Demandas aos Bancos (Rotos) via Internet
Alexandre Oliva
Nas últimas duas décadas, tenho comprado várias brigas com bancos brasileiros por conta de suas ameaças à minha liberdade de software em seus serviços bancários virtuais. Em 2002, as maiores ameaças eram sítios web que exigiam Internet Explorer ou o plugin Java, então ainda privativo, e havia suficientes alternativas sem tais exigências abusivas. Hoje em dia, início da década de 2020, a maior parte dos bancos exige que usuários instalem malware de teatrinho de segurança e portem tornozeleiras de bolso, e os que abrem, a pedido, exceções ao malware estão ficando cada vez mais difíceis de encontrar. Antes de ficar sem alternativas a essas práticas bancárias moralmente rotas, comecei a tomar medidas legais para defender minha liberdade usando direitos de consumidor.
Armadilha Java
Fui um feliz cliente do Banco do Brasil até meados de 2001, quando adotaram um applet Java para autenticação. A VM Java só se tornou software livre anos depois, mas mesmo que a Armadilha Java já tivesse sido desarmada, o próprio applet era um programa não-livre que eu teria de rodar no meu próprio computador, análogo à Armadilha JavaScript que se tornou um problema grave mais tarde.
Ambos esses requisitos eram inaceitáveis para mim, e informei ao banco em termos inequívocos. Durante algum tempo, mudar o identificador de User-Agent com que o navegador se apresenta, para parecer estar rodando um sistema incompatível com Java, funcionou como contorno. Quando isso foi bloqueado e ficou claro que não haveria outros contornos, levei minhas operações para bancos em que esses requisitos abusivos não eram impostos.
Teclados virtuais em JavaScript
Banespa e Real, ambos agora parte do Santander, em algum momento também começaram a exigir um assim-chamado programa de "segurança" no computador do cliente, mas ambos abriam exceções a pedido, então não precisei deixá-los para trás. Num certo ponto, também lançaram teclados virtuais para autenticação com teatrinho de segurança, e aí eu vacilei: sem GNU LibreJS para me alertar, não me dei conta de que esses também eram programas não-livres rodando no meu computador, após serem automaticamente instalados pelo navegador. Quando me dei conta, já tinha aceitado essas funcionalidades por muito tempo e as racionalizei como bobagens de leiaute no limite do aceitável, e assim continuei usando-as. Envergonho-me e lamento que o fiz; resistir lá atrás poderia ter tornado as coisas mais fáceis para todos mais tarde.
Invasão hostil
Em 2008, meu então empregador começou a pagar salários no Citibank. Experimentei e gostei de quão pouco JavaScript usava, então logo se tornou minha plataforma bancária favorita e me serviu bem por uns 10 anos, até o Itaú-Unibanco (doravante apenas Itaú) comprar suas operações de varejo no Brasil e migrar todos os clientes para seu próprio serviço de banco via Internet. Isso me trouxe dois enormes problemas: para transacionar via Internet, eles exigiam que um malware que chamam "Guardião" (na realidade, o Warsaw da Diebold) fosse instalado em computadores de mesa ou de colo, além da instalação do TRApp de Senhas Descartáveis (OTP) do próprio banco numa tornozeleira de bolso (do tipo que normalmente também faz chamadas telefônicas) para fins de autenticação.
Contorno
Alguns colegas mencionaram que mudar para FreeBSD o nome do sistema operacional apresentado pelo navegador no identificador User-Agent removeria a exigência do malware, mas a autenticação continuava um desafio. Não adiantou argumentar que meu telefone rodava GNU/Linux (meu smartphone é um Neo Freerunner há bem mais de uma década) e eles só tinham apps não-livres, para outros sistemas operacionais móveis também não-livres; nem que existiam outros apps OTP que eu usaria, nele ou noutro computador, para o mesmo fim.
Plano B
O Santander ainda funcionava pra mim, mas era bem desconfortável ficar amarrado a uma única opção, então contatei uma cooperativa bancária, o Sicredi, expliquei que eu procurava um banco que me oferecesse serviços bancários via Internet sem exigir a instalação de mais do que um navegador padrão num sistema operacional à minha escolha, que essa era a razão de eu ter deixado o Banco do Brasil antes, e de deixar o Itaú agora, e que eu era bastante sério quanto a não rodar software não-livre, a ponto de manter minha própria versão livre do programa de imposto de renda pra evitar a versão não-livre disponibilizada pelo governo. Disseram-me que poderiam atender às minhas necessidades, e que teriam prazer em me atender.
