Freakonomics: Crise de identidade

Stephen J. Dubner e Steven D. Levitt

Steven Peisner batucava excitadamente no teclado do seu computador, vasculhando uma sala de bate-papo onde fraudadores de identidade compram e vendem nomes, endereços, números da Previdência Social e PINs. Alguns dos larápios são americanos, mas há outros da Rússia, Índia, Filipinas, Nigéria, Vietnã, Irã... na verdade, qualquer em lugar onde convivam jovens e computadores.

Como funciona esse mercado? Se alguém acaba de invadir um banco de dados de um hospital e sai com 10 mil "fulls" (um conjunto completo de informação pessoal, incluindo o nome de solteira da mãe da pessoa), ele publica seu preço (geralmente de US$ 10 a US$ 30 por "completo", dependendo do frescor), juntamente com uma amostra dos dados para provar sua legitimidade. Os fraudadores também publicam perguntas específicas. "Aqui está um", disse Peisner, lendo na tela: "'Preciso de um confirmador feminino em WU. Sua parte: 40%'. Isso significa que eles precisam de alguém para ir ao escritório da Western Union em um café na Romênia para apanhar o dinheiro - porque Vlad pode fazer muitas coisas, mas não pode ser Amy Weiss de Manhattan Beach, Califórnia".

Hoje existem tantas variedades de furto de identidade quanto variedades de cogumelos, por exemplo. E também existem quase tantas idéias erradas sobre o âmbito do problema, os incentivos para detê-lo e como seus custos são cobertos.

Para começar, há indícios de que o furto de identidade atingiu o pico. Um estudo recente da Javelin Strategy and Research afirma que 8,4 milhões de adultos americanos sofreram alguma forma de fraude de identidade em 2006, contra 10,1 milhões em 2002. Lembre-se de que o estudo da Javelin foi pago em parte por três instituições financeiras, que certamente têm interesse em atenuar os temores dos clientes. Mas a Comissão Federal de Comércio também registra uma redução, assim como o Departamento de Polícia de Los Angeles, que possui uma das mais agressivas forças-tarefas contra roubo de identidade nos EUA.

Ainda assim, o furto de identidade continua sendo um crime extraordinariamente interessante para os que têm propensão. A maioria dos departamentos de polícia não tem pessoal ou know-how para processar os infratores; enquanto isso, o FBI geralmente não se envolve a menos que a fraude atinja US$ 100 mil.

O que levanta uma pergunta óbvia: se a polícia não se importa com o furto de identidade, quem se importa?

A resposta também pode parecer óbvia: você, a vítima potencial. Mas, segundo os dados da Javelin, as pessoas provavelmente se preocupam demais com isso.

Setenta e três por cento das vítimas não têm de arcar com quaisquer despesas; a minoria infeliz perde em média US$ 2 mil - muito menos do que poderíamos pensar, a julgar pelas histórias que ouvimos. E em mais da metade dos casos de furto de identidade o ladrão é um parente, amigo ou colega de trabalho.

Por isso, enquanto você estava assustado, pensando em nunca mais usar um cartão de crédito, a maior parte do custo do furto de identidade estava sendo pago por outra pessoa, na verdade.

Certamente, então, são os bancos e as empresas de cartão de crédito que estão desesperados para conter o problema? O sargento Robert Berardi, diretor da força-tarefa do Departamento de Polícia de Los Angeles, descobriu outra coisa. "Os bancos estão em conflito entre a segurança e os lucros", ele diz. Em uma indústria que reluta em colocar o menor atrito na compra de um cliente, Berardi diz que o furto de identidade é visto simplesmente como o custo de fazer negócios.

Então, se os bancos, o consumidor e a polícia não têm incentivos suficientes para deter o furto de identidade, quem tem?

O comerciante. Foi o que Peisner, 44, um veterano no ramo de cartões de créditos, descobriu. "Digamos que um hacker encontre a informação em uma sala de bate-papo", ele diz. "Ele entra no site da Sony, compra um computador laptop por US$ 1 mil e um mês depois o dono do cartão de crédito recebe a fatura. Este liga para seu banco e diz: 'Eu não encomendei um computador Sony'. Nessa altura, o emissor do cartão de crédito, digamos o Citibank, envia um 'chargeback' [retrocobrança] pelo sistema de intercâmbio para o banco e os US$ 1 mil são tirados diretamente da conta bancária da Sony, que também tem de pagar a taxa de 'chargeback' de US$ 25." Assim, o comerciante perdeu o dinheiro da venda (assim como o laptop) e tem de pagar a taxa de "chargeback" e outras taxas bancárias, custos de processamento e remessa. "Se você é um comerciante, a responsabilidade é toda sua", diz Peisner.

E, portanto, todo o incentivo para deter o crime. É por isso que recentemente Peisner abriu uma empresa, a Sell It Safe [Venda em segurança] que se destina a ajudar comerciantes e bancos a filtrar seus clientes em transações online e por telefone. Sua principal arma é um maciço banco de dados ao vivo de informação pessoal roubada, que um comerciante pode verificar instantaneamente para saber se Amy Weiss é realmente Amy Weiss.

Quando Peisner encontra dados roubados em uma sala de bate-papo de hackers, com números da Previdência Social e senhas espalhados como roupas íntimas depois de um roubo a residência, ele liga pessoalmente para as vítimas e as aconselha a notificar a polícia e o banco. Geralmente no início elas pensam que ele é um criminoso, ou no mínimo um maluco. Mas afinal elas agradecem.

Isso pode ser porque o próprio Peisner respondeu recentemente a uma mensagem de e-mail falsa, conhecida como "phish", que supostamente vinha do site de leilões eBay. Ele estava prestes a fazer uma oferta por um cartão de crédito pessoal de Jack Nicklaus - Peisner coleciona memorabília de cartões de crédito -, quando recebeu o phish da eBay dizendo que sua conta seria suspensa se ele não atualizasse sua informação pessoal. "Eu pensei: ela expira em dez minutos. É melhor eu entrar e refazer minha conta", ele lembra.

Se isso pôde acontecer com Peisner, pode acontecer com qualquer um. Em um trabalho acadêmico recente chamado "Why Phishing Works" [Por que o phishing funciona], três cientistas da computação (um de Harvard e dois de Berkeley) fizeram um estudo e descobriram que "o melhor site de phishing conseguiu enganar mais de 90% dos participantes da sala".

Felizmente, a maioria dos sites de phishing não é criada por cientistas da computação de alto nível, com bons conhecimentos de inglês. Um dia, recentemente, Peisner encontrou um site falso do Bank of America que pedia o número da conta do cliente, a identidade online, PIN, número da Previdência Social e endereço. Somente no final do formulário a ilegitimidade do site - e a origem estrangeira do criador - se revelou, quando pediu uma informação que deixaria qualquer cliente americano confuso: "Nome de solteira do pai". Luiz Roberto Mendes Gonçalves

UOL Cursos Online

Todos os cursos