{"id":7837,"date":"2023-03-21T15:37:50","date_gmt":"2023-03-21T18:37:50","guid":{"rendered":"https:\/\/blog.n5now.com\/?p=7837"},"modified":"2023-03-21T17:10:44","modified_gmt":"2023-03-21T20:10:44","slug":"el-drama-del-pishing-bancario-desperto-al-bcra-nuevas-normas-de-ciberseguridad","status":"publish","type":"post","link":"https:\/\/blog.n5now.com\/pt-br\/el-drama-del-pishing-bancario-desperto-al-bcra-nuevas-normas-de-ciberseguridad\/","title":{"rendered":"O drama do phishing banc\u00e1rio despertou o BCRA: novas regras de seguran\u00e7a cibern\u00e9tica"},"content":{"rendered":"\n

<\/p>\n\n\n\n

O Banco Central mudou radicalmente as regras de seguran\u00e7a cibern\u00e9tica em caixas eletr\u00f4nicos e home office para evitar fraudes com clientes<\/strong><\/p>\n\n\n\n

Ao retornar uma resposta a um e-mail ou ap\u00f3s postar um Twitter reclamando da entidade em que possui conta, muitos viram suas cadernetas de poupan\u00e7a vazias. Os bancos lavam as m\u00e3os at\u00e9 que caia sobre eles um processo. Mas agora o Banco Central tomou medidas sobre o assunto.<\/p>\n\n\n\n

Eventos de phishing banc\u00e1rio<\/strong> e outras fraudes contra clientes desavisados \u200b\u200bacabam, em pouqu\u00edssimos casos, em processos milion\u00e1rios contra bancos por n\u00e3o terem estabelecido melhores pol\u00edticas de seguran\u00e7a. <\/strong>Mas geralmente o cliente se sente culpado por ser ing\u00eanuo e n\u00e3o protesta.<\/p>\n\n\n\n

O que acontecer\u00e1 no futuro com a ciberseguran\u00e7a banc\u00e1ria<\/h2>\n\n\n\n

Diante dessa situa\u00e7\u00e3o, o Banco Central deu uma guinada brusca em sua regulamenta\u00e7\u00e3o de ciberseguran\u00e7a para institui\u00e7\u00f5es financeiras<\/strong>, com a publica\u00e7\u00e3o nesta sexta-feira, 10 de mar\u00e7o, do Comunicado A 7724, que modifica os anteriores com uma vis\u00e3o focada na minimiza\u00e7\u00e3o de incidentes.<\/p>\n\n\n\n

“O BCRA atualizou os ‘Requisitos m\u00ednimos para a gest\u00e3o e controle dos riscos de tecnologia e seguran\u00e7a da informa\u00e7\u00e3o’, obrigando as entidades financeiras a implementar controles internos e gest\u00e3o de riscos em tecnologia e sua mitiga\u00e7\u00e3o”, afirma Gabriela Abad<\/strong>, Advogada da Associa\u00e7\u00e3o de Usu\u00e1rios e Consumidores dos Estados Unidos (UCU).<\/p>\n\n\n\n

\u201cA norma estabelece requisitos para o desenho de opera\u00e7\u00f5es e processos que ofere\u00e7am ciberresili\u00eancia a incidentes\u201d<\/strong>, explica Federico Tjor<\/strong>, advogado especialista em Direito Inform\u00e1tico, em di\u00e1logo com a iProUP, e indica que \u201ctamb\u00e9m est\u00e1 regulamentada a gest\u00e3o de ciberincidentes , buscando prepara\u00e7\u00e3o e resposta de planos, registros de incidentes cibern\u00e9ticos e sua investiga\u00e7\u00e3o”, diz ele.<\/p>\n\n\n\n

No entanto, Tjor aponta que \u201cembora as mudan\u00e7as sejam positivas <\/strong>para garantir um patamar de seguran\u00e7a aceit\u00e1vel para o funcionamento das institui\u00e7\u00f5es financeiras, elas envolvem quase totalmente aspectos do funcionamento interno dos bancos, com pouca relev\u00e2ncia para a seguran\u00e7a dos usu\u00e1rios<\/strong> em suas opera\u00e7\u00f5es virtuais\u201d .<\/p>\n\n\n\n

