN associado a um número de telemóvel.
O Banco de Portugal já esclareceu que o sistema não prevê a exposição do IBAN e que esta falha resulta da forma como foi configurada pela instituição.
O risco da engenharia social
À primeira vista, o IBAN pode parecer apenas uma referência bancária, mas nas mãos erradas torna-se numa poderosa ferramenta de manipulação.
Fraudadores podem contactar uma vítima, fingindo ser funcionários do banco, e usar o IBAN como “prova” de legitimidade. Essa aparente credibilidade abre caminho para pedir dados confidenciais, como códigos de acesso, palavras-passe ou autorizações de operações.
É precisamente este o tipo de engenharia social que tem estado na origem de inúmeras fraudes bancárias em Portugal.
Reforço de segurança e recomendações do ActivoBank
Na comunicação enviada aos clientes, o ActivoBank reforçou que:
- Nunca solicita dados de acesso por telefone, SMS ou e-mail.
- As suas comunicações oficiais não contêm links. O acesso deve ser feito diretamente no site oficial ou na aplicação.
- Recomenda ainda ativar alertas na app, para ser notificado em tempo real de movimentos e autorizações, aumentando assim a capacidade de reação perante uma operação suspeita.
Especialistas sublinham que estas práticas são essenciais não só para este caso, mas como regra de ouro em qualquer serviço financeiro digital.
Não é um caso isolado?
A gravidade da situação ganha contornos mais preocupantes com relatos de que a Caixa Geral de Depósitos (CGD) terá também alertado clientes para a obtenção ilícita de IBAN e números de conta, explica o Postal.
Ainda não há confirmação oficial sobre uma falha sistémica no SPIN, mas especialistas em cibersegurança alertam: quando há serviços interbancários partilhados, uma vulnerabilidade num banco pode rapidamente replicar-se noutros.
A Comissão Nacional de Proteção de Dados (CNPD) poderá intervir, dado tratar-se da exposição de dados pessoais. O Regulamento Geral sobre a Proteção de Dados (RGPD) é claro: falhas com risco para os titulares devem ser notificadas no prazo máximo de 72 horas. Até agora, não há confirmação de qualquer notificação oficial.
Conveniência vs. segurança: um alerta para o futuro
O SPIN prometia conveniência e maior proteção nas transferências bancárias. Contudo, a prática provou que a segurança depende não apenas da tecnologia em si, mas da forma como é implementada.
Enquanto as instituições financeiras apostam em inovação, os atacantes sofisticam as suas técnicas. Pequenos deslizes técnicos podem transformar-se em grandes brechas. A confiança digital constrói-se com camadas de segurança — mas também com vigilância ativa dos utilizadores.
Evitar clicar em links desconhecidos, desconfiar de contactos inesperados e verificar diretamente com o banco qualquer comunicação duvidosa são medidas simples, mas que podem evitar perdas irreparáveis.
Este caso deixa um aviso claro: num mundo cada vez mais digital, a segurança não é um detalhe, é um requisito vital.
