O Banco Central deu mais um passo para a regulação do Open Banking, sistema que possibilita aos clientes de produtos e serviços financeiros autorizar o compartilhamento de suas informações com diferentes instituições. Em 14 de abril, o BC divulgou a versão 2.0 do manual de segurança que estabelece os requisitos mínimos para a proteção deste tipo de dado, além de detecção e reação a incidentes cibernéticos. A publicação é válida para instituições participantes e demais elementos que compõem a estrutura responsável pela governança do Open Banking no Brasil.
O BC está atento ao aumento do número de ataques cibernéticos aqui e no mundo, ano a ano, e especialmente com o advento da pandemia da Covid-19. Os riscos aumentam à medida que os serviços financeiros e a economia como um todo se digitalizam. Com o surgimento do Open Banking, é esperada uma elevação no risco cibernético para os participantes.
Essa exposição perigosa costuma vir com a exploração, por hackers, de vulnerabilidades existentes em sistemas operacionais, servidores e APIs. Eles buscam brechas para entrar na rede sem serem notados, como se sabe. E, na maioria dos casos, utilizam-se de engenharia social para cooptar funcionários e garantir acesso privilegiado. Com isso, conseguem escalar o privilégio e fazer o que conhecemos como movimento lateral, ou seja, migrar de uma máquina para outra.
Essas são situações cada vez mais presentes no dia a dia das empresas. Não há distinção entre setores econômicos. Como um dos mais visados é o financeiro, os bancos são responsáveis pelo maior volume de investimentos em proteção contra fraudes e segurança cibernética.
É preciso redobrar a atenção com o Open Banking. Quando uma instituição, mediante autorização do cliente, fornece seus dados para uma outra, abre-se a porta para que essas informações sejam vazadas. Neste caso, não basta o detentor do dado pessoal ter a capacidade técnica de não permitir escapes. É necessário que o participante que recebe as informações também esteja usando a ferramenta necessária para evitar um eventual ataque hacker.
Historicamente, as grandes instituições investem pesado em segurança da informação. Com a proliferação de empresas financeiras, nos últimos anos, é chegada a hora de a cultura de proteção estar presente também nessas instituições. É exatamente isso que o BC tenta direcionar com a edição da IN nº 99/2021.
Entretanto os padrões mínimos exigidos pela IN podem não ser suficientes para evitar que divulgações indesejáveis ocorram. Os hackers estão cada vez mais avançados. Vemos se espalharem ataques DDoS, que tornam os recursos de um sistema indisponíveis; ataques Ransomware, que bloqueiam o acesso ao sistema e cobram resgate (caso do que atingiu o STJ, por exemplo); assim como os do tipo APT, feitos por agências de inteligência.
Nesses casos, o uso de ferramentas como o firewall, que analisam o tráfego de rede, torna-se ineficaz. É comum que hackers desliguem o firewall em fração de segundos, sem que se possa perceber.
Há alternativas que minimizam os riscos cibernéticos das empresas, como a instalação de sistemas de gerenciamento e correlação de eventos de segurança. Estes dependem de investimentos de peso. Ocorre que, antes de tudo, há que se alterar a cultura empresarial brasileira. Investimentos em segurança cibernética representam muito mais do que um seguro, um custo tido como desnecessário.
Para além da possibilidade de perda de negócios por um evento de segurança, é imprescindível que a proteção aos dados do cliente seja encarada como parte da cultura empresarial e um objetivo a ser perseguido. É preciso ter a consciência de que o prejuízo reputacional no caso de um vazamento é muito maior do que o esforço financeiro para a mitigação desse risco.
Há ainda a possibilidade de disputas envolvendo os atores do Open Banking quanto aos padrões e garantias mínimas de segurança. O Open Banking ainda está em seus primeiros dias de vida, mas já é factível imaginar dificuldades na implementação desses padrões tecnológicos de segurança.
E por quê? Além dos custos consideráveis, existe uma dificuldade não apenas de implementação de sistemas de proteção, mas também de identificação de profissionais habilitados a desempenhar esta função. A demanda por essa mão de obra é muito maior do que a oferta atual.
Sabemos que o Open Banking é um instrumento interessante para aumentar a competitividade no setor financeiro. É parte de uma realidade da qual não se pode fugir. Os investimentos a serem feitos não podem ser adiados. Se isso acontecer, teremos uma chuva de dados vazados, e litígios à vista.
*Daniel Sivieri Arruda, advogado com mestrado em regulação financeira, cofundador da ISMAC
