1. Universidade Técnica de Lisboa
Pós-Graduação em Informações e Segurança
Ano Lectivo 2008/2009
O Banco BPI
na luta contra a Fraude e Contrafacção
de Cartões de Crédito e Débito.
Cadeira: Teoria e Modelos de Ética Policial
Docentes: Prof. Doutor Pedro José Lopes Clemente/Mestre Luís Manuel André
Elias
Discente: Lic. Marco José Valente Mendes
2. Índice
Págs.
1. Introdução …………………………………………………………………………….. 2
2. O Banco BPI …………………………………………………………………………… 3
2.1. Actividade Doméstica ……………………………………………………………. 3
2.2. Actividade Internacional ………………………………………………………… 4
2.3. A DCA Segurança …………………………………………………………………. 4
2.4. Mecanismos de Segurança Implementados ………………………………… 5
3. Tipologia de Fraudes de Cartões de Crédito e de Débito …………………… 7
3.1. Categorias de Fraude de Cartões …………….. ……………………………….. 7
4. Conclusão ……………………………………………………………………………… 8
Bibliografia ………………………………………………………………………………… 9
2
3. 1. Introdução
O presente exercício resulta da interpelação dos responsáveis pela cadeira de
Teoria e Modelos de Ética Policial, leccionada no âmbito da Pós-Graduação em
Informações e Segurança do Instituto Superior de Ciências Sociais e Políticas. A
responsabilidade de direcção da referida cadeira é do Prof. Doutor Pedro José Lopes
Clemente e do Mestre Luís Manuel André Elias.
O Paper que me proponho a compor incidirá sobre uma área cara a Segurança
de Operações de qualquer instituição de Crédito, nomeadamente a monitorização
de transacções monetárias efectuadas pelos cartões de crédito e de débito. Estes
apresentam-se, na actualidade, como os meios preferenciais para movimentação de
valores pelos clientes das entidades bancárias.
O recurso aos “plásticos”, isto de acordo com a linguagem da Banca, veio em
muito facilitar o acesso e o contacto com o dinheiro por parte dos clientes,
dinamizando assim o espectro transaccional outrora muito dependente da
deslocação física dos clientes às sucursais das dependências bancárias. Contudo, e
como aferiremos ao longo deste exercício, a massificação do uso dos convencionais
cartões potenciou, por parte dos “amigos do alheio”, uma panóplia de mecanismos
de apropriação indevida de elementos que propiciam desfalques consideráveis no
património financeiro dos clientes.
A fim de aflorar e explicar o papel da Banca na luta e defesa dos clientes face a
esta ameaça crescente, irei apontar quais os mecanismos que a Instituição que
represento têm vindo a desenvolver para melhor combater esta praga criminosa que
ressalta do crime informático e da falsificação de cartões.
3
4. 2. O Banco BPI
O Grupo BPI – liderado pelo Banco BPI – é um grupo financeiro,
multiespecializado, centrado na actividade bancária, dotado de uma oferta
completa de serviços e produtos financeiros para os Clientes empresariais,
institucionais e particulares.
Gráfico 1 – Estrutura Organizativa do Banco BPI 1
2.1. Actividade doméstica
O banco comercial Banco BPI serve, em Portugal, mais de 1.5 milhões de
Clientes – Particulares, Empresas e Institucionais -, através de uma rede de distribuição
multicanal composta por 700 balcões de retalho, 34 centros de investimento, balcões
especializados em crédito à habitação (20), rede de promotores externos (11 871),
estruturas dedicadas aos segmentos das Empresas (46 centros) e dos Clientes
4
5. Institucionais (6 centros), banca telefónica (BPI Directo) e serviço de homebanking (BPI
Net).
O Banco Português de Investimento, matriz original do Grupo BPI, desenvolve a
actividade de Banca de Investimento – Acções, Corporate Finance e Private Banking -
no âmbito geográfico da Península Ibérica.
Na Gestão de Activos, o BPI detém posições muito relevantes na gestão de
fundos de investimento, fundos de pensões e seguros de vida-capitalização, que
distribui através do Banco BPI e do Banco Português de Investimento.
2.2. Actividade internacional
Em Angola, o BPI é líder na actividade de banca comercial com quotas de
mercado próximas dos 25%, através do Banco de Fomento, que detém a 50.1%. O BFA
servia 553 mil Clientes, em 31 de Dezembro de 2008. 1
2.3. A DCA Segurança
A Direcção de Cartões do Banco BPI (BBPI doravante), está inserida na
arquitectura acima exposta, sendo da responsabilidade da área de segurança os
itens a seguir expostos:
1. Análise e decisão e tratamento de reclamações de transacções de clientes e
eventual regularização (redes multibanco, Visa e MasterCard);
2. Prevenção de Fraude: análise de movimentos que indiciem possível fraude;
3. Análise e decisão de tratamento das situações de fraude reportadas e eventual
regularização nas contas dos clientes dos processos de utilização fraudulenta;
4. Controlo mensal dos valores posicionados em contas em trânsito a aguardar
resolução de processos de fraude e reclamações;
5. Participação a Entidades Policiais/Judiciárias de situações no âmbito de fraude
com cartões e colaboração com as mesmas no sentido de prestar as
declarações/esclarecimentos necessários.
