O caso recente daquela que já foi considerada por muitos como a mais grave intrusão por parte de um Estado na rede de comunicações nos EUA deve levar a todos à seguinte reflexão: Porque é os nossos Bancos continuam o protocolo SMS (obsoleto e inseguro) para autenticarem os seus clientes?

Em Portugal, utilizar algo diferente de SMS para autenticação em dois factores (2FA) seria um “pesadelo de suporte técnico”. Embora isso se traduza em “risco aos lucros” para os bancos, outros sistemas de 2FA poderiam causar dificuldades no dia a dia, especialmente para pessoas com menor familiaridade tecnológica. Apesar de suas limitações, o SMS como 2FA ainda é a solução mais prática e acessível para o maior dos utilizadores portugueses, especialmente para os de maior idade.

Contudo, há que avaliar se não será mais prudente seguir o exemplo da Índia e elaborar legislação que bloqueia todos os SMS (entrada e saída) por 24 horas quando um número recebe um novo cartão SIM. Essa medida oferece uma camada de proteção adicional contra “roubo de SIM (SIM-jacking)” uma vez que durante esse período, os utilizadores poderão perceber que o telefone está “fora da rede”, dando-lhes tempo para agir caso tenham sido vítimas de fraude. Aparentemente, essa medida reduziu significativamente os casos de SIM-jacking, embora dados definitivos ainda sejam difíceis de obter.

Devido ao crescente número de ameaças cibernéticas, a CpC acredita que os países ocidentais devem adoptar estratégias semelhantes à indiana. Isto pode incluir uma abordagem mais rigorosa, como associar oficialmente todas as actividades online à identidade de uma pessoa por meio de identificadores biométricos, como impressões digitais.

Embora essa ideia pareça “anti-privacidade”, muitos argumentam que pode trazer benefícios significativos na proteção da privacidade e na redução de fraudes online.

Propostas CpC para o Governo Português:
1. Implementar uma lei semelhante à da Índia, que bloqueia mensagens SMS por 24 horas após a substituição de um cartão SIM. Isso daria tempo para os utilizadores identificarem e reagirem a possíveis fraudes de SIM-jacking.
2. Adopção de um sistema de autenticação multifactorial acessível: Promover alternativas ao SMS, como notificações push ou autenticação por aplicações, mas garantindo suporte técnico para pessoas com menos conhecimentos tecnológicos.
3. Criação de uma base central de segurança cibernética vinculando actividades críticas (como operações bancárias) a identificadores seguros, como biometria ou sistemas vinculados à identidade digital, com forte regulamentação sobre o uso ético e seguro dos dados.
4. Campanhas de educação digital informando a população sobre como identificar fraudes relacionadas a SIM-jacking e práticas seguras de uso online.

Alertas CpC para os cidadãos:
1. Proteja o seu número de telefone: não o divulgue sem necessidade.
2. Esteja atento se o telefone ficar “fora da rede” inesperadamente, pois pode ser um sinal de SIM-jacking. Entre em contacto imediatamente com sua operadora.
3. Use autenticação em dois factores sempre que tal lhe for possível: Prioritize métodos mais seguros, como aplicações de autenticação, em vez de SMS, sempre que disponíveis.
4. Evite partilhar informações pessoais em sites na Internet.
5. Nunca divulgue códigos de verificação ou informações confidenciais a terceiros, mesmo que pareçam ser de fontes confiáveis.
5. Actualize as suas passwords e PINs regularmente: Use passwords fortes e únicas nas suas contas, combinadas com 2FA, para reduzir o risco de acesso não autorizado.