O que os bancos devem fazer para atender com rob\u00f4s?<\/h2>\n\n\n\n

\u201cO regulamento especifica o uso de Intelig\u00eancia Artificial (IA) dentro das entidades banc\u00e1rias, e exige que elas identifiquem e documentem o objetivo do uso de algoritmos desse tipo, com requisitos espec\u00edficos para evitar preconceitos ou discrimina\u00e7\u00e3o contra grupos de usu\u00e1rios, como bem como a obriga\u00e7\u00e3o de informar o cliente da sua utiliza\u00e7\u00e3o”, refere Tjor.<\/p>\n\n\n\n

\u201cO BCRA considera especialmente a ado\u00e7\u00e3o por entidades de Intelig\u00eancia Artificial em seus processos<\/strong>, o uso de tecnologia nova ou emergente no contexto de incidentes cibern\u00e9ticos\u201d, esclarece Abad.<\/p>\n\n\n\n

\u201cA precau\u00e7\u00e3o exigida pelo BCRA no uso de algoritmos de IA \u00e9 a confiabilidade em seu uso e a ado\u00e7\u00e3o de medidas para evitar a exist\u00eancia de preconceito ou discrimina\u00e7\u00e3o contra usu\u00e1rios de servi\u00e7os financeiros\u201d, acrescenta.<\/p>\n\n\n\n

\u201cO padr\u00e3o tamb\u00e9m estabelece a comunica\u00e7\u00e3o com o cliente quando o banco utiliza servi\u00e7os suportados por esse tipo de tecnologia\u201d, diz Abad, acrescentando: \u201c\u00e9 importante que o usu\u00e1rio saiba quando est\u00e1 sendo atendido por uma pessoa real ou por um rob\u00f4\u201d.<\/p>\n\n\n\n

Quais incidentes cibern\u00e9ticos devem ser evitados pelos bancos<\/h2>\n\n\n\n

\u201cNesta ampla regulamenta\u00e7\u00e3o, o BCRA enfoca as diferentes precau\u00e7\u00f5es que os bancos devem realizar para garantir a identifica\u00e7\u00e3o, avalia\u00e7\u00e3o, monitoramento, controle e preven\u00e7\u00e3o dos chamados incidentes cibern\u00e9ticos\u201d<\/strong>, comenta Abad.<\/p>\n\n\n\n

\u201cO que s\u00e3o incidentes cibern\u00e9ticos? O BCRA os define como aqueles incidentes de tecnologia e seguran\u00e7a que p\u00f5em em risco a ciberseguran\u00e7a de um sistema de informa\u00e7\u00e3o ou a informa\u00e7\u00e3o que o sistema processa, armazena ou transmite\u201d, destaca.<\/p>\n\n\n\n

Para o Banco Central, tamb\u00e9m \u00e9 um incidente cibern\u00e9tico que viola pol\u00edticas de seguran\u00e7a, procedimentos de seguran\u00e7a ou pol\u00edticas de uso aceit\u00e1vel, seja ou n\u00e3o produto de atividade maliciosa\u201d, acrescenta.<\/p>\n\n\n\n

\u201c\u00c9 do conhecimento p\u00fablico a vaga de ataques do tipo \u201cengenharia social\u201d, \u201cphishing\u201d, \u201cvishing\u201d<\/strong> e outras caracter\u00edsticas semelhantes, que se agravaram na pandemia da COVID-19<\/strong>, \u00e0 semelhan\u00e7a de outros incidentes inform\u00e1ticos, que persistem at\u00e9 aos dias de hoje. hoje”, lembra.<\/p>\n\n\n\n

\u201cAgora o BCRA insiste em exigir treinamentos e programas de conscientiza\u00e7\u00e3o em seguran\u00e7a da informa\u00e7\u00e3o das entidades que chegam aos clientes e usu\u00e1rios, contemplando os riscos tecnol\u00f3gicos e os aspectos relacionados \u00e0 gest\u00e3o de incidentes cibern\u00e9ticos\u201d, destaca Abad.<\/p>\n\n\n\n

