Resumo
Um utilizador do Reddit descobriu uma forma de enganar o sistema Volta em Portugal, permitindo acesso ilimitado a devoluções de 10 cêntimos. Este sistema, que custou 150 milhões de euros, movimenta 210 milhões por ano. Usando uma impressora e o ChatGPT, o utilizador clonou códigos de barras para obter reembolsos fraudulentos. A máquina aceitou embalagens não relacionadas e recusou truques como fios visíveis, mas não detetou uma linha fina. A fraude levanta questões sobre a segurança do sistema, que pode ser explorado por redes organizadas. Os ganhos foram doados à Cáritas para alertar sobre as vulnerabilidades. A necessidade de atualizar o software e implementar validação por visão computacional é crucial para evitar abusos futuros.
Como deves saber, o Sistema Volta tem andado nas bocas do mundo em Portugal. Entre máquinas fora de serviço, ecrãs bloqueados e filas intermináveis nos supermercados, a estrutura já mostrava alguns problemas graves. Mas a verdade nua e crua é que existe uma fragilidade bastante mais grave se for explorada. Basta ter uma impressora e acesso ao ChatGPT.
O cenário é impressionante. Afinal, com cola, uma tesoura e um código de barras clonado, o sistema foi enganado sem espinhas.
Aqui é preciso ter em conta que o sistema Volta custou uns impressionantes 150 milhões de euros a ser implementado em Portugal, movimentando qualquer coisa como 210 milhões de euros por ano com os depósitos de 10 cêntimos cobrados aos consumidores. Para além disso, os pequenos comerciantes, como cafés e mercearias de bairro, foram obrigados a atualizar os seus sistemas de POS nas lojas, com muitos a terem de meter em cima da mesa entre 1500€ e 2500€ do próprio bolso para se adaptarem à lei.
O utilizador utilizou a Inteligência Artificial para clonar o código de barras de uma garrafa de água legítima e imprimiu-o numa folha de papel. Depois, partiu para os testes físicos na máquina automática. O sensor recusou esferovite, caixas de manteiga e pedaços de plástico soltos. Mas quando o código de barras falso foi colado numa garrafa de iogurte líquido (que nem sequer faz parte do sistema), a máquina engoliu-a sem pestanejar e cuspiu o reembolso de 10 cêntimos.
Aqui é preciso ainda ter em conta outro pormenor: é possível usar sempre o mesmo código de barras. É sempre aceite.
Supostamente, o sistema identifica a embalagem, o símbolo Volta e o código de barras, sendo bastante inteligente em todo o processo.
Mas o teste revelou ainda outros pormenores bizarros sobre o comportamento das máquinas. Se tentares prender a garrafa com um fio (como um cabo de fones) para a puxar de volta após o reembolso, a máquina deteta o truque e recusa. Mas se usares uma linha de pesca invisível ou uma linha fina, será que passa? Fica o aviso. A máquina também recusou embalagens grandes com o código da garrafa pequena, o que prova que existe alguma validação de volumetria, mas que falha rotundamente se o tamanho do “recipiente falso” for semelhante ao registado no código de barras original.
Isto abre uma caixa de Pandora gigante e deixa imensas dúvidas no ar: e os copos de iogurte? Os pacotes de leite? Las latas de atum ou os copos de plástico do McDonald’s? Se o leitor ótico apenas valida o desenho do código e o símbolo Volta, qualquer espertalhão pode imprimir folhas cheias de autocolantes válidos e fazer dinheiro a brincar com plástico ilegal.
Quanto ao “roubar” os 10 cêntimos… Todos os ganhos gerados neste teste acabram nas mãos da Cáritas. O objetivo passou por puramente demonstrar as falhas antes que redes organizadas comecem a burlar o Estado à grande e à francesa.
Em suma, resta agora saber se a SDR Portugal, a associação que gere o sistema, e as grandes superfícies que importaram as máquinas vão atualizar o software e introduzir uma validação por visão computacional decente. Caso contrário, o sistema vai continuar a ser uma autêntica piada. Tu por aí, já tinhas reparado que estas máquinas são fáceis de enganar ou achas que a malta devia ter juízo e não tentar aldrabar a reciclagem?
Fonte: Zero Zero
