Mudanças que melhorariam a segurança do Nubank

Pessoal, andei analisando não apenas o Nubank mas outros bancos nos quais tenho conta corrente e cartão, e percebi algumas falhas que uns tem, outros não, no fim das contas TODOS pecam em algum detalhe crucial que a meu ver facilita a possibilidade de golpes. Não de propósito, óbvio.

Alguns pontos que vou comentar talvez sejam inéditos no sentido de sugestão de melhorias. Antes de mais nada, é claro que não adianta fazer 600 mil coisas e achar que se está 100% seguro, isso é ilusão, assim como não dá pra prever se vamos morrer daqui a 2 horas ou 20 anos.

Precisamos analisar onde estão as falhas e ponderar se certas mudanças não coibiriam bastante a chance delas ocorrerem. Esse ou aquele erro não é exclusivo de A ou B, todos em maior ou menor grau pecam. Algumas das ideias eu nunca tinha parado pra pensar, em como fazem sentido.

Cabe lembrar que algumas delas o Banco Central está em vias de obrigar todos, não só o NUBANK: as do PIX lá pra NOVEMBRO (se Deus quiser). Que são (vou comentar em cima):


RESTRIÇÕES DE PIX


Das 20h às 6h fica estabelecido um limite de R$ 1.000 para transferências, PIX e TED

Isso aqui é inócuo a meu ver, pois não existe hora pra assaltar, ladrões não são vampiros.

É possível que uma transação fique retida por 30 minutos durante o dia ou por 60 minutos durante a noite para a análise de risco da operação.

Clientes passam a poder estabelecer limites transacionais diferentes no Pix para os períodos diurno e noturno, permitindo limites menores durante a noite;

Não faz diferença ser assaltado de tarde ou noite. Prejuízo é prejuízo. Logo não tem relevância o horário e dar uma reduzida no limite. Mas tudo bem, ter outra opção é sempre desejável.

Seguindo:

Se quiser aumentar esse limite, o cliente pode fazer a solicitação, mas haverá prazo mínimo de 24 horas e máximo de 48 horas para a efetivação do pedido feito por canal digital, impedindo o aumento imediato em situação de risco;

Aqui eu quero comentar algo que ninguém parece estar se ligando:

  • Não deve ser prazo mínimo para atender, mas prazo mínimo para ser efetivado. Como assim?

Se eu pedir dia 26/9 às 20:04 o banco não pode ativar em 27/9 às 20:03. DE FORMA ALGUMA.

Na verdade a ativação deveria ser totalmente automática, sem sequer precisar ligar pro SAC. É como se eu colocasse um timer dentro do app, pra esse recurso ser ligado dentro dele. É que nem programar quando vc vai pagar boleto.

Esse tipo de solicitação também precisa ser feita exclusivamente pelo app. JAMAIS poderia ser aceita tanto por telefone ou por outra forma, como email. Óbvio, pois o atendente do SAC não tem como saber quem está do outro lado.

E aqui não importa confirmar dados básicos como nome, endereço, dia que nasceu, pois tudo isso pode ser conseguido por meios ilícitos.

Além disso o aplicativo do Nubank deveria informar justamente o dia e horário que essa modificação seria efetivada, e cerca de X segundos depois esconder (assim que você fizesse o pedido - esconderia dentro do app, com asteriscos ou algo do tipo), só revelando depois que você digitar (de novo) sua senha (ou do app ou do cartão, aquela de 4 dígitos).

E por que isso? Vamos sempre pensar na hipótese da conta ter sido invadida (por um ladrão) ENQUANTO A VÍTIMA estava olhando o app. Quem mais pode saber o momento de algo diferente do PIX ser ativado? Só o dono da conta.

Já começa por aí, não é uma ativação manual. Tem de ser automática e no horário planejado.

O BACEN fala em prazo mínimo de 24 e máximo de 48. Outro erro. A vítima pode ser sequestrada e mantida refém por 1 ou 2 dias. Já vários dias são outros 500.

Esse prazo máximo (não o mínimo) poderia ser customizável por VÁRIOS DIAS. Tipo 5, 7, ou até mais. A justificativa pra colocar um prazo mais extenso é que aumentos de limite precisam ser tão exóticos e raros quanto feriados. Pra rebaixar o limite não há prazo.

Claro que o pessoal seria contra engessar a conta só pra limite. No entanto pensem dessa forma: o prazo mínimo é 24, mas o máximo se definido pelo cliente poderia exceder 2 dias. E quem não quiser não coloca. Apenas espera esse 1 dia.

O que não pode é a maneira como o Nubank funciona HOJE: você consegue aumentar o limite em coisa de SEGUNDOS após digitar a senha do cartão.

Mas não é só isso que seria ideal pra impedir golpes: é se poder configurar se daria pra reverter ou não esse tipo de solicitação.

Eu defendo que exista a possibilidade de tornar a espera irreversível também (OBS: é algo a mais, não obrigatório). Isso quer dizer que não daria pra modificar o prazo mesmo que fosse longo:

  • Digitando qualquer senha
  • Ligando pro SAC

Exemplo: meu limite está zerado (logo não faz PIX algum). Eu quero aumentar pra R$ 5000. Mas eu configurei “irreversível + 5 dias”. Só em 5 dias que isso vai funcionar, jamais antes. Lógico que o dono da conta teria de concordar com tudo.

Instituições poderão permitir que usuários cadastrem com antecedência contas que poderão receber Pix acima dos limites estabelecidos;

Todas as contas que vc cadastrar, incluindo a sua (CPF de outro banco) poderiam estar isentos dessas restrições todas, ou só algumas delas. Perfeito. No entanto se eu não quiser cadastrar nenhuma também tenho de ter esse direito.

Na verdade o que eu proponho seria similar a investimento em CDB/LCI só resgatável no vencimento. Com a diferença que CDBs costumam pedir 30 dias ou vários meses/anos, e bloqueiam 100% do valor investido. Você não resgata 1 centavo, a menos que invista em CDB com saque diário.

Na minha ideia, não: seria tornar a conta restrita a tal ponto que nem se fosse obrigada a vítima poderia reverter a longa espera que configurou. Isso quebraria totalmente as pernas dos ladrões.

Exceto, claro, se vc fizesse vários PIX em valores altíssimos pra todo tipo de pessoas que existem no mundo. Mas alguém aqui faz isso? Acho que não, né?

Todo tipo de senha pode ser ou hackeada ou o bandido obrigar a vítima a informar. Mas imaginem como seria se ainda assim ele não conseguisse nada?

E tem mais: o saque em caixa 24Horas/dinheiro vivo também deveria ter espera irreversível. Se você configurasse assim. Poderia até dizer ao banco quanto em $$$$$$ poderia ser sacado, e quanto ficaria retido pra outras coisas. Como PIX 100% liberado.