Expostas as competências da área de segurança de operações será pertinente
elencar as medidas preventivas levadas a cabo pelo BBPI no combate à
contrafacção e utilização fraudulenta de cartões de débito e de crédito.
1
Cfr. http://www.bancobpi.pt/pagina.asp?s=1&a=5&opt=a, (16.06.2009, 18:47)
5
6. 2.4. Mecanismos de Segurança Implementados
Em primeiro lugar, os cartões emitidos pela Sociedade Interbancária de Serviços2
,
para o BBPI, apresentam mecanismos que lhe são intrínsecos e pensados para frear o
uso danoso dos cartões de crédito e de débito. Os mecanismos em questão são os
que passo a apontar:
1. Limite de Actividade Diário (LAD): Esta característica define um limite de
movimentação adstrito ao cartão de crédito e de débito. Tem como fito limitar
montantes a transaccionar com o referido cartão associado à conta à ordem do
cliente ou, no caso de cartão de crédito, o limite a movimentar na conta-cartão;
2. Saldo da Pista 3: Este mecanismo implementado pela SIBS em colaboração com as
demais entidades bancárias permite, em períodos em que não há comunicação
directa entre o Banco e a SIBS, limitar os montantes passíveis de serem
transaccionados em período nocturno. O período nocturno, denominado na gíria
da banca por off-line é susceptível de ser aproveitado para o levantamento de
montantes não presentes na conta dos clientes. A titulo de exemplo: cliente é
assaltado e é forçado a levantar montantes em caixas multibanco, se o cartão do
cliente tiver a Pista 3 carregada a 0 não haverá possibilidade de levantamento, o
mesmo acontece em situação de roubo directo de cartão e seu código pin.
3. Chip EMV: Chip presente em todos os cartões do Banco. O referido elemento
electrónico ao qual se associa um tipo de um microprocessador, semelhança de
um pequeno computador. O microprocessador do chip contém informação
necessária para usar o cartão como meio de pagamento. Os cartões com chip são
a alternativa mais segura à banda magnética.
4. O MBNET é um serviço inovador, disponibilizado pelo sistema bancário nacional,
para realização de compras na Internet.
Através do MBNet o seu banco permite-lhe comprar em segurança com o seu
cartão (débito ou crédito) em qualquer comerciante.
Para efectuar compras na Internet de forma simples e com segurança (sem
disponibilizar ao comerciante os dados do cartão).3
5. PAYWATCH 4
– Serviços Integrados de Segurança em Pagamentos, plataforma
desenvolvida pela SIBS e actua em consonância com o BBPI no acompanhamento
e detecção de Fraude por monitorização da utilização de cartões (on-us e not-on-
2
Cfr.SIBS – Forward Payment Solutions -SIBS CARTÕES, SIBS PROCESSOS e PAYWATCH
complementam a oferta na área de sistemas de pagamento fornecendo a personalização de cartões,
soluções de suporte de back-office e de prevenção de fraude.
3
Cfr. https://www.mbnet.pt/oquee.html, (16.05.2009, 20:37)
4
Cfr. http://www.sibs.pt/pt/sibs/prodserv/seguranca/paywatch/index.html ,(16.05.2009, 20:45)
6
7. us em terminais da Rede MB; on-us em terminais de outras Redes); A possibilidade
de detecção da origem de fraude; O update contínuo de serviços no âmbito de
prevenção, detecção e investigação de fraude.
Este quarto ponto, resultado de uma vasta coordenação entre SIBS e o BBPI,
revela-se como uma das armas mais eficazes de prevenção e combate à fraude de
origem informática e, também, ao crime mais usual de furto e contrafacção de
cartões.
Os alertas Paywatch5
são geridos e despoletados por esta entidade, resultando
do acompanhamento diário das transacções efectuados pelos clientes do Banco,
dão azo a medidas preventivas para evitar maiores perdas patrimoniais aos clientes.
Assim, despoletado o alerta, opera-se segunda a mecânica que passo a enunciar:
1. Operador Paywatch estabelece contacto com a área de Banca Telefónica do
BBPI, indicando o n.º de cartão alvo de suspeita de uso indevido, tendo de
antemão já procedido à inserção do cartão em Lista Cinzenta6
;
2. Regista-se Processo de Alerta Paywatch e contacta-se cliente para aferir se
reconhece as transacções;
3. Em caso de não reconhecimento dos movimentos despoleta-se Processo de
Fraude e solicita-se ao Cliente que se desloque às Autoridades Judiciais
comunicando o referido, por modo a obter uma participação;
4. Por último, o cliente dirige-se a um Balcão da Rede Comercial do BBPI
preenchendo uma reclamação de transacção, sendo esta enviada para a DCA
Segurança.
