quarta-feira, julho 23, 2025
Latest:
Notícias

Segurança da Informação: Bancos médios viram alvo de fraude nos EUA

marcos , , , , , , , , , , , , ,

Como pequena fornecedora de peças para a problemática indústria automobilística dos Estados Unidos, a Experi-Metal, de Michigan, sempre buscou meios de reduzir os custos e melhorar a eficiência. A atividade bancária pela internet não foi exceção: a companhia aderiu a esse serviço no ano 2000, a pedido de seu banco, o Comerica.

Regularmente a Experi-Metal recebia e-mails da instituição, sediada em Dallas, no Texas, com instruções. Assim, o sócio controlador Keith Maslowski não ficou surpreso, no começo de 2009, quando um desses e-mails solicitou a ele que preenchesse um “formulário de relações de negócios com os clientes do Comerica”. Ele digitou seu nome de usuário, senha e número de identificação pessoal em um token – dispositivo de segurança distribuído pelos bancos aos clientes – às 7h35 de 22 de janeiro do ano passado, a três semanas do 50º aniversário de fundação da companhia. Menos de sete horas depois, os cofres da Experi-Metal estavam vazios.

Às 14h02, 93 ordens de pagamento haviam sido emitidas em nome de Maslowski, enviando US$ 1,9 milhão para contas na Rússia, na Estônia e em outros países onde a Experi-Metal nunca fez negócios. A companhia perdeu todos os US$ 560 mil que estavam depositados em suas principais contas, apesar de registros judiciais mostrarem, depois, que ela fizera esse tipo de transferência eletrônica só duas vezes nos dois anos anteriores.

Perdas para grupos e instituições com ataques virtuais atingiram US$ 2 bi em 2010 e podem crescer

Quatro horas depois do início da confusão, o alarme finalmente foi dado – por outro banco que estava processando algumas das transações. Mesmo assim, mais uma hora e meia se passou até que o Comerica interrompesse as transferências, segundo constatou o juiz distrital Patrick Duggan, após um julgamento em Detroit, no ano passado.

Com uns poucos comandos de teclado, a Experi-Metal foi pega em um abismo darwiniano que poderia representar sua falência: a companhia havia sido vítima do crime cibernético e o banco a que seus recursos foram confiados não tinha a obrigação legal de restituí-los. Os ladrões cibernéticos já custaram mais de US$ 15 bilhões às companhias americanas e seus bancos nos últimos cinco anos, segundo um estudo recente da Federal Deposit Insurance Corporation, uma agência independente criada pelo Congresso americano, e “tomadas de contas” como a ocorrida com a Experi-Metal estão ficando mais comuns.

As empresas são forçadas a absorver cerca de metade das perdas totais decorrentes dos ataques às suas contas bancárias, segundo uma pesquisa não divulgada feita por uma associação bancária e dezenas de entrevistas conduzidas pelo “Financial Times”. Mesmo assim, as autoridades reguladoras poderiam ter impedido a maior parte dos crimes se softwares de segurança que estão disponíveis tivessem sido adotados.

Novas diretrizes anunciadas nos Estados Unidos, orientando todos os bancos a aumentar a segurança, passaram a vigorar no começo de janeiro, projetadas especialmente para ajudar a proteger as contas comerciais. Mas elas ainda não convenceram os bancos a aumentar a vigilância contra os criminosos da maneira necessária, alertam as autoridades reguladoras.

Autoridades americanas e agências que fiscalizam a aplicação das leis consideram cada vez mais as instituições financeiras como parte do problema sobre a incapacidade de conter as fraudes cometidas na internet. No geral, a segurança está melhorando e os sistemas próprios dos bancos raramente são violados, mas muitos vêm optando por não fazer varreduras em busca das fraudes mais óbvias que estão sendo perpetradas contra seus clientes, como indicam transferências incomuns e ultrarrápidas para lugares pouco familiares.

Veteranos da segurança bancária afirmam que um dos motivos das falhas de proteção é que os bancos americanos não precisam pagar uma restituição total às empresas. “Eles não vão gastar mais para impedir as fraudes do que os custos que eles têm quando uma fraude ocorre”, diz uma vendedora de sistemas de detecção de fraudes direcionados principalmente a bancos de médio porte. Ela sugere que a maioria dos bancos teria de investir US$ 1 milhão em sistemas adequados de proteção.

Individualmente, os americanos estão protegidos pelo Regulamento E do código bancário federal e estão sujeitos a pagar um valor máximo de US$ 500, se um ladrão cibernético ataca. As empresas – mesmo aquelas controladas por uma única pessoa – não têm essas garantias. “Uma pequena empresa pode não conseguir sobreviver a um ataque cibernético”, disse Gordon Snow, diretor-assistente do FBI, em testemunho perante uma comissão de serviços financeiros do Congresso americano, em setembro.

