MB Way, “engenharia social” e operações fraudulentas

Doutrina

Por Maria Raquel Guimarães, Professora da Faculdade de Direito da Universidade do Porto

As recentes notícias sobre “burlas informáticas” e “cibercrime”, sobretudo associadas a vendas à distância através de plataformas electrónicas, como a OLX, e à aplicação móvel de pagamento MB Way, têm convocado a atenção dos meios de comunicação e criado grande perturbação entre os consumidores.

O MB Way é um instrumento de pagamento para efeitos do art. 2.º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RSP2) — aprovado pelo Decreto-Lei n.º 91/2018, de 12 de Novembro, que transpôs para o direito nacional a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015, relativa aos serviços de pagamento no mercado interno —, ainda que o seu utilizador possa não ter plena consciência dessa realidade e não adoptar os cuidados de segurança que asseguraria em relação a outros instrumentos de pagamento, materializados, por exemplo, num cartão de plástico, ou mesmo em relação a uma conta de banca electrónica acessível num computador.

A mobilização dos pagamentos implica um aumento dos riscos de fraude comparativamente com os pagamentos electrónicos “tradicionais”, pela utilização de redes wireless públicas, palavras-chave pouco seguras, descarregamento de potencial software “malicioso” (malware) através de aplicações pouco fiáveis, SMS, vídeos e mensagens partilhadas nas redes sociais, que o utilizador levianamente faz conviver com o acesso à sua conta bancária. Por outro lado, a utilização de aplicações desactualizadas ou mesmo que não permitem a realização de actualizações, em virtude da diminuta capacidade de armazenamento dos dispositivos móveis, abre caminho para vulnerabilidades e intromissões não autorizadas nos processos de autenticação e posterior captação de dados.

Nos casos noticiados, independentemente do efectivo preenchimento ou não de tipos criminais associados à utilização da informática, em termos de sofisticação os esquemas perpetrados são de uma simplicidade gritante e pressupõem uma dose considerável de candura ou de desatenção das vítimas. Não implicam qualquer conhecimento informático por parte dos burlões e são levados a cabo, nas modalidades mais reportadas, com recurso a um telefone. Se já sabíamos que em 91% dos casos o cibercrime começa com um email — e não com “ciber ataques” que explorem as fragilidades do sistema informático da vítima — nas hipóteses em causa é utilizado um método de “engenharia social” que procura tirar partido da tendência natural das pessoas para confiar nos outros, da tensão gerada por uma comunicação telefónica e do constrangimento provocado pela iliteracia tecnológica. Utilizando a expressão ancestral amplamente divulgada na língua portuguesa, estamos perante um “conto do vigário”.

Estes métodos de “engenharia social” têm evoluído rapidamente nos últimos tempos, sobretudo aproveitando a situação de confinamento provocada pela crise pandémica e uma maior propensão para “viver online”, tendo sido considerados como uma das mais importantes ameaças à segurança dos pagamentos no ano de 2020 pelo European Payments Council. Podem ser levados a cabo através de qualquer meio de telecomunicação, desde logo pelo telefone, como nos casos em apreço, correio electrónico, SMS ou redes sociais, com vista a obter as credenciais de acesso do utilizador a um serviço de pagamento (phishing) ou o acesso próprio ao serviço. A vítima é aliciada com compras fantasma, investimentos falsos, negócios com lucros fáceis, ou relações românticas. Em consequência, são efectuadas operações de pagamento fraudulentas, autorizadas ou não pela vítima.

Nas operações fraudulentas realizadas com recurso à aplicação de pagamento móvel MB Way estão em causa quer pagamentos autorizados, quer não autorizados, pelo utilizador do serviço móvel.

Esta aplicação móvel, que se anuncia como “o Multibanco no telemóvel”, permite, entre outras operações, “espelhar” um cartão de débito no telemóvel a fim de realizar pagamentos contactless em terminais de pagamento electrónico, transferir e receber fundos para/de outros dispositivos móveis, e gerar códigos — enviados por SMS — que, associados a um número de telefone móvel, permitem o levantamento de numerário directamente em caixas automáticas.

