Início Pagamentos / Canais digitais / Cuidados a ter

Cuidados a ter

A utilização de canais digitais para a comercialização de produtos e serviços bancários de retalho altera a forma como o cliente bancário acede à informação. Antes da celebração de um contrato ou da aquisição de um produto ou serviço bancário, o cliente deve:

  • Ler com atenção toda a informação transmitida pela instituição;
  • Esclarecer todas as dúvidas com a instituição;
  • Avaliar previamente as condições que lhe são apresentadas pela instituição, analisando atentamente os respetivos custos, remunerações e os riscos que corre;
  • Assegurar que lhe é facultada toda a informação pré-contratual e contratual em suporte duradouro de forma a conseguir consultá-la posteriormente. 

O cliente bancário deve estar atento e adotar os procedimentos de segurança que lhe são disponibilizados pela sua instituição.

 

Cuidados a observar na realização de operações bancárias através de canais digitais

Além dos cuidados habituais associados ao produto ou serviço bancário a realizar, o cliente bancário deve:

  • Deve proteger o equipamento com uma palavra-passe que impeça a sua utilização por terceiros;
  • Não deve permitir que a sessão do site ou de aplicações com informação confidencial se inicie automaticamente;
  • Deve proteger o equipamento com programa antivírus e anti-spyware e manter estes programas atualizados;
  • Deve proteger as comunicações eletrónicas, mantendo sempre a firewall ativa;
  • Deve evitar utilizar equipamentos públicos (computadores e tablets partilhados) para realizar operações bancárias ou pagamentos.

  • Deve proteger as comunicações sem fios (WiFi) através da adoção de protocolos seguros e evitar a utilização de hotspots públicos;
  • Deve verificar sempre se o endereço do sítio da instituição onde está a inscrever os seus dados pessoais e confidenciais é “https”. O “s” significa “segurança”, o que garante uma ligação segura ao serviço online da respetiva instituição. Este sistema faz parte do “certificado digital” do portal da entidade, o qual pode ser consultado clicando nos símbolos do cadeado fechado ou da chave que devem aparecer no canto inferior direito (ou superior direito dependendo do programa utilizado) do navegador da internet; 
  • Caso abra uma mensagem de correio eletrónico (e-mail) cujo conteúdo lhe gere desconfiança, nomeadamente por desconhecer a sua origem, não deve clicar nas hiperligações (links) indicadas, não deve executar as ações pedidas (não executando programas sugeridos) nem abrir os anexos;
  • Não deve descarregar anexos de mensagens de correio eletrónico (e-mail) sem antes os verificar com o antivírus;
  • Não deve abrir mensagens de correio eletrónico (e-mail) de caráter duvidoso, devendo eliminá-las imediatamente. É importante ter em atenção o tipo de linguagem utilizada (menos cuidada, expressões dúbias), o idioma e a apresentação gráfica das mensagens de correio eletrónico (e-mail) recebidas, uma vez que as falsas mensagens adotam, muitas vezes, uma linguagem menos formal e menos correta.

  • Deve instalar apenas aplicações com caráter fidedigno, obtidas em lojas de aplicações oficiais. Nem todas as aplicações são seguras e podem conter software malicioso;
  • Deve verificar as permissões de acesso aos seus dados exigidas pelas aplicações. Não deve descarregar aplicações cujas permissões exigidas lhe pareçam excessivas;

  • Não deve divulgar palavras-passe a terceiros. As palavras-passe são pessoais e intransmissíveis;
  • Não deve escolher palavras-passe demasiado óbvias (por exemplo, 123456, ABCDEF, QWERTY) ou associadas a informação pessoal fácil de obter (datas de aniversário, nome dos filhos ou de cônjuges, números de telemóvel);
  • Não deve escrever palavras-passe e outra informação confidencial em papel, nem guardar essa informação em mensagens de correio eletrónico (e-mail) ou no telemóvel;
  • Não deve enviar o IBAN, dados pessoais (número de documento de identificação, número fiscal, data de nascimento, nome completo, entre outros), códigos confidenciais e outros elementos sensíveis através de mensagens de correio eletrónico (e-mail) ou de telemóvel;
  • Não deve inscrever dados confidenciais e outras informações, como o número de telemóvel, em sítios de internet cuja autenticidade não esteja assegurada.

  • Deve observar os procedimentos de segurança que lhe são transmitidos pela instituição, observando-os sempre que realizar operações bancárias através dos canais digitais;
  • Deve contactar imediatamente a sua instituição caso detete movimentos que não autorizou ou que não reconhece, mantendo um controlo frequente e atento das suas contas;
  • Deve comunicar à instituição financeira qualquer suspeita de fraude antes de prosseguir a operação bancária.

 

Cuidados especiais a observar no homebanking

Independentemente do equipamento que utiliza (computador, tablet ou smartphone), quando utiliza o serviço de homebanking para a realização de operações financeiras, o cliente bancário deve ter também os seguintes cuidados:

