OPEN BANKING: SEUS DADOS ESTARÃO SEGUROS?
Foto: Pexels
Falta pouco para o Open Banking - sistema de compartilhamento entre clientes e bancos que dá aos usuários o poder de administrar seus próprios dados financeiros - estar definitivamente incorporado na vida dos brasileiros. Se por um lado essa inovação proporciona a melhor experiência ao cliente, por outro inspira cuidados em relação à segurança das informações.
Em 11 de outubro, a plataforma passará a funcionar 24 horas por dia, sete dias por semana, e até dezembro deste ano todas as fases do Open Banking estarão concluídas, permitindo que se faça transações com a instituição financeira de interesse do usuário como e quando ele desejar. Para utilizar o sistema, o titular dos dados precisa autorizar o compartilhamento tanto para a empresa que detém as informações quanto para a que vai recebê-las.
Embora a Lei Geral de Proteção de Dados (LGPD) e as regras do Banco Central garantam a proteção de dados pessoais, é preciso atenção para não expor indevidamente as aplicações e informações. Nesse cenário, o cuidado deve existir nas duas pontas: a instituição e o usuário.
Do ponto de vista técnico, há gargalos críticos nas interfaces e aplicativos atrelados aos serviços bancários, chamadas APIs (Interface de Programação de Aplicações). Para facilitar a usabilidade, elas podem armazenar informações que ficariam expostas em eventuais ataques. Segundo o coordenador de Red Team da Cipher, Alexandre Armellini, uma medida de rotina necessária às instituições é a averiguação e limpeza periódica das APIs, com realização de testes de nível elevado.
Ele acrescenta que as instituições precisam estar preparadas e possuírem diversas camadas de controles de segurança, como criptografia e dupla autenticação, entre outros, mas não podem esquecer que o usuário é o elo mais fraco da cadeia cibernética e alvo das estratégias de engenharia social dos cibercriminosos. Com as inovações, inevitavelmente surgem novas modalidades de fraudes que vão desde o aperfeiçoamento dos já conhecidos phishings e vishings (páginas e links maliciosos) até os temidos ransomwares, que podem levar ao sequestro e potencial perda de dados.
O especialista da Cipher também alerta que os dispositivos de entrada, sejam eles telefones, computadores ou outros equipamentos conectados, precisam ser observados com cautela, pois costumam conter dados pessoais acessíveis a aplicações com baixos níveis de segurança.
Nesse sentido, Armellini aconselha as instituições a oferecerem informação aos seus clientes. Ele explica que o trabalho de conscientização precisa ser sistemático para criar uma cultura de prevenção junto ao grande público. “Educar as pessoas é tão importante quanto análises técnicas de vulnerabilidades. Não adianta trancar as portas se o usuário tem as chaves e pode abri-la, sem querer, a cibercriminosos”.