Meus dados estão seguros com o banco?

 Em maio passado foi noticiado na imprensa que um banco inteiramente digital teve os dados de seus correntistas furtados, vindo um suposto hacker a extorquir ao banco um resgate, sob pena de divulgar os dados na “deep web”. O banco negou a notícia e, ainda, afirmou que os sistemas bancários não seriam passíveis de serem hackeados. Sintomaticamente, no dia seguinte, um site de um grande banco do país ficou 24 horas fora do ar. 

Já agora, em 30 de julho, segunda passada, o Ministério Público Federal ingressou com uma “Ação Civil Pública por Danos Morais Coletivos” com a qual, por força daquele confirmado furto de dados em maio, quer receber do banco R$ 10 milhões como indenização “… aos danos morais causados ao interesse coletivo, decorrentes do vazamento dos dados pessoais de clientes e não clientes da instituição, …”. 

Pois bem, o único caso de que tenho conhecimento não envolve praticamente uma base de dados do banco, que não foi hackeada, mas uma operação bem básica: primeiro, no final de 2016, foi gerado um certificado digital (SSL) legítimo do banco para, após, no segundo trimestre de 2017, com a utilização deste certificado, os bandidos recriarem um site falsificado do banco e redirecionarem todos os clientes “on line” para lá, onde se apoderaram de dados e senhas. Obviamente o banco também negou. 

Aqui parênteses, os bancos jamais virão a confirmar estes ataques, pois além de reconhecer eventual falha de segurança e vulnerabilidade, estarão jogando no lixo milhões em anúncios que apregoam a segurança de sua operações e, por último e mais grave, reconhecendo que podem falhar e levar insegurança aos clientes. 

Mas a questão é: nossos dados estão seguros? 

A Resolução n.º 4.658/18, do Banco Central, a qual dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, delimita que os procedimentos de controle devem abranger no mínimo “… a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações”. 

E, podem ter certeza, os bancos gastam mais em segurança das informações que em publicidade. Os bancos investem pesado em segurança e proteção de dados mas, a meu ver, descuidam de um cenário fundamental, o fator humano. 

Nos dois casos relatados acima, se pode notar que não foi em nenhum momento invadido o sistema do banco e de lá furtados os dados. Não, os bandidos se utilizaram de certificados digitais legítimos, os quais podem, e é o mais provável, tenham sido obtidos com a conivência de algum empregado ou prestador de serviços ao banco. Vejam que no segundo caso, quando os hackers retiraram de operação um site de um grande banco, não houve vazamento de dados, apenas a utilização de ataques para desestabilizar o sistema. 

Desta forma, há de se observar que o sistema de segurança de dados funciona. Não obstante, a capacitação e controle dos empregados e prestadores de serviço é um ponto sensível e que deve ser tratado com o máximo rigor, mesmo porque, seja um hakcer, seja um empregado ou prestador de serviços, a responsabilidade do banco pelo vazamento de informações é rigorosamente idêntica. 

Assim, se seus dados vazaram e você adotou as cautelas que se espera, como estão alinhadas no site da FEBRABAN – Federação Brasileira dos Bancos, pode ter certeza de que o banco é responsável e haverá de lhe indenizar, seja espontaneamente, seja obrigado pelo Poder Judiciário. 

Artigo publicado no Blog João Antônio Motta – UOL Economia – 06/08/2018