De Serrano à Islândia: a empresa “guarda-chuva” que torna possível milhares de fraudes em sítes

Junto ao número 23 da Calle Serrano, em Madrid, encontram-se boutiques de moda, joalharias de luxo e escritórios de advogados. Também é possível, claro, encontrar hotéis de 4 ou 5 estrelas e restaurantes da moda. O que não se encontra é uma loja chamada Valerio Madrid. No entanto, o síte valerio-madrid.com afirma que é aqui, numa das ruas comerciais mais famosas da capital, que se encontra o seu estabelecimento, que vende roupa para homem e mulher, como camisolas, calçado e casacos.

Mas isto é uma mentira. Valerio Madrid não é vizinho da Lacoste, da Zegna ou da Kenzo. De facto, não é vizinho de ninguém. É um embuste. É um site que, como infelizmente tantos outros que o Consumidor Global já denunciou, comercializou peças de vestuário de baixa qualidade retiradas de plataformas asiáticas.

"Imitação das más"

"É uma fraude. O que eles enviam, quando o enviam, é uma má imitação. Basta ler esta hiperligação para perceber tudo. Mudam de domínio, de site e de marca com frequência", queixa-se um comprador no ScamDoc. Anexa também uma hiperligação para as críticas no Trustpilot sobre a sua irmã, Valeria Madrid, outro site, neste caso já encerrado, que aparentemente enganou vários consumidores.

"A pior compra que já fiz online! A qualidade do produto é péssima (como se fosse de plástico), vem sem etiquetas... Pedi o reembolso e a devolução é mais cara do que a própria compra... É um site chinês que diz ter uma loja física em Madrid, mas é mentira. Não recomendo", diz uma pessoa afetada. "A qualidade é péssima, é uma fraude. Não recomendo a compra. As sandálias vieram sem caixa, são feitas de plástico. O material não corresponde aos 40 euros que custam e foram reduzidas em 50%", diz outra pessoa.

Chamarizes para o comprador

Os criadores do site Valerio Madrid, que está atualmente fora do ar, incluíram uma série de iscos inteligentes para atrair compradores. Por exemplo, quando se clicava numa peça de vestuário do seu catálogo, na parte inferior havia uma referência à Trustpilot, onde afirmavam ter excelentes classificações: 4,8/5 com base em (nada menos que) 25.870 avaliações. Além disso, no topo da página, dizia-se que o envio era gratuito para Espanha “apenas hoje”, o que pode instigar uma compra. 

Há também uma seção para realizar um rastreamento do pedido e uma referência aos supostos métodos de pagamento: Google Pay, Apple Pay, Visa, Mastercard, Maestro e American Express.

Whithheld for Privacy

No entanto, ao pesquisar no Whois (uma espécie de diretório de informações sobre quem detém um domínio ou endereço IP) quem está realmente por detrás do Valerio Madrid, os resultados são surpreendentes: o domínio foi criado a 18 de março e expira exatamente um ano depois; e está registado na capital da Islândia, Reiquiavique, mais concretamente na Rua Kalkofnsvegur, 2.

Não se trata de um local remoto escolhido ao acaso. Tal como o The New York Times noticiou numa reportagem exaustiva, Kalkofnsvegur 2 “é também o endereço registado da empresa Withheld for Privacy, parte de uma indústria próspera com pouca regulamentação na Islândia e em todo o mundo, cujos serviços permitem que as pessoas que operam sites online escondam as suas identidades”.

Um centro global de actividades ilícitas

Por outras palavras, uma espécie de guarda-chuva que permite o funcionamento destes esquemas obscuros: os meios de comunicação social norte-americanos referiram que a empresa ajudava “as empresas fraudulentas a esconder os seus rastos dos olhos dos reguladores, das agências de aplicação da lei e das suas vítimas”. De facto, segundo o autor do artigo, a Withheld for Privacy fez da Islândia “um centro global de actividades ilícitas desproporcionado em relação à dimensão do país”.

"Inclusive as autoridades locais afirmam que têm tentado, sem sucesso, pôr-se em contacto com os representantes da empresa quando têm surgido problemas", diz o The New York Times.

Namecheap

"Esta empresa é o resultado de um regulamento específico. É preciso ter em conta que trabalha com a Namecheap, que é uma das principais empresas mundiais de registo de domínios. E, desde que o GDPR entrou em vigor, foi proibido por padrão incluir uma série de dados no Whois. Antes, eles apareciam, o que permitia saber instantaneamente quem era o proprietário de um domínio, para poder fazer um pedido ou o que fosse necessário, caso o proprietário indicado fosse verdadeiro", explica Samuel Parra, advogado especializado em cibersegurança, a este meio.

Se o titular que aparecia resultava ser falso, a ICANN (a organização que se encarrega a nível mundial de velar pelos registros dos .com, os .net e os .org) podia iniciar um procedimento de inspecção, requerer às empresas do domínio e, chegado o caso, fechá-lo. Enquanto isso não acontecer, “a situação torna-se mais fácil para os criminosos”, reconhece este especialista.

"A legislação ampara as suas práticas"

No entanto, Parra considera que a Whithheald for Privacy responde simplesmente a uma exigência, cumpre o que promete e não prejudica a imagem internacional da Islândia. "As suas práticas estão cobertas pela lei, não estão a infringir. Outra coisa é que, quando se apercebem de que um domínio está a ser utilizado para algo criminoso, não tomam as medidas necessárias para o corrigir", afirma.

No entanto, é possível encontrar aqui e ali queixas contra esta espécie de cúpula de ferro do cibercrime. “Como o Namecheap e o Withheld for Privacy permitem projectos de criptomoedas fraudulentos”, era o título de um portal de criptomoedas há alguns meses.

O preço da privacidade

Até 2018, qualquer pessoa que queria usar um domínio devia partilhar a sua informação de contacto e a deixar registada no banco# de dados públicos susceptíveis de ser escrutadas. Já não é assim.

Em vez de se defenderem, alguns utilizam o escudo sacrossanto da privacidade para atacar e enganar os consumidores.