SeguranÇa: treinamento e disciplina

A guerra contra os invasores de sites financeiros não é ganha no primeiro round. Cada vez que se consegue vencer uma tentativa deles, a luta prossegue, eles conseguem voltar por outro caminho tecnológico.
Além da tecnologia, há um obstáculo em casa - é a indisciplina dos usuários, que abrem a guarda toda vez que deixam entrar um arquivo maldoso. E há a legislação desatualizada, as relações com provedores e outros obstáculos.
BANCO HOJE reuniu um grupo de dirigentes de bancos para fazer um flagrante do problema, participando também um representante da Polícia Federal, um advogado especialista e dirigentes de entidades da área tecnológica. As idéias levantadas neste debate é um passo importante para que cada banco consiga participar da solução ao informar devidamente seu pessoal envolvido em uso de redes para remessa ou recebimento de mensagens.
O tema segurança que vamos abordar, hoje, preocupa a todos. Não é novidade que onde há dinheiro, há problemas de segurança. Como cada vez mais o dinheiro flui pelas redes de comunicação de dados e se transforma em dinheiro virtual, mais se vê o crime voltar-se para esta área.
Temos presentes, nesta mesa redonda, desde representante de bancos e advogados até Polícia Federal e especialistas em segurança. Por isso, é uma boa oportunidade debatermos, como usuários, os novos acontecimentos da área de segurança.

Participantes:
1. Carlos Eduardo Fonseca (Karman), Moderador
2. Norival Puglieri, ACREFI - Banco Paulista
3. Claudemir Andreo Alledo, BB
4. Natacha Litvinov, Banco Itaú
5. Adilson Herrero, Banco Alfa
6. Guilherme Martini Dalpian, perito criminal Policia Federal
7. Pedro Kazuo, Diebold
8. David Melo, Diebold
9. Rony Vakiinzof, advogado do escritório Opice Blum
10. José Jairo Martins, presidente da SUCESU-SP
11. Roberto Mayer, presidente da ASSESPRO-SP
12. Marcelo Lau, especialista em segurança digital, Senac SP
13. Fabio Lacerda Campos, Sebrae-SP

GUILHERME MARTINI DALPIAN, perito criminal Policia Federal
Das novas tecnologias, principalmente, a internet e as transações financeiras vão aumentar ainda mais. Aliado a estas tecnologias, os dispositivos móveis estão chegando ao mercado. O celular já conecta o usuário ao banco. Isto é um fato e irreversível.

A legislação brasileira causa grande atraso para o uso de sistemas de segurança. É importante que haja uma tipificação dos crimes da internet. Com a ausência de tipificação para certos crimes, o trabalho da polícia é dificultado. Há um projeto de lei que já está sendo debatido há anos em prol desta tipificação. Mas ainda não foi implementação e não sei explicar o porquê disto, visto que é de grande importância. Os bancos são um dos muitos interessados pela aprovação deste projeto de lei. Ao se debater sobre a internet, não se pode deixar de falar dos provedores de acesso. O que temos notado é a dificuldade para se trabalhar a polícia junto com os provedores.

Em um determinado momento, vamos precisar de informações do provedor, que é quem fornece o acesso, quem está na ponta. Ainda que existam formas de se evadir de detecção, está faltando ainda o básico, que é descobrir, por meio do provedor, o endereço do fraudador podendo saber quem é a pessoa. Ainda que seja o básico, há grande dificuldade com este procedimento. Não acredito na necessidade de uma lei nova, bastaria apenas um acordo, um entendimento.

Recebi um convite para uma audiência pública do Ministério Público Federal para falar sobre os provedores. No caso deles, a preocupação maior é com a pedofilia pela internet. Há muitas operações nesse sentido. Combater qualquer crime pela internet é um primeiro ponto de partida, já que o processo foi iniciado há pouco tempo. Mas diria que, hoje, ainda está insatisfatório.

