Segurança: Itaú aprimora a segurança do token por SMS

O Itaú reforçou a segurança da sua solução de token por SMS, utilizada para a validação de operações bancárias. O banco passará a ser avisado sempre que um dos seus clientes ativar um novo SIMcard com seu número telefônico. Munido dessa informação, poderá exigir algumas medidas adicionais para a identificação do usuário quando este tentar realizar uma transação financeira a partir do novo SIMcard. O obejtivo da medida é evitar a chamada fraude de subscrição.

A primeira operadora a aderir à novidade é a Vivo, mas há negociações em curso com todas as outras teles. Os correntistas do Itáu e do Itaú Personnalité que são assinantes da Vivo receberam na semana passada um SMS com a seguinte mensagem: “Itaú: sua operadora de celular enviará um SMS oferecendo um serviço gratuito que deixará seu iToken por SMS ainda mais seguro. Aguarde.” No dia seguinte, os usuários receberam uma mensagem em pop-up na sua tela (mensagem SAT push, disparada pela operadora) com o seguinte texto: “Você autoriza que a Vivo compartilhe com o Itaú os dados de ativação de chip em seu número para maior segurança no uso do iToken por SMS? Confirme para autorizar”. O pedido de autorização é necessário para fins jurídicos, afinal, a Vivo vai transmitir uma informação do seu assinante para outra empresa, no caso, o Itaú.

A expectativa de fontes do mercado é de que todas as operadoras colaborem com a iniciativa do Itaú e que o mesmo caminho seja feito por outros bancos ou instituições financeiras que usam o SMS como fator de autenticação. Vale lembrar que para as teles se trata de um novo serviço B2B, consistindo em mais uma fonte de receita.

Procurado por Mobile Time, o Itaú enviou o seguinte comunicado sobre o projeto: “A conveniência digital é parte fundamental da experiência que o Itaú oferece a seus clientes. Para isso, o banco utiliza diversos algoritmos analíticos a fim de garantir a segurança das transações de seus clientes em Internet e mobile. Para sofisticar ainda mais esses algoritmos, o banco enriquece constantemente suas bases de dados – sempre em absoluto respeito às políticas de privacidade. Em uma dessas iniciativas, o Itaú, em colaboração com as operadoras, está solicitando a autorização dos clientes para ler e incorporar a ativação de novos chips a seus modelos de monitoramento.  Com isso, esperamos oferecer uma experiência ainda mais robusta e conveniente para clientes transacionando em nossos canais digitais através do token sms.”

A primeira mensagem do Itaú, enviada dia 21 de setembro

 

O pedido de autorização enviado pela Vivo via SAT push, dia 22 de setembro

Análise

A solução adotada pelo Itaú é inédita no mundo e chega em um momento importante para a indústria de mensageria, quando sua segurança estava sendo questionada – vide relatório do Instituto Nacional de Padronizações e Tecnologia (NIST, na sigla em inglês), dos EUA, publicado em julho passado, no qual se recomenda que o SMS deixe de ser usado para a autenticação de um segundo dispositivo, por causa do risco de interceptação ou redirecionamento da mensagem. No mesmo relatório, a entidade sugere que uma mudança de número móvel não deveria ser feita sem uma autenticação de dois fatores no momento do cadastro.

Com a iniciativa do Itaú e da Vivo, o Brasil dá um passo à frente para garantir a segurança do SMS como fator de autenticação para transações financeiras, justamente aquelas que requerem maior controle e confiabilidade dos canais.

Vale lembrar que o SMS é fartamente utilizado por empresas para a comunicação com seus consumidores em razão do seu caráter universal: são mensagens que podem ser lidas em qualquer telefone celular, independentemente da sua tecnologia ou da sua operadora, seja um smartphone ou feature phone.

De acordo com a mais recente pesquisa Panorama Mobile Time/Opinion Box – Mensageria no Brasil, realizada em julho, 84,6% dos brasileiros que acessam a Internet e possuem celular declaram assinar algum serviço de recebimento automático de mensagens de texto. E o serviço mais comum é o de alertas financeiros de bancos ou cartões de crédito, citado por 52,2% desse grupo. Ainda de acordo com a pesquisa, 61% dos brasileiros dizem que recebem mais SMS de empresas do que de pessoas – na edição anterior, de janeiro deste ano, eram 57%, o que mostra que o uso do SMS para comunicação A2P está aumentando. O relatório integral da pesquisa pode ser adquirido no site www.pesquisasmobiletime.com.br

Segurança: Itaú aprimora a segurança do token por SMS