No dia 21 de março de 2018 a Polícia Federal deflagrou a Operação Código Reverso, que teve como objetivo acabar com um esquema de fraudes bancárias eletrônicas realizadas por uma quadrilha de hackers, que tinha ramificações internacionais. Mais de 100 policiais federais cumpriram 43 mandados judiciais.

O grupo utilizava programas maliciosos para acessar remotamente os computadores das vítimas e realizar diversas transações bancárias eletrônicas fraudulentas, como pagamentos, transferências e compras pela internet, burlando os mecanismos de segurança dos bancos e gerando prejuízos da ordem de R$ 10 milhões em 9 meses.

Essas tentativas de fraude são fruto de articulações profissionais de estelionatários qualificados e preparados para esta prática, que desenvolvem sistemas complexos, atualizados com regularidade e com o potencial de burlar um determinado esquema de segurança implantado.

Os alvos podem ser pessoas físicas ou empresas e no setor financeiro especificamente é o segmento onde tais fraudes são mais delicadas e perigosas, por terem um potencial maior de danos. Com isso, os bancos e demais instituições financeiras estão recebendo cada vez mais queixas de seus clientes, que reportam possíveis fraudes em seus cartões e contas.

Dada a constante entrada de novos atores econômicos e canais de comunicação digitais, este ambiente também exige novos requisitos na segurança e integridade da informação manipulada. Trata-se de uma situação onde a tecnologia, as pessoas e os processos precisam de atenção e atualização permanentes.

O ambiente legal e os investimentos necessários

Os criminosos usam brechas na segurança para capturar informações de identificação pessoal ou corporativa, roubadas das vítimas por meio de malware, phishing e outros ataques, para criar contas falsas ou executar transações ilegais.

Uma conta em uma instituição financeira apresenta como valor intrínseco uma relação de confiança entre as instituições e seus clientes, sejam eles indivíduos ou empresas. A reputação da marca é um fator crítico para qualquer instituição, ainda mais na área financeira.

Várias normas legais aprovadas recentemente, definem as providências a serem adotadas tanto pelas instituições que oferecem serviços bancários, financeiros e de investimentos, quanto pelas empresas em geral, para detectar e evitar ataques cibernéticos e roubo e vazamento de dados, como a Lei Geral de Proteção de Dados (LGPD) e a Resolução 4.658 do Banco Central do Brasil.

Além de serem determinações legais a serem cumpridas, podemos (e devemos) entendê-las como códigos de boas práticas a serem adotadas por todas as instituições.

A tecnologia bancária avançou muito e o intercâmbio de informações, que antes era pautado por documentos, papéis e relatórios hoje é feito por meio de sistemas interligados, que repassam automaticamente para as autoridades reguladoras, para a Polícia Federal e para as demais instituições financeiras detalhes importantes sobre cada incidente.

Segundo a Febraban, os bancos brasileiros destinam cerca de 10% de seus investimentos anuais em tecnologia da informação, algo em torno de R$ 2 bilhões, na aquisição de ferramentas de prevenção contra fraudes.

Esse esforço econômico e financeiro é fundamental até mesmo para a sobrevivência das instituições. O relatório “Indicador Serasa Experian de Tentativas de Fraude” revela que a cada 16 segundos uma tentativa de fraude é computada no país. Foram quase 2 milhões de tentativas em 2017, sendo 462.777 incidentes registrados apenas por bancos e outras instituições financeiras.

Não dá para enfrentar esses ataques com tecnologia básica e processos ultrapassados.

Como detectar as fraudes?

A detecção de fraudes em transações financeiras exige uma visão abrangente dos riscos associados. É necessário rastrear dispositivos que acessam várias contas dentro de uma mesma organização e ter acesso a informações sobre ocorrências registradas por outras instituições, fatores importantes de risco na criação e manutenção de contas.

Nos últimos anos, os canais eletrônicos tornaram-se os mais utilizados por brasileiros para operações bancárias, primeiro com o internet banking e, a partir de 2016, com os aplicativos para celular e tablet.

Com essa mudança de ambiente, os sistemas tradicionais de identificação de dispositivos começaram a falhar na visibilidade total dos ataques de múltiplos vetores, realizados em vários canais e apresentaram dificuldade em identificar de maneira segura a maioria dos dispositivos móveis.

As tecnologias mais modernas de segurança cibernética já conseguem determinar se o acesso à conta é anômalo, incluindo a impressão digital do dispositivo, detecção de falsificação de dispositivo, detecção de proxy, localização geográfica, análise de comportamento do usuário, ID de dispositivo móvel persistente e muito mais.

Além disso, é preciso que a plataforma de segurança esteja interligada a um banco global de dados de dispositivos criminosos, previamente identificados, que pode sinalizar dispositivos que representam alto risco.

A detecção de fraudes em atividades financeiras demanda uma visão holística do seu ciclo de vida. Além da reputação do dispositivo e dos fatores de risco, é preciso detectar o histórico de comprometimento de credenciais das contas por meio de malware e phishing, para sinalizar com mais precisão as contas com alto risco. A ampla visibilidade, desde o roubo de identidade até as características das transações das contas, permite que as organizações reduzam o risco de novas fraudes e protejam os fundos e as informações pessoais de seus clientes.

Outro levantamento feita pela Experian (Relatório Global de Fraude e Identificação 2018) mostra que 80% das companhias brasileiras, incluindo as instituições financeiras, preferem perder transações legítimas a correr o risco de sofrer uma fraude.

Além disso, o relatório também aponta que o percentual das empresas nacionais que acreditam que a imagem de sua marca é prejudicada quando uma transação legítima é recusada por suspeita de fraude é um dos menores do mundo (57%), ocupando o sexto lugar no ranking, atrás de Índia (74%), África do Sul (70%), Singapura e China (63%), Espanha (62%) e Estados Unidos (60%).

Do ponto de vista do consumidor, a pesquisa mostra que os clientes esperam que bancos e varejistas on-line façam tudo o que puderem para proteger suas informações e suas transações. Isso não significa que os consumidores gostem de inconveniências.

As instituições devem estabelecer estratégias e recursos adequados para equilibrar a gestão de risco e uma boa experiência digital para seus clientes. No Brasil, 63% dos consumidores que utilizam o Internet Banking aceitam protocolos de segurança quando transacionam online, porque fazem com que eles se sintam protegidos. A média global é de 66%.

Os dados do relatório confirmam o fato de que as empresas brasileiras estão dispostas a aumentar suas barreiras de segurança para prevenir fraudes e evitar perdas, e os usuários finais entendem que precisam cumprir alguns procedimentos para preservar a integridade de suas contas.

Para as instituições financeiras, a segurança cibernética é uma questão corporativa crítica.