Reportagens Exclusivas

Cibercrimes crescem na onda da digitalização e acendem o sinal de alerta nas fintechs

Denise Ramiro

Os crimes financeiros estão incomodando de “bancões” a fintechs. A Febraban e o Ministério da Justiça iniciaram neste mês as tratativas para criar uma Estratégia Nacional de Combate ao Crime Cibernético, que pretende envolver uma força tarefa formada por Estado, Ministério da Justiça, Polícia Federal, Banco Central e outros órgãos. As fintechs também começam a olhar com muita atenção para a questão.

Especialistas na área de cibersegurança ouvidos pelo portal Fintechs Brasil atestam que cresceu nos últimos anos o número de consultas sobre o assunto por parte dos bancos que operam 100% online. De acordo com a Pesquisa Febraban de Tecnologia Bancária 2021 (ano-base 2020), os bancos investiram R$ 2,5 bilhões em segurança da informação no ano passado, valor que representa 10% dos gastos com tecnologia no período; totalizando R$ 25,7 bilhões, 8% superior ao registrado em 2019.

Outro levantamento feito em junho deste ano pelo F5 Labs, Principais Incidentes de Segurança 2018 – 2020, ressalta que o setor financeiro continua sendo o principal alvo das gangues digitais. O estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking.

No caso das fintechs, empresas que já nasceram digitalizadas e na nuvem, os ataques tomam outra feição.”Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, diz Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America. Segundo Vieira, 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DOS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações.

“O hacker, no final do dia, precisa buscar oportunidades. Não vai perder tempo com quem investe muito em tecnologia e segurança, mas nos que estão mais frágeis e vulneráveis”, diz Gustavo de Camargo, diretor comercial responsável pela expansão da VU no Brasil, empresa de cibersegurança global focada na proteção da identidade e na fraude, com forte presença no sistema financeiro e no varejo. Segundo ele, as fintechs são alvo de ataques, roubo, lavagem de dinheiro, e precisam agir antes de serem atacadas. A sua empresa oferece solução de onbording digital e consultoria na área.

Segundo Pedro Ivo, CEO da PhishX, plataforma SaaS B2B que atua na gamificação e conscientização em cibersegurança, a pergunta que o gestor de uma fintechs tem que se fazer hoje não é se existe o risco de ser atacada, mas quando. Isso porque, o aumento do cerco contra o cibercrime se dá na mesma medida em que cresce a incidência desses ataques. Em 2020, conforme a Febraban, o setor financeiro evitou prejuízos na ordem de R$ 4 bilhões; neste ano, até agora, esse volume já dobrou.

“Cibersegurança envolve algo muito mais amplo do que a questão tecnológica, que é importantíssima, mas é mais uma das disciplinas dentro do espectro maior de governança, compliance, segurança e risco da informação. Envolve processos de negócios, ambientes físicos, institucional, continuidade de negócio, tratamento de incidentes, principalmente no caso de empresas do sistema financeiro, em especial as fintechs, que fazem 100% das suas transações e atendimentos por meio digital”, disse Ivo, no programa no Youtube Papo de Fintech, de João Bezerra Leite, investidor anjo e líder do Pool de fintechs na Bossa Nova Investimentos.

Se antes a questão da governança era um desafio para grandes empresas, agora chega ao universo das fintechs, especialmente as que não tem cacife para bancar sofisticadas soluções de segurança. “Pensar em segurança não custa, é um ato mental, não é um ato de investimento”, diz Ivo. Segundo ele, quando se cria uma fintech, pensa-se no cliente, no atendimento, na performance, na tecnologia, na fricção, na experiência do usuário, nos canais de distribuição, mas muitas vezes não se coloca a questão da segurança como prioridade. “A segurança deve ser pensada na concepção da empresa”, afirma Ivo.

Certificados entram no radar

A certificação PCI DSS (abreviação para Payment Card Industry – Data Security Standard), é um padrão de segurança de dados para a indústria de cartões de crédito e afins – mas algumas fintechs vêm buscando a proteção para dar mais credibilidade ao negócio. O PCI DSS é conferido a empresas após a realização de auditorias e análises técnicas, incluindo teste de invasão de sistemas e avaliação de vulnerabilidade.

Este é o caso por exemplo da potiguar Orendapay. Com oito anos de atuação, especializada em gestão de recebíveis e meios de pagamento, é uma das fintechs que possuem o PCI DSS. “Ficamos felizes ao ter nossa plataforma certificada pelo PCI Compliance, o que agrega o maior grau de confiança de organismos internacionais ao nosso sistema. O certificado que representa um selo de proteção aos seus usuários contra fraudes cibernéticas”, disse em nota o diretor da Orendapay, Kennedy Diógenes, um dos sócios-fundadores da empresa, juntamente com Sanderson Mafra, Aluízio Dutra Filho e Rafael Marinho.

Dica “caseira”

Há mais de 20 anos no mercado de segurança cibernética, Ivo diz que os clientes compram segurança em duas ocasiões: no amor, com o compliance e a necessidade de fazer algo que precisa ser atendido por alguma força de regulação, ou na dor, onde acontecem os ataques. “Temos que mudar esse cenário, sair do 8 ou 80, só vou quando sou obrigado ou atacado, quando o estrago já está feito, com a exposição na mídia, muitas vezes irreparável”, acrescenta.

