Após o adiamento de praticamente um mês no planejamento previsto pelo Banco Central, a segunda das quatro fases de implantação do Open Banking fez sua estreia no Brasil no último dia 13 de agosto, trazendo o que alguns analistas chamam de “início real da modalidade” após uma primeira fase de preparação iniciada em fevereiro deste ano.
Neste artigo veremos porque esta é considerada a fase inicial “de fato”, mas também veremos quais os desafios – do ponto de vista da segurança da informação – trazidos por esta nova modalidade de serviço bancário, incluindo algumas das experiências vividas no Reino Unido e na Austrália, países nos quais o Open Banking já é uma realidade.
São desafios tecnológicos – que incluem o grande volume de dados que passará a trafegar entre instituições com o uso de APIs –, e humanos: como evitar que todo um novo contingente de clientes de bancos e novos serviços financeiros seja vítima de fraudes e roubo de credenciais
O Open Banking – ou Sistema Financeiro Aberto – é uma iniciativa do Banco Central que visa trazer uma série de inovações ao sistema financeiro brasileiro.
Como introduzimos neste artigo, pode ser entendido como a culminação das transformações tecnológicas e sociais ocorridas nas últimas décadas no país como o surgimento dos bancos digitais, a massificação do uso de dispositivos móveis para consumo de produtos e serviços (incluindo financeiros), entre outras.
Nesse contexto Segundo o Banco Central, o Open Banking “é a possibilidade de clientes de produtos e serviços financeiros permitirem o compartilhamento de suas informações entre diferentes instituições autorizadas pelo Banco Central e a movimentação de suas contas bancárias a partir de diferentes plataformas e não apenas pelo aplicativo ou site do banco, de forma segura, ágil e conveniente”.
Ao longo de 4 etapas, o Open Banking permitirá, com o uso de APIs (e com o devido consentimento dos correntistas e clientes do sistema financeiro) o compartilhamento de dados de cadastros e transações entre as instituições, a possibilidade de pagamento de contas, transferências e outras transações por meio de aplicativos intermediários (fora do internet banking ou do aplicativo do banco onde se tem conta) e, finalmente, o compartilhamento de dados financeiros dos clientes para outros produtos e serviços.
Com isso o Banco Central aposta no surgimento de novos serviços financeiros mais inclusivos e competitivos.
Se a primeira fase do Open Banking afetou apenas as instituições financeiras, esta segunda fase, iniciada no dia 13 de agosto, diz respeito diretamente aos clientes do setor.
A partir deste dia, o cliente pode compartilhar e portar dados como informações cadastrais e transacionais, serviços e produtos utilizados em um determinado banco, com outros bancos e fintechs se e quando quiser, ou seja, toda informação sobre um cliente bancário só poderá ser compartilhada com outra instituição mediante seu consentimento expresso.
Na prática: “se o cliente quiser que o banco A, no qual tem conta, compartilhe os dados dele com a fintech B, deverá solicitar o compartilhamento ao B, que avisará o A sobre a solicitação. Feito isso, o banco confirmará com o cliente se ele realmente solicitou a liberação e coletará seu consentimento para realizar sua transmissão.”
Este processo, segundo o site Consultor Jurídico, estará de acordo com a Lei Geral de Proteção de Dados (LGPD) “seguindo um fluxo padrão de consentimento pelo cliente semelhante ao do acesso à instituição por meio do aplicativo ou internet banking via reconhecimento facial, biometria ou senha”.
O site destaca ainda que, com base na LGPD, o cliente deve ter clareza sobre qual dado específico estará sendo compartilhado (com o seu consentimento) e poderá revogar este compartilhamento a qualquer momento.
No Open Banking a segurança das informações trocadas entre as instituições estão sob responsabilidade destas instituições, que devem seguir regras definidas pelo Banco Central.
Segundo João Pereira, chefe do Departamento de Regulação do Sistema Financeiro do Banco Central, em entrevista para a AFRAC (Associação Brasileira de Tecnologia para o Comércio e Serviços), há uma grande preocupação com possíveis fraudes. Todas as instituições envolvidas devem seguir estas regras e eventuais incidentes serão investigados caso a caso:
“No Open Banking, todas as instituições vão seguir as regras da política de segurança cibernética. Se algo der errado, o BC tem que ser acionado e vamos analisar. Se for um ato criminoso, a polícia será envolvida. As transações são marcadas e é muito simples ver onde o processo deu errado. O ecossistema do Open Banking foi criado para ser totalmente rastreável. Então, os erros serão facilmente identificados”
No entanto, nem o BC nem as instituições envolvidas estão livres de erros e de golpes sofridas pelos seus usuários: “Segundo Pereira, o que pode ocorrer é falha humana, quando golpes gerados a partir da engenharia social acontecem”.
A pandemia acelerou significativamente a adoção de plataformas digitais no relacionamento entre empresas e seus clientes. As medidas de isolamento tomadas especialmente no início de 2020 trouxeram todo um novo contingente de pessoas que mudaram seus hábitos de consumo, incluindo no que se refere aos bancos.