Verificadas as quatro etapas acima referidas caberá ao Banco BPI, de acordo
com os prazos legalmente estipulados (30 dias úteis), dar resposta à situação exposta
pelo cliente. A resposta resultará do esforço conjunto das diligências tomadas pela
DCA Segurança e SIBS no caso de transacções ocorridas em Portugal. Junto da Visa
Internacional e da Rede Mastercard em caso de transacções despoletadas fora do
território Português.
3. Tipologia de Fraudes de Cartões de Crédito e de Débito
5
Cfr. http://www.sibs.pt/pt/sibs/prodserv/seguranca/paywatch/, (169.06.2009, 21:15). A PAYWATCH,
criada em 2009, centra a sua actividade nos sistemas de prevenção e detecção de fraude com cartões
bancários, suportados pela aplicação SIDEF (Sistema Interbancário de Detecção de Fraude), baseando-se
num exaustivo conjunto de regras e parâmetros para geração de alertas em caso de fraude.
6
Suspensão temporária do Cartão de Débito/Crédito. Com este mecanismo o cartão contrafeito ou usado
indevidamente (fraude cibernética)
7
8. 3.1. Categorias de Fraude de Cartões
A VISA e a MASTERCARD são os principais alvos dos esquemas de fraude
cibernética ou manual (contrafacção), fenómeno que será considerado como normal
dado que são estes os maiores fornecedores de operações bancárias a nível global.
O uso criminoso de cartões de crédito pode ser dividido nas seguintes
categorias:
1. Cartões contrafeitos/clonados: Representa uma das maiores categorias de fraude.
Os criminosos socorrem-se de tecnologia que lhes permite copiar/clonar os dados
inscritos na Banda Magnética, fazendo cópias dos cartões.
2 Cartões perdidos ou roubados ao seu detentor: Os cartões perdidos normalmente
são de difícil uso, contudo a mera inserção, no caso do cartão de crédito, do
número que lhe está associado seguido do CVV2 (código de segurança) basta
para o larápio conseguir fazer compras em catadupa na Web.
3 Fraude cometida sem o uso do cartão físico (no card fraud). Decorre muitas das
vezes do uso em sites pouco fidedignos onde é solicitada a inserção manual de
dados do cartão. Após esta fase tudo esta na mão do burlão e a vítima vê as suas
contas varridas mal se dando conta.
4 Fraudes cometidas em cartões que não chegam ao real detentor por
apropriação indevida de correio, normalmente o burlão consegue capturar o
cartão e o respectivo PIN.
As transacções efectuadas com cartões de crédito assumem cada vez mais
popularidade, mormente com a introdução de ferramentas como as compras online e
os serviços bancários online (homebanking). Á semelhança do aumento do espectro
de utilização, também os esquemas de fraude registaram um boom graças à
introdução de novas tecnologias desenvolvidas para esses fins. Tecnologia que passa
por descodificadores modernos, técnicas de contrafacção que contemplam o copiar
do CHIP EMV e as Bandas Magnéticas, entre outros.
Esta dialéctica é fruto do mundo globalizado e altamente tecnológico onde
actualmente vivemos, acabando por, a cada passo que a indústria da banca dá
para assegurar o património dos seus aforradores, mais depressa os ardilosos ladrões
cerceiam os freios levantados pela tecnologia ao dispor da Banca.
8
9. 4. Conclusão
Concluído o exercício a que me sugeri ficam presentes os mecanismos a que o
BBPI recorre para garantir aos seus clientes maior segurança nas transacções
financeiras. Fica também presente que cartões de débito e de crédito constituem,
actualmente, as ferramentas preferenciais dos clientes para movimentar os seus
recursos financeiros, tendo ao seu dispor uma panóplia de operações na Rede
Multibanco, nomeadamente: levantamentos, depósitos, pagamentos de serviços,
transferências internas e internacionais, reservas de voos no caso dos cartões de
crédito. Estas alternativas assumem agora ainda maior maleabilidade com o
transplantar desta operacionalidade das ATM para os Serviços de Homebanking (BPI
directo), onde a internet substitui o convencional Balcão/Caixa Multibanco.
É possível ao dia de hoje proceder a ordens em bolsa, vendas de activos
financeiros e outros mais, tudo isto com um mero clique do rato. Contudo a estas
facilidades estão adstritas várias adversidades, ou seja, a facilidade que a
multiplicação dos meios de pagamento trouxeram aliados perversos como os
alienados crackers, schemers, internautas que penetram nas sofisticadas firewalls e
anti-vírus ao dispor do cliente, que muitas das vezes se vêem vítimas de complexos
esquemas fraudulentos.
É nesta fase que o Banco e as autoridades judiciais entram na equação
tentando, por antecipação, alertar e divulgar mecanismos de protecção para que os
clientes consigam contornar, prever e denunciar eventuais esquemas fraudulentos.
Para esse fim o Banco BPI tem disponível para os seus clientes 24 horas por dia 365 dias
por ano, no caso do Homebanking BPI Directo a linha BPI directo Segurança, a Linha
de Cartões onde é feita a filtragem de eventuais fraudes a reportar à já referida DCA
Segurança e, em complementaridade, a SIBS com os seus alertas Paywatch que
funcionam como guardiões na demanda da defesa dos interesses dos Clientes.
9