Idem pra pagamentos por boletos.

Haverá prazo mínimo de 24h para que o cadastramento prévio de contas por canal digital produza efeitos;

Prazo mínimo é uma coisa, máximo é outra. E precisa ter opção A MAIS de não conseguir reverter, nem mesmo botando sua senha.


Outras ideias:


CARTÕES


  1. Após 1 ou X compras (vc define) o bloqueio temporário do cartão de crédito seria ativado automaticamente.
  • Justificativa: evitar ficar logando no app no meio da rua, pra botar o cadeado. Eu retiro essa proteção quando vou sair de casa, e fazer 1 compra.
  1. Opção de exigir senha para desbloquear o cartão físico. Hoje isso não é pedido. Não necessariamente a senha de 4 dígitos do cartão.

  2. Opção de bloquear totalmente (é temporário também) o cartão físico e talvez o virtual, por X dias.

3.1) Mesma coisa, só que de forma irreversível (não dá pra voltar atrás nem mesmo ligando no SAC), pelo tempo programado (ex: 1, 2 dias sem transação alguma ser aprovada).

  1. Opção de não rolar transação alguma em horário a ser definido.

  2. Fornecimento de cartão físico sem numeração, mas sem exigência do Ultravioleta, de investimento mínimo ou mensalidade. Eu defendo que seja obrigatório pra todo mundo, o BACEN devia ver isso. Aí os custos dos bancos pra oferecer essa alternativa cairiam. Ou no mínimo que o cartão numerado fosse cobrado (o inverso de hoje).

Poderia também ocultar o nome do dono, ou abreviar tudo.


FUNCIONAMENTO DO APP SEM PROTEÇÃO


O app do Nubank consegue funcionar em celular Android (testei no Xiaomi Mi 9 SE) e creio que iOS sem que ambos tenham proteção interna de app de TouchID ou código pra desbloquear o smartphone/tablet.

No entanto eu já cheguei a ver um banco que se recusava a pegar caso isso não estivesse habilitado. Ele sequer logava.


SEM PROTEÇÃO TAMBÉM SIGNIFICA LONGO PERÍODO SEM DESLOGAR


Uma falha comum de apps bancários é não deslogar a pessoa após X minutos, mantendo o app acessível 24h/dia mesmo após desligar totalmente o celular. Todo internet banking, email ou serviço desloga a gente ainda que salvemos cookies e tudo mais, caso lide com dados sensíveis.

Isso evita em primeiro lugar que ao ter o celular roubado o ladrão consiga imediatamente ver o que se passa dentro do app.

No caso do Nubank eu descobri que o longo período sem deslogar acontece ao menos no Android (iOS não analisei), caso não exista proteção interna alguma ATIVA. Esse TouchID/FaceID e código pra desbloqueio do iPhone (e Android) são usados por todo app bancário. Mas se você desligar tudo aparentemente o Nubank fica de boa logado o tempo todo.


SEGUNDO APP PARA MÉTODOS DE RECUPERAÇÃO


Todo app bancário (99% pelo que eu vi) é dependente de email cadastrado ou de celular vinculado também, se vc esquecer a senha. Ou quiser receber a fatura e demais comunicados.

10 em cada 10 casos a pessoa tem o app invadido e a conta controlada totalmente, acontecendo o golpe. Porque ela deixa os 2 meios de recuperação escancarados no aparelho, acessíveis. E não adianta por PIN no chip, pois o celular só pergunta o código ao ser reiniciado, ou se vc tirar de um aparelho e por em outro. Se o iPhone for pego desbloqueado o SMS (por ex.) vai estar acessível.

O email eu não deixo mais logado no meu tablet. Botei um inteiramente novo no meu Nubank. E celular uso chip #2, com PIN e desligado, em casa.

O Nubank é ruim nesse ponto, porque ele devolve a conta de senha esquecida apenas se escorando no email e celular cadastrados.


O QUE RESOLVERIA O PROBLEMA DO EMAIL E CELULAR


Primeiro: não haveria mais email e nem celular cadastrados na conta de ninguém. Os atuais seriam apagados.

Caso quisesse cadastrar o cliente teria de PAGAR uma mensalidade pra usar o sistema antigo.


Próxima mudança: um segundo aplicativo, exclusivo para recuperar a senha de acesso do app de internet banking (conta/cartão), receber fatura, novidades, senha de cartão e/ou transacional de PIX… Gratuito.

Esse segundo app a gente entraria pela primeira vez nele desse jeito:

  • Inserindo tudo isso:
  • Nome completo seu e da sua mãe;

  • Data de nascimento

  • CPF

  • Número de RG ou CNH + data de expedição e órgão (não aceitará só número)

  • Numeração do cartão (caso o sistema antigo ainda exista, do contrário se todo mundo não tivesse não seria exigido)

  • Selfie complexa igual a do app GOV.BR

  • Selfie ao lado do documento de identificação

  • Talvez pedir selfie com folha em branco assinada 5x, similar ao que se vê no RG

  • Tirar foto da frente e verso do documento

  • Comprovante de residência (aqui é questionável se seria exigido ou não, pois às vezes a gente não tem ou envia no de outra pessoa)

  • Endereço onde mora, cadastrado previamente no app #1. Caso tenha mudado algum tipo de comprovante seria exigido.

Depois que todos esses dados fossem enviados o app geraria um protocolo tipo assim:

2367283sDv

Que após X minutos seria automaticamente apagado do app. O usuário seria OBRIGADO a anotar e salvar em algum lugar seguro.

O Nubank teria de conferir manualmente se TODOS esses dados bateriam com os do cadastro. TODOS.

Após um prazo mínimo de 24 ou 48 horas é que se conseguiria entrar na conta. Ainda que a checagem levasse 30 minutos pelo atendente do NUBANK vc seria obrigado a esperar isso tudo. De novo: um timer dentro desse segundo app.

Durante esse tempo vc pode digitar o protocolo e ver se seu pedido pra entrar foi aprovado. E quanto tempo falta.

Caso não tenha sido aprovada sua entrada o app teria de informar onde está a divergência, ou mandar fazer tudo de novo.

Se fosse obrigado a enviar tudo de novo a espera de 24/48h recomeçaria de novo também!

Uma vez que tudo esteja OK e o tempo tenha passado eu vou lá e digito o protocolo. Aí (finalmente) o segundo app vai pedir pra eu criar senha forte. Alfanumérica, que misture letra maiúscula/minúscula, número e se quiser símbolo. Igual ao que o app de internet banking faz.

Essa senha seria usada pra logar nesse app #2.