ROBERTO CARLOS MAYER, presidente da ASSESPRO-SP
Temos alguns provedores associados à Assespro. Os provedores se justificam, dizendo que a forma como os projetos de lei foram elaborados geram um alto custo de construção de uma base de dados gigantesca de controle de acessos, principalmente, dos provedores que usam IPs dinâmicos, em que as pessoas se conectam e se desconectam. E que o custo preventivo é que está recaindo totalmente para os provedores. Por estas fatores, os provedores não tem como repassar a base de clientes.

CLAUDEMIR ANDREO ALLEDO, Banco do Brasil
Vou contar experiências do Banco do Brasil que sejam mais voltadas para os últimos 18 meses. Nos últimos meses, o Banco do Brasil tem atuado forte em ações capazes de agregar instrumentos para melhorar o ambiente transacional para os clientes do banco. Em 2008, o Banco do Brasil fez um movimento para chipar toda a base de cartões múltiplos. No ano, o Banco do Brasil emitiu quase 27 milhões de cartões com chip. Ainda é uma questão cultural o cliente receber o cartão com chip e ter de ativá-lo a fim de deixar de usar o cartão com target, que usava com assinatura. Outra mudança que ocorre com o cartão com chip é que este possui a senha como instrumento de autenticação.

No primeiro quadrimestre de 2009, o conjunto de fraude do Banco do Brasil relacionado ao volume de faturamento de cartão de crédito se limitou a 2,3%, dentro das fronteiras do Brasil. Como o percentual é baixo ainda há condições de negociar com as bandeiras. Como o banco respeita o Código do Consumidor, ainda que um cliente reclame depois de 7 meses, o Banco do Brasil assume a fraude, mesmo sabendo que, tecnicamente, a bandeira poderia garantir um ressarcimento. Caso a bandeira seja acionada da fraude dentro do prazo, poderia haver um tarjet back com a bandeira. Mesmo após a implementação do chip, muitos estabelecimentos ainda realizam transações na tarja sem utilização do chip. Em um movimento de contestação, a fraude acaba sendo assumida pelo estabelecimento, visto que o cliente é preservado dos prejuízos.

Uma das preocupações do Banco do Brasil é agregar inovações que tragam segurança. Trabalhei com a Francimara Viotti, coordenadora do grupo de trabalho de massificação da certificação digital e, hoje, o Banco do Brasil conta com a solução da certificação digital. Sou um exemplo de usuário de transações via internet com uso de certificação digital. A certificação digital ainda é uma solução de alto custo e envolve a quebra de uma barreira cultural em perceber que esta ferramenta é segura e prática. A maioria das pessoas não confia e não ter familiaridade com este mecanismo.

Um grande problema que temos diz respeito às fraudes foras de nossas fronteiras. Isto envolve discussões com as bandeiras dos acordos fora do Brasil. Ainda não se fala em chip nos EUA. Hoje, os cartões dos nossos emissores que têm chip são utilizados e transacionados com chip. O ambiente de segurança, com isso, se torna fácil.

Inovar é a palavra de ordem do Banco do Brasil. E a palavra chip é unânime no banco, já que traz segurança, comodidade e benefícios aos nossos clientes. O cliente tem que ter em mente que o cartão com chip é um instrumento importante não só para ele, mas para todo o ambiente. O cartão com chip é capaz de evitar e inibir fraudes. A prova disto é que não existe cartão com chip clonado, o que existe é trilha clonada. Quando o cliente passa a terceiros a senha, ela pode ser clonada.

ADILSON HERRERO, Banco Alfa
É possível verificar um rápido avanço da tecnologia. Os avanços, hoje, são basicamente em um volume muito grande por unidade de tempo. Este fato está ao nosso favor com relação à segurança. No entanto, por outro lado, a criatividade e a inovação dos fraudadores vêm acompanhando esta velocidade. De forma que se comparamos o nível de fraude existente com o do passado, nota-se que ele é sempre crescente. Por mais que a tecnologia da segurança avance, a criatividade dos fraudares também avança e em velocidade, por vezes, até maior. Por este motivo, nunca estamos satisfeitos com o nível de segurança que alcançamos. Isto nos impede de buscar novas soluções e outras maneiras de prevenção, são destinados percentuais cada vez maiores do orçamento em segurança. É claro que quando novas tecnologias surgem, os preços não são acessíveis para que os bancos e as empresas propiciem a imediata utilização. Há poucos anos, o mercado foi assolado pela tecnologia dos tokens. Este dispositivo eletrônico permite que haja uma senha dinâmica nas operações via internet. De fato, a absorção dessa tecnologia pelos bancos não foi muito grande por conta do custo.

