Por Matheus Jacyntho e Cristiano Bernardi Junior*
A segunda fase de implementação do Open Banking teve início no último mês de agosto e envolve o principal ativo desta novidade do setor financeiro: o compartilhamento dos dados pessoais entre os bancos participantes, desde que haja o consentimento do cliente.
O chamariz deste novo modelo é o acesso a produtos customizados, como operações de crédito, empréstimos e financiamentos, ou seja, a competição entre quem tem a melhor proposta sairá à frente conquistando clientes de seus concorrentes. E estamos falando de mais de 90 instituições financeiras participantes deste movimento.
A novidade é muito atrativa para que o consumidor não fique refém de poucas opções de crédito e de condições, mas quando se trata de transferência de dados, já sabemos que há um vilão neste processo: os cibercriminosos, que buscam brechas de segurança para cometerem suas fraudes.
Muitos sistemas estarão conectados transferindo dados pessoais, como número de cartão de crédito e informações sobre consórcios e seguros, por exemplo.
Numa segunda fase, além dos dados cadastrais, haverá acesso às informações sobre transações direcionadas à conta corrente, de poupança e pré-pagas. Isso significa que todo cuidado é pouco.
E quais são os riscos e cuidados que devem ser considerados nesse novo sistema?
Para responder algumas dessas questões, destacamos abaixo três principais aspectos que devem ser considerados quando, de fato, o Open Banking entrar em operação:
1. Como cliente de uma instituição financeira, corro mais risco de ser hackeado?
Como em qualquer outra inovação tecnológica, junto com todas as vantagens que chegam com o Open Banking, também irão chegar novas oportunidades e tentativas de fraudes, algumas utilizando métodos já conhecidos, como os phishing e vishing, ou seja, a famosa pescaria digital, por meio de páginas maliciosas, assim como novos tipos de golpes surgirão.
As instituições precisam estar preparadas e possuírem diversas camadas de controles de segurança.
Hoje, o cliente pode contar com as regulamentações existentes, tal como a Lei Geral de Proteção de Dados (LGPD) e as regras do Banco Central, que o protegem em relação aos seus dados, enquanto esses mesmos órgãos podem autuar a instituição cobrando multa e suspendendo o serviço.
2. Meus dados podem ser divulgados indevidamente?
A principal premissa do Open Banking é que os dados dos clientes serão compartilhados apenas mediante o consentimento. Por isso, é muito importante ao dar essa permissão, que seja autorizado apenas o dado para a transação em questão e não para todos os dados.
Já as instituições envolvidas precisam voltar sua atenção às questões de segurança em seus sistemas realizando testes de invasão.
Adequar as políticas de segurança, monitorar em tempo real as movimentações para uma tomada de ação imediata, assim como analisar as vulnerabilidades do ambiente tecnológico para que se descubra o problema antes de um ataque serão premissas que devem estar na agenda como um dos requisitos mais importantes.
3. Quais os cuidados devo ter na era do Open Banking?
Escolher muito bem as instituições e fornecedores, pesquisar sempre o histórico, e a autorização do Banco Central, assim como as certificações que possam trazer confiança antes de apresentar interesse por alguma oferta é um primeiro cuidado a ser tomado.
Com a abertura de ofertas, certamente aparecerão diversos aplicativos falsos se passando pelas instituições e que oferecerão propostas que, aparentemente são extremamente competitivas, mas não passam de golpes.
Por fim, mas não menos importante, é preciso cada vez mais desenvolver a cultura de segurança e privacidade, seja ao clicar em links enviados, compartilhamento de dados via telefone sem confirmação prévia, como números de cartão de crédito e senhas, assim como evitar responder mensagens estranhas via SMS e WhatsApp, são algumas dicas para evitar fraudes.
*Matheus Jacyntho é diretor associado de cibersegurança e Cristiano Bernardi Junior é consultor sênior de cibersegurança, ambos da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
*Com informações de IMAGE Comunicação.