Demandas a la Banca (Rota) en Línea
Alexandre Oliva
Por las pasadas dos décadas, he incurrido en varias peleas con los bancos brasileños sobre sus ataques a mis libertades de software en sus servicios de banca por Internet. En 2002, la principal amenaza eran los sitios web exigiendo el uso de Internet Explorer, o el aún privativo plugin de Java, y aun había suficientes alternativas sin estos requerimientos abusivos. Hoy día, al inicio de los 2020's, la mayoría de los bancos requiere a los usuarios la instalación de malware de teatro de seguridad y el uso de dispositivos de rastreo, y aquellos que hacen excepciones al malware bajo petición se están volviendo muy complicados de encontrar. Antes de quedarme sin alternativas a esas prácticas moralmente rotas de las bancas, he iniciado acción legal para defender mi libertad usando mis derechos de consumidor.
La trampa de Java
Yo era un feliz cliente de Banco do Brasil hasta al rededor del 2001, cuando éste implementó un aplicativo Java para autenticación. La maquina virtual de Java se convirtió en software libre sólo años después, pero incluso si la Trampa de Java ya hubiera sido desmantelada, el applet en sí mismo era un programa no libre que sería requerido ejecutar en mi propia computadora, análogo a la Trampa de JavaScript que se convirtió en un grave problema más tarde.
Ambos requerimientos eran inaceptables para mí, y se lo hice saber al banco en términos inequívocos. Por un tiempo, cambiar el identificador User-Agent presentado por el navegador, para pretender estar ejecutando algún sistema incompatible con Java, sirvió como una vuelta alrededor del problema. Cuando eso fue cortado y se volvió claro que no iba a haber más alternativas, tomé mis negocios a bancos que no imponían dichos requerimientos abusivos.
Teclados virtuales JavaScript
Banespa y Real, ahora ambos parte de Santander, en algún punto también comenzaron a demandar un supuesto programa de "seguridad" del lado de los clientes, sin embargo ambos hacían excepciones bajo petición, de manera que no tuve la necesidad de moverme de ellos. Eventualmente, ellos también implementaron teclados virtuales para autenticación en su teatro de seguridad, y en ello, pestañeé: sin GNU LibreJS para advertirme, no me di cuenta que esos también eran programas no libres ejecutándose en mi computadora después de ser instalados automáticamente por el navegador. Cuando supe que éste era el caso, ya había aceptado estas funciones por mucho tiempo, y las racionalicé como una tontería del diseño que estaba en el límite de lo aceptable, y así seguí usándolos. Estoy avergonzado y apenado de que lo hice; resistir en ese momento hubiera hecho las cosas más sencillas para todos después.
Adquisición hostil
En 2008, mi entonces empleador comenzó a pagar los salarios en Citibank. Lo probé y estaba feliz con que tan poco JavaScript usaba, de manera que se convirtió en mi plataforma bancaria favorita, y me sirvió bien por algunos 10 años, hasta que Itaú-Unibanco (en adelante sólo Itaú) compró sus operaciones al menudeo en Brasil y cambió a todos sus clientes a su propio servicio de banca por Internet. Eso me trajo dos problemas mayores: para realizar transacciones bancarias, ellos demandaban instalar en mi equipo de escritorio o portátil una pieza de malware que llamaban "Guardião" (en realidad, Warsaw, de Diebold), y la instalación de la TRApp generadora de contraseñas de un solo uso (OTP) propia del banco en un dispositivo de rastreo portátil (del tipo con el que usualmente se pueden hacer llamadas telefónicas) para propósitos de autenticación.
Rodeo inconveniente
Algunos colegas mencionaron que cambiar el nombre del sistema operativo enviado por el navegador a FreeBSD en el el identificador User-Agent deshabilitaría el requerimiento del malware, pero la autenticación permanecía como un reto. De nada sirvió discutir que mi teléfono ejecutaba GNU/Linux (mi teléfono inteligente es un Neo Freerunner hace más de una década) ya que sólo tenían aplicaciones no libres, para otros sistemas operativos móviles también no libres; o que existen otras aplicaciones OTP que podría ejecutar, en él o en otro dispositivo, que habrían servido al mismo propósito.
Plan de respaldo
Santander aun funcionaba para mi, pero era muy incomodo el estar atado a una sola opción, de manera que contacté una unión bancaria cooperativa de crédito, Sicredi, expliqué que estaba buscando un banco que me pudiera ofrecer servicios de banca por Internet sin requerirme el instalar nada más que un navegador compatible con los estándares en cualquier sistema operativo de mi elección, que ésta era la razón por la cual había dejado Banco do Brasil previamente, y estaba dejando Itaú ahora, que era muy serio acerca de no ejecutar software no libre, al punto de mantener mi propia versión Libre del software para el impuesto sobre la renta en Brasil para evitar la versión no libre provista por el gobierno. Ellos me informaron que podrían de hecho cumplir con mis requerimientos, y estarían felices de tomar mi cuenta.
