El Corte Inglés alvo de ataque cibernético: o que fazer

No último domingo, 2 de março, o El Corte Inglés (ECI) Portugal foi alvo de um ciberataque que comprometeu os dados dos seus clientes. A falha de segurança ocorreu através de um fornecedor externo que expôs "dados de identificação e de contacto", bem como "números de cartões de crédito para compras apenas no El Corte Inglés", como explicou a cadeia espanhola aos clientes portadores titulares dos seus cartões através de e-mail enviado no próprio dia do ataque.

A fuga de dados (data breach) que aconteceu, desta vez no El Corte Inglés Portugal, volta a reforçar a importância da segurança digital. A empresa espanhola garante que o incidente foi prontamente detetado e corrigido, e desde logo reportado às autoridades competentes e aos clientes com cartões ECI.

A organização informa ainda que a falha de segurança não permite a terceiros fazer transações com os cartões de pagamento ECI, podendo os seus titulares continuar a utilizá-los "com total segurança", tanto nas lojas como nas plataformas digitais. Mas a verdade é que os dados de milhares de clientes já poderão ter sido expostos a cibercriminosos que podem utilizá-los para obter outras informações mais sensíveis, como dados bancários e padrões de consumo.

Riscos de uma fuga de dados

Na sequência da exposição desses dados, muitos desses clientes poderão ser vítimas de ataques de phishing, para que os cibercriminosos consigam aceder aos dados em falta, como a password de acesso às contas, por exemplo.

Ataques de phishing ou pharming são duas das técnicas mais comuns para conseguir os dados confidenciais dos utilizadores, o que pode resultar em roubo de identidade, novos ataques cibernéticos e fraudes financeiras mais ou menos complexas.

Nestas situações deve ficar mais atento aos e-mails e SMS que recebe, e nunca clicar em links suspeitos. Fique atento às suas contas bancárias, estejam ou não associadas ao cartão visado.

O que fazer se for vítima de violação de dados?

Neste caso, em que a empresa admitiu uma fuga de dados pondo em causa a privacidade e segurança dos seus clientes, o El Corte Inglés Portugal terá agido de acordo com as práticas preconizadas: enviou prontamente a comunicação aos clientes potencialmente afetados, transmitindo-lhes o incidente de forma clara, bem como as possíveis implicações do mesmo.

Depois, tendo em conta que o acesso ilegítimo a dados é crime, de acordo com o Regulamento Geral de Proteção de Dados (RGPD), o mesmo deve ser comunicado no prazo de 72 horas, depois de ser conhecido, à Comissão Nacional de Proteção de Dados (CNPD) pelo responsável pelo tratamento de dados da empresa cuja segurança foi posta em causa. A comunicação enviada aos clientes não permite confirmar se essa medida foi adotada. A mesma comunicação deve ser feita às autoridades competentes.

Se a empresa não cumprir estas comunicações, quer aos titulares dos dados, quer à CNPD, arrisca-se a coimas elevadas, que podem chegar aos 20 milhões de euros, ou a 4% do seu volume de negócios anual.

Uma vez que estes cartões de compras fornecem dados bancários dos seus utilizadores, os cuidados a ter são os mesmos que a DECO PROteste recomendaria a qualquer titular de cartão bancário eventualmente afetado por um data breach. Se o consumidor cumpriu todos os seus deveres de confidencialidade e segurança, recai sobre a Financeira El Corte Inglés Portugal, S.F.C., S.A. o risco de falhas e do deficiente funcionamento do sistema.

Os titulares dos cartões podem questionar o El Corte Inglés Portugal se os procedimentos foram efetivamente adotados. Só esta entidade pode confirmar essa informação, bem como assegurar o bom funcionamento do sistema, de acordo com as normas impostas por lei, e pode oferecer alguma garantia de confidencialidade.

O consumidor contactado pela empresa deve verificar de imediato as transações realizadas com o cartão para aferir qualquer atividade suspeita. É aconselhável alterar, imediatamente, as senhas de acesso e reforçar a segurança das mesmas. Em casos extremos, poderá ser necessário cancelar mesmo o meio de pagamento.

Embora a cadeia espanhola garanta que os clientes possam voltar a usar os seus cartões ECI com segurança, o princípio da precaução poderá ditar que esses cartões sejam cancelados, emitindo-se novos, sem custos para os seus portadores, uma vez que esses dados podem estar comprometidos. Tudo depende da abrangência e gravidade do incidente.

Se a entidade visada pela fuga de dados não demonstrar que o consumidor foi negligente, este tem o direito de ser imediatamente reembolsado, mesmo sem provas de terceiros terem acedido aos seus dados. Se o reembolso não for imediato, o cliente tem direito a receber juros de mora.