Imagine receber uma notificação do Nubank com uma transação que você não reconhece. Uma dor de cabeça daquelas para resolver, você pensa. Logo em seguida, chega uma mensagem do Shoptime pedindo para confirmar uma compra naquele mesmo valor. Mas você não comprou nada. Como isso é possível? Foi isso o que aconteceu com um leitor do Tecnoblog. E, aparentemente, com mais gente.
O pedido era de um smartphone com valor em torno de R$ 1.500. O endereço de entrega era em um estado bem longe de onde o leitor Amarildo reside.
Ao tentar encontrar a tal compra, porém, ele descobriu que sua conta na loja estava intacta. Quem fez o pedido “clonou” seu cadastro: uma nova conta foi criada com nome, telefone e CPF. A única diferença era o e-mail, que não era dele, mas de um familiar que tem o nome parecido.
Com ajuda desse familiar, o leitor conseguiu resetar a senha de seu cadastro “pirata”, encontrou o pedido e entrou em contato com a empresa, que resolveu o problema.
Reclame Aqui tem relatos parecidos
Amarildo conseguiu cancelar o pedido e suspender a cobrança do cartão de crédito. No contato, o Shoptime disse ter colocado o cadastro clonado em uma lista de suspeitos e que não aceitará mais pedidos com aqueles dados.
Uma busca no Reclame Aqui, porém, mostra que Amarildo não foi a única pessoa afetada pela prática: há mais relatos parecidos envolvendo o Shoptime, a Americanas e o Submarino, que são todas do mesmo grupo, a antiga B2W, agora Americanas S.A.
Em alguns casos, a ação foi mais direta: simplesmente invadiram as contas e fizeram os pedidos ali mesmo, com os próprios cartões das vítimas ou de terceiros, alterando apenas o endereço.
Um cliente de Vila Velha (ES) reclama que sua conta do Submarino foi acessada indevidamente e que foram feitos dois pedidos — um deles inclusive constava como já entregue. A loja resolveu o problema.
Leia Também
Em outro episódio, um consumidor da Praia Grande (SP) também relata uma tentativa de compra de smartphone em seu cadastro na Americanas, usando seu cartão de crédito virtual. A empresa também solucionou a reclamação e disse se tratar de uma “falha de segurança digital”, que seria encaminhada ao setor de TI.
Há também um caso de Salvador (BA), em que os invasores tentaram comprar um fone de ouvido da Apple com o cartão cadastrado na Americanas. A companhia respondeu, e não há informações do cliente sobre o desfecho da história.
Cartões de parceira da Americanas sofreram fraude
Não é a primeira vez que as marcas de varejo online da Americanas são alvo de reclamações. Em março deste ano, clientes do Banco Cetelem — que emite os cartões Americanas, Submarino e Shoptime — reclamaram de transações feitas sem sua autorização.
Na ocasião, clientes receberam notificações de compras indevidas em valores de cerca de R$ 1.000. Eles também relataram dificuldades e demora no atendimento por parte da Cetelem.
Shoptime não verifica CPF de novo cadastro
Em conversa com o Tecnoblog, o leitor Amarildo comenta que achou estranho ser possível criar um novo cadastro com o mesmo CPF, sem que houvesse uma verificação.
De fato, dá para fazer isso: eu mesmo consegui criar um segundo cadastro no Shoptime e na Americanas com meu documento e outro e-mail. Outras lojas, como Magazine Luiza e Extra, por exemplo, não permitem essa operação.
Procurada, a Americanas, dona do Shoptime, não se manifestou até a publicação dessa reportagem.
O que o consumidor deve fazer
Em conversa com o Tecnoblog, o diretor do Procon-SP, Fernando Capez, recomenda que a entidade seja procurada em casos desse tipo. Ele ressalta que o órgão comunica incidentes assim à Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e aplicar as sanções previstas na Lei Geral de Proteção de Dados (LGPD).
“Se a controladora dos dados deixa isso vazar, essa falha precisa ser apurada e investigada”, diz Capez. Ele também lembra que, desde agosto, as empresas são obrigadas a comunicar incidentes de segurança à ANPD.
O diretor do Procon-SP ressalta a importância da mediação do órgão para aplicação de penalidades, caso seja constatado algo de errado na operação da empresa.
A entidade de defesa do consumidor não tem poder para cobrar indenizações, mas a queixa e o processo administrativo podem servir de base para acionar a Justiça, caso o consumidor se sinta lesado.