Cuidados a ter na utilização de canais digitais

A utilização de canais digitais para a comercialização de produtos e serviços bancários de retalho altera a forma como o cliente bancário acede à informação. Antes de celebrar um contrato ou de adquirir um produto ou serviço bancário, o cliente deve:

  • Ler com atenção toda a informação transmitida pela instituição;

  • Esclarecer todas as dúvidas com a instituição;

  • Avaliar previamente as condições que lhe são apresentadas pela instituição, analisando atentamente os respetivos custos, remunerações e os riscos que corre;

  • Assegurar que lhe é facultada toda a informação pré-contratual e contratual em suporte duradouro, de forma a conseguir consultá-la posteriormente.

O cliente bancário deve estar atento e adotar os procedimentos de segurança que lhe são disponibilizados pela sua instituição.

O cliente bancário deve estar atento aos procedimentos de segurança da instituição. Em caso de dúvida, não deve executar a operação sem solicitar previamente à sua instituição os esclarecimentos que entenda necessários.

Cuidados a observar na realização de operações bancárias através de canais digitais

Além dos cuidados habituais associados ao produto ou serviço bancário a realizar:

  • Proteja o equipamento com uma palavra-passe que impeça a sua utilização por terceiros;

  • Não permita que a sessão do site ou de aplicações com informação confidencial se inicie automaticamente;

  • Proteja o equipamento com programa antivírus e anti-spyware e manter estes programas atualizados;

  • Proteja as comunicações eletrónicas, mantendo sempre a firewall ativa;

  • Evite utilizar equipamentos públicos (computadores e tablets partilhados) para realizar operações bancárias ou pagamentos;

  • Não abandone o seu equipamento;

  • Preste atenção às falsas chamadas de suporte informático;

  • Não reutilize códigos de acesso – por exemplo, o código para a aplicação de homebanking não deverá ser o mesmo que o código de desbloqueio do equipamento.

  • Mantenha o seu browser sempre atualizado;

  • Proteja as comunicações sem fios (WiFi) através da adoção de protocolos seguros e evite a utilização de hotspots públicos;

  • Digite sempre o endereço eletrónico ao qual pretende aceder, em vez de usar uma hiperligação (link) ou de aceder ao histórico da internet;

  • Verifique se o endereço do site da entidade que pretende aceder é o endereço oficial da entidade;

  • Verifique sempre se o endereço do site da entidade onde está a inscrever os seus dados pessoais e confidenciais é “https”. O “s” significa “segurança”, o que garante uma ligação segura ao serviço online da respetiva entidade. Este sistema faz parte do “certificado digital” do portal da entidade, o qual pode ser consultado clicando nos símbolos do cadeado fechado ou da chave que devem aparecer no canto inferior direito (ou superior direito dependendo do programa utilizado) do navegador da internet;

  • Verifique se a barra onde aparece o endereço do site da entidade no qual está a inscrever os seus dados pessoais e confidenciais aparece a verde (seguro) ou a vermelho (não seguro);

  • Pode testar se o site é seguro usando o "truque da senha errada". Em vez do login habitual, pode colocar uma password errada. Se for aceite, isso significa que a entidade em causa não está a verificar o login (ou seja, pode estar a querer apenas recolher a password para utilizá-la de forma indevida);

  • Caso abra uma mensagem de correio eletrónico (e-mail) cujo conteúdo lhe gere desconfiança, nomeadamente por desconhecer a sua origem, não clique nas hiperligações (links) indicadas, não execute as ações pedidas (não execute programas sugeridos), nem abra os anexos;

  • Não descarregue anexos de mensagens de correio eletrónico (e-mail) de desconhecidos ou de caráter duvidoso;

  • Não abra mensagens de correio eletrónico (e-mail) de caráter duvidoso e elimine-as imediatamente. Verifique o endereço do remetente (e não apenas o seu nome), o tipo de linguagem utilizada (se a linguagem é menos cuidada, se existem expressões dúbias), o idioma e a apresentação gráfica das mensagens de correio eletrónico (e-mail) recebidas, uma vez que as falsas mensagens adotam, muitas vezes, uma linguagem menos formal e menos correta.

  • Instale apenas aplicações com caráter fidedigno, obtidas em lojas de aplicações oficiais. Nem todas as aplicações são seguras e podem conter software malicioso;

  • Analise, com cuidado, as avaliações (reviews) das aplicações. Muitas são falsas e propositadamente criadas para induzir o utilizador a instalar a aplicação;

  • Verifique as permissões de acesso aos seus dados, exigidas pelas aplicações. Não descarregue aplicações cujas permissões exigidas lhe pareçam excessivas;

  • Verifique a segurança e as permissões exigidas pelas aplicações que vêm de origem com o telemóvel.