MAIS CARACTERÍSTICAS DO APP #2


  • A senha não pode ser a mesma do app #1. Sim, daria pra internamente comparar as duas, o sistema do banco é capaz disso. Logo use 2 fortes.

  • Dentro desse app você é capaz de resetar a senha do app #1, aquele principal, da sua conta corrente/cartão. Basta colocar “esqueci minha senha” no app #1. Uma mensagem com um código aleatório seria enviada pro app #2.

Nunca mais seria enviada pra celular (SMS) ou email do cliente.

Bastaria digitar esse código temporário (válido por X minutos) no app #1 e criar uma nova senha.

  • O app #2 apagaria essa mensagem após X minutos também. Se autodestruiria.

E se esquecer a senha do app #2 também? Basta repetir aquele processo todo de enviar selfie e demais dados, como RG/CPF, data de nascimento, etc.

  • O app #2 funcionaria igual ao app #1 no tocante ao TouchID e código (senha) obrigatórios se ficasse SEGUNDOS INATIVO. Ou seja, se vc começar a usar o app #2, minimizar a tela e voltar pra ele, vai pedir pra autenticar de novo.

O app #1 do Nubank já funciona assim. Se vc não botar a digital ou digitar a senha (de novo) vc não consegue mais voltar pra ele.


UTILIDADES DO APP #2


  • Recuperar a senha do cartão, caso esqueça. Aqui é questionável se ele deve informar a verdadeira (e a mensagem se autodestruir após X tempo) ou enviar uma autorização remotamente pro app #1, pra vc poder trocar.

  • Mesmo esquema pra senha de autorização de PIX.

  • As faturas também seriam enviadas pra ele.

  • O app #2 é como se fosse um servidor de emails. Mas ele não pode encaminhar mensagem ALGUMA. Essa função estaria desligada. Exceto pra faturas, mas essas estariam protegidas por uma senha forte, que se você esquecesse também seria enviada pra ele.

  • O NUBANK não usaria mais os 5 primeiros dígitos do CPF pra virarem senha da fatura. E no corpo da mensagem não falaria sequer o primeiro nome do cliente.

Outra falha óbvia a meu ver, pois o número apenas do CPF pode estar comprometido. E se o ladrão acessar o PDF poderia coletar mais dados (tipo nome completo e endereço da vítima, boletos de fatura costumam revelar de tudo).

Seria possível vc mesmo configurar a senha do PDF da fatura. Ou uma aleatória seria usada, e numa mensagem separada (não a mesma) o NUBANK informaria pra pessoa.


Acho que é isso… outro ponto: para contestar faturas e demais comunicações entre o cliente e o banco seria exigido também que fosse feito pelo app #2.

Pelo app #2 daria pra abrir um ticket.

Pelo 0800 do SAC ainda daria pra resolver algumas complicações, mas não da forma liberal como funciona hoje.


EMPRÉSTIMO


Alguns clientes disseram que quando rolam golpes em alguns bancos o ladrão solicita empréstimo, que cai na conta rapidamente. Por padrão eu aconselharia que isso ficasse desligado totalmente (ainda que o app avise que tem disponível tipo R$ 12 mil pra vc) e só fosse autorizado após um período mínimo de 24 a 48 horas, e de novo entraria o que falei sobre:

  • Período máximo ser até mesmo maior (frustraria sequestros também)

  • Irreversível de mudar o prazo máximo mesmo que digite senha ou reclame com o SAC, uma vez que vc tenha concordado com a irreversibilidade.

Fora isso deveria ser exigido algo a mais pra requerer empréstimo, como toda aquela burocracia pra entrar no app #2. Ou ainda de se assinar (com Apple Pencil ou então escanear uma folha assinada de caneta) dizendo que concorda. Algum tipo de burocracia tem de existir, e não acho que deveria mais ficar 24h/dia ativa essa opção no app, sem a gente poder desativar ou engessar. Isso é perigoso.


OCULTAÇÃO DOS SEUS DADOS PESSOAIS


Não adianta o Nubank oferecer proteção interna de código/TouchID de forma imediata e ao mesmo tempo não esconder pro dono da conta dados íntimos dele, sem pedir senha de novo.

O Nubank peca em revelar sem exigência alguma:

  • O endereço residencial

Existem bancos que escondem tudo, e pedem no mínimo a senha do cartão pra revelar. Eu diria também pra esconder email e número do telefone, mas como sugeri pra abolir os dois não vou mencionar.

Por favor
Se alguém conseguir ler o texto todo
Faz um resumo

4 Likes

Ainda preferia um Seguro Sequestro, Resgate e Extorsão como proteção para ficar tranquilo.

11 Likes

Resumo do que foi proposto:

  • PIX com possibilidade de esperar quantos dias o cliente quiser pra alterar limite ou pessoas cadastradas (prazo máximo, não o mínimo);

  • Espera de aumento de limite/pessoas irreversível (sem voltar atrás botando senha ou ligando no SAC), também se vc configurar assim;


  • “Empréstimo” igual ao PIX nas configurações. Daria pra desligar na hora e/ou só religar após X dias. Ou no mínimo com burocracia, não queremos ladrões pedindo R$ 10 mil e em 2h entrando na conta, né?

  • Ocultação do tempo que falta pra mudanças do PIX automaticamente (pelo app), após X segundos;

  • App obrigando a usar biometria e/ou código de desbloqueio pra poder ser usado;

  • App deslogando automaticamente após X minutos (OBS: isso não rola atualmente);

  • Métodos de recuperação da senha do app por meio de segundo app (com exigências de envio de selfie e documentação pra vc criar senha dele), nunca mais por email ou celular do cliente. Essa falha aqui é a número #1 que possibilita golpes;

  • Segundo app usado exclusivamente para envio de tickets, recuperar senha do app de internet banking, senha de cartão, senha de mudar PIX, e faturas. Sem encaminhamentos pro email do cliente. E mensagens autodestruíveis.

  • Faturas com senhas fortes, e possibilidade de encaminhar pro seu email (ou extrato por período);


  • Cartão de crédito com bloqueio automático temporário, após X compras naquele dia;

  • Requerer senha pra desbloqueio temporário (físico);

  • Bloqueio temporário por X dias ou horário específico. Também com opção de irreversibilidade;

  • O BACEN devia acabar com cartão numerado (mas não podiam cobrar). Ultravioleta é assim;

  • Sem nome completo no cartão de crédito;


  • Pediria senha pra exibir seu endereço de casa dentro do app principal.

Basicamente é isso.

Não vou citar nomes, mas tem banco aí que sequer pede senha pra fazer PIX (Nubank pede), e sequer desloga após vários minutos TAMBÉM, na verdade só pede TouchID quando vc loga a primeira vez (Nubank pede sempre que vc retorna ao app, caso saia dele). Tão ligados que MINUTOS é o tempo que o ladrão leva pra hackear tudo, né?