Os esquemas fraudulentos mais frequentes surgem em resposta a um anúncio de venda de um bem em segunda mão numa plataforma electrónica, visando enganar o vendedor (ou é o próprio burlão que se anuncia como vendedor de um bem na plataforma electrónica, visando enganar o comprador). Numa primeira modalidade de fraude, a vítima é instruída através de uma conversa telefónica para instalar a aplicação MB Way no seu telefone com recurso a uma caixa automática ou, sendo já utilizadora, para efectuar ou receber o pagamento devido, consoante o caso. Depois de inserir o seu cartão de débito e o seu código na caixa automática, é-lhe dito para inserir o número de telefone do falso comprador e o PIN indicado por este, recebendo ele no seu telefone o código de acesso à aplicação MB Way. Em alternativa, é inserido o número de telefone do utilizador (que o terceiro conhece porque este lhe foi facultado precisamente para acordarem o pagamento) e o código indicado pelo terceiro, e é pedido ao utilizador o código de verificação recebido por SMS. Em qualquer dos casos, o utilizador está a dar acesso ao terceiro à sua conta bancária, ainda que sem a consciência de o fazer, e não obstante as mensagens que são exibidas em janela durante o processo de adesão no sentido de nunca associar um número de telefone de um terceiro à aplicação e de não facultar o PIN de acesso ao serviço a outras pessoas.

Nestes casos, o risco das operações não autorizadas que venham a ser realizadas pelo terceiro, de levantamento de numerário ou de transferência de fundos, recairá sobre o utilizador que lhe facultou o acesso à sua conta, na medida em que tenha adoptado um comportamento contrário ao expressamente indicado — de forma adequada e eficaz — pelo prestador de serviços e, assim, tenha actuado com negligência grosseira, para os efeitos do art. 115.º, n.º 4, do RSP2.

A montante desta solução está, portanto, o cumprimento por parte do prestador do serviço de pagamento dos seus deveres de informação no sentido de facultar ao seu cliente a descrição das medidas que este deve adoptar para preservar a segurança do seu instrumento de pagamento. A não se considerarem cumpridos estes deveres de informação, e havendo sempre que apreciar a conduta do utilizador atendendo às particularidades do caso concreto, a este utilizador não poderia, em princípio, ser imputado um juízo de censura para além da negligência leve, com as consequências do n.º 1 do art. 115.º, do RSP2: suportar perdas até 50 euros.

O tempo dirá como os nossos julgadores apreciarão estas condutas, nomeadamente tendo em conta aquilo que é o comportamento do “homem médio”, colocado simultaneamente perante um “isco” camuflado por “engenharia social” e os alertas de fraude do prestador do serviço. Para o efeito seria útil conhecer-se os reais números da fraude e proceder-se a um tratamento sistemático da informação a ela relativa.

Uma segunda categoria de operações fraudulentas tem na sua base um esquema ainda mais simples de actuação: no momento de o utilizador receber um pagamento do terceiro via MB Way, para pagamento do preço de um bem vendido na sequência de um anúncio numa plataforma electrónica, é instruído, também telefonicamente, para “enviar dinheiro” ao falso comprador em vez de lhe “pedir dinheiro” (ou para aceitar um pedido de dinheiro em vez de um pagamento). Nestas hipóteses, as operações de pagamento fraudulentas são operações autorizadas pelo utilizador do instrumento de pagamento, realizadas por ele, devidamente autenticado, e através do seu dispositivo móvel. Estas operações fraudulentas não são abrangidas pelo disposto no RSP2 quanto a operações não autorizadas… porque são operações autorizadas. A fraude tem na sua base a iliteracia do utilizador — agravada pela pressão da “engenharia social” de que é vítima —, e terá que ser resolvido com base nas regras gerais do direito civil, nomeadamente do erro-vício, dolo, ou situação de necessidade.

Eventualmente o mercado incentivará o melhor esclarecimento, a maior diligência e literacia, também informática, dos utilizadores, motivado pelo aumento dos números de adesão a estes serviços, anunciados em Dezembro último, no site da aplicação MB Way, como correspondendo a 3 milhões de utilizadores, mas mais recentemente actualizados para 2,5 milhões. Em alternativa, caberá ao legislador acautelar estas operações fraudulentas, assegurando uma maior consciencialização dos consumidores relativamente aos riscos associados à mobilização dos pagamentos.