Quais s\u00e3o as chaves para os novos padr\u00f5es de seguran\u00e7a cibern\u00e9tica<\/h2>\n\n\n\n

\u201cO Comunicado A 7724 estabelece uma s\u00e9rie de diretrizes que obrigam as institui\u00e7\u00f5es financeiras a realizar um planejamento estrat\u00e9gico em seguran\u00e7a cibern\u00e9tica\u201d, comenta Abad, e lista as obriga\u00e7\u00f5es impostas pelo BCRA aos bancos:<\/p>\n\n\n\n

    \n
  1. 1. Autentica\u00e7\u00e3o dupla<\/strong><\/li>\n<\/ol>\n\n\n\n

    Definir modelos de acesso de utilizadores que tenham em conta fatores de autentica\u00e7\u00e3o, comportamento na utiliza\u00e7\u00e3o de servi\u00e7os e diferentes fontes de informa\u00e7\u00e3o que permitam validar a sua identidade.<\/p>\n\n\n\n

      \n
    1. 2. Prote\u00e7\u00e3o de integridade.<\/strong><\/li>\n<\/ol>\n\n\n\n

      Estabelecer medidas de prote\u00e7\u00e3o que garantam a integridade e confidencialidade dos fatores de autentica\u00e7\u00e3o do cliente e que reduzam o risco de ataques, com a utiliza\u00e7\u00e3o de m\u00e9todos que comprovem a posse e controle do dispositivo pelo usu\u00e1rio.<\/p>\n\n\n\n

        \n
      1. 3. Dados biom\u00e9tricos<\/strong><\/li>\n<\/ol>\n\n\n\n

        Devem ser avaliados e mitigados os riscos relativos \u00e0s limita\u00e7\u00f5es do m\u00e9todo, \u00e0 taxa de falsos positivos, \u00e0s poss\u00edveis vulnerabilidades nos dispositivos e sistemas utilizados para capturar e validar as credenciais e ao impacto na privacidade do usu\u00e1rio.<\/p>\n\n\n\n

          \n
        1. 4. Eventos de seguran\u00e7a<\/strong><\/li>\n<\/ol>\n\n\n\n

          Estabelecer um processo de registro e an\u00e1lise de informa\u00e7\u00f5es relacionadas a eventos de seguran\u00e7a de sistemas, redes e infraestrutura tecnol\u00f3gica.<\/p>\n\n\n\n

          Revise os perfis de comportamento do usu\u00e1rio para identificar suas atividades habituais, bem como identificar padr\u00f5es de atividade suspeita ou incomum do usu\u00e1rio.”<\/p>\n\n\n\n

            \n
          1. 5. Gerenciamento de incidentes cibern\u00e9ticos:<\/strong><\/li>\n<\/ol>\n\n\n\n

            Manter um registo da monitoriza\u00e7\u00e3o das atividades at\u00e9 \u00e0 identifica\u00e7\u00e3o da causa raiz dos incidentes cibern\u00e9ticos, de forma a garantir a sua resolu\u00e7\u00e3o e evitar a sua recorr\u00eancia.<\/p>\n\n\n\n

            Mesmo quando a origem n\u00e3o est\u00e1 sob o controle do banco, eles tamb\u00e9m devem tomar a\u00e7\u00f5es para gerenciar seu acompanhamento.<\/p>\n\n\n\n

            Analisar as informa\u00e7\u00f5es estabelecidas para prevenir novos incidentes cibern\u00e9ticos ou investigar as causas raiz do incidente cibern\u00e9tico registrado.<\/p>\n\n\n\n

              \n
            1. 6. Caixas Multibanco e homebanking<\/strong><\/li>\n<\/ol>\n\n\n\n

              O Banco Central define Canais Eletr\u00f4nicos como caixas eletr\u00f4nicos, terminais de autoatendimento, mobile banking, telebanking, banda de internet e plataforma de pagamento m\u00f3vel. E exige que as entidades tenham equipes de trabalho especializadas na gest\u00e3o de incidentes de seguran\u00e7a em todos os seus Canais Eletr\u00f4nicos.<\/p>\n\n\n\n

