Serasa pede senha de banco para pesquisa, e Procon quer saber o motivo

Você forneceria a senha da sua conta do banco para participar de uma pesquisa online? A solicitação desse dado bancário como etapa para participação em estudo da Serasa resultou nesta segunda-feira (1º) em notificação do Procon-SP, que pede esclarecimentos para a empresa.

O órgão vai avaliar se a exigência (e possível uso) da senha do internet banking violou o Código de Defesa do Consumidor e a LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro do ano passado. A notificação do Procon-SP foi feita após contato de Tilt relatando o caso.

Relacionadas

Pelourinho vai ganhar câmeras de reconhecimento facial; isso é bom ou ruim?

Vazamentos: como se proteger e evitar que seus dados sejam usados em golpes

Faça como Nath Finanças! Saiba como identificar golpe do boleto falso

Se constatada alguma irregularidade, a Serasa poderá ser multada em até R$ 10 milhões, explicou o chefe de gabinete do Procon, Guilherme Farid.

"Não se mostra razoável realizar qualquer tipo de pesquisa que exija do consumidor a senha do internet banking. Essa me parece uma ponderação grave do ponto de vista de proteger o consumidor", afirmou Farid. "Senha é pessoal, intransferível, particular. As próprias empresas financeiras cansam de dizer para não passar senhas."

A Serasa tem até 24 horas para se manifestar.

Entenda o caso

A situação veio à tona em 22 de fevereiro, após a diretora de produtos de um e-commerce, Madelaine Silva, 33 anos, expor o pedido da senha do banco nas redes sociais.

"Não basta vazar os dados de geral, eles querem a senha do internet banking", disse no Twitter, fazendo referência ao vazamento de dados de mais de 220 milhões de pessoas — ainda não se sabe a origem do vazamento. A Serasa nega ter sido a fonte dele. As investigações ainda estão sendo feitas.

Silva explica que tem costume de entrar no site da Serasa para monitorar o seu CPF, já que sofreu tentativas de golpes. No caso da pesquisa oferecida pela empresa, ela conta que chegou a digitar os números da agência e da conta, mas, quando se deparou com o pedido seguinte (a senha do internet banking), desistiu de continuar.

"Eu estava no site da Serasa, que era confiável para mim. Digitei sim para o que eles pediram. Quando solicitaram a senha, eu notei que era bem absurdo", ressaltou. Eu até achei que tinha sido fisgada por um site falso."

A Serasa confirmou a Tilt que a pesquisa online realmente solicitava a senha bancária como etapa para participação. Logo, não se tratou de invasão de site, como alguns internautas suspeitaram.

Em nota, enviada na semana passada, a empresa informou que a participação é "opcional" e que o "consumidor fornece apenas a senha do internet banking, que não permite a realização de qualquer transação bancária". A finalidade da coleta dos dados — como a senha bancária — é parte exclusiva de um teste que a Serasa pretende fazer de uma nova "funcionalidade para tornar mais precisa a análise de crédito brasileiro", respondeu a companhia.

Para Farid, a pesquisa revela falta de prudência do bureau de crédito. "Querendo ou não, o nome Serasa traz consigo uma credibilidade que a empresa construiu ao longo dos anos e, com isso, pode levar o consumidor, acreditando na boa-fé da empresa, a preencher esses dados", afirmou o representante do Procon-SP.

A Serasa vai precisar esclarecer ao órgão informações como:

• A finalidade da pesquisa realizada
• Em quais meios ela foi veiculada
• A quem ela foi direcionada
• Quais critérios foram utilizados para definição do público-alvo
• Para quantas pessoas o estudo foi direcionado

Dentro dos aspectos da LGPD, a empresa terá que esclarecer:

• Quais informações foram fornecidas aos participantes antes da realização da pesquisa
• Quais informações foram solicitadas no estudo
• Por quanto tempo elas estiveram disponíveis ao público
• Quantos pessoas forneceram as informações solicitadas
• Quais dados foram obtidos e como foram tratados

Como a pesquisa funcionava

Apesar das explicações do Serasa, desde sexta-feira (26) o estudo se encontra fora do ar.

A opção para a pesquisa online constava na parte da "área do cliente" do site da empresa — espaço fechado que, para ter acesso, é preciso fazer um cadastro prévio. Nessa área é possível ver o score de crédito, se o nome do consumidor está "limpo" (sem nenhuma pendência financeira), verificar a situação do CPF junto à Receita Federal, entre outras funcionalidades.

No meio da página, a frase "contribua com um estudo da Serasa" com a descrição "estamos planejando uma possível nova funcionalidade para tornar mais precisa a análise de crédito brasileiro" aparecia em destaque. Ao clicar em "entenda mais", o consumidor era direcionado para outra página. Ali eram solicitados CPF, agência do banco, conta com dígito e senha do internet banking.

Logo após, a mensagem "A senha fornecida é utilizada apenas para conexão com a conta bancária e leitura dos dados. Não existe qualquer permissão e possibilidade de realizar operações por você e/ou em seu nome" era informada. Na sequência, o cliente precisava confirmar ter lido o termo de consentimento.

No caso da executiva Madelaine Silva, a leitura desse termo não foi feita. Para ela, a confiança que tinha na Serasa foi o principal motivo para isso.

Em todo caso, especialistas em segurança online recomendam sempre que o usuário fique atento aos termos de uso, de privacidade e de consentimento. Assim, eles tomam conhecimento sobre o destino dos dados coletados. Se as empresas não forem claras nessa etapa, elas estarão violando a LGPD.

Tilt procurou novamente a Serasa na sexta passada para esclarecer a retirada do estudo do ar. A assessoria da empresa disse apenas que "o setor responsável deverá entrar em contato" com a reportagem, o que não aconteceu.

A empresa foi procurada novamente nesta segunda para comentar a notificação do Procon-SP, mas ela ainda não se manifestou. O texto será atualizado quando isso ocorrer.