No passado mês de junho, Bankinter colocou dentro do seu site um novo portal de sensibilização para a cibersegurança, aberto e acessível para todo o tipo de públicos, que nasceu "com o objectivo de promover a cultura da segurança digital em todos os âmbitos, tanto na actividade financeira ou profissional como na vida diária". Parecia, pois, que a entidade se esforçava por fortalecer os seus escudos ante ciberfraudes.
Um pouco antes, no final de abril, Roberto Galego identificou dois débitos estranhos realizados com o seu cartão de crédito do Bankinter que ele não tinha efectuado. Pelo menos, não conscientemente. A estes juntou-se um terceiro para conversão de moeda, de reais brasileiros para euros. O seu espanto é facilmente imaginável. Ao todo, os débtitos ascendiam a 392,84 euros.
O cliente de Bankinter cancela o seu cartão depois de uma suposta fraude
"Imediatamente cancelei o cartão e chamei a meu assessor pessoal de banca online. Convidaram-me a que apresentasse uma denúncia junto à Polícia Nacional, ee a tratar de tudo através de uma conta de correio eletrónico no serviço de apoio ao cliente do Bankinter. Foi o que fiz", conta a este jornal.
Os débitos supostamente fraudulentos tinham-se efectuado a 23 e 24 de abril, e Galego apresentou a denúncia junto à Polícia a 1 de maio. Anos atrás tinha-lhe ocorrido algo similar, mas naquele caso conseguiu que lhe devolvessem o dinheiro em 48 horas. Desta vez não foi assim. "Passavam nas semanas e nada. Decorrido um mês exato, chegou-me uma carta na qual me diziam que, depois de rever o meu caso, se determinava que eu tinha sido o culpado de que me tivessem sustraído dinheiro", descreve.
Reclamação junto do Banco de Espanha
Por isso, o banco, que assegurava ter provas da negligencia deste cliente, acrescentava que não lhe ia devolver nada. "Depois de ter ultrapassado o meu espanto, voltei a telefonar ao meu conselheiro, que se recusou a dizer-me que “provas” tinham para não pagar o que tinha sido roubado e que, se quisesse mais alguma coisa, devia dirigir-se ao Banco de Espanha e apresentar uma reclamação", conta.
Gallego apresentou uma queixa, na qual explicou o seu caso e o tratamento que recebeu. Entre outras coisas, recordou que não lhe enviaram um código de verificação por SMS para confirmar a transação. “Também não o fizeram, apesar de eu o ter pedido”, critica.
"Negligencia muito grave"
“Um mês depois, responderam que o Bankinter tinha acreditado suficientemente na minha negligência muito grave e, embora não fosse vinculativo, partilhavam a decisão do banco”, lamenta.
Como é possível que tenham sido efectuadas duas transacções no Brasil, mais a operação de câmbio, a partir de um dispositivo desconhecido? A este respeito, o que o banco alegou é que Gallego tinha recebido uma mensagem para a ativação do cartão no Google Wallet, uma carteira digital, e que, portanto, não tinha qualquer responsabilidade.
"Eles lavam as mãos"
“Dão a entender que, se carregarmos o cartão para uma carteira, eles lavam as mãos, apesar de terem sido eles a encaminhar os clientes para a Google Wallet quando encerraram a sua própria carteira”, afirma. Foi o que aconteceu em 2020: o Bankinter encerrou a sua própria aplicação móvel de carteira digital, conhecida como Bankinter Wallet, e redireccionou os clientes para a utilização de plataformas de pagamento móvel de terceiros, como a Google Wallet.
Assim, aos olhos do banco, a responsabilidade cabe inteiramente a Gallego. Ele, evidentemente, nega-o. “Há várias decisões judiciais que reconhecem que, mesmo que se esteja autorizado a carregar o cartão na Wallet, isso não é considerado uma falta muito grave, porque se interpreta que é da responsabilidade do banco tomar as medidas necessárias para a segurança dos clientes”, sublinha.
Sentenças contra o Bankinter
A verdade é que o Bankinter já foi várias vezes citado em tribunal em casos semelhantes. Por exemplo, o escritório de advogados Odériz Echevarría Abogados conseguiu recentemente que o banco devolvesse 4.000 euros a um cliente que foi vítima de uma burla semelhante. “Surpreendentemente, nenhuma das operações exigiu a confirmação por SMS, nem foram activados alertas antes da cobrança efectiva”, afirma o escritório no seu site, onde descreve o caso.
Do mesmo modo, em maio, Garcia Montoliu Abogados condenou o Bankinter “por não ter protegido adequadamente um cliente vítima de phishing”. Nesse caso, o 87º Tribunal de Primeira Instância de Madrid condenou a empresa a reembolsar 2.451 euros, acrescidos de juros legais e custas, depois de ter autorizado duas transacções fraudulentas com um cartão clonado. "Duas transacções no valor de 1.634 e 817 euros foram debitadas no cartão do lesado numa loja do Gana. “Nunca recebeu qualquer notificação do banco nem deu o seu consentimento para estas compras”, sublinha a empresa.
A empresa ignora as reclamações
Gallego continuou a enviar queixas e e-mails com toda a informação, descrevendo as diferentes sentenças contra o Bankinter por falta de segurança. "Tudo isto está a ser ignorado. Cheguei a reunir-me com o gerente da minha agência, que se limitou a encolher os ombros", afirma.
A “terceira perna” da história é a Visa. Durante todo este processo, explica Gallego, conseguiu entrar em contacto com alguém da empresa, que lhe disse, inicialmente, que “tinham tolerância zero para estes roubos e que o banco devia devolver o dinheiro imediatamente”. Depois, disseram-me que estavam à procura de uma solução para mim, que estavam a fazer diligências junto do Bankinter, para depois responderem que não podiam fazer nada nem dizer ao banco o que fazer".
Fraude SS7
Gallego fez a sua pesquisa e diz que estes roubos são conhecidos como SS7. "Parece ser relativamente fácil fazer-se passar por um cliente, ao ponto de copiar o seu cartão SIM, para que os burlões possam receber o SMS de confirmação em causa. Mas o que as decisões judiciais dizem é que os bancos devem tomar as medidas necessárias para garantir a segurança", sublinha.
Por todas estas razões, considera que se trata de um “abuso de poder”. Este meio de comunicação contactou o Bankinter para perguntar sobre este caso, e fontes do banco afirmam que todos os clientes, quando se registam no Google Pay ou na carteira, recebem a comunicação relevante e uma palavra-passe. Além disso, afirmam que o Banco de Espanha é um organismo independente e que as suas resoluções são claras, detalhadas e muito explícitas. Por último, salientam que o fornecedor da carteira (neste caso, a Google) é quem aplica as medidas de segurança que considera adequadas.