  • Não divulgue palavras-passe a terceiros. As palavras-passe são pessoais e intransmissíveis;

  • Não escolha palavras-passe demasiado óbvias (por exemplo, 123456, ABCDEF, QWERTY) ou associadas a informação pessoal fácil de obter (datas de aniversário, nome dos filhos ou de cônjuges, números de telemóvel);

  • Utilize diferentes passwords para diferentes contas;

  • Não escreva palavras-passe e outra informação confidencial em papel, nem guarde essa informação em mensagens de correio eletrónico (e-mail) ou no telemóvel;

  • Não envie o IBAN, dados pessoais (como número de documento de identificação, número fiscal, data de nascimento, nome completo), códigos confidenciais e outros elementos sensíveis através de mensagens de correio eletrónico (e-mail) ou de telemóvel;

  • Não inscreva dados confidenciais e outras informações, como o número de telemóvel, em sites cuja autenticidade não esteja assegurada;

  • Não divulgue informação pessoal ou confidencial nas redes sociais.

  • Observe os procedimentos de segurança que lhe são transmitidos pela instituição, incluindo sempre que realizar operações bancárias através dos canais digitais;

  • Conctacte imediatamente a sua instituição caso detete movimentos que não autorizou ou que não reconhece, mantendo um controlo frequente e atento das suas contas;

  • Comunique à instituição financeira qualquer suspeita de fraude antes de prosseguir a operação bancária;

  • Recorde-se que a instituição nunca deverá solicitar os seus dados de acesso ao homebanking por qualquer via que não seja ao balcão.

Cuidados especiais a observar no homebanking

Independentemente do equipamento que utiliza (computador, tablet ou smartphone), quando utiliza o serviço de homebanking para a realização de operações financeiras, deve ter também os seguintes cuidados:

  • Nunca aceda ao serviço de homebanking da instituição através de uma hiperligação (link) existente em mensagem de correio eletrónico (e-mail), de endereços gravados nos “Favoritos” ou no “Histórico”, nem de resultados de pesquisa de motores de busca. O cliente bancário deve sempre escrever, de forma completa, o endereço eletrónico de acesso (URL) que pretende no browser, a fim de evitar o acesso a programas que permitam a apropriação de informação confidencial ou que o reencaminhem para uma página WEB com a mesma aparência da instituição financeira, mas falsa (“página espelho”);

  • Nunca divulgue a totalidade das coordenadas do cartão matriz de acesso ao serviço de homebanking (a sua instituição financeira nunca o pedirá);

  • Evite utilizar o serviço de homebanking em equipamentos públicos (computadores, smartphones ou tablets partilhados);

  • Depois de utilizar o serviço de homebanking, termine a sessão e saia da página da instituição, clicando nos ícones existentes para o efeito;

  • Nunca use, para o acesso ao serviço de homebanking da sua instituição, a mesma palavra-passe que utiliza para ligações que requerem menor segurança (por exemplo, palavras-passe usadas em redes sociais);

  • Consulte periodicamente os movimentos das contas e verifique a data e a hora do último acesso ao serviço de homebanking;

  • Ative alertas de transferências e de débitos ou outros mecanismos de segurança que a sua instituição possa disponibilizar;

  • Comunique à sua instituição, logo que possível, o furto, o roubo ou a apropriação abusiva do cartão matriz ou de outro elemento de segurança utilizado para realizar operações financeiras através do serviço de homebanking.

 

Cuidados especiais a observar em pagamentos na internet

Independentemente do equipamento que utiliza (computador, tablet ou smartphone), quando faz compras online ou através de aplicações, deve ter também os seguintes cuidados:

  • Procure informações sobre o vendedor:

    • Pesquise na internet o nome da empresa;

    • Desconfie se não encontrar uma morada ou um contacto de telefone para o qual possa ligar e os termos e condições da venda;

    • Leia sobre as experiências que outros clientes tiveram com determinado produto ou loja online, por exemplo em fóruns de discussão;

  • Verifique a segurança do site ou da app:

    • Verifique se o endereço a que pretende aceder se inicia com https:// e se aparece um cadeado no final do endereço ou na barra inferior da janela. Isto significa que a ligação é segura;

    • Instale apenas aplicações com caráter fidedigno, obtidas em lojas de aplicações oficiais;

    • Passe o rato por cima dos selos de qualidade. Se estes selos não tiverem nenhuma hiperligação ou não o redirecionarem para o site oficial, a página poderá ser falsa.