A situação em outros países varia, mas com frequência eles oferecem uma proteção maior; no Reino Unido as empresas são consideradas isentas, contanto que não sejam negligentes e informem transferências bancárias não autorizadas em um prazo de dois dias.

Nos EUA, as responsabilidades dos clientes empresariais são regidas pelo código comercial unificado, que, apesar de seu nome, varia ligeiramente de Estado para Estado. Sob esse código, as companhias são responsáveis pelos recursos roubados se acertaram um procedimento de segurança com o banco, o banco o seguiu e o procedimento era “comercialmente razoável”. Os tribunais americanos no geral sustentam esse raciocínio.

No total, as companhias americanas e seus bancos perderam mais de US$ 2 bilhões em 2010, segundo os números mais recentes da FDIC. Isso representa uma grande queda em relação ao pico de US$ 8 bilhões registrado em 2006. Mas os golpes que os bancos estão sofrendo da crise econômica significam que os abalos a seus lucros são sentidos com mais intensidade – e essas perdas geralmente não podem ser recuperadas com seguros ou cobertas pelas reservas dos bancos.

Além disso, o número de ataques está aumentando à medida que os golpistas voltam-se para empresas e bancos menores, nos quais a segurança é sempre mais fraca, afirma William Nelson, presidente-executivo do Financial Services Information Sharing and Analysis Center, um grupo sem fins lucrativos criado para compartilhar informações sobre ataques cibernéticos entre os bancos, as companhias de segurança e as autoridades governamentais.

Não há estatísticas oficiais que mostrem quais tipos de bancos são melhores na proteção aos clientes e a maior parte dos bancos procurada pelo “Financial Times” não quis discutir assuntos relacionados à segurança. Mas entrevistas em “off” com executivos e outros dados apontam para padrões bem-definidos.

No geral, os grandes bancos fazem um trabalho melhor de segurança e sempre recompensam seus clientes comerciais quando eles são vítimas de fraudes, pagando o que fontes e analistas afirmam chegar a centenas de milhões de dólares todos os anos. Esses acordos também permitem a eles evitar disputas na Justiça que poderiam revelar as fraquezas em seus sistemas de segurança.

A American Bankers Association, principal associação commercial do setor, constatou em uma pesquisa realizada em maio, com 77 instituições financeiras, que as empresas tiveram que cobrir a metade de suas perdas totais. A decomposição de uma pesquisa fornecida ao “Financial Times” também sugere que os maiores bancos aceitam uma parcela muito maior das perdas que bancos como o Comerica, que tem ativos de US$ 61 bilhões.

A pequena amostra, de menos de 1% dos bancos americanos, aparentemente apanhou instituições que tiveram mais sorte que a maioria. Os participantes das duas pesquisas com fraudes confirmadas de “tomada de conta” e mais de US$ 100 bilhões em ativos cada um, reconheceram apenas US$ 240 mil em perdas combinadas em um período recente de 18 meses, deixando seus clientes com um prejuízo de apenas US$ 86 mil. Mas na maioria dos bancos menores as proporções são invertidas. Aqueles com ativos de US$ 50 bilhões a US$ 100 bilhões, por exemplo, assumiram perdas de cerca de US$ 470 mil, deixando aos clientes um prejuízo de US$ 1,4 milhão.

A FDIC e o Federal Reserve (Fed) já recomendaram aos bancos que parem de depender de senhas, contrassenhas e “cookies” – os pequenos arquivos de dados deixados nos computadores para autenticá-los em visitas futuras – e que, em vez disso, partam para a “segurança estratificada”, que inclui programas que detectam comportamentos incomuns, como transferências múltiplas para novos recebedores em questão de minutos. As diretrizes podem aparecer nas inspeções dos órgãos reguladores dos bancos, mas autoridades afirmam não acreditar que todas as instituições cumprirão com o prazo final de janeiro e, em vez disso, estão buscando um esforço de boa fé.

Uma pesquisa feita pela Guardian Analytics, uma empresa especializada em tecnologia bancária, que foi compartilhada durante uma conferência sobre segurança a portas fechadas em novembro, em Washington, mostrou que nem todos estão equipados para esse esforço. Cerca de 40% dos bancos pesquisados nem mesmo sabiam que em breve eles serão obrigados a detectar “anomalias” nas transações. “Parece estar havendo um mal-entendido”, disse Jeffrey Kopchik, da FDIC, aos banqueiros presentes na conferência. “Isso diz respeito a mim e acredito que a todas as agências.”