Reviravolta
Então abri conta no Sicredi, fui à agência do Itaú para transferir o saldo, e então, só então, o Itaú pensou em me oferecer um token-chaveiro em hardware para autenticação com senhas descartáveis, do tipo que o Sicredi me havia oferecido. Concluí que poderia dar uma chance ao Itaú, e não transferi tudo. Ainda bem! Voltei à agência do Sicredi, confirmei a transferência que ativou a conta, peguei o token-chaveiro, apliquei boa parte do saldo num fundo de investimento de longo prazo e fui pra casa.
Lá chegando, tentei acessar o serviço de banco via Internet e verificar tudo, para só aí descobrir que exigia a instalação do mesmo malware de "segurança" que o Itaú. Mas diferente do Itaú, não dava nem pra ver o saldo sem ele, enquanto o Itaú funcionava lindamente com o token-chaveiro e com o contorno do User-Agent.
Por algum tempo, usei FreeBSD como nome do sistema operacional para me autenticar no Itaú, mas nalgum momento tentei GNU no lugar do incorretamente chamado Linux, e também funcionou. Mais uma vez, GNU me ajudou a manter minha liberdade!
Acionando a defesa do consumidor
Ainda assim, eu me sentia inseguro, porque o contorno com User-Agent não era documentado nem recomendado. O banco até negava sua existência. Também decidiram unilateralmente parar de me mandar extratos consolidados mensais pelos Correios, o que era parte do serviço que eu havia contratado e que era bem importante para mim, já que a alternativa viável, isto é, obter o arquivo pelo serviço de banco via Internet, poderia ser cortado a qualquer momento. Então registrei reclamações contra Itaú e Sicredi junto à Fundação de Proteção do Consumidor, Procon.
Não que eu esperasse que fosse fazer muita diferença: em minha experiência, Procon somente multava violadores, o que contava como custo de negócios, e até protegeria violadores de outras reclamações minhas quanto à mesma questão.
Nesse caso, eu nem tinha certeza se o Procon reconheceria meus direitos; seus agentes não tinham familiaridade com a noção de liberdade de software, mas quando lhes expliquei em termos que fizeram sentido para agentes de defesa do consumidor, pareceram-me bastante animados. O Procon acabou decidindo em meu favor nos dois casos, multou os dois bancos, e confirmou as multas a nível recursal.
Surpresa!
Eu não esperava que bancos mudassem suas práticas em razão das multas. Confesso que fui surpreendido. Não muito depois da decisão inicial do Procon, Itaú começou a mudar seu serviço de banco via Internet. Só que não foi pra melhor.
Progresivamente, ao longo de vários anos, alguns tipos de transações deixaram de aceitar autenticação com o token em hardware, seguro e inteiramente offline, e em vez disso insistiam em OTP em tornozeleira de bolso. Depois de um tempo, começaram a exigir o malware Guardião, ou seu próprio app novo, agora disponível numa limitada coleção de sistemas operacionais, inclusive GNU/Linux/x86_64, mas ainda assim não-livre.
No momento em que escrevo, funcionalidades relevantes que notei como bloqueadas são pagamentos de contas que não tenham sido agendadas automaticamente, pagamentos de alguns impostos, transferências de fundos (TED, DOC, Pix), recebimento de transferências internacionais, faturas de cartão de crédito, ativação de novos cartões, e até atualização de informações de contato e perfil de investidor e obter o informe de rendimentos para declarar imposto de renda, tudo em nome da "segurança". Pelo menos o informe de rendimentos pode ser obtido noutro sítio web mantido pelo banco, que claramente não se preocupa tanto com "segurança".
Mas não foi tudo de uma vez. Um dia uma funcionalidade estava disponível, no outro não estava mais. Depois outra. E mais outra... Por um tempo, até resgatar de fundos de investimento (para evitar saldo negativo por conta de pagamentos agendados automaticamente) parou de aceitar confirmação com o token-chaveiro, mas pelo menos nisso eles parecem ter recuado. Não nas outras questões.
Não melhorou
Enquanto isso, Sicredi me acusou de desonestidade: não conseguiam acreditar que eu não tinha visto a informação tão clara sobre seus requisitos de software, apresentados numa página que eu não conseguia nem alcançar sem JavaScript, razão pela qual acabei entrando em contato com a agência para explicar minhas necessidades. A acusação absurda lhes valeu uma reprimenda na decisão recursal, mas não uma multa maior.
Processo
Enquanto Itaú apertava o cerco, conversei com meu advogado sobre defender meus direitos com um processo judicial. Ele não se entusiasmou muito de início, aparentemente esperando que o banco recuasse nas imposições, sem perceber então que eram impedimentos absolutos para mim, enquanto a maior parte das pessoas sequer veria ou teria ciência de que havia uma injustiça aí. Não poderíamos contar com uma reação pública para que o banco recuasse.