No novo token, temos um cartão que prevê a portabilidade. Pelo contato, você troca a senha. Mas esta tecnologia para os bancos, por enquanto, é cara. É importante lembrar que não pode haver descuido na segurança interna. As pesquisas mostram que o volume de fraudes internas nas organizações tem sofrido um grande aumento.

RONY VAKIINZOF, advogado do escritório Opice Blum
Atuamos para diversas instituições financeiras e sabemos que os bancos fizeram a lição de casa em relação à segurança da informação. Na realidade, a falta de segurança está nos clientes. É, por isso, que cada vez mais os bancos investem nos clientes para que tenha segurança nas máquinas e nos dispositivos de internet banking.

A responsabilidade pelos riscos é dos clientes. Lidamos com diversos casos. Ocorreu, certa vez, de um token randômico ter sido distribuído para o cliente, e ele ter disponibilizado para uma pessoa dentro da empresa que considerava de confiança. Este descuido resultou em uma fraude de mais de um milhão de reais. O fraudador foi preso. O cliente, por sua vez, entrou contra o banco requerendo a indenização, alegando que desconhecia a forma de usar o token.

Hoje em dia, por mais que as empresas sejam grandes, vemos grandes vulnerabilidades nelas. Não é difícil ver empresas com responsáveis de TI que de repente saem da empresa, e ninguém sabe o trabalho que a pessoa desenvolvia, o que gera grande desequilíbrio e a empresa, no primeiro momento, não consegue trabalhar.

Sobre a legislação na internet, há diversos debates. Principalmente após o projeto de lei do senador Eduardo Azeredo (PSDB-MG), apelidado de “AI- 5 Digital”, que pretende criminalizar práticas cotidianas na internet. O projeto de lei prevê a guarda de registros eletrônicos, ou seja, número de IP, data e horário relacionado ao usuário, pelo provedor que é a porta de entrada e de saída, podendo propiciar a investigação. Não há legislação específica sobre este assunto ainda. Por isso, muitas vezes alguns dados são perdidos e é difícil responsabilizar o provedor. No entanto, mesmo sem legislação específica, já existem decisões judiciais condenando os provedores por não terem guardado os dados dos usuários. Houve um caso, inclusive, de uma instituição financeira ter uma fraude de Internet Banking de R$29 mil. Neste caso, sem discutir juridicamente a responsabilidade do banco, o banco ressarciu o cliente.

Porém, queria descobrir quem era o fraudador. Verificou o IP no servidor. Notificamos a operadora para preservar os dados, que concordou, solicitando apenas uma ordem judicial. Quando entramos com a ordem judicial, a operadora não tinha mais preservado os dados.

Conseguimos uma conversão contra a operadora no valor de R$30 mil, e mais um dado moral de 10 vezes o dano material. Percebe-se, assim, que enquanto não há legislação, já é importante que as operadoras guardem os dados. Lidamos com uma legislação genérica. Para crimes na internet temos: estelionato, furto mediante fraude e quebra de sigilo bancário. Uma legislação mais específica ajudaria, principalmente para guarda de lotes.

PEDRO KAZUO, Diebold
A questão da fraude e do crime é também uma questão industrial, quero dizer, de custo e beneficio. Hoje, clonar um cartão com chip tem custo elevado. Portanto, dificilmente no estágio da tecnologia de hoje se teria a clonagem do cartão.