O Nubank deixar de deslogar após um tempinho é uma falha gravíssima que já deveriam ter ajeitado.

E meios de recuperação é desnecessário dizer que em 100% dos casos de roubos estão sempre comprometidos.

Existem diversos fatores que tornam esse horários mais propícios a ação de criminosos e por isso a limitação de valores especificamente neles.
Em sua maioria os sequestros eram realizados para obrigar as vítimas a realizar saques ou compras com o cartão de débito/crédito, raramente eram realizadas transferências.

1)Só é possível realizar TED até 17h de um dia útil
2) O Pix funciona 24/7
3) Maior utilização do sistema bancário pelas organizações criminosas, com uma certa "facilidade na abertura de contas por meio digital, já que não tem nem que pegar mais um fila enorme e não é mais necessário uma falsificação razoável de um documento.

É uma questão de avaliação de risco, existem ruas que passo normalmente durante o dia, de noite prefiro outro caminho, quando chego de tarde da noite olho bem a rua antes de abrir a garagem e guardar o carro, raramente faço isso de tarde.

Não é um problema tão grande, e os tempos mínimos e máximos tem razoabilidade, são mais para evitar um prejuízo maior do que para evitar qualquer prejuízo, pois para obter mais dinheiro o sequestrador teria que manter a vítima por no mínimo 24 horas e muito provavelmente sua ausência seria sentida ou a pessoa notaria que não está mais no controle da sua conta e sim um hacker.
Acho que o BC quis deixar os bancos com uma margem para decidir cliente por cliente ou até mesmo deixar de forma aleatória esse aumento.

Sim, é um ponto de vulnerabilidade, e agora com a imposição do BC isso só vai poder ocorrer no mínimo depois de 24 horas da solicitação.

Ou o ladrão as minhas, no caso dele não levar a minha decisão na esportiva. Fora a própria pessoa configurar isso sem querer ou de forma desatenta, perder alguma boa oportunidade e depois culpar o Nubank.

Essas tem algum mérito.

Muito perigoso.

Isso bom, até pedirem identificação do titular do cartão.

Neste ponto eu penso que cada um deve zelar pela segurança. Existem recursos disponíveis e eles devem ser usados.

Até pode ser uma vulnerabilidade, mas existem mecanismos que reduzem o seu perigo, bastar configurar para pedir senha de bloqueio do celular ou usar applock.

Na última vez que recuperei senha pediu reconhecimento facial para autorizar o aparelho, a menos que saibam a senha de quatro dígitos ou não precisem fazer o reconhecimento para qualquer outra coisa não vejo necessidade de outro app.

Na carteira junto com o cartão, bloco de notas do celular e por aí vai…

E as contas vencendo… A instituição perdendo cliente que não entende ou não consegue seguir todos esses procedimentos ou simplesmente desiste… Seria mais fácil exigir uma videoconferência entre um atendente e o usuário para completar o procedimento.

Existem várias reclamações aqui na comunidade de empréstimos negados, pois o valor só está pré-aprovado e ainda vai ser analisado. De qualquer forma, basta que o Nubank disponibilize o valor no dia seguinte ou 24h depois de liberado que está tranquilo.

Nesse quesito o app do Nubank é o menor dos meus problemas caso meu celular estivesse desbloqueado, por isso inseri alguns recursos de segurança extras e sob coação física só resta mesmo contar com

3 Likes

@Perene você poderia sugerir essa traulitada de ideias nesse nesse tópico aqui:
:point_down::point_down::point_down:

6 Likes

Na minha opinião essa seria a solução mais adequada mesmo.

12 Likes

Acho essa aqui a solução perfeita, pois tudo que vc citou vc perderia toda liberdade com seu dinheiro e até poderia vc mesmo se prejudicar em algum momento com tantas travas e burocracias para precisar usar seu dinheiro e ou cartão.

13 Likes

Realmente seria interessante o aplicativo deslogar automaticamente depois de algumas horas.

Também seria interessante pedir a senha de acesso ao aplicativo para alterar o email ou telefone cadastrado, da mesma forma que ocorre quando você vai tentar consultar a senha de 4 dígitos. Se o celular estiver sem desbloqueio de tela e o aplicativo do nubank estiver logado, uma pessoa mal-intencionada pode facilmente alterar o e-mail e o telefone cadastrado, não pede nem a senha de acesso antes de aparecer a página de alteração. Muito perigoso isso.

Existem sites que ensinam a remover o bloqueio de tela do celular, eu conheço um que faz isso, eu fiz para um colega que me pagou uma vez até, ele tinha perdido o acesso ao e-mail da conta Google dele e, era esse email que estava registrado no celular, quando ele formatou o celular ficava pedindo a senha da conta Google. Aí eu dei uma pesquisada na internet e achei esse site:

1 Like

Verdade, as vezes, muitas travas podem acabar prejudicando o próprio cliente. Aí esse tipo de segurança, começará a ser indesejada para muitos. Muitos começarão a procurar desativá-la.

1 Like

Essa questão de deslogar após um tempo vocês podem analisar por si mesmos se tiverem celular ANDROID (não vi em aparelho APPLE, mas com certeza a falha está lá).

Façam o seguinte: tirem todas as travas do aparelho (é aparelho, não app). Não vai pedir mais senha pra desbloqueio, não pedirá mais digital (eu até tirei do XIAOMI porque estranhamente o “TouchID” ora funciona, ora não, é uma droga, vai ver é coisa do dedo escolhido, já o do iPAD pega 100% das vezes).

Nesse teste o celular tá entrando direto.

O Nubank (e alguns outros bancos) estão logados já nesse aparelho. É você abrir o app e já ver tudo que quer.

Só que não dá pra ligar bloqueio de código ou TouchID NESSES BANCOS porque aplicativos são 100% dependentes disso também estar ativo pra abrir o celular. Meio óbvio, não é?

Em seguida mandem fechar de forma forçada o aplicativo bancário. A gente faz isso tanto em Android como em iOS desse jeito:


  1. Em primeiro lugar, clique duas vezes no botão HOME para abrir o alternador de aplicativos rápido.

  2. Em seguida, vá para o app que você deseja encerrar.

  3. Deslize para cima o app que você deseja desligar, com o dedo 'jogue ele pro alto" e para fora da tela.


Isso é o que a gente chama de “forçar fechamento”. No Android tem um botãozinho no formato de QUADRADO, que é igual ao botão HOME do iPhone/iPAD.