Na maioria dos casos passados de grandes transferências bancárias para outros lugares, “se os bancos tivessem dado o que consideramos uma olhada superficial nas transações, eles teriam percebido que o dinheiro estava saindo pela porta em transações irregulares”.

Esse certamente foi o caso da Experi-Metal, que processou o Comerica em 2009. A Experi-Metal fechou com o 31º maior banco dos Estados Unidos quando seu “personal banker” de longa data assumiu um cargo na instituição. Nenhum dos dois lados quis fazer comentários para este artigo, mas na Justiça eles concordaram que tinham boas relações até o dia fatídico de janeiro, quando tudo deu errado.

No fim das contas, o caso chamou a atenção para questões como se as práticas do Comerica eram razoáveis comercialmente, se qualquer prática razoável deve incluir um comportamento sincero ou “negócios justos”, e se as defesas gerais do Comerica no dia dos ataques foram frouxas ao ponto de ser consideradas objetivamente desleais.

Uma testemunha da Experi-Metal, especialista em segurança bancária, disse que a maioria dos bancos pode detectar anomalias – ponto que o Comerica contestou. O Comerica disse que não se deveria esperar que ele fizesse um trabalho tão bom quanto as grandes instituições financeiras e que não tinha obrigação de monitorar o que estava acontecendo com as contas dos clientes.

“Os funcionários do Comerica não permitiram de propósito a realização de nenhuma transferência eletrônica fraudulenta, assim que a fraude foi confirmada”, escreveu o banco em um documento encaminhado à Justiça antes do julgamento, acrescentando que o banco “tinha o direito de confiar da declaração do cliente do Experi-Metal de que manteria confidenciais seu login, senha e contrassenha de segurança”.

O juiz não concordou, declarando que embora as diretrizes reguladoras em vigor na época não exigissem um melhor monitoramento, o Comerica não agiu de boa-fé se atuou de “maneira inocente e cabeça vazia”. Citando as numerosas coisas estranhas envolvidas nas transações e a lentidão da reação quando o JP Morgan Chase – uma estação intermediária para meia dúzia de transferências para contas de clientes do Alfa-Bank em Moscou – suspeitou das operações, o juiz concluiu que estava “inclinado a achar que um banco que age corretamente com seu clientes, sob tais circunstâncias, teria detectado e/ou interrompido antes a atividade de transferências fraudulentas”. Ele ordenou ao Comerica que reembolsasse integralmente a Experi-Metal, o que o banco fez em agosto.

A maioria das empresas ignora que não tem a mesma proteção dada aos consumidores. Apenas 18% de um total de mil pequenas empresas pesquisadas recentemente pela Actimize, uma companhia especializada em segurança bancária, sabiam disso. Analistas afirmam que aquelas que não conhecem os riscos têm uma probabilidade menor de insistir em precauções, como as ligações telefônicas obrigatórias para confirmar cada transferência eletrônica de dinheiro.

Com frequência, as companhias descobrem que são responsáveis apenas quando são roubadas. Quando os ladrões cibernéticos atacam, os bancos deixam suas posições claras, levando a “algumas discussões bastante tensas”, afirma Kevin Gibson, do Synovus Bank of Columbus, na Geórgia, que tem cerca de US$ 30 bilhões em ativos. “É um remédio difícil de ser engolido por nossos clientes.”

Gibson diz que as contas de seu banco foram roubadas uma ou duas vezes por semana durante um período em 2010. Mas desde que o banco pediu aos clientes pessoa jurídica que baixassem novos programas de segurança e acrescentassem um monitoramento interno, há um ano, o banco não registrou mais intrusões.

Executivos dos maiores bancos dos EUA afirmam que operam caso a caso, mas tendem a cobrir as perdas de uma maneira mais ampla para os clientes maiores e mais valiosos, muito embora essas companhias possam arcar melhor com o golpe do que as empresas pequenas. É quase como se eles estivessem prolongando uma versão da doutrina do “grande demais para quebrar”, que o governo americano usou para socorrer bancos há três anos.

“Vamos dizer assim: se você é um cliente grande e de longa data, você receberá o benefício da dúvida”, diz um executivo da área de segurança de um grande banco.(Tradução de Mário Zamarian)

Fonte: Joseph Menn | Financial Times, Valor Economico

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.

Você pode gostar também

Ações do PanAmericano desabam no dia e puxam queda de pares do setor

marcos

Tesouro americano prepara plano de calote

marcos

Novo perfil dificulta previsão de inadimplência

marcos