Caixa Geral de Depósitos e Novo Banco alvo de acesso ilegal ao IBAN de clientes

19 set, 2025 - 19:37 • Sandra Afonso , Diogo Camilo

Banco de Portugal garante que não houve acessos ou transferências indevidas, mas admite uma “fragilidade” que permitiu que “utilizadores mal-intencionados” conseguissem “obter o IBAN completo de clientes”.

A Caixa Geral de Depósitos, o Novo Banco e o ActivoBank foram alvo de acesso ilegal a informações dos seus clientes através do homebanking, com a falha a ter como objetivo o uso de um sistema de transferências criado pelo Banco de Portugal.

À Renascença, o regulador confirma a violação de dados de clientes de alguns bancos, mas esclarece que não foi executada nenhuma operação financeira.

O gabinete do governador Mário Centeno garante a segurança das transferências, mas admite que uma “fragilidade” permitiu que “utilizadores mal-intencionados” conseguissem “obter o IBAN completo de clientes”. Ou seja, o código internacional que identifica as contas, e que em Portugal começa por PT50.

Estes utilizadores simularam transferências através do sistema SPIN, uma plataforma do Banco de Portugal que simplifica o envio de dinheiro, porque pede apenas o número de telemóvel ou o contribuinte.

Em resposta à Renascença, o Banco de Portugal garante que a citada “fragilidade” está “identificada” e “corrigida” e os clientes afetados foram devidamente informados pelos respetivos bancos.

O Banco de Portugal não identifica as instituições visadas, mas a Renascença sabe que o Novo Banco e a Caixa Geral de Depósitos foram dois dos alvos. O ActivoBank também já tinha sofrido o mesmo ataque.

Este sistema SPIN está em funcionamento desde junho de 2024 e permite aos utilizadores, de forma mais conveniente e igualmente segura, iniciarem transferências indicando o número de telemóvel ou o número de identificação fiscal (NIF) do beneficiário (no caso de ser uma pessoa singular) em vez do IBAN. O Banco de Portugal garante que o "serviço e a sua segurança não foram comprometidos".

O regulador recomenda ainda que utilizadores não devem, em nenhum caso, divulgar informação pessoal, credenciais de acesso ao homebanking ou às apps, ou eventuais códigos que o banco lhes envie para o telemóvel.

