Fraude com cartão atravessa fronteiras

Para driblar uso do chip, gangues clonam tarja e fazem compras em outros países


"Vendemos coletores de dados (chupa-cabra), cartões de crédito e débito com limites entre R$ 1,5 mil e R$ 20 mil, trilhas de dados, gravadores, cartões virgens, impressoras… tudo para você entrar no ramo! Promoção só nesta semana: kit coletor + gravador + 100 cartões virgens só R$ 2 mil. Todos os equipamentos acompanham CD de instalação, manual em português, vídeo aula e dicas e truques para você trabalhar com segurança, sem correr riscos." O anúncio, copiado de uma página da internet, revela que ao mesmo tempo em que emissores, adquirentes e bandeiras investem anualmente bilhões de reais em prevenção, há uma indústria da fraude que prospera.

Nem mesmo a tecnologia do chip, que avança a passadas largas no Brasil, é capaz de coibir completamente o roubo de dados e o uso indevido, uma vez que os plásticos emitidos no país também contam com tarja magnética. No caso dos cartões de crédito internacionais, o que tem ocorrido é a migração das compras e saques para outros mercados, que não contam com terminais que leem o dispositivo.

Isso quer dizer que as informações contidas na trilha magnética podem ser copiadas com o uso de um coletor, apelidado de chupa-cabra, e impressas num plástico clone, que depois será usado para transações na Argentina, no Uruguai ou mesmo nos Estados Unidos, o país que criou o cartão de crédito mas está um passo atrás nessa tecnologia. Outra tendência é que as fraudes migrem para os cartões com limites mais baixos, pois nem todos os bancos estão convertendo integralmente a sua base para o chip, privilegiando os limites mais elevados, com prejuízo potencialmente maior.

O Citi, por exemplo, trabalhou nos últimos três anos nessa troca e substituiu 1, 2 milhão dos seus 6 milhões de cartões Credicard Citi. "Os portfólios de alta renda são os mais visados, enquanto nos de tíquete médio mais baixo a conta ainda não se paga e uma das consequências é a migração da fraude para esses segmentos", diz o diretor de gerenciamento de risco do Citi, Victor Loyola. Nos portfólios com chip, as ocorrências chegam a ser reduzidas entre 70% e 80%, acrescenta o superintendente de prevenção a fraudes, Luís Câmera.

Para se ter uma ideia, na média, o preço unitário de um cartão com chip é R$ 3,90, enquanto um plástico normal custa R$ 1,10, valores que variam de acordo com o volume encomendado, exemplifica Eduardo Daghum, sócio-diretor da Horus, consultoria especializada em prevenção a fraudes. Ele conta que, há cerca de cinco anos, essa diferença era bem maior e que foi o amplo uso do chip pelo setor de telefonia móvel que acabou barateando a tecnologia para o mercado brasileiro.

Nas Américas, somente Brasil e México estão adiantados na conversão das suas bases de cartões, enquanto os Estados Unidos preferem cercear a conduta criminosa com leis mais rígidas a encorajar o uso do chip, conta Daghum. Nos países asiáticos e europeus também há um estímulo à substituição e há casos como o da França, que empreendeu uma verdadeira "tour de force" para converter integralmente suas unidades de débito e crédito à tecnologia. "O Brasil começa a reproduzir o que houve lá, com a fraude migrando da clonagem pura e simples para o comércio eletrônico e para países próximos que só usam a tarja magnética." Mesmo aqui, quando as quadrilhas percebem que o chip ganhou escala em determinado banco, há uma migração imediata para as instituições menos adiantadas nesse quesito, completa.

O Banco do Brasil passou os últimos dois anos convertendo praticamente toda a sua base de crédito e débito de 23 milhões de plásticos. Foram investidos mais de R$ 100 milhões, pois não basta trocar os cartões, é preciso também adaptar todos os equipamentos do atendimento para ler o chip, explica o gerente executivo da diretoria de cartões, Claudemir Alledo. "A tecnologia é imbatível, até hoje não se tem notícia no mundo de algum ‘hacker’ ter quebrado a sua segurança." No mercado, a estimativa é de que 0,16% das transações com cartões são fraudadas, enquanto no BB, que fatura mais de R$ 7 bilhões, esse percentual caiu para menos da metade, diz Alledo.

O Santander, ao assumir efetivamente a gestão do Banco Real, em 2008, tratou de equiparar a conversão da sua base ao percentual da instituição adquirida e hoje tem 80% dos cartões com a segurança do chip. A meta é fazer a troca da totalidade dos plásticos ativos até o fim do ano, diz o superintendente de prevenção da área, Edison Pacheco. "Mais do que a perda financeira, o cartão é o meio de acesso do cliente a todos os serviços do banco, por isso decidimos converter até mesmo para as faixas de menor renda."

Metade dos mais de 600 milhões de transações anuais realizadas com cartões no país já são feitas por meio de cartões com chip, estima o coordenador do Comitê de Segurança e Prevenção da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), Henrique Takaki. Além de estimular o mercado brasileiro a adotar plenamente o dispositivo, a entidade criou um programa para certificar os terminais de captura, baseado no padrão do Payment Card Industry Council (PCI). "Não dá para ter um equipamento que é facilmente aberto e que permite colocar um dispositivo ali que copie a trilha", diz. Num momento de abertura do mercado, com a entrada de novos participantes, a preocupação é ainda maior. "Nada impede que um adquirente novo compre um monte de terminais baratos da China e coloque aqui, é preciso regular isso."

Só que o chip só garante mesmo a segurança das transações presenciais. No universo da internet e das compras por telefone ainda há vulnerabilidades. Para inibir também essas práticas, os bancos têm investido nas chamadas redes neurais, ferramentas que monitoram o comportamento do consumidor e soltam o alertas de condutas suspeitas. Para cada R$ 1 investido em segurança, são evitadas fraudes equivalentes a R$ 8, diz Loyola, do Citi.

Por enquanto, só a Visa determinou mundialmente uma data para que todos os envolvidos na cadeia dos meios de pagamentos estejam adequados ao PCI. O prazo termina em 30 de setembro. Não só bancos e adquirentes terão de seguir padrões mínimos de controle, como também os varejistas, explica o diretor de operações da Cipher, Alexandre Sieira. "O mais comum é que o roubo de dados em massa ocorra nas redes de varejo, que, muitas vezes, não entendem essa segurança como parte do seu negócio."