Esta sexta-feira, dia 24 de janeiro, a CNN Portugal avançou que foram alterados milhares de IBANs, através do site da Segurança Social Direta (SSD). A mesma fonte refere que houve “desvio para falsas contas de dezenas de milhares de euros”.
A CNN adianta que pelo menos 6.000 pessoas tiveram o seu número de IBAN alterado, no entanto nem todas se aperceberam do sucedido. É possível que o número de afetados seja superior aos 6.000 referidos anteriormente, sendo que a Polícia Judiciária (PJ) já está a investigar o assunto.
Como surgiu o alerta?
A CNN explica que o alerta foi dado pelo próprio sistema da SS. Afinal, de 4 em 4 minutos, eram registados pedidos de alteração de IBAN. Em pouco tempo, foi possível conferir que o pedido não foi feito pelos utilizadores, mas sim por bots.
Por esse motivo, a funcionalidade em questão esteve suspensa no site, durante algum tempo. Ao que tudo indica, esta apropriação indevida do site da Segurança Social aconteceu em setembro. Tudo faz supor que o acesso foi estabelecido a partir de uma VPN localizada nos Estados Unidos. Contudo, o mesmo meio noticioso alerta para a possibilidade de se tratar de um despiste intencional.
Foi também colocada a possibilidade de terem acontecido burlas simples ou ataques de phishing, em que os utilizadores entregam dados pessoais, sem saber que estes se destinam a fins maliciosos. A investigação da CNN permitiu concluir também que alguns dados extraídos da Segurança Social estão à venda na darkweb, onde são alojadas atividades ilegais.
O que diz a Segurança Social sobre o tema?
Em relação ao problema, o Instituto da Segurança Social (ISS) confirmou, anteriormente, que vários utilizadores alertaram para o problema. "O volume de queixas referentes à alteração de IBAN's na Segurança Social Direta, sem intervenção dos beneficiários, intensificou-se, sendo o número de situações reportadas de cerca de 90” - disse fonte da ISS.
Foi ainda acrescentado que “o valor envolvido nestas situações reportadas estima-se ser de 60 mil euros". Estas declarações foram feitas pelo ISS, em outubro de 2024, à CNN.
Face ao problema, o ISS referiu, na altura, estar “a desenvolver soluções que permitam reforçar a segurança no processo de inserção ou alteração de IBAN de forma a garantir a vinculação correta entre o titular da conta e os dados inseridos".
Após a publicação da notícia da CNN, o Ministério do Trabalho e da Segurança Social (MTSS) informou o meio noticioso em questão que as novas medidas de segurança tinham sido aplicadas. Conforme escrito no e-mail, passou-se a "obrigar a entrega de documento comprovativo de titularidade da conta aquando do pedido de alteração de IBAN por parte de cidadãos e empresas, sendo que qualquer alteração só se efetiva com a verificação/confirmação por parte dos serviços da Segurança Social".
Qualquer alteração é comunicada aos cidadãos e empresas, "por SMS e para a Caixa Postal Eletrónica da Segurança Social, de todas as alterações dos respetivos IBANs registadas no sistema da Segurança Social" - acrescenta o MTSS.
