IPCA
0,83 Mar.2024
Topo

App Caixa Tem facilita roubo do FGTS por golpistas? Especialistas divergem

Adriana Toffetti/A7 Press/Estadão Conteúdo
Imagem: Adriana Toffetti/A7 Press/Estadão Conteúdo

Ricardo Marchesan

Do UOL, em São Paulo

11/11/2020 04h00Atualizada em 11/11/2020 10h59

Nos últimos meses, trabalhadores relatam que tiveram os R$ 1.045 do FGTS emergencial roubados por meio do Caixa Tem, aplicativo oficial do banco usado para movimentar os valores. Segundo as pessoas lesadas, os golpistas fazem o cadastro no app antes dos verdadeiros donos e usam o dinheiro.

Uma das reclamações das pessoas roubadas é que o cadastro no aplicativo exige dados simples para identificar os trabalhadores —nome, data de nascimento, CEP e CPF - que muitas vezes são de fácil acesso por outras pessoas. Com posse desses dados, os fraudadores então utilizam um email falso para completar o cadastro e, assim, roubar o dinheiro.

A Caixa não informa quantas pessoas entraram com queixa apontando possíveis fraudes em suas contas.

O UOL consultou especialistas em segurança da informação para saber se há falha e o que o trabalhador pode fazer para se proteger.

Especialista em segurança teve FGTS roubado

Thomas Ranzi é especialista em segurança da informação, mas isso não o impediu de ser vítima do golpe. Ele conta que, quando foi fazer o cadastro para receber o dinheiro no aplicativo, os golpistas já tinham acessado em seu nome e feito um pagamento no valor de R$ 999.

Para Ranzi, há duas falhas no sistema elaborado pela Caixa para fazer o pagamento.

O primeiro é que o dinheiro fica disponível no Caixa Tem automaticamente para todos os trabalhadores com direito ao saque, mesmo para quem não fez a solicitação. Desta forma, segundo ele alerta, mesmo pessoas que não sabem sobre a possibilidade de saque ou não querem pegar o dinheiro ficam expostas.

Diferentemente do auxílio emergencial, não há um pedido para depois haver uma liberação (dos R$ 1.045 do FGTS). Houve uma liberação sem questionamento, compulsória, digamos assim. Tenho certeza de que há muita gente que nem sabe que foi roubada.
Thomas Ranzi

A outra fragilidade apontada por Ranzi é a exigência de poucos dados de comprovação de identidade.

"Algum dado do FGTS (poderia ser exigido), número do PIS, número da carteira (de trabalho). A Caixa tem infinitas possibilidades de validar um usuário", afirma. O especialista em segurança da informação lembra que houve uma leva de saques do FGTS no ano passado, e que os dados usados na época poderiam ser exigidos agora para identificar os trabalhadores.

Fragilidade não está no app, diz especialista

Emilio Simoni, diretor do laboratório de segurança digital da empresa PSafe, diz que a exigência de mais requisitos de segurança poderia prejudicar o uso do aplicativo, que é acessado por milhões de pessoas beneficiadas não só pelo saque do FGTS, mas pelo auxílio emergencial também.

Como um público tão amplo inclui pessoas com pouca intimidade com sistemas digitais e aplicativos bancários, exigir muitas etapas de segurança e verificação poderia restringir o acesso delas ao dinheiro.

"Pensando só em segurança, posso falar que tem que ter reconhecimento facial, autenticação de dois fatores, biometria, senha, token. Mas aí você pensa que as pessoas que acessam esse tipo de serviço são de baixa renda, então elas não têm um celular com biometria, às vezes a câmera não tem qualidade o suficiente para fazer reconhecimento facial", afirma.

Esse é o desafio que os bancos enfrentam hoje. Se falar só de segurança, há vários mecanismos que podem ser implementados a mais. Mas se pensarmos em usabilidade, em quem está acessando aquele sistema, começa a ficar um pouco difícil. Aumenta a segurança, mas diminui a usabilidade e a acessibilidade. Então é uma equação complicada
Emilio Simoni

Para Simoni, a maior fragilidade não está no sistema de cadastro do aplicativo, mas na facilidade com que fraudadores conseguem acessar dados pessoais dos trabalhadores.

"Os aplicativos bancários são seguros, mas o fraudador vai sempre pegar os dados suficientes para fazer a fraude, porque ele fica ali tentando o dia inteiro. E a partir do momento que ele consegue se passar pela vítima e acessar o sistema, ele vai vender essa informação", afirma.

O grande problema dessa questão é a facilidade com que os fraudadores têm acesso a esses dados, seja via phishing ou via dados vazados. É que o brasileiro hoje não se importa muito em compartilhar esse tipo de informação
Emilio Simoni

Caixa diz que sistema foi melhor opção na pandemia

Por meio de nota, a Caixa disse que o pagamento do saque emergencial do FGTS, assim como o do auxílio emergencial, é feito exclusivamente por meio do crédito na poupança social digital, aberta automaticamente para todos os beneficiários. Os valores na conta devem ser movimentados por meio do app Caixa Tem.

A Caixa afirma que esse sistema foi a "melhor opção de atendimento para esse momento de pandemia, considerando a necessidade de atender o elevado volume de mais de 121 milhões de pessoas que receberam benefícios sociais por meio da Caixa, evitando aglomerações".

O banco afirmou que "a escolha dos procedimentos adotados para cadastro e pagamentos segue as orientações dos Ministérios gestores dos programas e dos órgãos de controle e de segurança".

Diz também que "utiliza, ainda, diversos mecanismos de segurança, complementares entre si, inclusive com apresentação e validação documental, para garantir um alto nível de segurança para o pagamento dos benefícios".

O que fazer?

Para se proteger do roubo do FGTS, a primeira medida apontada pelos especialistas é se cadastrar no aplicativo Caixa Tem, mesmo que não deseje fazer o saque. Nesse caso, o trabalhador pode indicar que quer manter o dinheiro na conta, para que ele retorne ao fundo de garantia.

Caso já tenha sido roubado, o trabalhador pode entrar com um pedido de contestação diretamente em uma agência da Caixa, segundo o banco. Se o pedido for negado, é possível solicitar reanálise da contestação, também em qualquer agência.

Em nota, a Caixa disse que todas as contestações de pagamento são "analisadas com base em critérios técnicos de segurança. Os resultados são repassados diretamente aos interessados, porém o detalhamento de cada caso é informado exclusivamente à Polícia Federal para análise e investigação".

O banco ainda disponibiliza uma página com outras dicas de segurança para evitar fraudes.

Cuidado com o CPF

Outra recomendação, que vale para se proteger de diversos tipos de golpe, é tomar muito cuidado com quem compartilha seus dados pessoais, inclusive o CPF.

"Se eu compro uma mercadoria, é claro que eu preciso dar meu CPF para emissão de nota fiscal. Se eu quero abrir uma conta em banco, também é claro que preciso dar meu CPF. Mas não é o caso de eu sair dando meu CPF em qualquer promoção, em qualquer link que me exibam", afirma o advogado Luis Fernando Prado, especializado em direito digital.

Ele afirma que, em casos em que o roubo foi provocado por uma falha no sistema, é dever do banco ressarcir a vítima. Mas, se o roubo foi feito porque o golpista teve acesso a um dado pessoal que a vítima compartilhou por descuido, a devolução não acontece.