Com o avanço da tecnologia, enfrentamos o problema da base instalada. Hoje, a base instalada de produtos e serviços que utilizam a trilha magnética é grande. Estamos falando da rede de ATMs, de POS, e até mesmo destas redes em outros países. Temos ainda uma base sem chip em outros países, que deixa todo o sistema mais vulnerável. No passado, discutimos muito esta questão, principalmente no caso do chip. E, hoje, posso afirmar que os investimentos feitos em tecnologia foram altos. E, no Brasil, por exemplo, toda a base nos terminais de autoatendimento já está preparada para receber o chip há alguns anos.

É claro que o volume de investimento maior estava na ponta. O Banco do Brasil trocou 28 milhões de cartões ano passado, que é onde estava o grosso do investimento. A infraestrutura já estava preparada. Nós, como fabricante, tentamos correr um pouco na frente em termos de tecnologia daquilo que é possível como, por exemplo, a solução da identificação biométrica, que evitaria mais um nível em termos de proteção contra fraude. E também facilitaria o uso da tecnologia, não sendo necessário guardar senhas. Em relação à segurança, estamos caminhando em dois lados: se há aumento na segurança, há redução na flexibilidade, ou o usuário acaba sendo prejudicado. Hoje, para fazer um saque no ATM é necessário saber o PIN, os dígitos de segurança.

Hoje, existem fraudes e de ataques por meio dos meios eletrônicos, mas continuamos a ter os ataques físicos que também tem número crescente. Assim, trabalhamos novamente com duas vertentes. Uma delas é proteger fisicamente, mas acredito que temos que trabalhar para ter um sistema de vigilância integrado ao sistema bancário, ou no caso do ATM, integrado ao sistema de vigilância ambiental. O outro é que houvesse um sistema que pudesse inibir ação para ataque deste tipo, como um sistema que capaz de inutilizar as cédulas. Há alguns anos, algumas tecnologias foram apresentadas. Hoje, com o volume de ataques e com o tipo de tecnologia disponíveis, começa a ser viável o entitamento e queimar o dinheiro. Na parte lógica, porém, é cada vez mais complicado. Os terminais móveis abrem flexibilidade para o usuário, mas abre também outras portas para possibilidade de fraudes.

CLAUDEMIR ANDREO ALLEDO, Banco do Brasil
Quando se coloca tudo dentro de instrumento, aumentam-se as possibilidades de ataque e de fraude, como ocorre no cartão múltiplo, que é cartão de crédito, de débito e de compras. Temos, hoje, duas ferramentas de autenticação nas instituições bancárias, a senha e o código de acesso. Todos os ATMs do Banco do Brasil leem cartão de chip. Quando o cliente insere o cartão e a máquina identifica que é o cartão é com chip, o equipamento aciona um cabeçote de leitura. Com base nesse procedimento, para evitar fraude, se for um cartão clonado, o chip não vai ser encontrado, e então não autenticar a transação. O Banco do Brasil segregou todos os cartões com chip.

O Banco do Brasil passou a usar nos ATMs exclusivamente o código de acesso. Ainda que tenha um ponto de comprometimento dentro de um ATM do banco, o indivíduo que conseguir clonar a trilha não vai conseguir utilizar fora do banco. Se a pessoa for ao terminal do banco com um cartão com trilha clonada, não vai ter o código de acesso, ainda que tenha conseguido em um POS e clonar a senha de 6 dígitos. Antes tínhamos no ATM as duas autenticações. Mas a segregação acabou com o tempo de utilização do ATM, a presença física do cliente na frente do ATM se tornou mais ágil. Tirar as duas ferramentas de autenticação contribui para minimizar os impactos da diversidade de ferramentas de autenticação.

GUILHERME MARTINI DALPIAN, perito criminal Policia Federal
Pensando em tecnologias, como cartão de crédito e cartão de acesso com chip, a única limitação é que para efetuar transações pela internet os dados do cartão são a única exigência. Não sei qual o percentual de fraudes, assim como também desconheço o volume financeiro que tramita nas transações online. Mas imagino que seja baixo.

CLAUDEMIR ANDREO ALLEDO, Banco do Brasil
O volume financeiro que tramita nas transações online não é baixo. Um indivíduo para fazer uma compra na internet pode fazer em qualquer computador. E isto é um grande facilitador para quem quer comprar uma passagem área, quer fazer compras etc. O online não exige ferramentas de segurança, mas os bancos não têm escapatória. As bandeiras estão exigindo acordos. Os bancos vão ter que ficar responsáveis por um instrumento de validação da transação.