              No entanto, \u201cseria esperado que a oportunidade tivesse sido aproveitada para regular a obriga\u00e7\u00e3o de informar os usu\u00e1rios, e n\u00e3o apenas o BCRA, em caso de incidentes cibern\u00e9ticos, roubo de dados ou informa\u00e7\u00f5es\u201d.<\/p>\n\n\n\n

              O Comunicado \u201cA\u201d 7724 entrar\u00e1 em vigor em 180 dias<\/strong>, de forma a permitir uma revis\u00e3o dos processos para adequa\u00e7\u00e3o a esta nova abordagem regulat\u00f3ria, segundo o Banco Central.<\/p>\n\n\n\n

                \n
              • Quais s\u00e3o as principais fraudes que atingem os clientes banc\u00e1rios?<\/li>\n<\/ul>\n\n\n\n

                \u201cAs novas modalidades nas opera\u00e7\u00f5es banc\u00e1rias, atrav\u00e9s de levantamentos de dinheiro em caixas multibanco, pagamentos por transfer\u00eancia ou atrav\u00e9s de homebanking, ou atrav\u00e9s de posnet com cart\u00f5es de cr\u00e9dito e d\u00e9bito, demonstraram a fragilidade do sistema, por exemplo, das seguintes formas\u201d, listou Flavio Lowenrosen, especialista em direito do consumidor:<\/p>\n\n\n\n

                Simula\u00e7\u00e3o nas redes sociais: criminosos se passam por banc\u00e1rios, dando instru\u00e7\u00f5es aos indiv\u00edduos, para que fa\u00e7am transfer\u00eancias ou solicitem cr\u00e9ditos.<\/p>\n\n\n\n

                Clonagem de cart\u00f5es de d\u00e9bito ou cr\u00e9dito.<\/p>\n\n\n\n

                Extra\u00e7\u00e3o de dinheiro por terceiros fora das contas.<\/p>\n\n\n\n

                \u201cNesses casos, os sistemas n\u00e3o detectaram a utiliza\u00e7\u00e3o de cart\u00f5es diferentes ou de contas n\u00e3o oficiais, por exemplo\u201d<\/strong>, comenta Lowenrosen.<\/p>\n\n\n\n

                Que responsabilidade os bancos t\u00eam contra a fraude do cliente?<\/h2>\n\n\n\n

                \u201cA organiza\u00e7\u00e3o banc\u00e1ria n\u00e3o pode perceber que terceiros fingem ser ela e aconselham os usu\u00e1rios a realizar determinadas atividades (fornecer dados, enviar e-mails, fazer transfer\u00eancias) que s\u00e3o contr\u00e1rias aos seus direitos e interesses patrimoniais\u201d, explica Lowenrosen.<\/p>\n\n\n\n

                \u201cComo as entidades n\u00e3o tomam as medidas necess\u00e1rias para prevenir a fraude do usu\u00e1rio, elas devem assumir a responsabilidade<\/strong> em situa\u00e7\u00f5es de fragilidade ou falibilidade organizacional\u201d, enfatiza Lowenrosen.<\/p>\n\n\n\n

                \u201cEm todo o caso, e embora a omiss\u00e3o n\u00e3o libere claramente o banco, os utentes devem agir com prud\u00eancia, consultando a institui\u00e7\u00e3o financeira em caso de d\u00favida ou eventualidade, e deixando registo da mesma\u201d, alerta.<\/p>\n","protected":false},"excerpt":{"rendered":"

                Nesta nota voc\u00ea pode encontrar as chaves para os novos padr\u00f5es de seguran\u00e7a cibern\u00e9tica<\/p>\n","protected":false},"author":2,"featured_media":7846,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[234,228],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/posts\/7837"}],"collection":[{"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/comments?post=7837"}],"version-history":[{"count":8,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/posts\/7837\/revisions"}],"predecessor-version":[{"id":7857,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/posts\/7837\/revisions\/7857"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/media\/7846"}],"wp:attachment":[{"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/media?parent=7837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/categories?post=7837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.n5now.com\/pt-br\/wp-json\/wp\/v2\/tags?post=7837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}