Giro de la trama
De manera que abrí cuenta con Sicredi, fui a una sucursal de Itaú para transferir el saldo, y entonces, sólo entonces, Itaú pensó en ofrecerme un dispositivo OTP físico para identificación, justo como el cual Sicredi me había ofrecido. Pensé que podría darle una oportunidad a Itaú, de manera que no transferí el saldo completo. ¡Estoy feliz de no haberlo hecho! Regresé a a la sucursal de Sicredi, confirmé la transferencia que activaba la cuenta, recibí el token físico, moví una cantidad significativa del saldo a un fondo de inversión de largo plazo, y me retiré a casa.
Cuando llegué, intenté acceder al servicio de banca por Internet y darle una revisión completa, sólo para descubrir que se me requería la instalación de la misma pieza de malware de "seguridad" que Itaú. A diferencia de Itaú, no podía ni siquiera ver mi balance sin él, donde en Itaú trabajaba genial con el token físico y el truco del User-Agent.
Por algún tiempo, tuve FreeBSD como el nombre del sistema operativo en el User-Agent para identificarme ante Itaú, pero eventualmente intenté con GNU en lugar del mal llamado Linux, y eso también funcionó. Una vez más, ¡GNU me ayudó a mantener mi libertad!
Buscando protección del consumidor
Aun, me sentí inseguro, por que el truco del User-Agent no estaba documentado ni recomendado. El banco incluso negaba su existencia. De igual manera decidió unilateralmente parar de enviarme mis estados de cuenta mensuales por correo, lo cual era parte del servicio que había contratado y era de gran importancia para mí, desde que la alternativa viable, dígase conseguir el archivo con el servicio de banca por Internet, podría ser cortado en cualquier momento. De manera que llené quejas contra ambas Itaú y Sicredi con la agencia local de protección al consumidor, Procon.
No es que esperara lograr mucho de esto: en mi experiencia, Procon sólo podría multar a los infractores, que se tomaría como un costo de operación, e incluso protegería a los infractores de cualquier futura queja de mi parte de la misma situación.
En este caso, no estaba seguro si Procon reconocería mis derechos; sus agentes no eran familiares con la noción de software libre, pero una vez que les expliqué, en términos que hicieron sentido a los agentes de protección del consumidor, parecían algo emocionados con ello. Procon eventualmente falló a mi favor en ambos casos, multó a ambos bancos, y confirmó las multas en apelación.
¡Sorpresa!
Esperaba que los bancos no cambiarían su comportamiento al respecto. Resultó que estaba sorprendentemente equivocado. No mucho después de la decisión inicial de Procon, Itaú comenzó a cambiar su servicio de banca por Internet. Aunque no era para mejor.
Progresivamente, a través de varios años, algunas transacciones ya no aceptaban más la autenticación con el token seguro y completamente desconectado de Internet, y en su lugar insistían en un OTP basado en dispositivos de rastreo. Después de un tiempo, comenzaron a demandar el malware Guardião, o su completamente nueva aplicación, ahora disponible para una pequeña selección de sistemas operativos, incluyendo GNU/Linux/x86_64, sin embargo software no libre.
Al momento de escribir esto, las funciones relevantes que he notado como bloqueadas son pagos de cuentas que no están automáticamente programadas, pagos de algunos impuestos, transferencias bancarias salientes, transferencias bancarias internacionales, estados de cuenta de tarjeta de crédito, activación de nuevas tarjetas, e incluso actualizar información de contacto y de inversor así como obtener la información consolidada necesaria para llenar la declaración de impuesto sobre la renta, todo en el nombre de la "seguridad". Al menos la información fiscal está disponible en otro sitio mantenido por el banco, que claramente no le da mucha importancia a la "seguridad".
Esto no sucedió todo al mismo tiempo. Un día una función operaba, al día siguiente ya no lo hacía más. Después otra. Y otra... Durante algún tiempo, incluso amortizar de fondos de inversión (para evitar un saldo negativo sobre pagos automáticos programados) dejó de aceptar confirmación con el token físico, pero al menos en éste parece que decidieron dar marcha atrás. No en el resto.
Sin mejora
Mientras tanto, Sicredi me acusó de deshonestidad: ellos no creían que no había revisado la muy clara información acerca de sus requerimientos de software, mostrados en una página web que no es posible de visitar sin el uso de JavaScript, la razón por la cual terminé contactando la sucursal para explicar mis requerimientos. La acusación absurda les ganó una reprimenda en la decisión de la apelación, pero no una multa más alta.
Demanda judicial
Como Itaú apretaba el nudo, hablé con mi abogado acerca de defender mis derechos con una demanda judicial. Él no estaba muy entusiasmado al respecto al inicio, aparentemente esperando que el banco retirara las imposiciones, sin darse cuenta en ese momento como eran imposibilitadoras para mi, mientras que la mayoría de la gente ni siquiera podría notar o darse cuenta que ahí había una injusticia. No podíamos contar con un clamor público para que el banco retrocediera.