Uma fraude contesta ocorre quando um cliente contesta sua compra, essa fraude é integral do estabelecimento que vendeu. O custo com a fraude não é do cliente e, tampouco, do banco. Hoje, na Europa, há acordos locais, nos quais as pontas precisam de ferramentas de autenticação e certificação. Quando você começa a exigir ferramentas de autenticação dentro do ambiente do emissor, o emissor começa a colocar também suas restrições. O papel das instituições financeiras é agregar inovação. O cliente tem que ter a percepção de segurança e facilidade de acesso.

CARLOS EDUARDO FONSECA (KARMAN), Moderador do debate
O cartão inteligente veio para minimizar as ocorrências de fraudes. Ele pode ser utilizado para efetuar transações eletrônicas, como cartões de débito e de crédito. E em técnicas bancárias, através de um cartão de código.

MARCELO LAU, especialista em segurança digital, Senac SP
Existe um grupo de trabalho na Febraban que só atua na área de prevenção a fraude em canais eletrônicos, incluindo internet banking. Como digo, se o crime é organizado, os bancos também se organizam para prevenir a fraude e investir em tecnologia. As instituições financeiras criaram diversos parâmetros e tecnologias para se precaver de fraudes. A tecnologia, independente de qual seja, deve evitar o contato com o sistema operacional. Não porque se torna frágil, mas porque não se pode garantir que as máquinas dos correntistas e dos usuários sejam totalmente originais. Se as máquinas não são totalmente confiáveis, como garantir que o driver e o leitor vão funcionar. Isso porque, no final das contas, o ônus do suporte recai para a instituição financeira, encarecendo o processo bancário. Defendo tecnologias que não requerem uma interação computador-dispositivo. E sempre a interface computador-teclado tem que estar apta para utilizar a tecnologia de forma a não ser enganada por qualquer tipo de artifício. Pensa-se nisso porque as tentativas são muito diversificadas. Defendo que a tecnologia não seja utilizada em uma única plataforma.

Temos serviços bancários em meios eletrônicos que estão em caixas eletrônicos, meios de pagamento e sistemas de telefonia. Estes aspectos precisam ser cuidados a fim de evitar fraudes. Temos o impacto da percepção do usuário, independente da perda financeira. Se o usuário tem a percepção que algo é inseguro, por mais mecanismos que tenha, ele não vai utilizar.

Hoje, qualquer dispositivo pode ser utilizado com a finalidade de se acessar a internet. Todos têm telefones que acessam a internet e tiram fotos. A tendência é fazer com que uma plataforma como esta, independente do smartphone ou do dispositivo que se tenha, seja utilizado para uma operação financeira. Infelizmente, as mesmas ameaças que existem no computador, começaram a surgem no celular, utilizando o wap ou não. O wap se iniciou, mas não é muito usado devido ao custo. Falando de navegação na internet por uso de produtos que permitem transações financeira a partir de um dispositivo como esse. Não adianta instalar um anti-vírus, um anti-trojan porque de alguma forma o fraudador vai estar preparado para desenvolver algo ante àquela tecnologia. Podemos fazer uso da biometria, do token, ou outras tecnologias, mas se o sistema operacional for frágil, qualquer informação pode ser capturada a partir dele. Independente da tecnologia, se algo tiver no meio, mesmo que seja o sistema da instituição financeira com alguma fragilidade, vai haver perda da credencial e o fraudador vai se autenticar no lugar.

JOSÉ JAIRO MARTINS, presidente da SUCESU-SP
A cada 100 empresas, quantas efetivamente investem como deveria na área de segurança?

MARCELO LAU, especialista em segurança digital, Senac SP
São poucas as empresas que investem de fato em segurança. Acredito que o percentual não chega a 20%. Quando falamos em pequenas empresas, estamos falando d correntistas. Na pequena empresa há um analista que também é o programador, o suporte e o profissional de segurança. É inviável que o profissional descrito consiga se preocupar com segurança se tem tantos afazeres. O problema principal é que a segurança é vista como despesa, e não como receita. Lucro é igual a receita menos despesa. Então, aumenta-se o lucro, aumentando a receita ou diminuindo a despesa. Se você percebe que algumas coisas que acontecem na empresa estão relacionadas à fraude, a despesa aumenta, com isso, você consegue sensibilizar substancialmente o cliente final e investir em segurança.

JOSÉ JAIRO MARTINS, presidente da SUCESU-SP
Não é raro encontrar responsáveis pela área de tecnologia que liberam verbas para investimento em hardware e software, mas não investem em segurança. Este empresário está correndo sérios riscos.

Participei de um evento em que foi discutido que, com a crise, empresas estão reduzindo custos, outras afrouxando os SLAs com seus fornecedores, visando a reduzir o valor do contrato, que vai acarretar, a curto ou médio prazo, em problema na área de segurança. Este é um ponto que a Febraban poderia desenvolver. Proponho uma ação conjunta da Febraban com a Sucesu e outras entidades. As empresas têm de trabalhar em conjunto a fim de conscientizar, em relação à segurança, do pequeno e médio, até o grande empresário. Fizemos, inclusive, um workshow em algumas escolas visando a conscientizar pais, professores e alunos sobre o risco do uso da internet. Estamos falando de todos os níveis: os pais, como os executivos de TI, estão expostos a riscos.

FABIO LACERDA CAMPOS, SEBRAE-SP
A falta de percepção de segurança é um problema tanto para a pequena empresa, como para a microempresa. Os donos destas empresas não aderem a sistemas e meios eletrônicos de pagamento, continuam usando os meios tradicionais porque só vê noticia ruim. Ninguém ensina para ele. Deveria haver campanhas publicitárias mostrando soluções e ferramentas disponíveis.

A lei geral de micro e pequena empresa foi promulgada, no final 2006, e teve uma alteração, em 2008, que culminou em uma regulamentação final do microempreendedor individual, que é um processo de facilitação da formalização do pequeno empreendedor informal, como pedreiro, cabeleireiro e tradutor. Considerando a população brasileira, estamos nos referindo a 11 milhões de pessoas. E em São Paulo a 3,4 milhões, sendo eles concentrados em 70%, em média, na região metropolitana de SP. Esta parcela da população vai entrar no mercado formalmente, vão virar CNPJ. A partir deste momento surge uma oportunidade e um desafio para o sistema financeiro e para os gestores de TI. É uma oportunidade de capacitar uma massa de clientes que não transita o dinheiro pelos bancos porque o recurso não é contabilizado.

JOSÉ JAIRO MARTINS, presidente da SUCESU-SP
Existem colegas de instituições financeiras que se dispõe a ir à empresa, fazer o processo de conscientização a fim de fazer com que o cliente se sinta mais confortável em relação à segurança das transações via web. Para o usuário comum não são criados apenas campanhas de TV, mas cartilhas específicas. Houve um momento em que os bancos tinham receio em falar na internet, ou mencionar o assunto, tendo em vista a possível percepção negativa por porta do cliente. Hoje, no entanto, a realidade é outra. Todo banco tem uma cartilha e um manual. O Banco Santander, por exemplo, tem um site específico de e-learning. Outros bancos seguiram a mesma tendência, tentando resgatar a pessoa que não quer saber de bancarização pelos meios eletrônicos. A meta é tirar o medo do desconhecido.

DAVID MELO, Diebold
Uma preocupação da indústria é com a falta de nivelação dos mecanismos de segurança entre os bancos. As especificações do Banco do Brasil, por exemplo, vai diferir de outro banco que tenha uma preocupação menor com segurança. Isto fortalece a indústria do crime, visto que caso o banco feche as portas, os fraudadores visam outro banco. A indústria do crime está sempre atuando, sempre migrando. Existe a necessidade de um órgão ou de um mecanismo que normatize as regras de segurança, para que haja padronização e interação entre os bancos.