Os ataques cibernéticos estão cada vez mais sofisticados, em constante evolução e caberá a cada um de nós estar cada vez mais alerta para este tema.
No momento em que entrou em vigor a Directiva de Serviços de Pagamento 2 -DSP2 – (transposta para o ordenamento jurídico nacional através do Decreto-Lei n.º 91/2018, de 12 de novembro) pensava-se que este tipo de crime iria abrandar, especialmente em função da implementação da autenticação forte (que inclui um elemento que associe de forma dinâmica a operação em causa a um montante e beneficiário específico, tal como um código gerado e enviado para o telemóvel do cliente).
No entanto, e de acordo com o recentemente divulgado Relatório do Observatório de Cibersegurança, foi apurado que os Crimes no ciberespaço português aumentaram em 2023, o que confirma uma tendência dos anos anteriores e que não deverá deixar ninguém indiferente.
Este relatório indica que as autoridades registaram, só no ano de 2023, 2512 crimes informáticos, enquadrados pela Lei do Cibercrime, ou seja, mais 13% do que em 2022; particularmente relevante será o facto de nem todas as vítimas apresentarem junto das autoridades, pelo que este número, ainda que elevado, estará certamente muito aquém da realidade.
Entre os tipos de ataques, destacam-se Phishing, o Smishing e o Vishing, sendo que, mais recentemente, foi introduzido pelos agentes do crime uma modalidade denominada de Spoofing; esta consiste numa espécie de “camuflagem” no contacto que é efectuado, na medida em que o número do Banco/Empresa surge efectivamente no ecrã do telemóvel da vítima, como se de um contacto legitimo se tratasse.
Em todo o caso, a técnica pode ser mais, ou menos, sofisticada; mas o objectivo será sempre o mesmo: o de se obter dados pessoais e intransmissíveis dos clientes, seja o seu nome de utilizador ou password, seja códigos recebidos via SMS para a autenticação de operações ou vinculação de dispositivos.
Contudo, a fórmula para combater este flagelo é sempre a mesma: nunca carregar em links de SMS ou e-mails; nunca divulgar os seus dados pessoais ou códigos de acesso, seja por telefone com um suposto operador, seja por SMS ou e-mail.
É neste sentido que os bancos, entidades públicas e privadas, bem como forças de segurança estão constantemente a lançar alertas, nomeadamente através de notícias, avisos nos extratos bancários, SMS e nos seus websites.
De igual modo, temos vindo a assistir a uma especialização para combater este tipo de crime, quer dos órgãos de investigação criminal, quer do próprio Ministério Público, o qual através do seu Gabinete de Cibercrime tem – em colaboração com as mais diversas entidades – emitido vários Relatórios e Notas Práticas sobre esta matéria.
Por outro lado, e do ponto de vista legislativo, está em curso a elaboração da DSP3, sendo versões finalizadas poderão estar acessíveis no final de 2024 (nota: os Estados-Membros beneficiam normalmente de um período de transição de 18 meses, o que sugere que a DSP3 e a PSR poderão entrar em vigor por volta de 2026).
Segundo o que se sabe até ao momento, a DSP3 estabelece regulamentos mais alargados em matéria de Autenticação Forte do Cliente (SCA) e regras mais rigorosas sobre o acesso aos sistemas de pagamento e às informações sobre as contas, em comparação com a DSP2, numa perspectiva de aumentar a protecção que é conferida aos utilizadores.
Contudo, ter-se-á de encontrar um equilíbrio entre aquilo que é a responsabilidade do Cliente e as obrigações do Prestador de Serviços, sob pena de estarmos a potenciar situações de risco moral.
Acreditamos que os serviços e plataformas digitais vieram para ficar, mas tal apenas funcionará se cada um de nós zelar pela segurança dos seus dados, alertando e sensibilizando os mais próximos para se evitar mais casos de Phishing; como em tantos outros assuntos, “knowledge is power”, ou seja, conhecimento é poder!
O autor escreve de acordo com a antiga ortografia.
