Chega-te um SMS com seis dígitos e o aviso "não partilhe este código com ninguém". No mesmo minuto, o telemóvel toca: uma pessoa simpática, que diz ser do banco ou do apoio técnico, pede-te esse código para "confirmar que és tu". Hesitas, ela mete pressão. Esse é o momento exato em que a tua conta se salva ou se perde, e a resposta certa é sempre a mesma: não dás o código.
O que é, afinal, um código OTP
OTP quer dizer "one-time password", ou seja, uma palavra-passe de uso único. É aquele código de seis dígitos que te chega por SMS quando entras no homebanking, autorizas uma transferência, associas o MB WAY a um telemóvel novo ou pagas online. Serve para provar, naquele instante, que quem está a executar a operação és tu.
É aqui que está o mal-entendido perigoso. Muita gente pensa que o código serve para "confirmar a identidade" perante outra pessoa -- por isso aceita lê-lo a quem liga a pedir. Não é assim. O OTP não te identifica perante ninguém ao telefone: ele autoriza uma operação concreta na tua conta. Quando o dás a um estranho, não estás a "provar quem és", estás a assinar a operação que o burlão acabou de iniciar em teu nome.
Porque é que entregar o código é entregar a conta
Imagina a sequência do lado do atacante. Ele já tem alguns dados teus e tenta entrar na tua conta ou ordenar uma transferência. O sistema do banco, ao ver uma operação sensível, dispara um OTP para o teu telemóvel, porque é suposto só tu o veres. O burlão fica encravado nesse ponto -- a não ser que consiga que sejas tu a ler-lhe o código. É por isso que ele liga.
Repara no sentido das coisas: o SMS chega-te a ti porque o sistema quer a tua autorização para algo que está a acontecer agora. Se ninguém legítimo iniciou nada, esse código não devia existir; se existe e alguém to pede, é porque há uma operação a decorrer que não és tu a comandar. Em ambos os casos, partilhá-lo só pode dar errado. Estes códigos viajam por SMS, o mesmo canal que um SIM swap consegue desviar -- mais uma razão para os tratar como segredo absoluto.
Como os burlões te tentam arrancar o código
O guião muda de fachada, mas o pedido final é sempre o mesmo. Reconhecê-lo desarma o esquema todo.
- Falso funcionário do banco: avisa de uma "transferência suspeita" e pede o código para "cancelar" ou "validar". É o método do falso funcionário, e o código que pedem autoriza, na verdade, a saída do dinheiro.
- Comprador ou vendedor online: num negócio em OLX, Vinted ou CustoJusto, alega que o código serve para "libertar o pagamento" ou "confirmar a venda".
- Falso apoio técnico: diz que detetou um problema na tua conta e precisa do código para "verificar o acesso".
- Recuperação de conta: alguém tenta entrar no teu email, mensagens ou rede social e pede-te o código que te chegou, com qualquer desculpa.
Em todos eles há três constantes: pressa, uma justificação que soa plausível e o pedido de um código que, momentos antes, te disse para não partilhares. Quando vires este padrão, sabes o que se passa.
A regra que resolve tudo
Há uma frase que, sozinha, te protege da esmagadora maioria destes esquemas: um código de confirmação não se diz a ninguém, nem ao próprio banco. O Banco de Portugal, no portal Cliente Bancário, é taxativo neste ponto -- as instituições nunca te pedem códigos, PIN ou passwords por telefone, SMS ou email. Logo, qualquer pedido desses, mesmo de quem diz ser do banco, é por definição um burlão.
Vale a pena guardar também alguns hábitos que reforçam esta regra:
- Lê o que diz o SMS antes de fazer seja o que for. Costuma indicar a operação que estás a autorizar -- se não a reconheces, não há código a partilhar.
- Nunca dês o código a quem ligou. Se há dúvida, desliga e liga tu para o número oficial.
- Desconfia da pressa. Urgência é a ferramenta do burlão, não do banco.
- Não introduzas códigos em páginas abertas a partir de links recebidos por SMS ou email.
- Prefere apps de autenticação ao SMS nas contas que o permitem, por serem mais difíceis de intercetar.
Já dei o código. E agora?
Se partilhaste um OTP, parte do princípio de que há uma operação a decorrer e age já. Liga ao banco pelo número oficial para travar e reverter o que estiver pendente, muda as tuas credenciais a partir de um dispositivo de confiança e, se também entregaste dados do cartão, pede o cancelamento. Depois, denuncia ao Gabinete de Cibercrime e guarda todas as provas. O passo a passo completo está no guia sobre o que fazer depois de dar dados a um burlão. A mesma lógica aplica-se quando o código aparece numa venda online, como explica o artigo sobre a burla do MB WAY entre compradores e vendedores.
FAQ
O código não serve para confirmar que sou eu?
Serve, mas perante o sistema do banco, não perante uma pessoa ao telefone. Ele autoriza uma operação concreta que está a acontecer naquele momento. Por isso, dá-lo a um estranho é assinar a operação que ele iniciou, não "provar quem és".
E se for mesmo o meu banco a ligar e a pedir o código?
Não é. Nenhum banco te pede códigos, PIN ou passwords por telefone, SMS ou email. Qualquer pedido desses, venha de quem vier, é uma burla. Desliga e liga tu para o número oficial.
Recebi um código que eu não pedi. O que significa?
Provavelmente alguém está a tentar entrar na tua conta ou autorizar uma operação em teu nome. Não partilhes esse código com ninguém e, por prudência, muda a tua password e verifica a conta. Se vierem a seguir pedir-to por telefone, confirma-se a tentativa de burla.
É mais seguro usar uma app de autenticação em vez de SMS?
Em geral sim. O código gerado numa app fica no teu dispositivo e não viaja pela rede, o que o torna imune a interceções por SMS, como as de um SIM swap. Ainda assim, a regra é a mesma: esse código também nunca se partilha.
Em resumo
O código de confirmação por SMS é a chave que autoriza operações na tua conta, não um cartão de identidade que se mostra a quem liga. Por isso não se partilha com ninguém, nem com o banco -- que, de resto, nunca to pede. Sempre que alguém te pressiona por um código, ainda há tempo de salvar a conta: chega desligar e não o dar.