Ele dá uma dica “caseira” para evitar os ataques dos criminosos. Segundo ele, sem gastar muito dinheiro, é possível fazer um processo de checagem dentro da empresa, realizando, por exemplo, a testagem do processo por uma pessoa que não a que desenvolveu o software. Ele compara a função como a de um editor de texto, que não é quem escreve. “Esse checador vai testar todo o caminho percorrido pelo cliente para ver se tem alguma vulnerabilidade. Ele pode ser um software gratuito encontrado na internet, capaz de fazer uma varredura e identificar vulnerabilidade, são os escaneadores de vulnerabilidade.”

Antes do fim do primeiro semestre de 2021, o serviço de autenticação por biometria facial da Unico, idtech de reconhecimento digital de identidade, já teria evitado R$ 16 bilhões em prejuízos. Boa parte desse montante, fica na conta de fintechs: dos R$ 5 bilhões bloqueados em maio deste deste ano, R$ 4 bi estavam relacionados a essas empresas. “Através das fintechs, as pessoas conseguem abrir uma conta bancária em menos de dois minutos. Porém, os criminosos também estão de olho nesse novo movimento, por isso o grande volume de tentativas de fraudes”, diz Marcelo Zanelatto, diretor de produtos da Unico, startup de autenticação por biometria facial.

LGPD acende o alerta

A questão da LGPD também é uma preocupação ligada à segurança e credibilidade do player. Foi um dos temas da terceira edição virtual do Congresso de Inovação em Serviços Financeiros (CISF), realizada nesta semana pela Associação Brasileira de Bancos (ABBC). Na ocasião, Marcelo Guedes, coordenador-geral de Tecnologia e Pesquisa da Autoridade Nacional de Proteção de Dados (ANPD), abordou a questão. “A LGPD coloca alguns deveres relacionados ao titular dos dados, e eles podem culminar com a notificação à ANPD. Em primeiro lugar, o time de respostas de incidentes deve atuar e, depois, fazer uma avaliação desse incidente para ter informações como a natureza, a categoria, a quantidade de titulares afetados, ou seja, ter algum elemento que permita classificar o risco segundo a visão da própria organização que sofreu o ataque”, declarou Guedes. Ele disse, na ocasião ,
que em casos de vazamentos de dados, a primeira ação é tratar o evento, estancar a ação criminosa e restabelecer o sistema. Depois, ele tem algumas obrigações.”

Já Thiago Diogo, diretor de tecnologia da Unico, enfatizou no mesmo evento a questão sobre a importância de proteger a identidade digital. “Sempre recomendo que é importante conhecer o fluxo, saber onde as credenciais são usadas, onde a sua identidade digital e a do seu cliente, tanto interno e externo, estão sendo usadas, compreender os fluxos de autenticação, de senha e do dado cadastral, ter tudo mapeado, o que nos leva para o segundo passo que é a modelagem de ameaça, para entender o quão exposto o seu fluxo está”, diz Diogo.

Home Office, ponto frágil

Outro painelista do evento da ACCB foi Renato Dolci, CEO da Decode, empresa que desenvolve soluções de data analytics com foco em inteligência de negócios e maximização de receita, comentou durante o debate sobre o fato de a pandemia ter acelerado a informalidade dentro de algumas plataformas. “Por isso é importante investir em tecnologias para guardarem as nossas informações dentro dos ambientes, mas, na maioria das vezes, o que eu noto é que na troca da informação é onde a gente acaba tendo pouco cuidado”, diz Dolci.

Segundo Gustavo Duani, diretor de cibersegurança da Claranet, multinacional do Reino Unido especializada em cibersegurança, com foco em varejo e sistema financeiro, segurança da informação se faz pensando em processo, tecnologia e pessoas. Na questão do processo, explica, é preciso ter domínio para saber aplicá-los; a tecnologia vai servir para aplicar os controles migratórios em cima do processo e as pessoas serão os executores. “As pessoas são o elo mais fraco, porque independente da empresa e do investimento que ela faça em segurança, se a ela não tiver funcionários alinhadas ao negócio e aos riscos de segurança pode-se tornar vulnerável e com grande impacto no negócio”, diz Duani.

Gustavo Duani, Claranet


A máquina que o usuário usa em casa, por exemplo, que era utilizada exclusivamente no trabalho, passou a ser usada para fins pessoais e com isso, os controles não estão aplicados, as atualizações não foram feitas. “O banco atacado perde credibilidade, por isso, vejo a segurança como uma questão de sobrevivência da empresa”, acrescenta Duani.

Para o executivo da Claranet no Brasil, com o advento do home office as empresas abriram mais um ponto de fragilidade na questão da segurança. Com isso, a Claranet notou um crescimento das consultas por parte das fintechs para saberem o seu grau de aderência à proteção e às obrigações que chegam com a entrada da Lei de Segurança de Dados (LGPD), que vai penalizar empresas responsáveis pelo vazamento de dados de seus clientes.
Open Banking e PIX aumenta vulnerabilidade

“O PIX é uma solução que entra dentro do aplicativo do banco mais ligado a fraude, que expõe o consumidor final. O open banking utiliza APIs, que são códigos que fazem integrações com sistemas para que se execute alguma ação no sistema financeiro. Essas API’s precisam passar por uma revisão de código de segurança para eliminar vulnerabilidades, para evitar o roubo de dados, fraude sistêmica”, diz. O open banking abre várias possibilidades para ataques de cibersegurança como de fraudes. A Claranet é mais uma empresa que oferece soluções para prevenir esses crimes com soluções que vão desde a varredura dos dados até alertas proativos de ataques que estão ocorrendo.

Leia também: