Segurança online bancária em novo paradigma

Novas exigências regulatórias, mobilidade e redes sociais são algumas das tendências que obrigam a mudanças na segurança online do sistema bancário. Bancos portugueses partem em posição favorável, mas há muito a fazer.

As novas exigências regulatórias, a mobilidade e as redes sociais são alguns dos factos e das tendências que antecipam e obrigam a mudanças na segurança online do sistema bancário.

A causa próxima, principal e determinante é a necessidade das instituições bancárias europeias responderem às 14 recomendações do Banco Central Europeu (BCE) para a segurança online, que vão entrar em vigor em 1 de Agosto de 2015.

Estas recomendações implicam que a maioria dos bancos europeus vai necessitar de adquirir capacidades adicionais de análise de risco, protecção contra malware e autenticação forte para responder aos requisitos de segurança definidos pelo BCE.

Mas são mais e bem maiores os desafios que os bancos europeus enfrentam em matéria de segurança online, e que vão desde a protecção da informação dos clientes, à relação e “reporting” com as entidades supervisoras do sistema financeiro e à organização interna. Ao ponto de se falar de “um novo paradigma” na segurança online para as instituições bancárias, “provocado” em grande medida pela evolução e afirmação das áreas da mobilidade e das redes sociais como canais de comunicação e de transacção entre clientes e bancos, mas também na definição dos processos internos de segurança globais, gestão de risco ou a futura união bancária.

Este novo paradigma começa já a ter impactos não só nas tecnologias usadas na monitorização, detecção e acção sobre a criminalidade (malware e fraude, por exemplo), como começa a ter consequências no equilíbrio entre a segurança e a conveniência para o cliente, na governação e nos processos de segurança internos aos bancos e nas competências entre a área de TI/SI, em que o Chief Risk Officer (CRO) parece estar a substituir o CIO na gestão de segurança da informação online.

Os desafios do BCE

Estes foram os principais temas debatidos na conferência “Regulação do Banco Central Europeu para a Segurança Online”, organizada na semana passada pela IBM, com o objectivo de debater as novas recomendações europeias neste campo e como é que a banca em Portugal poderá cumprir estas normas de regulação para responder aos requisitos de segurança agora definidos.

Com efeito, a recente recomendação do BCE para a segurança dos pagamentos através da Internet originou um número elevado de requisitos a cumprir por parte dos bancos europeus de modo a melhorar as suas práticas de prevenção de fraudes online até Fevereiro de 2015, depois adiada para 1 de Agosto de 2015. Os especialistas estão de acordo de que a maioria dos bancos europeus vai necessitar de adquirir capacidades adicionais de análise de risco, protecção contra malware e autenticação forte para responder aos requisitos de segurança definidos pelo BCE.

A nova regulamentação para a segurança dos pagamentos através da Internet irá originar um conjunto relevante de requisitos e melhores práticas a cumprir por parte dos bancos europeus de modo a melhorarem a sua postura face à prevenção de fraudes online.

Estas directivas decorrem do European Forum on the Security of Retail Payments (SecuRe Pay), criado em Fevereiro de 2011, uma iniciativa resultante da crescente visibilidade das matérias relacionadas com a prevenção de fraude nos pagamentos de retalho.

O Fórum SecuRe Pay tem como objectivo abordar áreas onde são detectadas grandes vulnerabilidades e, quando necessário, fazer recomendações. Mas como foram encontradas diferentes realidades, de banco para banco, tornou-se necessário avançar por este caminho para chegar a um nível de segurança harmonizado e em conformidade em toda a União Europeia e Espaço Económico Europeu.

Portugal preparado, mas…

Naturalmente, os bancos do sistema português não escapam à implementação e cumprimentos destas práticas, num total de 14 recomendações, lembrou o coordenador do Departamento de Sistemas de Pagamentos do Banco de Portugal (BdP).

Segundo Rui Pimentel, “as análises efectuadas (pelo BdP) têm concluído que a base de partida é relativamente favorável, a nível das soluções existentes”, mas salientou que ainda “têm um caminho a percorrer e estão longe de 100% ‘fullfillment’” face às exigências do BCE.

O responsável acrescentou que “o ponto de maior complexidade será o requisito de uso de ferramentas de autenticação forte” (“strong customer authentication”). Um especialista de um banco presente no evento referiu ao Computerworld que “há dois impactos para a área de TI: autenticação forte – no geral, os homebankings dos bancos portugueses estão preparados, mas há muito trabalho ainda a fazer na componente dos pagamentos online. E a monitorização das transacções, em que também há um caminho a fazer.”

Relativamente a um novo adiamento da entrada em vigor destas recomendações, Rui Pimentel aconselhou os bancos a não trabalharem nessa eventual possibilidade. “O cenário que temos é 1 de Agosto de 2015. E tendo em conta que o processo de consulta aos bancos está a terminar [findou a 14 de Novembro] e as ‘guidelines’ serão depois publicadas, tudo indica que não deverá haver outro adiamento”.

A questão é apenas saber se, até 1 de Agosto, os bancos optam por fazer este processo em dois passos: se adoptam desde já as recomendações que não estão relacionadas com a nova directiva comunitária de serviços de pagamentos, e esperam até esta directiva estar concluída – previsivelmente a meio do primeiro semestre de 2015 – para depois adoptarem as restantes recomendações, ou se fazem este processo todo numa única vez.

A boa notícia para os bancos, em relação ao tempo de cumprirem as recomendações do BCE até 1 de Agosto de 2015, pode residir no facto das regras serem muito próximas, quase uma cópia, do sistema adoptado nos EUA.

Proteger o cliente: implicações

A importância destas recomendações decorre da uma realidade que os bancos não podem contornar e têm que cumprir: a protecção dos clientes. Mesmo que 99% ou mais dos problemas de segurança online tenham como fonte o cliente, “é responsabilidade dos bancos proteger os clientes, a sua informação”, salientou Roberto Baratta, director de Gestão, Prevenção de Perdas e Continuidade de Negócio e Segurança do banco ABANCA.

Este responsável alertou para o facto dos problemas de segurança online dos bancos terem origem nos clientes mas que esta situação não vai diminuir, pelo contrário, uma vez que o acesso multicanal aos bancos vai aumentar com a mobilidade e com as redes sociais. “Neste momento, há bancos espanhóis a estudarem soluções de consulta de extractos através do Facebook e pagamentos via telemóveis através de impressão digital em sistemas iOS”, disse.

Esta evolução no domínio da segurança online, além de implicar alterações nos processos internos e de organização dos bancos, uma vez que estamos a falar de segurança da informação e de risco, está a ter implicações na responsabilidade sobre a sua gestão. “Por exemplo, o CRO começa a substituir o CIO em tudo o que esteja relacionado com a segurança de informação”, afirmou.

Tendo sempre como ponto de partida a responsabilidade dos bancos de proteger e garantir a segurança da informação dos clientes, foram feitos alertas para os riscos, para bancos e clientes, destes últimos tenderem cada vez mais a querer uma “single one autentication” e para os desafios da regulação do Mobile Secure Payment, também do BCE, que está em processo de aprovação.

Artigos relacionados

O seu comentário...

*

Top