CGD confirma que alguns IBAN de clientes foram obtidos ilicitamente

17/09/2025

CGD com ladrão

A Caixa Geral de Depósitos (CGD) está a contactar alguns dos seus clientes para os informar sobre uma possível falha de segurança que pode ter permitido a terceiros obterem o número de conta e o IBAN, utilizando apenas o número de telemóvel associado.

Este incidente é bastante semelhante ao que foi reportado recentemente pelo ActivoBank, levantando questões sobre uma vulnerabilidade mais alargada que poderá afetar o sistema bancário.

O que diz a mensagem da CGD?

Na comunicação enviada aos seus clientes, a CGD esclarece a situação: “Informamos que o seu IBAN (International Bank Account Number) e o seu número de telefone foram obtidos, de forma ilícita, por meios alheios à Caixa Geral de Depósitos.”

O banco estatal apressa-se a tranquilizar os clientes, garantindo que “esta situação não resulta nem resultará em qualquer perda financeira para si, nem afeta a integridade dos serviços prestados pelo Banco.”

exemplo de mensagem fraudolenta

Suspeitas recaem sobre o sistema SPIN

Embora a CGD não tenha especificado a origem da falha, as suspeitas recaem sobre o sistema SPIN, uma plataforma do Banco de Portugal. Este serviço foi criado para simplificar as transferências bancárias, permitindo que sejam realizadas utilizando apenas o número de telemóvel em vez do IBAN. Antes de confirmar a operação, o sistema exibe o nome do beneficiário para verificação.

A teoria é que, através da simulação de transferências, agentes maliciosos possam ter explorado este sistema para associar números de telemóvel a nomes de titulares e respetivos IBANs. Ironicamente, o SPIN foi desenhado para ser uma alternativa mais segura e prática, evitando a partilha de dados mais sensíveis como o IBAN. De momento, a CGD ainda não forneceu mais detalhes sobre a causa do problema.

Como proteger-se de fraudes?

Aproveitando a comunicação, a Caixa Geral de Depósitos reforçou alguns conselhos essenciais para a prevenção de fraudes, que todos os utilizadores de serviços bancários devem ter em mente:

Nunca clicar em links recebidos por SMS ou e-mail que alertem para movimentos suspeitos ou acessos com novos dispositivos.
Jamais se deslocar a uma caixa Multibanco para realizar operações com o objetivo de cancelar uma suposta fraude.
Nunca fornecer dados pessoais, códigos da matriz ou o SMS Token para cancelar operações, seja por SMS, e-mail ou telefone.

Qua 17 Set 2025 - 22:14 por Victor Nobre Claro

Com todos os lucros que têm à nossa custa,não conseguem fazer melhor?
Arranjem meios para o fazer.
Invistam mais em segurança.
Passem da teoria à prática.
Os utentes são sempre os únicos culpados?
Pensem um bocadinho nos clientes.
E não só no lucro.

Qua 17 Set 2025 - 22:26 por Victor Nobre Claro

Com todos os lucros que têm à nossa custa,não conseguem fazer melhor?
Arranjem meios para o fazer.
Invistam mais em segurança.
Passem da teoria à prática.
Os utentes são sempre os únicos culpados?
Pensem um bocadinho nos clientes.
E não só no lucro.

Qui 18 Set 2025 - 14:45 por chino.s.pereira@gmail.com

E de lamentar que isto suceda. Tem lucros fabulosos e deixam acontecer isto. E inconcebível

Qui 18 Set 2025 - 19:08 por Roberto Cc

Quando apareceu o SPIN eu já tinha notado a falta de segurança e privacidade do sistema, qualquer pessoa consegue obter o nome completo do titular de conta que tenha o seu número associado ao MBWAY e nada foi feito a esse respeito. Até comentei que estava tudo pronto para criar a maior base de dados para associar números de telemóveis a pessoas, agora com IBAN adicional fica perfeito.

Sex 19 Set 2025 - 15:13 por Littleflag

Também recebi a mesma mensagem do novo banco