Teríamos de demandar do banco o cumprimento das obrigações que adquiriu junto com as operações de varejo do Citibank: não poderia mudar unilateralmente os termos, qualidade e exigências do serviço que eu havia selecionado tão cuidadosamente porque eu não usaria um serviço que exigisse software não-livre. Então, em meados de 2022, ele registrou em meu nome uma ação judicial contra o Itaú, fundada primariamente em direitos do consumidor, pedindo uma ordem judicial para que o banco oferecesse os serviços que contratei, sob as condições em que as contratei, restaurando os serviços que vinham progressivamente descontinuando.
Escolhendo as batalhas
Ironicamente, por causa da COVID-19, tive de participar de uma audiência virtual de conciliação conduzida através de software não-livre. Meu advogado se surpreendeu que até esse tipo de programa online seria problemático para mim e me convidou para participar da audiência com ele em seu escritório. Não é assim que se faz justiça, mas... essa é outra luta, que vamos ter de levar a um tribunal superior. Ele está otimista quanto aos argumentos jurídicos no processo em andamento, e ainda que não sejam exatamente fundamentados na liberdade de software, mencionamos liberdade e dignidade como direitos constitucionais que a imposição do banco viola.
Atualização 2023-02
Em fevereiro de 2023, chegou uma sentença ordenando que Itaú atenda nossa solicitação, restaurando os serviços sem exigir a instalação de programas adicionais, com uma pequena multa diária em caso de descumprimento. É uma vitória plena em primeira instância, mas meu advogado diz que os deles devem recorrer, então podemos comemorar um pouco, mas ainda não acabou.
Noutra novidade, no mês anterior Itaú mandara email avisando sobre seus novos planos de descontinuar o token-chaveiro: não forneceria novos, ainda que os já em uso possam ser usados enquanto durarem suas baterias. Com sorte, o processo vai viabilizar um acordo para que eu possa usar oathtool ou FreeOTP+.
Atualização 2023-04
Surpreendentemente, não houve recurso. A sentença é final. Resta saber se será acatada.
Procon multa Sicredi
Na semana em que o processo foi aberto, por coincidência, Procon publicou a decisão recursal do processo contra o Sicredi, e recebi contato de seus advogados tentando achar algum jeito de chegar a um acordo e evitar a multa. Escrevi e publiquei uma longa carta aberta explicando por que eu rejeitava aquele e qualquer outro programa privativo por razões filosóficas (defender minha liberdade de software por princípio), práticas (defender minha liberdade de escolher que computador e sistema operacional usar) e de segurança (a alegada necessidade de obscuridade sugere insegurança).
Reafirmei meu desejo por um serviço prestado através de navegadores padrão em sistemas operacionais quaisquer, notando a possibilidade de remover a exigência para usuários específicos, antes ou depois da autenticação, e oferecendo uma alternativa: obter documentação nas interfaces de programação em rede que seus próprios aplicativos utilizam, para que eu implemente as funcionalidades relevantes no Gnucash.
Coincidência?
Uns dias depois, eu tinha de fazer um pagamento ao meu advogado pelos seus serviços de preparação da petição inicial contra o Itaú. Fui ao sítio de banco via Internet do Santander, que tinha me servido bem enquanto Itaú e Sicredi me bloqueavam, e não pude entrar: me exigia concordar com uma assim-chamada "política de privacidade" que, além de exigir JavaScript para visualizar e não permitir impressão ou gravação do todo, contém termos abusivos sem relação com a noção de política de privacidade, ou mesmo com termos de uso empacotados junto.
A política havia supostamente sido efetivada havia quase um ano, então parecia uma coincidência incrível que viessem a exigir anuência justamente naquele momento. No dia seguinte, a exigência desapareceu, mas voltou umas semanas depois. Enquanto isso, pude fazer o pagamento, mas meu advogado brincou que ele já sabia o próximo banco que nós processaríamos.
Alguns dos termos abusivos eram o poder de escolher computadores e sistemas operacionais que os clientes teriam de usar para obter os serviços e o poder de descontinuar o serviço unilateralmente por qualquer razão, inclusive alterações à plataforma tecnológica. A suspeita de meu advogado provavelmente está correta, e comecei registrando queixa junto ao Procon concordando apenas com os termos identificáveis como política de privacidade. O banco não rejeitou meu entendimento em sua resposta, então o caso foi encerrado com o entendimento de que houve acordo, mas a luta continua.
Copyright 2022-2023 Alexandre Oliva
Copyright 2023 FSFLA
Cópia literal, distribuição e publicação da íntegra deste artigo são permitidas em qualquer meio, em todo o mundo, desde que sejam preservadas a nota de copyright, a URL oficial do documento e esta nota de permissão.