Segurança ao armazenar dado sustenta novo sistema
são paulo Com o compartilhamento de dados bancários entre instituições promovido pelo open banking, aumentam as preocupações com a segurança dessas informações, cujo vazamento pode ter impactos consideráveis.
Embora os bancos já invistam fortemente em formas de proteção, o Banco Central deve passar a monitorar as propostas de segurança de todas as instituições que vão integrar o sistema. Geralmente vistos como o elo fraco da cadeia, especialistas alertam que os clientes também devem se precaver contra fraudes.
O aumento do número de instituições em que os dados bancários ficarão armazenados pode ser um problema, afirma João Lucas Brasio, diretor-executivo da Elytron, empresa especializada em consultoria de segurança da informação.
A questão é matemática: quanto mais cópias desses dados estiverem por aí, multiplicam-se as chances de que empresas tenham alguma falha que leve ao vazamento.
“É como se você tivesse uma réplica da chave do seu veículo em tudo quanto é lugar: quanto mais houver, maior a possibilidade de seu carro ser furtado”, afirma.
Além disso, uma dor de cabeça em potencial é o comportamento humano, que, para Brasio, é representado pela “ansiedade de clicar, clicar, clicar e não ler nada”. Segundo ele, caso não haja um investimento em aprendizado e conscientização por parte dos bancos, os usuários se tornarão alvos fáceis de golpes.
Um dos riscos é o de que hackers consigam enviar pedidos de autorização de acesso a dados bancários em nome de empresas.
“Vamos supor que, por exemplo, apareça uma empresa tentando consultar o seu crédito sem você ter feito um pedido: é preciso ficar atento e não autorizar”, diz o especialista em segurança da informação Fabio Sobiecki.
De acordo com profissionais da área de segurança, as precauções gerais para os usuários do open banking não são muito diferentes das que já são recomendadas na maioria dos casos: ter um bom antivírus, trocar senhas com frequência, não dar cliques em mensagens suspeitas, para citar o básico.
Um ponto crítico em questão de segurança são as APIs, interfaces que vão fazer a ligação para o compartilhamento de dados entre bancos e outras instituições.
Segundo Umberto Rosti, chairman da consultoria Safeway, elas precisarão ter métodos rígidos de segurança, como criptografia e autenticação de acesso. “Vários fatores podem trazer a exposição de dados, mas o principal é garantir ao seu usuário quem está acessando a plataforma.”
Segundo a presidente da Comissão de Dados e Privacidade da OAB-RJ, Estela Aranha, a segurança tem sido uma preocupação do Banco Central desde o início do projeto.
“Todas as instituições participantes terão que enviar uma proposta de funcionamento do sistema, que deverá ser analisada e aprovada pelo BC”, diz Aranha. “Elas também vão ficar responsáveis por elaborar relatórios semestrais sobre os dados compartilhados.”
No caso de vazamento, de acordo com a advogada, a responsabilidade é da instituição que está em posse desses dados. Já em vigor, a LGPD (Lei Geral de Proteção de Dados) prevê punições que vão desde advertências até multa, cujo valor pode chegar a 2% do faturamento da empresa para cada incidente.
As sanções poderão começar a ser aplicadas às empresas a partir de agosto de 2021. Órgão responsável pela fiscalização da aplicação da LGPD, a Autoridade Nacional de Proteção de Dados Pessoais está atualmente em processo de formação.
Os consumidores que se sentirem lesados de alguma forma também podem entrar com ações judiciais individuais contra a empresa, adverte a advogada Elaine Ferreira, sócia do escritório Rueda & Rueda.
O sucesso da ação, porém, vai depender do tipo de informação vazada. Apenas documentos pessoais, por exemplo, têm menos relevância do que dados bancários. “Vão ter que ser analisados caso a caso, porque há informações que, quando vazadas, dão um prejuízo monstruoso, e outras nem tanto”, diz Elaine.
‘Cola digital’, APIs trazem protocolos de proteção
Peças essenciais no modelo brasileiro de open banking, as APIs (interfaces de programação de aplicações, da sigla em inglês) são conjuntos de regras e padrões que permitem a troca de informações entre sistemas diferentes. Serão elas as responsáveis pelo envio e recebimento de dados entre instituições.
“São uma cola digital que une duas pontas”, afirma Fábio Rosato, diretor de soluções da Sensedia, especializada em gerenciamento e consultoria sobre APIs. “Essas pontas podem ser empresas, dispositivos conectados na internet, e elas estão por trás de tudo que fazemos, desde consultar o email no aplicativo até pedir um Uber.”
Na prática, as APIs são endereços virtuais que retornam informações no formato de dados estruturados. A partir deles, é possível fazer leituras, transformá-los numa tela de aplicativo ou até trabalhá-los com o uso de inteligência artificial.
Embora formatos semelhantes a esse sejam usados há décadas, a API moderna nasceu no início dos anos 2000, utilizada por empresas de ecommerce como Amazon e eBay para criar um ecossistema de parcerias.
Para Renato Terzi, presidente da GR1D, marketplace brasileiro de APIs, a simplicidade é o que torna as interfaces seguras. “São tão simples que, se você tentar enviar um vírus, não cabe. Elas identificam e brecam o comando indevido.”
Além disso, segundo Rosato, no caso do open banking, as APIs receberão várias camadas de proteção, como identificação e autorização de acesso, criptografia e certificados de segurança.
Embora seja tarefa difícil invadir o sistema por meio das APIs, Terzi considera que é possível usá-las num esquema de fraude. Por exemplo, sobrecarregando-as com transações para derrubar o sistema e tentar identificar alguma vulnerabilidade.
“Não existe segurança completa, mas é possível garantir que seja preciso um custo muito alto para quebrá-la. Neste momento, as APIs são muito seguras.”