Você sabia que um celular perdido pode estar sendo usado para acessar sua conta bancária sem que o criminoso precise da sua senha? Esse tipo de situação tem se tornado cada vez mais comum no Brasil. Explicamos neste artigo os riscos, medidas preventivas e direitos do consumidor diante da habilitação de novos dispositivos para acesso à conta e do furto de celulares.

Casos comuns

Os casos mais comuns de comprometimento de contas bancárias envolvem, primeiramente, o furto ou roubo de celulares, situação em que o dispositivo físico cai nas mãos de terceiros e pode ser utilizado para acessar informações sensíveis.

Além disso, há a engenharia social, em que criminosos se passam pelo próprio usuário ou por instituições financeiras, utilizando técnicas de persuasão e manipulação para obter dados de acesso, senhas ou autorizações, mesmo sem ter posse física do aparelho. Esses métodos têm se tornado cada vez mais sofisticados, exigindo atenção redobrada dos clientes e a adoção de medidas de segurança reforçadas.

Quarentena de Dispositivos

Definição Técnica

A quarentena de dispositivos é uma medida de segurança que bloqueia temporariamente operações sensíveis sempre que um novo dispositivo se conecta à conta, quando há mudança de IP considerada suspeita ou quando padrões de uso anômalos são detectados. Para liberar o acesso, o sistema exige confirmações adicionais por canais seguros, como o envio de SMS para o telefone previamente cadastrado, e-mail de confirmação, ligação do banco ou, em casos extremos, comparecimento presencial. Em situações mais complexas, pode ser solicitada a captura de selfie e a realização de análise antifraude para validar a identidade do usuário.

Exemplo Prático

Quando um criminoso tenta acessar a conta de um usuário a partir de um dispositivo desconhecido, o sistema costuma apenas bloquear temporariamente as operações por um período de 24 a 72 horas. Nesse intervalo, o cliente recebe uma notificação e, somente após confirmar sua identidade, as transações voltam a ser liberadas.

Embora essa prática ofereça alguma barreira contra fraudes, ela está longe de ser suficiente. Criminosos cada vez mais sofisticados conseguem burlar tais mecanismos, expondo clientes a riscos elevados. Torna-se necessário inserir camadas adicionais de proteção, capazes de reforçar a segurança além do que o banco entrega, assegurando um ambiente digital muito mais confiável.

Regras de Confirmação e Profiling

Confirmação por Canal Diverso

Para garantir a segurança do usuário, não basta que a confirmação seja enviada apenas como notificação push no próprio celular, que pode estar comprometido. É necessário que a validação ocorra por canais seguros, como SMS enviado para o número previamente cadastrado, ligação telefônica ou e-mail de confirmação. Esse procedimento reduz significativamente o risco de acesso não autorizado.

Análise de Comportamento (Behavioral Analytics)

O sistema bancário também deve realizar uma  análise comportamental do usuário, conhecida como Behavioral Analytics, avaliando fatores como localização e IP atípicos, a utilização de dispositivos recém-instalados e movimentações financeiras fora do padrão habitual. Essa análise permite identificar tentativas de fraude mesmo quando as credenciais corretas são utilizadas, oferecendo uma camada adicional de proteção contra acessos indevidos.

Normas e Referências

Normas do Banco Central

Resolução CMN 4.893/2021 – Detecção de atividades anômalas e monitoramento de dispositivos

Resolução BCB 85/2021 – Requisitos mínimos de autenticação multifator e bloqueio preventivo

Normas Internacionais ISO 27001 e 27002

No âmbito internacional, as normas ISO 27001 e ISO 27002 orientam as melhores práticas em gestão de acesso seguro, autenticação de usuários, registro e cancelamento de contas, e revisão periódica dos direitos de acesso, oferecendo um padrão reconhecido globalmente para a proteção de informações e ativos digitais.

