Serasa pede senha de banco para pesquisa, e Procon quer saber o motivo
Você forneceria a senha da sua conta do banco para participar de uma pesquisa online? A solicitação desse dado bancário como etapa para participação em estudo da Serasa resultou nesta segunda-feira (1º) em notificação do Procon-SP, que pede esclarecimentos para a empresa.
O órgão vai avaliar se a exigência (e possível uso) da senha do internet banking violou o Código de Defesa do Consumidor e a LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro do ano passado. A notificação do Procon-SP foi feita após contato de Tilt relatando o caso.
Se constatada alguma irregularidade, a Serasa poderá ser multada em até R$ 10 milhões, explicou o chefe de gabinete do Procon, Guilherme Farid.
"Não se mostra razoável realizar qualquer tipo de pesquisa que exija do consumidor a senha do internet banking. Essa me parece uma ponderação grave do ponto de vista de proteger o consumidor", afirmou Farid. "Senha é pessoal, intransferível, particular. As próprias empresas financeiras cansam de dizer para não passar senhas."
A Serasa tem até 24 horas para se manifestar.
Entenda o caso
A situação veio à tona em 22 de fevereiro, após a diretora de produtos de um e-commerce, Madelaine Silva, 33 anos, expor o pedido da senha do banco nas redes sociais.
"Não basta vazar os dados de geral, eles querem a senha do internet banking", disse no Twitter, fazendo referência ao vazamento de dados de mais de 220 milhões de pessoas — ainda não se sabe a origem do vazamento. A Serasa nega ter sido a fonte dele. As investigações ainda estão sendo feitas.
Silva explica que tem costume de entrar no site da Serasa para monitorar o seu CPF, já que sofreu tentativas de golpes. No caso da pesquisa oferecida pela empresa, ela conta que chegou a digitar os números da agência e da conta, mas, quando se deparou com o pedido seguinte (a senha do internet banking), desistiu de continuar.
"Eu estava no site da Serasa, que era confiável para mim. Digitei sim para o que eles pediram. Quando solicitaram a senha, eu notei que era bem absurdo", ressaltou. Eu até achei que tinha sido fisgada por um site falso."
A Serasa confirmou a Tilt que a pesquisa online realmente solicitava a senha bancária como etapa para participação. Logo, não se tratou de invasão de site, como alguns internautas suspeitaram.
Em nota, enviada na semana passada, a empresa informou que a participação é "opcional" e que o "consumidor fornece apenas a senha do internet banking, que não permite a realização de qualquer transação bancária". A finalidade da coleta dos dados — como a senha bancária — é parte exclusiva de um teste que a Serasa pretende fazer de uma nova "funcionalidade para tornar mais precisa a análise de crédito brasileiro", respondeu a companhia.
Para Farid, a pesquisa revela falta de prudência do bureau de crédito. "Querendo ou não, o nome Serasa traz consigo uma credibilidade que a empresa construiu ao longo dos anos e, com isso, pode levar o consumidor, acreditando na boa-fé da empresa, a preencher esses dados", afirmou o representante do Procon-SP.
A Serasa vai precisar esclarecer ao órgão informações como:
- A finalidade da pesquisa realizada
- Em quais meios ela foi veiculada
- A quem ela foi direcionada
- Quais critérios foram utilizados para definição do público-alvo
- Para quantas pessoas o estudo foi direcionado
Dentro dos aspectos da LGPD, a empresa terá que esclarecer:
- Quais informações foram fornecidas aos participantes antes da realização da pesquisa
- Quais informações foram solicitadas no estudo
- Por quanto tempo elas estiveram disponíveis ao público
- Quantos pessoas forneceram as informações solicitadas
- Quais dados foram obtidos e como foram tratados
Como a pesquisa funcionava
Apesar das explicações do Serasa, desde sexta-feira (26) o estudo se encontra fora do ar.
A opção para a pesquisa online constava na parte da "área do cliente" do site da empresa — espaço fechado que, para ter acesso, é preciso fazer um cadastro prévio. Nessa área é possível ver o score de crédito, se o nome do consumidor está "limpo" (sem nenhuma pendência financeira), verificar a situação do CPF junto à Receita Federal, entre outras funcionalidades.
No meio da página, a frase "contribua com um estudo da Serasa" com a descrição "estamos planejando uma possível nova funcionalidade para tornar mais precisa a análise de crédito brasileiro" aparecia em destaque. Ao clicar em "entenda mais", o consumidor era direcionado para outra página. Ali eram solicitados CPF, agência do banco, conta com dígito e senha do internet banking.
Logo após, a mensagem "A senha fornecida é utilizada apenas para conexão com a conta bancária e leitura dos dados. Não existe qualquer permissão e possibilidade de realizar operações por você e/ou em seu nome" era informada. Na sequência, o cliente precisava confirmar ter lido o termo de consentimento.
No caso da executiva Madelaine Silva, a leitura desse termo não foi feita. Para ela, a confiança que tinha na Serasa foi o principal motivo para isso.
Em todo caso, especialistas em segurança online recomendam sempre que o usuário fique atento aos termos de uso, de privacidade e de consentimento. Assim, eles tomam conhecimento sobre o destino dos dados coletados. Se as empresas não forem claras nessa etapa, elas estarão violando a LGPD.
Tilt procurou novamente a Serasa na sexta passada para esclarecer a retirada do estudo do ar. A assessoria da empresa disse apenas que "o setor responsável deverá entrar em contato" com a reportagem, o que não aconteceu.
A empresa foi procurada novamente nesta segunda para comentar a notificação do Procon-SP, mas ela ainda não se manifestou. O texto será atualizado quando isso ocorrer.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.