  • Nunca aceder ao serviço de homebanking da instituição através de uma hiperligação (link) existente em mensagem de correio eletrónico (e-mail), de endereços gravados nos “Favoritos” ou no “Histórico”, ou de resultados de pesquisa de motores de busca. O cliente bancário deve sempre escrever, de forma completa, o endereço eletrónico de acesso (URL) que pretende no browser, a fim de evitar o acesso a programas que permitam a apropriação de informação confidencial ou que o reencaminhem para uma página WEB com a mesma aparência da instituição financeira, mas falsa (“página espelho”);
  • Nunca divulgar a totalidade das coordenadas do cartão matriz de acesso ao serviço de homebanking (a sua instituição financeira nunca o pedirá);
  • Evitar a utilização do serviço de homebanking em equipamentos públicos (computadores ou tablets partilhados);
  • No fim da utilização do serviço de homebanking, terminar a sessão e sair da página da instituição, clicando nos ícones existentes para o efeito;
  • Nunca usar, para o acesso ao serviço de homebanking da sua instituição, a mesma palavra-passe que utiliza para ligações que requerem menor segurança (por exemplo, palavras-passe usadas em redes sociais);
  • Consultar periodicamente os movimentos das contas bancárias (ou de pagamento) e verificar a data e a hora do último acesso ao serviço de homebanking;
  • Comunicar à respetiva instituição, logo que possível, o furto, o roubo ou a apropriação abusiva do cartão matriz ou de outro elemento de segurança utilizado para realizar operações financeiras através do serviço de homebanking.

 

Cuidados especiais a observar em pagamentos na internet

Independentemente do equipamento que utiliza (computador, tablet ou smartphone), quando realiza pagamentos através da internet com cartão de pagamento, o cliente bancário deve ter também os seguintes cuidados:

  • Digitar sempre o endereço eletrónico de acesso (URL) pretendido no browser, não o procurando localizar através de hiperligação (link) existente em mensagem de correio eletrónico (e-mail), de endereços gravados nos “Favoritos” ou no “Histórico”, ou de resultados de pesquisa de motores de busca;
  • Preferir utilizar cartões de pagamento com características de segurança acrescida, tais como cartões com um limite de crédito (plafond) limitado, um reduzido prazo de validade e procedimentos de autenticação adicionais (procedimentos que permitam a autenticação forte do cliente, de que é exemplo o 3D Secure). O cliente bancário pode ainda optar por criar um cartão virtual (em caixa automático ou no homebanking), que lhe permite efetuar as mesmas operações sem nunca divulgar os dados reais do seu cartão de pagamento;
  • Evitar realizar pagamentos com cartão através da internet em equipamentos públicos (computadores e tablets partilhados);
  • Guardar sempre os registos das operações efetuadas com cartão através da internet, incluindo a informação da entidade beneficiária destas e respetivo endereço eletrónico;
  • Consultar periodicamente os movimentos das contas bancárias (ou de pagamento) e verificar os movimentos realizados com o cartão;
  • Comunicar ao prestador de serviços de pagamento emitente do cartão, logo que possível, a perda, o roubo ou a apropriação abusiva desse cartão, utilizando os contactos disponibilizados pela entidade emitente do cartão ou os contactos divulgados para esse efeito no Portal do Cliente Bancário.

 

Procedimentos de segurança a adotar pelas instituições

As instituições devem ter sistemas fiáveis, resilientes e seguros e adotar as melhores práticas nacionais e internacionais em matéria de segurança.

As instituições devem:

  • Implementar, acompanhar e rever regularmente uma política de segurança para os produtos e serviços prestados através dos canais digitais;
  • Informar previamente o cliente dos requisitos tecnológicos e das medidas de segurança que deve adotar;
  • Promover campanhas de alerta e de divulgação dos procedimentos de segurança que devem ser adotados pelos clientes quando é identificada uma concreta ameaça à segurança; 
  • Implementar procedimentos de autenticação robustos, que permitam verificar de uma forma mais segura a identidade do cliente bancário, como os mecanismos de autenticação forte do cliente (strong customer authentication), no caso dos pagamentos;
  • Adotar as medidas técnicas ou organizativas adequadas para assegurar a integridade e a confidencialidade dos dados pessoais dos seus clientes.

Autentificação forte do cliente

Procedimento de autenticação no qual o cliente, a pedido da instituição, utiliza dois ou mais dos seguintes elementos:

  • Algo que só o cliente conhece – por exemplo, uma palavra-passe, um código, um número de identificação pessoal (PIN);
  • Algo que só o cliente possui – por exemplo, um dispositivo de autenticação (token), um cartão inteligente, um telemóvel;
  • Algo do próprio cliente – por exemplo, uma característica biométrica, designadamente uma impressão digital.

Estes elementos têm de ser independentes, isto é, a violação de um deles não deve comprometer a fiabilidade do(s) outro(s). Além disso, pelo menos um destes elementos deve ser não reutilizável e não reproduzível (com exceção da caraterística inerente ao cliente) e insuscetível de ser furtado através da internet.

Da utilização destes elementos resulta um código de autenticação. Nos casos em que é legalmente exigida a autenticação forte do cliente, o cliente deve usar o código de autenticação para validar a operação de pagamento que pretende efetuar.

Por exemplo, ao abrigo deste mecanismo de autenticação mais robusto, é exigido ao cliente bancário, aquando da realização de uma compra com cartão através da internet, que, além de indicar os elementos do seu cartão de pagamento, insira um código irrepetível que lhe seja fornecido por mensagem escrita de telemóvel (SMS). Neste caso, o cliente bancário terá de ter previamente associado o seu número de telemóvel ao cartão.

Pagamentos Canais digitais

Contactos dos emissores de cartões bancários

Boas práticas com pagamentos na internet

Carta Circular n.º 55/2015/DSP

Associação Portuguesa de Bancos > Segurança Online

Orientações da EBA sobre a segurança dos pagamentos na internet

Diretiva (UE) 2015/2366, do Parlamento Europeu e do Conselho, relativa aos serviços de pagamento no mercado interno

Materiais sobre prevenção de fraude