Outras Referências

Outras referências relevantes incluem os princípios de segurança para pagamentos digitais do Basileia/BIS, as diretrizes de autenticação e proteção de contas do NIST SP 800-63B, e as práticas de monitoração de dispositivos e registro de eventos críticos do PCI DSS, todas voltadas a reforçar a segurança das transações e prevenir acessos não autorizados.

Medidas que os Bancos Deveriam Implementar

Neste contexto, o fato de um celular ter sido furtado, roubado ou alguém tenha tido acesso físico ao dispositivo, não afasta a responsabilidade bancária em adoção de medidas de segurança para impedir o acesso indevido às contas bancárias do cliente. Dentre as medidas e  boas práticas de segurança, temos:

Quarentena Inteligente

1. Detecção Automática: geolocalização, fingerprinting de dispositivos, análise comportamental
2. Bloqueio Escalonado: 

• 1ª suspeita: bloqueio 24h + SMS
• 2ª suspeita: bloqueio 72h + ligação
• 3ª suspeita: bloqueio total + presencial
• Confirmação Múltipla: token SMS + e-mail, biometria, perguntas de segurança

Tecnologias Disponíveis

Existem, igualmente,  diversas tecnologias disponíveis no mercado para aumentar a segurança de contas bancárias e prevenir fraudes.

O Device Fingerprinting permite identificar dispositivos de forma única e detectar tentativas de mascaramento, garantindo que apenas equipamentos confiáveis tenham acesso.

 A análise comportamental monitora padrões de digitação, tempo de permanência em telas e a sequência habitual de navegação do usuário, ajudando a identificar atividades suspeitas mesmo quando as credenciais corretas são utilizadas.

Além disso, o Geofencing Inteligente detecta mudanças bruscas de localização, identifica o uso de VPN ou Proxy e compara os acessos com os horários e locais habituais do usuário, oferecendo uma camada adicional de proteção.

O Que Você Pode Fazer

Para proteger suas contas bancárias e minimizar riscos de fraude em casos de acesso físico ao dispositivo, é fundamental ativar todas as notificações enviadas pelo banco, utilizar autenticação biométrica sempre que disponível e manter os aplicativos constantemente atualizados. Também é recomendado configurar o bloqueio automático da tela do dispositivo, monitorar extratos diariamente e configurar alertas por SMS ou e-mail para qualquer movimentação suspeita. Importante também não manter o segundo fator de autenticação para reset de senhas no mesmo dispositivo com o aplicativo bancário ou de criptoativos.

Além disso, diversificar bancos e limitar o uso diário das contas ajuda a reduzir prejuízos em caso de acesso não autorizado.

Direitos das Vítimas

Nem sempre os bancos e exchanges implementam as boas práticas descritas acima e cooperam decisivamente para fraudes e acessos indevidos às contas bancárias.

Os clientes contam com mecanismos legais de proteção. Segundo o Código de Defesa do Consumidor (art. 14), os bancos possuem responsabilidade objetiva, ou seja, o cliente não precisa provar culpa, bastando demonstrar o defeito no serviço.

O Marco Civil da Internet (art. 7º, II) assegura o direito à intimidade e sigilo de comunicações, enquanto a LGPD obriga as instituições a protegerem dados pessoais e credenciais de acesso com medidas de segurança proporcionais.

Jurisprudência recente reforça que os bancos devem adotar mecanismos antifraude eficazes para proteger os clientes. Caso um banco permita a habilitação imediata de um dispositivo novo sem quarentena ou análise comportamental, isso configura uma falha grave de segurança, sujeita à responsabilização judicial.

Conclusão

Proteger dispositivos e contas bancárias exige atenção, tecnologia e conhecimento dos próprios direitos. A quarentena de dispositivos e a autenticação multifator são medidas essenciais para reduzir fraudes e prejuízos. Porém, como visto, muitas instituições financeiras falham nestes itens que se ativos, evitariam danos. Fique atento, conheça seus direitos e proteja seus dispositivos.

Vídeo complementar: Como proteger sua conta bancária

 

Livia Bativa, especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados.