02/10/2020 - Multiplicidade de players abre brecha para fraudadores
Voltar
Por Valor Econômico | Martha Funke
Antonio João Filho, da Embratel: “Nos últimos seis meses, empresas do setor dobraram capacidade para suportar o Pix” — Foto: Divulgação
Depois da pandemia, a chegada do Pix pode se tornar o segundo maior evento de ameaça cibernética do ano. Apesar da infraestrutura operacional baseada no Sistema de Pagamentos Brasileiros (SPB) do Banco Central (BC), um dos mais seguros e velozes do mundo, a pulverização do mercado, com inclusão de empresas com menor suporte tecnológico de segurança, trazem riscos adicionais. Além disso, a facilidade e a rapidez das transferências, em 10 segundos e a qualquer momento, e o uso intenso de dispositivos móveis para pagamentos, abrem mais brechas para fraudadores atingirem usuários finais.
Segundo o diretor da comissão executiva de prevenção a fraudes da Febraban, Adriano Volpini, também diretor de segurança corporativa do Itaú Unibanco, mesmo com estratégias digitais os bancos mantiveram robustez, resiliência e investimento anual de R$ 2 bilhões em cibersegurança, agora puxados para cima pelo Pix. Isso ainda na fase de implantação.
Como o sistema contará com dois segmentos de participantes, diretos (conectados ao SPB) e indiretos (atrelados a um dos diretos), os primeiros se responsabilizam pelos parceiros e definirão critérios de segurança para aprovar a conexão de um indireto. “O ecossistema vai ser estressado pela capacidade de segurança de cada participante”, diz Volpini.
Nota recente do BC indicou que as instituições diretas podem segurar transações em até 60 minutos caso caiam em regras de fraude. Das 980 cadastradas até agora, 70% são cooperativas de crédito e 40% do total declarou intenção de participação direta no cadastro. Mas até o mês passado, só 75 tinham conseguido sucesso no teste de conexão com o BC.
Mesmo sem definição de todos os padrões da indústria, experiências anteriores mostram o estresse a que o mercado deve ser submetido. No Reino Unido, o número de fraudes em internet banking triplicou nos primeiros 18 meses pós-implantação da transferência instantânea. No Brasil, na primeira semana de implantação da TED, um só golpe conseguiu realizar transferências para 5 mil contas em 10 minutos.
A segurança do sistema é garantida de ponta a ponta, desde pesquisa de ameaças na internet oculta e links dedicados e intransponíveis até equipamentos para armazenagem de chaves criptográficas. Uma das responsáveis pela rede do SPB, a Embratel oferece conexões ponto a ponto, firewall, prevenção de ataques massivos (anti-DDoS), testes de vulnerabilidade para detecção de falhas de segurança e verificação em redes sociais, deep e dark web. “Nos últimos seis meses a maioria das empresas do setor dobrou sua capacidade para suportar o Pix”, diz o diretor executivo para mercado financeiro Antonio João Filho.
Na outra ponta, a Dínamo, especializada em segurança de identidade digital, fornece equipamentos de criptografia (HSM) para o SPB e vendeu mais um para o BC por conta do Pix. Também atende mais de 20 bancos no mercado privado. O CEO, Marco Zanini, destaca a necessidade de aplicações com autenticação além de nome e senha, seja biométrica, disponível em alguns dispositivos móveis, ou com token em dispositivo extra, SMS ou aplicativos das instituições.
Mesmo quando é invisível para o cliente, a transação só é autorizada por cruzamento de fatores como código (EMEI) do aparelho, número da linha ou região de onde parte o acesso, com apoio de inteligência artificial (IA). O maior uso do smartphone exige atenção extra. A Sophos é uma que entrega segurança no celular, com apoio de IA para identificar comportamentos estranhos e, se necessário, bloquear operações, explica o country manager André Carneiro.
Estratégias como acesso seguro mesmo com maior perímetro de ataque (SASE) e zero trust, evolução da rede privada virtual (VPN) com maior detalhamento de critérios de acesso, ajudam a sustentar o Pix. Entre as fornecedoras do segmento estão a Netskope, que oferece acesso seguro a nuvens com visibilidade, controle, prevenção de perda de dados (DLP) e proteção contra ameaças em tempo real, e a Palo Alto Network.
“O monitoramento da infraestrutura de segurança e a reação precisam ser tão velozes quanto os pagamentos e ataques”, diz Daniel Bortolazo, gerente para engenharia de sistemas da Palo Alto.
A fornecedora Check Point também participa de algumas implementações do que está se tornando o Pix, por enquanto com infraestrutura de comunicação em clientes financeiros. Mas o gerente de engenharia de segurança Fernando De Falchi alerta para maior necessidade de proteção em dispositivos móveis.
Isso inclui capacidade para análise de aplicativos instalados, detecção de aplicações maliciosas, tráfego e controle em nível corporativo até para barrar ações danosas. O nível de análise faz parte da geração de soluções de detecção e resposta com inteligência, que sucedeu o antivírus tradicional com base em comportamento, comunicação e proteção de informações no dispositivo.
Outra que registrou o interesse do mercado é a Diebold Nixdorf. Entre janeiro e julho, o número de equipamentos protegidos com o dispositivo para detecção de fraudes on-line (OFD) Warsaw, para prevenção de ponta a ponta com checagem de dados, inteligência, análise de perfil comportamental e diferentes formas de autenticação, cresceu mais de 250%, chegando a mais de 150 milhões de dispositivos conectados no país.
