Segurança na BPI App

A crescente aposta em aplicações móveis bancárias acarreta consigo problemas de segurança. Segundo o relatório anual de cibersegurança "Cyber Security Report 2020" (Check Point Research, 2020) da tecnológica internacional Check Point, os ataques de

malware10 a aplicações móveis bancárias aumentaram em 50% no primeiro semestre de 2019, face ao mesmo período de 2018.

O malware infeta o dispositivo (smartphone ou tablet) e procura pela aplicação bancária instalada, criando uma página falsa sobreposta à página de início de sessão na aplicação bancária, onde o utilizador age normalmente e preenche os campos com as credenciais de autenticação. O problema reside no facto de que os dados introduzidos pelo utilizador são enviados para o servidor do atacante, ao invés de serem enviados para o servidor da entidade bancária. Desta forma, o atacante, munido das credenciais de autenticação, pode roubar

10 _{Malware, ou software malicioso, é um termo para designar qualquer programa ou aplicação informática}

dados de pagamentos, informações pessoais e no pior dos cenários, o saldo da conta bancária. O mesmo relatório prevê ainda um aumento de ataques de phishing.

A Figura 25 ilustra, graficamente, a distribuição das categorias de ciberataques no mundo.

Através da observação da Figura 25, conclui-se que 27% dos ciberataques são direcionados aos dispositivos móveis, enquanto que as aplicações bancárias são alvo de 18% dos ciberataques.

É inegável a preocupação que as entidades devem ter com a questão da cibersegurança. Alguns dos procedimentos a ter em conta no desenho e no desenvolvimento de aplicações bancárias podem passar pelo uso de um segundo fator de autenticação, além da tradicional palavra-passe e nome de utilizador, bem como a encriptação dos dados sensíveis, a autenticação biométrica (impressão digital) e a implementação de assinaturas digitais garantindo assim, uma autenticação forte (Peerbits, 2020).

No que respeita à BPI App, a segurança é uma das principais preocupações do banco (BPI, 2020l). Assim, quando o cliente decide aderir à aplicação, depois de o download da BPI App, terá de preencher um formulário indicando os seus dados pessoais, sendo posteriormente contactado, por e-mail ou telefone, para concluir o processo de adesão. A introdução destes dados pessoais é indispensável, uma vez que permitem a identificação do cliente, contudo, estes dados são encriptados no momento de envio através da Internet.

Figura 25 – Distribuição percentual dos ciberataques no mundo Fonte: Check Point Research (2020).

Também as credenciais de acesso são definidas no momento da adesão, sendo obrigatório a alteração do código secreto aquando da primeira utilização da aplicação. Na adesão a este canal digital é fornecido ao cliente um cartão de coordenadas11, necessário para validar transações. Para além deste cartão, a validação de transações pode ainda ser feita por um código de utilização única, composto por seis dígitos que é enviado para o número de telemóvel do utilizador. Após três tentativas erradas de introdução das coordenadas ou do código de utilização única, o acesso à aplicação será cancelado.

De acordo com o Banco de Portugal (BdP, 2020d), a partir de setembro de 2019, todos os PSP têm de efetuar a autenticação forte dos clientes sempre que estes realizem um pagamento eletrónico, uma ação que possa envolver um risco de abuso e/ou fraude ou pretendam aceder digitalmente à sua conta de pagamentos. No entanto, existem situações previstas em que o PSP poderá optar por não solicitar a autenticação, sendo que esta possibilidade é baseada no risco da operação, no montante envolvido, na frequência e no tipo de canal utilizado. Porém, se o PSP optar por não aplicar a autentificação forte, o utilizador não poderá ser responsabilizado caso o pagamento não seja realizado corretamente.

A autenticação forte implica que os PSP solicite ao utilizador dois de três elementos, de acordo com as seguintes categorias: (i) posse (por exemplo: cartão de pagamento, telemóvel); (ii) inerência (por exemplo: impressão digital, reconhecimento de voz); e (iii) conhecimento (por exemplo: código, palavra-passe). Os dois elementos solicitados têm de pertencer a categorias diferentes. Numa das últimas revisões da autenticação forte da BPI App (BPI, 2020a), foi implementado o sistema de reconhecimento por impressão digital. Este sistema baseia-se no facto de não existirem duas impressões digitais iguais, o que permite restringir o acesso a apenas um utilizador. Por fim, a legislação imposta às entidades bancárias também contribui para a segurança dos utilizadores, como é o caso da PSD2, que impõe um reforço de identidade por parte dos utilizadores a cada noventa dias.

11_{O cartão de coordenadas é um elemento de identificação secreto, pessoal, único e intransmissível, emitido}

pelo banco sob a forma de uma matriz de coordenadas que permite a validação na realização transações nas plataformas digitais (BPI, 2020m).

Outra forma de promover a segurança nos meios digitais é alertar os utilizadores. Deste modo, o BPI divulga, no seu site e redes sociais, informações sobre os perigos dos canais digitais, bem como sugestões de boas práticas. Os alertas por e-mail e mensagens telefónicas representam outra forma de o banco alertar os utilizadores dos meios digitais.

Porém, o cliente também é responsável por uma parte importante da segurança dos serviços. Neste âmbito o utilizador não deve:

• Divulgar o seu cartão de coordenadas;

• Utilizar e anotar códigos de acesso de fácil dedução;

• Abrir, responder ou reencaminhar mensagens de correio eletrónico suspeitas ou duvidosas;

• Responder a propostas que requeiram informações bancárias; • Enviar informação pessoal que lhe seja solicitada por e-mail; • Seguir links suspeitos;

• Utilizar redes públicas para o acesso aos canais digitais.

Para cobrir eventuais fraudes na utilização da BPI App, o banco criou o BPI Protect (BPI, 2020n), um serviço gratuito e de adesão automática, para dar resposta às preocupações dos utilizadores no uso das plataformas digitais. A principal vantagem é o reembolso em situações de fraude, até 10 mil euros por cliente, mitigando, desta forma, o receio dos utilizadores.