Se vocês forçarem fechamento (ou não) NÃO VAI FAZER DIFERENÇA. Se vocês desligarem esse Android e 1 semana depois religarem e abrirem o app do Nubank ele ainda estará logado.

O que era pro app fazer? Era pra ele (atenção) DESLOGAR após questão de minutos. Vejam bem: EU FALEI MINUTOS, nem mesmo HORAS.

Se vocês entrarem num serviço de email, num site onde se formulam queixas, na página da Anatel, onde quer que seja, e especialmente num internet banking, não existe essa de ficar logado pra sempre.

Quer dizer, existe, no Youtube e pelo PC, por exemplo, mas só porque o Google permite cookie persistente, e viver logado. Mas se você usa um banco isso jamais pode acontecer, porque é uma falha de segurança grotesca.

Quando um app bancário fica logado por muito tempo sem voltar a pedir sua DIGITAL ou mesmo código pra destravar isso já dá tempo suficiente pra (caso seu iPhone seja roubado) do ladrão ENTRAR no aplicativo e causar o estrago.

Já teve vítima com a conta totalmente zerada dessa forma. Pois tem banco aí que sequer pede senha pra fazer PIX (sim, existe senha de transação também, caso não saibam, e o Nubank usa a senha de 4 dígitos do nosso cartão). O ladrão entra lá, manda fazer PIX de R$ 10 mil pra ele, e 2 segundos depois o $$$$$$$ vai embora.

Só que ele não conseguiria fazer NADA se o app já tivesse deslogado após um período de inatividade. Eu acho que o cliente poderia até mesmo configurar esse tempo.

Após deslogar é só botar a senha do app e entrar de novo. Simples, não?

Mas o Nubank não tá fazendo isso. Tá deixando logado 24h/dia. Isso aí tem que ser consertado.

Quando eu falei que tem app bancário que não funciona se o celular não tiver código de desbloqueio e/ou Touch/FaceID é porque eu não usava nada disso no meu iPAD (e aí não tô falando de ANDROID mais) e fui obrigado a ligar porque senão o app se recusava totalmente a LOGAR.

Vocês não leram errado: o app não entrava mais na conta sem que isso estivesse ativo. Era de outro banco.

O Nubank não é assim: biometria e/ou código são 100% opcionais.

É por isso que eu defendo que o app do banco começar a forçar os dois também seja uma melhoria colocada na mesa.

Quando o Nubank tem biometria/senha ligados (dentro dele) a proteção funciona tão bem que se você sair do aplicativo do banco (minimizando ele) e for olhar outra coisa, e 5 segundos voltar pro app do Nubank, ele vai pedir que vc bote a digital ou digite o código de novo.

É assim que um app bancário protege um cliente, e não aberto pra qualquer um entrar 24h/dia. Eu comparo essa falha a você deixar a porta da sua casa escancarada o dia inteiro. Vai dar ruim.

1 Like

Eu acredito que o questionamento pode fazer sentido. Mas deve-se considerar que essa decisão de manter o app sempre logado foi uma decisão consciente do Nubank, para melhorar a experiência do app.

O número de fraudes que se aproveitam disso é relevante? Acredito que eles se orientaram a dados antes de tomar essa decisão. Não deve ser um número relevante.

Exigir sempre a senha para abrir o app pode estar associado ao usuário colocar senhas fracas e fáceis de lembrar. É mais seguro ter uma senha grande e ficar sempre contectado no seu dispositivo confiável.

Não ter senha no celular é um perigo de qualquer forma. O attacker tem acesso ao seu e-mail, SMS, whatsapp, etc. É melhor ter senha e biometria pra entrar no celular e no app do Nubank.


Lembrando que a senha é solicitada antes de efetuar operações.

1 Like

Para quem prefere deixar o app deslogado, dá pra sair manualmente no app sempre que quiser.

Eu sei que dá. Mas perceba que o app deslogar após X minutos é uma forma da instituição bancária agir perante a inércia do cliente que não se liga que ao sair na rua ele tem que mandar deslogar esse app. Ou você faz isso ou vc liga a biometria/código dentro do app.

O deslogamento do app é totalmente desnecessário se você já ligou a proteção interna dele. No caso de iOS vc configura internamente pra poder abrir apps com biometria.

Mas todo banco precisa, sim, deslogar por inatividade. Quando vc usa esses bancos pelo PC não existe login que dure mais que minutos. Eu já cansei de ver bancos grandes deslogando automaticamente também.

Eu achei o app bancário que me obrigou a ligar TouchID/código no iPAD babaca, pois liga isso daí quem quer. Eu por ex. nunca quis ativar, porque esse aparelho específico eu só uso em casa. Mas se a gente parar pra pensar o risco já é alto com código, imagina sem.

Na verdade usar TouchID/código pra desbloquear seu celular de forma alguma garante proteção (falsa sensação de segurança), pois você sempre corre risco de ser roubado com tudo isso destravado.

Se a gente for parar pra pensar, é como se a porta de casa tivesse trava automática após 1 minuto, “religando” o cadeado dela. Ou o portão de garagem que após 1 minuto aberto fecha automaticamente.

Mas vc pode ser rendido pelo bandido assim que botar o pé pra fora.

No entanto isso significa que vc deve abrir mão dessas proteções? De forma alguma, é lógico. Elas existem pra dificultar a ação dos ladrões. Em um prédio temos câmeras, existe coleta de impressões digitais, algum morador pode ter visto…

Pra mim a falha mais grave (e isso de 99% dos bancos) é nos meios de recuperação.

O que eu fiz pro meu Nubank foi mandar trocar o email dele e o celular.

O erro do Nubank é recuperar o acesso a sua conta por email/celular cadastrados.

Se vc deixar logado seu email em qualquer lugar do aparelho assim que ele for levado pelo ladrão é só ele botar “esqueci minha senha do Nubank” e criar outra por lá.

Uma vez que ele faça isso já terá controle total da sua conta corrente.

E o email pode não estar logado e não haver qualquer traço dele no aparelho. Aí o ladrão invadirá outra coisa: esse email, mandando recuperar a senha pelo celular cadastrado NELE.

Celular vc não pode usar apenas 1 chip. Pois o código PIN só é requisitado ao ligar o aparelho, ou reiniciar. Se o iPhone foi roubado travado o ladrão apenas retira o chip e liga em outro aparelho, e aí começa a vasculhar onde foi que vc vinculou esse chip.

Ele pode tirar até mesmo o PIN se roubou seus documentos, ou descobriu dados básicos como CPF, nome, data de nascimento, dentro do iPhone. E emails pessoais estão cheinhos dessas informações. Até mesmo a conta do GOOGLE o pessoal coloca eles. Se vc fez superchat seu perfil de pagamentos informa até o endereço da sua casa.