Debimos demandar al banco a cumplir las obligaciones que adquirió con la compra del negocio al menudeo de Citibank: no podía unilateralmente cambiar los términos, calidad y requerimientos del servicio que yo había cuidadosamente seleccionado debido a que no usaría un servicio que demandara software no libre. Así que, a mediados del 2022, llenamos una demanda en contra de Itaú de mi parte, basado principalmente en los derechos del consumidor, pidiendo a la corte ordenar al banco a ofrecer los servicios que se habían contratado, bajo las condiciones que se habían contratado, restaurando los servicios que progresivamente estaban descontinuando.
Eligiendo batallas
Irónicamente, debido al COVID-19, tuve que atender una sesión de conciliación sostenida por medio de software no libre. Mi abogado se sorprendió que incluso ese tipo de programa en línea sería objetable para mi, y me invitó a atenderla con él en su oficina. Esa no es manera de obtener justicia completa, pero... esa es otra lucha, que tendremos que tener en una corte superior. Él es optimista acerca de los argumentos legales de la demanda en proceso y aunque no cuentan con suficientes fundamentos en libertad de software, usamos el argumento de que la libertad y la dignidad son derechos constitucionales que las imposiciones del banco violan.
Actualización 2023-02
En febrero del 2023, una sentencia aterrizó ordenando a Itaú a acatar nuestra petición, restaurando los servicios sin demandar la instalación de programas adicionales, con una pequeña multa diaria en caso de no acatarla. Esto es una victoria completa en la primer ronda, pero mi abogado me dice que es probable que presenten una apelación, de manera que podemos celebrar un poco, pero esto aún no ha terminado.
En otras noticias, el mes previo, Itaú me escribiera acerca de sus planes renovados para descontinuar el token físico: no se emitirán nuevos, aunque los que aún están en uso serán funcionales mientras que sus baterías funcionen. Esperamos que la demanda permita hacernos llegar a un acuerdo de manera que pueda comenzar a usar oathtool o FreeOTP+.
Actualización 2023-04
Sorprendientemente, no hubo apelación. La sentencia es final. Resta saber si será acatada.
Procon multa a Sicredi
En la semana en donde la demanda fue presentada, casualmente, Procon publicó la decisión de la apelación en el caso contra Sicredi, y fui contactado por sus abogados intentando encontrar una manera de llegar a un acuerdo y evitar la multa. Escribí y publiqué una extensa carta abierta (en Portugués) explicando por qué rechazo aquella y cualquier otra pieza de software no libre, con fundamentos filosóficos (defender mi derecho a mi libertad de software en principio), prácticos (defender mi libertad de elegir qué programas y sistemas operativos a usar) y de seguridad (la alegada necesidad de oscuridad sugiere inseguridad).
Reiteré mi deseo por un servicio provisto a través de un navegador compatible con los estándares en cualquier sistema operativo, con énfasis en la posibilidad de remover el requerimiento para usuarios específicos, antes o después de la autenticación, y ofreciendo una alternativa: adquirir documentación de las interfaces de programación en red en que se basa su propia aplicación, para que yo pueda implementar dichas funciones en Gnucash.
¿Coincidencia?
Algunos días después, debía hacer un pago a mi abogado por sus servicios en preparar la presentación inicial contra Itaú. Fui al sitio de banca por Internet de Santander, que me había funcionado bien donde Itaú y Sicredi me decepcionaron, y no podía acceder: me demandaba aceptar una supuesta “política de privacidad” (en Portugués) que, además de requerir JavaScript para ser vista y no permitir ser impresa o guardada como un todo, contiene términos abusivos no relacionados con la noción de políticas de privacidad, o incluso a los términos de uso mezclados ahí.
Esa política había supuestamente estado en efecto por casi un año entero, así que parecía una coincidencia increíble que comenzaran a demandar que se aceptara justo en ese momento. Al día siguiente, el requisito ya no estaba, sólo para regresar un par de semanas después. Mientras tanto, pude hacer el pago, pero mi abogado bromeó que ya podía adivinar el siguiente banco que habríamos de demandar.
Algunos de los términos abusivos eran el poder de elegir dispositivos y sistemas operativos los cuales el cliente debería usar para tener servicio, y el poder de discontinuar el servicio unilateralmente por cualquier razón, incluyendo cambios a la plataforma tecnológica. La suposición de mi abogado probablemente sea correcta, pero he comenzado por presentar una queja con la agencia de protección de consumidores, aceptando solamente los términos identificables como política de privacidad. El banco no discutió mi entendimiento en su respuesta, de manera que el caso se cerró con el entendimiento de que aceptaron, pero la lucha sigue.
Copyright 2022-2023 Alexandre Oliva
Copyright 2023 FSFLA
Se permite la distribución y la copia literal de este artículo en su totalidad por cualquier medio, sin pago de derechos, siempre y cuando se conserve la nota de copyright, el URL oficial del artículo y esta nota de permiso.