  • Adote os procedimentos de segurança habituais para proteger o seu computador, tablet ou telemóvel:

    • Mantenha atualizados os programas de antivírus e anti-spyware e a firewall ativa;

    • Não utilize redes wi-fi públicas ou desconhecidas;

    • Não utilize equipamentos públicos para realizar pagamentos.

  • Leia os termos e condições:

    • Verifique os métodos de pagamento;

    • Informe-se sobre eventuais custos adicionais – por exemplo, custos de envio ou direitos alfandegários, se a loja estiver sediada fora da União Europeia;

    • Verifique as condições e os custos em caso de devolução e de troca. Por norma, na União Europeia tem 14 dias para devolver qualquer produto comprado na internet.

  • Certifique-se de que apenas disponibiliza os dados necessários para concluir a compra;

  • Opte, preferencialmente, por uma das seguintes formas de pagamento:

    • Referência multibanco. O comerciante envia uma SMS ou e-mail com os dados para efetuar o pagamento, dentro de determinado prazo, num caixa automático ou através do homebanking;

    • Instrumentos de pagamento com segurança acrescida. Prefira utilizar cartões com um limite de crédito (plafond) limitado, um reduzido prazo de validade ou com procedimentos de autenticação adicionais (procedimentos que permitam a autenticação forte do cliente);

    • Cartões virtuais. Um cartão virtual é um cartão gerado e utilizado em contexto eletrónico. No momento da compra, não há divulgação dos dados do cartão real, o que introduz maior segurança na operação. A aplicação MB WAY, por exemplo, permite gerar cartões virtuais MB NET e efetuar as mesmas operações sem nunca divulgar os dados reais do seu cartão de pagamento.

  • Guarde os registos da compra efetuada, incluindo a informação sobre o comerciante e o respetivo endereço eletrónico;

  • Consulte periodicamente os movimentos das contas e verifique se os movimentos realizados correspondem às compras que efetuou;

Procedimentos de segurança a adotar pelas instituições

As instituições devem ter sistemas fiáveis, resilientes e seguros e adotar as melhores práticas nacionais e internacionais em matéria de segurança.

As instituições devem:

  • Implementar, acompanhar e rever regularmente uma política de segurança para os produtos e serviços prestados através dos canais digitais;

  • Informar previamente o cliente dos requisitos tecnológicos e das medidas de segurança que deve adotar;

  • Promover campanhas de alerta e de divulgação dos procedimentos de segurança que devem ser adotados pelos clientes quando é identificada uma concreta ameaça à segurança;

  • Implementar procedimentos de autenticação robustos, que permitam verificar de uma forma mais segura a identidade do cliente bancário, como os mecanismos de autenticação forte do cliente (strong customer authentication), no caso dos pagamentos;

  • Adotar as medidas técnicas ou organizativas adequadas para assegurar a integridade e a confidencialidade dos dados pessoais dos seus clientes.

Autentificação forte do cliente

Procedimento de autenticação no qual o cliente, a pedido da instituição, utiliza dois ou mais dos seguintes elementos:

  • Algo que só o cliente conhece – por exemplo, uma palavra-passe, um código, um número de identificação pessoal (PIN);

  • Algo que só o cliente possui – por exemplo, um dispositivo de autenticação (token), um cartão inteligente, um telemóvel;

  • Algo do próprio cliente – por exemplo, uma característica biométrica, designadamente uma impressão digital.

Estes elementos têm de ser independentes, isto é, a violação de um deles não deve comprometer a fiabilidade do(s) outro(s). Além disso, pelo menos um destes elementos deve ser não reutilizável e não reproduzível (com exceção da caraterística inerente ao cliente) e insuscetível de ser furtado através da internet.

Da utilização destes elementos resulta um código de autenticação. Nos casos em que é legalmente exigida a autenticação forte do cliente, o cliente deve usar o código de autenticação para validar a operação de pagamento que pretende efetuar.

Por exemplo, ao abrigo deste mecanismo de autenticação mais robusto, é exigido ao cliente bancário, aquando da realização de uma compra com cartão através da internet, que, além de indicar os elementos do seu cartão de pagamento, insira um código irrepetível que lhe seja fornecido por mensagem escrita de telemóvel (SMS). Neste caso, o cliente bancário terá de ter previamente associado o seu número de telemóvel ao cartão.