[ANSOL-geral] Aplicações proprietárias obrigatórias para operações bancárias

[Daniel Cerqueira]

Rui Cruz <mail  ruicruz.pt> writes:

> Boa tarde e bom domingo a tod  s, 

Bom dia!

> Antes de mais, não é comum comentar estes assuntos em listas públicas, mas cá vai os meus 5 cents.
>
> Quem está a dizer que vai mudar de banco (e não é a primeira vez que leio, embora tenha apanhado a
> mensagem do José, sorry) vai ter que mudar muitas mais vezes do que pensa.
> O SMS deixou há anos de ser um bom 2FA. Aliás, a diretiva
> https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng fale em "strong costumer authentication". 
> Logo, nunca poderia ser o SMS.

Estive a ler um pouco desse link.  E chego à conclusão que os bancos
sempre puderam fazer do email o seu 2FA (e continuam a poder fazê-lo).
Outra alternativa continua a ser o usar do OTP (TOTP ou HOTP).

As alternativas que apresento são padronizadas, e sem qualquer conflito
moral.

> Por outro lado, o SMS não permite "dynamic linking" quando se quer ligar um código + info do montante +
> utilizador, numa cadeia que se possa considerar segura.

Encontro em lado nenhum o termo "dynamic linking".  E percebo nada o que
queres dizer com isto.  Tens algum URL?

> O problema é que muitas pessoas culpam os bancos por isso, e está tudo mal.
> Mas se quiserem culpar os bancos por não permitirem apps em lojas "livres", aí está tudo bem e
> recomendo que façam barulho (que, penso eu, não servirá de nada). 

Discordo.  Há raras vezes, e boas vezes, em que não serve de nada; e a
maior parte das vezes serve de nada, infelizmente.

Há que tentar, e ver quais são os resultados.

> Em suma, SMS deixou de ser um 2FA há anos, não cumpre as diretivas europeias e os bancos estão a fazer
> o que lhes pedem. O procedimento que todos falam é normal.

O meu banco continua a usar SMS como 2FA, por exemplo.  Isso, acima, é
uma conclusão precipitada, pios não "...deixou de ser um 2FA há anos".

> Workarounds? Há, sim, imensos. Ter um Android velhote para a app do banco e aceder via acesso remoto
> (Anydesk, Teamviewer, VNC, etc...) é o mais simples. 

Não recomendo.  O facto de teres de ter um sistema operativo de código
secreto para lidar com assuntos sensíveis, continua a ser problema.

Ainda mais é, o fato de ter um sistema operativo "Android velhote",
significa um sistema operativo desatualizado, e uppsssss... crackers
entraram do meu androidezão/zinho e roubaram-me o dinheiro.  Maldita
falha de segurança (pensaram os ingénuos crentes em igrejas de código
secreto...).

> PS: não trabalho num banco :P 
>
> On Sun, Jul 27, 2025 at 2:09 PM José Sebrosa <sebrosa  artenumerica.com> wrote:
>
>  Actualização:
>  A CGD é capaz de ter passado a precisar mesmo da app para algumas 
>  coisas.  Começam por uma, depois mais, depois tudo... :^(
>
>  Numa parte da página Web aparece est aviso:
>
>  """
>  Atenção: Sempre que realizar pagamentos em lojas online que peçam 
>  Autenticação Forte, terá de aprovar a transação através da App 
>  Caixadirecta, que substitui o código SMS 3D Secure.

Como digo acima, há nada a impedir a CGD de usar o email como 2FA (ler
mais acima).

>  Se ainda não aderiu, descarregue gratuitamente a App e siga as 
>  instruções. Disponível para Android e iOS.
>  """

E para smartphones GNU/Linux?  Ou agora também somos obrigados a ter um
sistema operativo que o banco quer que tenhamos?

>  E de facto tive um caso dum pagamento à google deixou de funionar.  Não 
>  tenho certeza que a causa seja a imposição de autenticação via app, pois 
>  ainda não instalei porcaria de app nenhuma e vou tentar resolver através 
>  de conta noutro banco para eles não serem parvos, mas é muito provável 
>  que seja...

Se nem pela "porcaria de app" funciona, isto só demonstra a maldade
inerente dos bancos.

>  Cumprimentos,
>  S.
>
>  On 7/22/25 09:04, Luis Henriques wrote:
>  > Olá José!
>  > 
>  > On Tue, Jul 22 2025, José Sebrosa wrote:
>  > 
>  >> Eu há meses recebi avisos desse tipo da CGD.  Os prazos que eles deram passaram
>  >> faz tempo e até agora não precisei de instalar app nenhuma.
>  > 
>  > Bom, se a CGD fez também esse aviso, isso diminui ainda mais as minhas
>  > esperanças de encontrar um banco onde isso não iria acontecer.
>  > 
>  >> Mas como eu fujo das apps como da peste e nunca instalei nenhuma app deles, eles
>  >> nem devem saber que eu tenho acesso a um smartphone. De momento estou a confiar
>  >> que o banco não quer deixar de prestar serviços a quem não tem smartphone... mas
>  >> nunca se sabe...
>  > 
>  > Esperemos que sim!  Um bom sinal é que que te deram o prazo já passou e
>  > tudo funciona.  Boa sorte para nós :-)


ANSOL, é possível desativar esta loucura aqui em baixo?

|||
vvv

>  > _______________________________________________
>  > Ansol-geral mailing list
>  > Ansol-geral  listas.ansol.org
>  > http://listas.ansol.org/mailman/listinfo/ansol-geral
>
>  _______________________________________________
>  Ansol-geral mailing list
>  Ansol-geral  listas.ansol.org
>  http://listas.ansol.org/mailman/listinfo/ansol-geral
>
> _______________________________________________
> Ansol-geral mailing list
> Ansol-geral  listas.ansol.org
> http://listas.ansol.org/mailman/listinfo/ansol-geral
>

-- 
Os pioneiros de um mundo sem guerra são os(as) jovens
que recusam o serviço militar. ~ Albert Einstein
-------------- próxima parte ----------
Um anexo que não estava em formato texto não está incluído...
Nome : não disponível
Tipo : application/pgp-signature
Tam  : 865 bytes
Descr: não disponível
Url  : http://listas.ansol.org/pipermail/ansol-geral/attachments/20250728/78fd9eb0/attachment-0001.pgp