[:pb]Nunca foi tão fácil consultar o saldo ou fazer uma transferência bancária por meio do celular ou da Internet. A comodidade no uso do celular e do computador para a realização de operações bancárias contribuiu para a trajetória ascendente do número de transações financeiras realizadas por meio dos canais digitais.

O mobile banking e o internet banking ampliam, ano a ano, sua participação em relação aos demais canais (ATMs, correspondentes bancários, agências bancárias e contact centers), tanto em relação ao volume de operações com ou sem movimentação financeira quanto em relação à participação de cada canal no total dessas transações.

Com a evolução da tecnologia, novos riscos relacionados à aplicação de algoritmos e inteligência artificial desafiam os bancos a repensarem os aspectos éticos, de segurança e de conformidade que até então eram claramente definidos.

Em uma economia e em um modelo de negócios estabelecidos com base em dados, a privacidade e a segurança são temas de grande importância para pessoas e organizações e estão no foco de regulamentações como a Lei Geral de Proteção de Dados brasileira e as legislações internacionais equivalentes.

Dessa forma, a próxima geração de gerenciamento de riscos cibernéticos deve considerar uma abordagem que fortaleça os controles na infraestrutura tecnológica, utilize o analytics e o Big Data de forma segura e responsável, garanta a segurança de seus aplicativos e construa uma infraestrutura resiliente para resistir a interrupções sistêmicas e longos períodos de estresse.

Os canais digitais impulsionam o crescimento das transações bancárias

Segundo a Pesquisa de Tecnologia Bancária 2019 da FEBRABAN, o número de transações bancárias feitas pelo celular em 2018 cresceu 24% em relação ao ano anterior. Aplicativos móveis e de desktops tornaram-se o canal preferido dos brasileiros para fazer pagamento de contas, transferências de dinheiro e outras transações financeiras. O aumento na quantidade de transações com movimentações financeiras feitas apenas por celular chegou a quase 80% entre 2017 e 2018. Em 2019, de cada 10 transações, com ou sem movimentação financeira, 6 foram feitas por meios digitais, celular ou computador.

A pesquisa também aponta que as comunicações feitas digitalmente também cresceram de maneira considerável. As interações feitas entre clientes e bancos por web-chat tiveram um crescimento de 364%, e chegaram a 138,3 milhões em 2018. Já os atendimentos via chatbot tiveram um crescimento impressionante, passando de 3 milhões em 2017, para 80,6 milhões em 2018, ou seja, aumentaram 2.585%.

O fato de que os consumidores estão priorizando o celular para efetuar essas operações é um indicador da confiança que depositam nos bancos e mostram a percepção geral de que as instituições financeiras estão sempre buscando soluções que reúnem praticidade e segurança.

Bancos são estruturas complexas e fortemente regulamentadas, mas que também estão no dia a dia das pessoas e atuam lado a lado a outros setores de vanguarda. Inovar sem colocar em risco essa estrutura é um desafio que as instituições financeiras estão abraçando, aplicando o que há de mais avançado em termos de tecnologia e considerando o comportamento de seu ativo mais valioso: o cliente.

Os riscos da inovação

Em abril de 2019, o Aite Group publicou uma pesquisa na qual examinou as vulnerabilidades de segurança de aplicativos móveis em oito setores de serviços financeiros dos Estados Unidos e Europa. Em média, foram necessários apenas 8,5 minutos para comprometer cada um dos 30 aplicativos analisados e todos os serviços financeiros verticais foram considerados vulneráveis. Usando ferramentas de software comumente disponíveis, quase todos os aplicativos sofreram facilmente engenharia reversa, revelando uma falha sistêmica de proteção no nível de aplicativo e nas práticas recomendadas de codificação.

A quantidade e a gravidade das vulnerabilidades descobertas nos aplicativos móveis testados identificaram claramente um problema: uma ampla ausência de controles de segurança e codificação segura dos aplicativos, como as tecnologias que implementam recursos de proteção, detecção e resposta.

Essa epidemia generalizada de vulnerabilidades de aplicativos para dispositivos móveis pode resultar em perdas financeiras significativas e danos à marca, fidelidade do cliente e confiança dos acionistas, além de grandes penalidades em função da legislação vigente.

Risco Cibernético = Risco Operacional

Os eventos de violação cibernética criam custos diretos e indiretos para todas as organizações, principalmente para os bancos, e essa realidade impõe às instituições financeiras a necessidade de mitigação de riscos, seja fazendo a transferência dos riscos para apólices de seguros ou implantando robustos programas de gerenciamento de risco.

Considerando esse cenário e no âmbito do arcabouço legal que visa proteger os dados dos consumidores, o Banco Central do Brasil publicou em 30/01/2020 a Circular BACEN nº 3.979, que dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional. Em linhas gerais, a circular equipara o risco cibernético ao risco operacional.

Segundo os critérios estabelecidos na Circular 3.979, as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1) ou no Segmento 2 (S2) devem constituir uma base de dados de risco operacional. Essa norma está intimamente associada à Resolução 4.658 de 2018, que tem como objetivo mitigar os riscos cibernéticos e proteger as instituições financeiras.

Há algum tempo não é mais possível garantir um perímetro e uma borda de rede seguros. Vivemos em um mundo de perímetro definido por software, onde, em muitos casos, o próprio aplicativo se tornou o novo endpoint. Aplicativos são baixados para dispositivos móveis não confiáveis todos os dias e usados para qualquer coisa, desde serviços bancários móveis a mídias sociais, compras, jogos ou para conversar com os amigos.

A maioria desses aplicativos não teve sua segurança testada antes da publicação e muitos contêm bugs que se tornam vulnerabilidades exploráveis ou contêm erros de codificação que acidentalmente vazam ou compartilham dados com outros aplicativos do próprio dispositivo. Além disso, muitos aplicativos são publicados sem dispor de funcionalidades para reportar se estiverem sendo analisados, submetidos à engenharia reversa, atacados ou violados. O código de um aplicativo pode conter informações críticas que agentes mal-intencionados podem explorar para atacar a infraestrutura de back-end da organização que o criou.

As instituições financeiras brasileiras têm investido pesadamente na proteção de seus aplicativos móveis, mas a preocupação com o risco de uma violação deve ser sempre constante, considerando as rápidas mudanças tecnológicas e comportamentais que resultam da crescente tendência de mobilidade.

Promover o equilíbrio entre a experiência do usuário e a segurança dos seus dados e dos dados da organização é uma das grandes tarefas atuais dos líderes de TI.

As medidas de segurança atuais que sua organização emprega são suficientes? O que é possível e necessário fazer para melhorar a segurança dos seus aplicativos móveis?

Conheça nossas soluções e saiba como proteger seus aplicativos de negócios em um mundo Zero-Trust.

Fontes:

In Plain Sight: The Vulnerability Epidemic in Financial Mobile Apps, Arxan, 2019.

Financial Mobile App Vulnerability FAQs, ARXAN, 2020.

Resolução do BACEN Equipara Risco Cibernético a Risco Operacional, LGPD brasil.com.br, 2020.

 [:]