É por isso que eu sou totalmente contra bancos usarem email e celular como forma de recuperação. E por isso que falei a respeito de segundo app pra recuperar a senha daquele de internet banking.

No meu Nubank eu cadastrei segundo chip, botei PIN diferente nele (mude aquele de fábrica, que a operadora usa) e só deixo desligado. A cada 2 meses boto R$ 10 de crédito. Não tem como levar pra rua.

Justamente porque a maioria das pessoas não protege email e celular (usando outro chip pra por nos cadastros) é que faz tanto sentido a ideia de segundo app.

Olhem isso:


‘Consigo desbloquear todos os modelos de iPhone’, diz criminoso que invade contas bancárias
Integrante de quadrilha disse a policiais usar chip em aparelho em outro para baixar informações da nuvem; Apple não comenta

(…)
Conforme o delegado Fabiano Barbeiro, responsável pela prisão da quadrilha, a técnica usada pelos criminosos era muito mais simples do que poderia imaginar todos os técnicos –ao menos a técnica utilizada pela quadrilha. “Em resumo, ele não tem nenhum grande esquema de desbloqueio do iPhone.”

De acordo com Barbeiro, para conseguir o desbloqueio dos aparelhos, ele retirava o chip do aparelho furtado e inseria-o em um outro aparelho desbloqueado. Na sequência, passava a fazer pesquisas nas redes sociais (especialmente Facebook e Instagram) para saber qual conta estava vinculado àquele número de linha.

Na sequência, passava a procurar o endereço de email que a vítima utilizava para fazer o backup do conteúdo do aparelho, especialmente em nuvens a iCloud e Google Drive, procurado primeiro pelas extensões gmail

Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas à palavra “senha” e, segundo ele, obtém geralmente os números e acesso do celular e das contas bancárias.

Ao obter essa informação, devolve o chip ao telefone celular da vítima e, com as senhas em mãos, repassa o aparelho para membro da quadrilha responsável pelo acesso às contas e pela transferência de tudo o que conseguir para contas bancárias de laranjas.
(…)


Já que ninguém protege o próprio email e só usa um chip, e a ideia de comprar outro e deixar escondido/guardado em casa é tão exótica, então nada mais óbvio que parar de usar email/celular caso vc esqueça a senha do app do Nubank.

E disseram que é necessário reabilitar o aparelho caso vc deslogue e diga que esqueceu a senha (o que o ladrão faria, pra ter controle da conta). A reabilitação implicaria mandar selfie.

Não sei onde vocês viram isso, porque no meu iPAD bastou mandar recuperar por email pra entrar de novo. E todas as opções do Nubank estavam habilitadas.

Ele não vai mandar reabilitar nada, porque o aparelho já estava liberado. Já se vc mandar recuperar em outro celular é claro que vai pedir tudo de novo.

Tem banco aí que só deixa vc entrar caso vá na agência, leve seu cartão, ponha digital no caixa eletrônico e habilite o aparelho. Mas esse é daqueles grandes. E cá pra nós isso é um saco. Era só enviar documentação e mandar selfie junto, de preferência vc tira foto com o RG/CNH do seu lado.

A respeito de trocar email/celular, outro erro do Nubank. Dá pra fazer isso no aplicativo em 5 segundos. Deveria ser proibido, tendo que enviar selfie/documentação, de alguma forma, senão basta o app estar aberto e qualquer um chegar e trocar.

Se não me falha a memória nem senha o Nubank pede pra alterar os dois. Pô, aí fica difícil, hein? Eu nem toquei nesse ponto, pois defendi a exclusão de email/celular da nossa conta, já que comentei sobre segundo app só pra essa finalidade.

Como os colegas falaram é preciso sopesar essas questões e ver até que ponto isso ajuda ou atrapalha.
Ao meu ver são muitas travas/empecilhos que acabam dificultando algo que era pra ser simples e fácil.
Na parte digital (online/hackear) os problemas são em sua esmagadora maioria oriundos de engenharia social, isto é, não envolvem falhas no sistema em si. Afinal os bancos investem muito dinheiro continuamente pra que o sistema possa ser o mais seguro possível e perene. Na parte física (assalto/sequestro) é questão de segurança pública e nessa parte se pode criar mecanismos pra tentar coibir essa questão.
No entanto, no frigir dos ovos eu concordo com os demais quando se diz que a solução mais viável considerando todos esses pontos seria um seguro.

1 Like

Quem quiser ligar essas opções liga, quem não quiser, não liga, é simples.

Ninguém tá sugerindo forçar isso goela abaixo pra 100% dos usuários. Veja que eu falei sobre usar uma coisa ou outra.

É igual ao que foi dito sobre PIX: o Banco Central levou quase 1 ano pra pensar sobre só fazer PIX pra pessoas cadastradas. Pra levar pelo menos 24h pra aumentar limite, e por aí vai.

Mas favoritos cadastrados sempre existiu pra TEDs e DOCs.

Disseram que foi porque os assaltos aumentaram pelo PIX. Mas os roubos só surgiram agora em 2021? Não. Sempre existiram hackers e golpistas, existem trilhões de maneiras deles agirem.

O que eu sou a favor é disso: mais opções. A pizza pode ser de muçarela ou calabresa, o sorvete de morango, chocolate ou baunilha.

Mas o PIX precisa ser libera geral, se não fizer de R$ 10 mil e pra qualquer pessoa desconhecida, então não presta.

Quem quiser botar trava de vários dias pra liberar recursos no banco coloca, quem quiser libera geral ou resolver em 1 dia que assuma os riscos.

O que não dá é libera geral pra 100% e ponto final. É só o trabalhinho de modificar o app.

Sobre alguns comentários


Existem diversos fatores que tornam esse horários mais propícios a ação de criminosos e por isso a limitação de valores especificamente neles.


OK, mas vc concorda comigo que restrição de horário não inibe a ação de criminoso? Se vc capar de noite ele vai roubar de dia, e vice-versa. Se vc mandar bar fechar a noite em meio a pandemia não vai impedir aglomeração de dia. Se mandar fazer rodízio de carro em pandemia todo mundo vai se amontoar em ônibus.

E até onde eu olhei isso é um limite irreversível que não dá pra mudar nem se vc quiser.


Em sua maioria os sequestros eram realizados para obrigar as vítimas a realizar saques ou compras com o cartão de débito/crédito, raramente eram realizadas transferências.


Peraí, se nos sequestros podem:

  • Fazer compras por cartão
  • Saques em caixas (OBS: nunca fiz com o Nubank, e não é porque tem taxa, é algo que nunca usei, e tenho C/C e cartão há ANOS)
  • Transferências ou pagar boletos

Por que vocês são contra que o dono da conta bloqueie alguns ou todos os serviços por X tempo, e sem chance de voltar atrás?

