Fonte:

São Paulo — A cena parece saída de um filme de espionagem: alguém passa por você no corredor do metrô, aproxima discretamente um aparelho eletrônico do seu bolso, e segundos depois debita milhares de reais do seu cartão sem que você tenha tocado no celular, sem que qualquer notificação pedisse sua confirmação, sem que nada indicasse que algo errado havia acontecido.

Pois essa cena é real. Pesquisadores de duas universidades britânicas demonstraram, com equipamentos de prateleira que custam menos de R$ 1.500, que é possível realizar cobranças de qualquer valor em smartphones bloqueados de uma marca específica que tenham cartões Visa configurados no modo de transporte do "smartphone Pay". A pesquisa foi publicada no IEEE Symposium on Security and Privacy 2022, um dos congressos de cibersegurança mais relevantes do mundo. E a falha, descoberta em 2020, nunca foi corrigida.

"Uma das falhas mais graves que já vi em pagamentos digitais"

"Do ponto de vista jurídico e de segurança, essa vulnerabilidade é gravíssima", afirma o Dr. Jonatas Lucena, advogado especializado em Direito Digital e Crimes Cibernéticos com escritório na Avenida Paulista, em São Paulo. Com mais de 20 anos de experiência na área e casos que já passaram por veículos como Al Jazeera e The Guardian, o Dr. Jonatas Lucena é uma das vozes mais reconhecidas no Brasil quando o assunto é fraude digital e responsabilização de empresas de tecnologia.

"O que torna esse ataque especialmente perigoso é que a vítima não precisa cometer nenhum erro. Não é phishing, não é engenharia social, não é descuido. A pessoa simplesmente carrega o celular no bolso e pode ser roubada", explica.

Como o golpe funciona — em linguagem simples

O "carteira Pay" tem um recurso chamado "Express Transit" modo expresso de transporte. Ele foi criado para facilitar a vida de quem usa metrô e ônibus: você encosta o smartphone na catraca sem precisar desbloquear o aparelho ou confirmar com digital ou Face ID. Prático, certo?

O problema é que esse modo pode ser ativado por qualquer pessoa que tenha o equipamento certo e saiba o código que as catracas enviam ao celular. Os pesquisadores descobriram esse código e o replicaram.

Uma vez que o smartphone "acha" que está numa catraca de metrô, ele aceita cobranças sem pedir confirmação. Os pesquisadores então desenvolveram um script que intercepta a comunicação e altera a informação de valor da transação, fazendo o celular tratar R$ 50.000 como se fosse o valor de uma passagem e falsifica a confirmação de identidade do portador.

O resultado: o leitor de cartão recebe tudo que precisa, aprova a transação, e o banco debita o valor. Nenhuma notificação pediu sua aprovação. Nenhuma digital foi lida. Nenhuma senha foi digitada.

Por que ainda não foi resolvido?

Quando os pesquisadores apresentaram a falha à empresa fabricante do smartphone e à visa, as duas empresas reconheceram o problema e passaram a bola uma para a outra.

A Apple disse que a visa deveria corrigir. A visa disse que seus sistemas de antifraude detectariam transações suspeitas. Os pesquisadores testaram exatamente isso: realizaram o ataque várias vezes, com valores altos, do mesmo cartão. Não foram bloqueados nenhuma vez.

Enquanto isso, a mastercard principal concorrente da visa já resolveu o problema há anos, exigindo uma assinatura digital criptografada em cada transação, impossível de falsificar.

"Isso não é um problema sem solução. É uma escolha", resume o Dr. Jonatas Lucena. "E quando uma empresa faz uma escolha que coloca o consumidor em risco, ela assume responsabilidade jurídica por isso."

O que a lei brasileira diz sobre isso?

No Brasil, o Código de Defesa do Consumidor (CDC) estabelece que fornecedores de serviços são responsáveis por danos causados por defeitos na prestação de seus serviços independentemente de culpa. A Lei Geral de Proteção de Dados (LGPD) acrescenta obrigações específicas sobre segurança de dados pessoais e financeiros.

"Se um consumidor brasileiro for vítima desse tipo de ataque, ele tem base jurídica para exigir o ressarcimento integral do valor, além de compensação por danos morais que inclui o estresse, a ansiedade e o tempo despendido para resolver o problema", explica o Dr. Jonatas Lucena. "O argumento de que a empresa devolve o dinheiro não afasta a responsabilidade. Especialmente quando a empresa sabia do risco e optou por não corrigi-lo."

Casos desse tipo podem envolver tanto a bandeira do cartão quanto o banco emissor e a fabricante do smartphone, dependendo das circunstâncias. A responsabilidade pode ser solidária.

Quem está em risco?

Você está potencialmente vulnerável se:

Tem um smartphone (qualquer modelo com NFC)

Tem um cartão (crédito ou débito) configurado no Carteira Pay

Tem esse cartão definido como cartão de transporte (Express Transit)

Se essa combinação se aplica a você, a recomendação dos próprios pesquisadores é clara: remova o cartão do modo de transporte expresso agora.

Como se proteger: passo a passo

Abra o aplicativo Carteira (Wallet) no smartphone

Toque no cartão configurado

Vá em Configurações do cartão

Desative a opção "Express Transit Card" ou "Cartão de Transporte Expresso"

Se seu smartphone for roubado ou perdido, ative imediatamente o Modo Perdido pelo suporte e ligue para o banco para bloquear o cartão

O que fazer se você já foi vítima?

O Dr. Jonatas Lucena orienta que a primeira medida é documentar tudo: "Salve os extratos, registre boletim de ocorrência na delegacia de crimes cibernéticos ou pela plataforma digital disponível na maioria dos estados e notifique formalmente o banco e a operadora do cartão por escrito, com protocolo."

Não aceite apenas o estorno como resposta final. Avalie com um advogado especializado se há base para reclamar também pelos danos morais e pelo tempo que você precisou dedicar para resolver algo que não foi culpa sua", complementa o especialista, que atende casos de fraude digital em todo o Brasil, presencialmente na Av. Paulista ou por consulta online.

Mais do que dinheiro: uma questão de confiança

Vivemos em uma era em que pagamentos digitais são apresentados como o futuro seguro e conveniente do dinheiro. Mas conveniência sem segurança é uma armadilha.

"Quando uma empresa decide que 2 centavos de fraude por cada 100 reais movimentados é um custo aceitável, ela está, na prática, dizendo que algumas perdas são toleráveis. Mas tolerável para quem? Para o executivo que apresenta o relatório ou para a pessoa que viu o dinheiro do aluguel desaparecer?", questiona o Dr. Jonatas Lucena.

A falha pode não ter sido corrigida. Mas a proteção jurídica do consumidor brasileiro existe e pode e deve ser usada.

Dr. Jonatas Lucena — Advogado Especialista em Direito Digital e Crimes Cibernéticos. OAB/SP 285.933. Escritório: Av. Paulista, 2073, São Paulo/SP. Atendimento presencial e online. https://drjonatas.com.br/ | (11) 2365-9212

---

Clique aqui para ver toda notícia no site oficial.