Um levantamento do UBS Evidence Lab mostrou que em 2020, pela primeira vez, o número de downloads de apps de fintechs e bancos digitais ultrapassou o de bancos tradicionais, com os primeiros alcançando uma fatia de 52% contra 48% dos bancos (em 2019 o percentual era invertido, com bancos tradicionais respondendo por 52%).
Em 2021, o número de brasileiros que usam bancos digitais mais do que dobrou, atingindo 31% dos correntistas contra 14% em 2020. Hoje, 57% dos brasileiros com acesso à Internet já têm conta digital.
Isso representa um desafio do ponto de vista da segurança: como evitar que esses novos consumidores digitais se tornem vítimas de crimes como roubo de identidade, de credenciais ou outros dados?
Apenas para registro: no Brasil, somente em 2020, foram registrados ao menos 3 bilhões de tentativas de roubo de credenciais. No setor financeiro, em um único dia do mesmo ano, foram registrados 1,1 milhão de tentativas.
A seguir colocaremos em perspectiva os cenários vividos no Reino Unido e na Austrália, o que pode dar uma pista do que poderemos observar na versão brasileira do Open Banking
O Open Banking foi regulamentado no Reino Unido em 2016 com uma determinação da autoridade local para competição e mercado (CMA) e foi estabelecido em 2018, com os principais bancos da região sendo obrigados a compartilhar dados com novos players financeiros.
Um dos problemas encontrados pelas instituições financeiras, apontados pelo especialista Barley Laing no site Finextra (agência especializada em tecnologia para o mercado financeiro) é a falta de uma fonte única e confiável de dados verificados à disposição das instituições, as quais precisam acessar diferentes fontes com bilhões de registros, nem sempre compatíveis, o que, dado o crescente volume de dados compartilhados, pode abrir brechas para a ocorrência de fraudes.
Além disso, segundo a empresa de prevenção à fraude Cifas, o fato de nem todos os potenciais clientes estarem totalmente familiarizados com novas empresas e serviços cria potencial para golpes como o phishing, com produtos financeiros falsos sendo oferecidos por fraudadores para atrair suas vítimas, por exemplo.
Além da questão dos dados legados observada no Reino Unido, a experiência australiana traz um outro ponto de atenção: falhas decorrentes de vulnerabilidades ou de erros na implantação de APIs.
APIs existem para permitir integrações entre sistemas sem que, necessariamente, o sistema que consome a API necessite saber os detalhes de implementação dos demais sistemas, facilitando sua integração.
No entanto, ao facilitar essa integração de serviços, seu reuso indiscriminado, ou mesmo falhas de implementação em um único ponto de uma cadeia de serviços pode levar a riscos e incidentes cibernéticos, como foi visto na Austrália.
Em 2019 um vazamento expôs dados de empréstimo de 100 mil clientes da LandMark White, uma das maiores empresas de consultoria e corretagem imobiliária. A empresa atribuiu o vazamento a uma API insegura e, como resultado, muitos dos maiores bancos da região suspenderam as negociações com a consultoria.
No Brasil, o Banco Central afirma ter os controles necessários para evitar incidentes de segurança, pelo menos no que se refere à parte tecnológica.
Segundo o executivo do BC, João Pereira, a estrutura de governança do Open Banking observará de perto eventuais problemas e falhas: “Todo o processo passa pela autenticação do usuário, e todas as empresas participantes precisarão comprovar que o cliente é ele mesmo. Teremos várias barreiras para impedir que um golpe seja bem-sucedido. E será muito difícil as fronteiras serem rompidas na força bruta, como um hacker acessar o banco e roubar os dados que serão compartilhados”.
Mas, como também vimos, a segurança do Open Banking passa por outras questões.
O advogado especialista em Direito Digital, Márcio Chaves, aponta que “A nova fase do open banking é um prato cheio para a prática do phishing (e-mail), do vishing (telefone) e do smishing (SMS) e exigirá que a população como um todo já esteja preparada para identificar não apenas os golpes mais simples e genéricos, mas também aqueles elaborados e direcionados, feitos inclusive com dados pessoais vazados em incidentes recentes”.
Nesse cenário, é vital que as instituições assumam a responsabilidade de informar e educar seus clientes para a segurança de forma clara e transparente.
Também é fundamental manter uma vigilância firme nos seus canais de relacionamento, especialmente os digitais.
“Os cibercriminosos se aproveitam da intensificação do relacionamento por canais digitais como ponto de contato entre empresas e clientes para se apoderar não apenas de dinheiro, mas dos dados, que muitas vezes pode ser algo ainda mais rentável”, explica Aldo Albuquerque, vice-presidente de Customer Delivery da Tempest Security Intelligence.
Atualmente é fundamental contar com parceiros com expertise técnica que ofereçam produtos, serviços e conhecimento para identificar possíveis brechas de segurança na organização.
A Tempest Security Intelligence é a maior empresa brasileira especializada em cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 390 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas de todos os portes de setores como serviços financeiros, varejo e e-commerce.
Pesquisando e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.
Para saber mais, acesse https://www.tempest.com.br/fale-conosco/ e fale com nossos consultores.
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!