Você acha sinceramente que esperar no mínimo 24 e máximo 48h vai adiantar?

E pior: alterar o que o cliente quiser antes desse 1 dia?

Por que eu não posso ter o direito de impedir transações com meu cartão pelos próximos 2 dias? Meu bloqueio temporário vive ligado depois que eu li um caso de clonagem (ou algum hack) em que a vítima nunca tinha nem tirado da gaveta e fizeram compras não autorizadas.

Logo por que o banco não reativa o bloqueio se eu fizer 1 compra naquele dia? Ou 2, 3? Eu vou ter que me arriscar abrindo o iPhone na rua só pra botar o cadeado de novo?

Eu sei que pode rolar chargeback e geralmente esse termina com final feliz, mas nem sempre, e ainda assim é dor de cabeça.

Eu já li um caso de que um aposentado teve a numeração do cartão copiada após fazer uma compra num estabelecimento. Se o bloqueio voltasse após 1 compra isso jamais teria ocorrido.

Idem pro BACEN obrigar 100% dos bancos a emitirem cartões sem numeração. Quer consultar a sua, abra o app, ela está lá.

É tão ridículo cartão vir numerado quanto vc tatuar seu CPF na testa. O complicador é que o Nubank oferece o Ultravioleta, mas ele é pago mensalmente ou requer investimento alto.


Não é um problema tão grande, e os tempos mínimos e máximos tem razoabilidade, são mais para evitar um prejuízo maior do que para evitar qualquer prejuízo, pois para obter mais dinheiro o sequestrador teria que manter a vítima por no mínimo 24 horas e muito provavelmente sua ausência seria sentida ou a pessoa notaria que não está mais no controle da sua conta e sim um hacker.


Notar que sua conta foi hackeada não é fácil pra quem tem em vários bancos. Eu teria que ficar logando em todos eles e todo dia. Apesar que no meu caso eu só deixo $ em um. E não duvide que podem manter alguém sequestrado por DIAS até o $ ser liberado. É por isso que falei em aumentar o prazo máximo, mediante sua solicitação.

Só que precisa haver prazo maior e não ter como alterar isso, uma vez vc concordado.

Senão vira esculhambação.

Por exemplo: eu nunca fiz saque nessa conta. E eu fazer PIX em valor alto ou pra uma pessoa totalmente desconhecida é um evento tão raro quanto eclipse solar.

Se eu quiser deixar as 2 coisas travadas e ter de aguardar 5 dias, não posso? Como falei deveria haver um “timer” oculto no app, pra ver quanto tempo falta. Nem precisa de atendente habilitar isso de forma manual. Claro, oculte e exija senha pra revelar quando, pois senão o ladrão intercepta justo nesse momento.

Quando vc fizer o que pretende basta reativar o bloqueio.

Vocês não são a favor da pessoa se programar? É pra liberar geral e fazer tudo de forma rápida e rasteira? Deixar tudo ligado 24h/dia?

O tempo é o maior inimigo dos ladrões.


Verdade, as vezes, muitas travas podem acabar prejudicando o próprio cliente. Aí esse tipo de segurança, começará a ser indesejada para muitos. Muitos começarão a procurar desativá-la.


Existe limite imposto, como aquele de R$ 1000 do Banco Central entre 20 até 6h, e existem LIMITES AUTOIMPOSTOS.

Existe burocracia ruim, e existe “burocracia boa”. Essa última se não existir vira escracho (ex: conseguir recuperar conta só enviando código pra email/SMS é muito pouco, na verdade é não haver burocracia NENHUMA).

Celular é comprometedor só dele estar presente no aparelho. Pois tirado o PIN ele está arreganhado pra quem quiser olhar o SMS. É daí que surge a necessidade de comprar segundo chip, e esconder em casa. E parar de vincular o chip principal a bancos.

Quando vc recupera tão rápido e fácil vc consegue fazer tudo na conta da vítima. Você vai ter a senha do app + a do cartão/PIX.

Eu já vi banco recuperar apenas dessa forma:

  • Informe: nome completo (seu e da sua mãe) + CPF + RG ou CNH + data de expedição dos 2 (obriga vc a ter ele em mãos) + numeração do cartão + selfie (e selfie até onde sei não dá pra ladrão burlar, ainda mais se for aquela mais complexa tipo a do aplicativo GOV.br).

Existe até mesmo selfie em que vc é obrigado a tirar foto com o documento junto, segurando. Já vi app mandar tirar foto de comprovante de residência, e do próprio documento.

Eu sugeri algo além de tudo isso, que ninguém faz: esperar 24/48h pra devolver a conta, e vc ter obrigação de anotar em lugar seguro o protocolo (pra checar quanto falta e ver se os documentos foram aprovados).

Se você vai anotar em qualquer lugar e expor pra quem quiser ver aí já é problema seu. Na minha sugestão original era pra autodestruir esse protocolo após X tempo, só pra vc anotar do app.

Nem o SAC poderia informar isso.

Eu coloco todas minhas senhas, logins, numeração de cartão num arquivo de texto protegido por senha do NOTEPAD++ (infelizmente só Windows). Mas tem que ser senha forte. Ou isso ou PDF.

Se vc usar senha forte nem computador do FBI revela o que tem dentro. E se esquecer ela não dá pra recuperar o que tem nesse arquivo.


Ou o ladrão as minhas, no caso dele não levar a minha decisão na esportiva. Fora a própria pessoa configurar isso sem querer ou de forma desatenta, perder alguma boa oportunidade e depois culpar o Nubank.


Mas aí não é problema do banco. Se eu for argumentar nessa linha também vou ter de sair com iPhone 12 na rua, porque vai ter bandido se irritando porque uso Android.

Repare que com exceção de deslogar após X tempo e talvez de obrigar todos a usarem trava no celular (que vira bloqueio no app) eu não falei pra que entre uma alternativa e saia outra. Não é isso.

Eu sou contra não existir possibilidade de não dar pra reverter uma espera maior que vc mesmo configure. Isso até ajudaria a pessoa a ser responsável, e não relaxada, imediatista.

Olha só, vc poderia configurar pra reverter a qualquer momento ou não conseguir, e ter de aguardar tipo 4 dias pra fazer PIX pra um desconhecido.

Se ficasse irreversível (não muda isso nem com senha e nem ligando no SAC) ainda assim você teria meios de burlar:

  • Liberando geral PIX pro seu CPF, ou de contas cadastradas;

Aí vc faz PIX do Nubank pro banco “B”, e esse banco não teria essa trava toda.

E o Nubank também poderia colocar um aviso tipo aquele “aceite” de termos de uso que a pessoa não consegue pular 2 segundos depois que a janela pop-up abre. Ela teria de aguardar o contador de X segundos até ler o aviso.

Ou melhor ainda: coloquem 3 telas de “VOCÊ TEM CERTEZA DISSO?” antes de ativar uma espera irreversível. Se fosse “opa, apertei um botão e me lasquei” seria ruim também.


Muito perigoso.


É, aqui eu me equivoquei, pois bloqueio temporário de cartão não pode ser por horários. O meu vive ligado e eu desativo quando vou usar.


Poderia também ocultar o nome do dono, ou abreviar tudo.
Isso bom, até pedirem identificação do titular do cartão.


Tem alguns dados que jamais podem estar expostos no seu aparelho:

Nome completo seu e da mãe
Data de nascimento
CPF; RG ou CNH
Endereço da sua casa

No caso do GOOGLE eu agora só logo nesse meu tablet usando uma com nome e sobrenome falsos, idem pro dia que nasci. Isso é no perfil da conta, não boto mais a minha principal. Essa outra nunca fez superchat também. O Google Drive não tem arquivos íntimos. E GMAIL não tem nada.

Pronto, nada disso está vazando. Quer voltar a conta GOOGLE antiga? Logue e depois desconecte do aparelho, mande “SAIR”. Porém tem app que não pede TouchID/código algum pra exibir onde vc mora. Ex: Uber, iFood…

Por que o cartão tem que revelar seu nome completo? Vem cá, você precisa que o aplicativo lembre a você mesmo seus dados? Isso é tão burro quanto tatuar seu CPF na testa.

Não, ele tem obrigação de esconder e só revelar mediante senha.

É essa a razão de eu ter sugerido pro Nubank ocultar o endereço onde vc mora. Da forma como o app está hoje ele exibe sem pedir autenticação ALGUMA.


Na última vez que recuperei senha pediu reconhecimento facial para autorizar o aparelho, a menos que saibam a senha de quatro dígitos ou não precisem fazer o reconhecimento para qualquer outra coisa não vejo necessidade de outro app.


A ideia do segundo app é apenas pra envio da senha caso vc esqueça a do primeiro. Ou pra enviar faturas e extratos de períodos. Ou pra vc mandar tickets e não correr risco de resolver tudo pelo SAC em que o atendente não tem como saber se você é você mesmo.

Você poderia até desinstalar o app #2 se quisesse, não faria falta.

O que não dá (e aí vc tem de concordar comigo) é pro Nubank recuperar enviando pra GMAIL e celular desprotegidos, e pior: fatura que é aberta apenas digitando os 5 primeiros dígitos do seu CPF.

Aí o ladrão olha seu CPF dando sopa, abre esse PDF e já descobre seu nome, onde vc mora…

E tem outro ponto importantíssimo: esse segundo app destruiria totalmente as mensagens enviadas pra ele. É pra dar tempo de vc ler por X minutos.

O Nubank não tem como garantir que seu email não seja comprometido e as mensagens vazem.

Quem garante que o ladrão ao sequestrar sua conta de EMAIL não mande ela redirecionar pra outro servidor (os emails) sem vc saber, envie alguma mensagem, e delete pra vc não perceber?

O app #2 vc só conseguiria entrar NELE se enviasse aquela penca de documentos + selfie no final, e ainda por cima esperasse aquelas 24/48h.

Não tem como isso aí não dar certo, já a maneira tradicional não tem como NÃO DAR ERRADO.


E as contas vencendo… A instituição perdendo cliente que não entende ou não consegue seguir todos esses procedimentos ou simplesmente desiste… Seria mais fácil exigir uma videoconferência entre um atendente e o usuário para completar o procedimento.


A conta estar pra vencer e tudo ser invadido é como comparar uma formiga e um elefante no quesito importância. Eu garanto que a perspectiva de ter a sua ZERADA nem se compara.

Você pode até mesmo entrar com queixa no BACEN ou Ouvidoria e alegar que entrou com requisição pra recuperar a senha do app, e ela não foi atendida no tempo previsto ou o app deu problema, qualquer coisa assim, e de forma emergencial o banco enviar algum código de barra (se for da fatura). Ou pode colocar no débito automático.

O que não pode acontecer é vc alegar ignorância da necessidade de confirmar que vc é você mediante o envio daquela lista toda: nome, CPF, RG/CNH + data de expedição, nome da mãe, número do cartão, selfie…

Na boa, se não dá pro cliente do banco fazer isso e aguardar 1x na vida pra recuperar uma senha, é melhor desistir mesmo e deixar os ladrões fazerem a festa.


Existem várias reclamações aqui na comunidade de empréstimos negados, pois o valor só está pré-aprovado e ainda vai ser analisado. De qualquer forma, basta que o Nubank disponibilize o valor no dia seguinte ou 24h depois de liberado que está tranquilo.


Eu sei dos empréstimos negados, mas vc concorda que não pode virar várzea e aprovar de qualquer jeito, e rapidão, certo? E tem um problema: tem banco aí que se nega a retirar essa opção do app.

Ela estando lá acarreta risco, pois já rolou SIM caso de quem teve o aparelho levado, o empréstimo caiu e o ladrão transferiu pra conta dele.

Você ter que abrir chamado com o Nubank pra tirar isso do app não faz sentido. Pelo menos deixem lá, mas coloquem exigências pra sequer enviar o pedido (pra confirmar quem tá fazendo isso, se é o cliente mesmo), e uma espera mínima, ninguém tá sugerindo algo de outro mundo.


Nesse quesito o app do Nubank é o menor dos meus problemas caso meu celular estivesse desbloqueado, por isso inseri alguns recursos de segurança extras e sob coação física só resta mesmo contar com


Se vc sai com o aparelho na rua vai querer usar, e já vai desbloquear. Se deixa em casa podem entrar e levar também.

O que é pra fazer? Deixar a porta de casa aberta e não trancar, não usar cadeado? Não.

Mas se você deixa seu aparelho com absolutamente tudo que possa ser usado contra vc (tipo foto do seu RG escaneado e ali em “FOTOS”) aí lamento, mas a culpa já passa a ser sua. Não pelo roubo, mas por não ter tomado cuidado, uma vez avisado do que isso implica.

Já se o banco quer forçar 100% dos clientes a poderem fazer PIX do valor que quiserem e pra quem for, mesmo podendo podar isso oferecendo opções no app, aí a culpa é deles.

Tem banco que eu já vi que sequer tem bloqueio temporário.

Cadê o Banco Central pra começar a obrigar oferecer certas coisas? Estão dormindo, pelo visto.

Quem quiser ativar certas opções, ativa, quem não quiser usa tudo de forma mais relaxada e aí é final feliz pra todos.