O presidente do Banco Central (BC), Roberto Campos Neto, deu uma declaração polêmica na última sexta-feira (11) ao afirmar que os vazamentos de dados do Pix ocorrerão com alguma frequência. “Como nós entendemos que esse mundo de dados vai crescer exponencialmente, os vazamentos vão acontecer com alguma frequência. Não querendo banalizar os casos, porque vamos atacar todos os incidentes para que eles sejam o mínimo possível”, disse o presidente.
Ele acrescenta que as informações expostas até agora não incluem dados como senhas e movimentações financeiras. Os incidentes ocorridos expuseram informações de dados cadastrais como nome, CPF, instituição de relacionamento, número de agência e conta.
Mesmo os três casos registrados até agora sendo considerados leves, o fato é que uma afirmação como essa pode impactar todo ecossistema de pagamentos, além da confiança dos brasileiros no sistema financeiro. “O impacto é o mais desastroso possível. É a banalização de um trabalho que vem sendo executado há anos por profissionais e diversas equipes de Segurança da Informação em IPs (Instituições de Pagamentos) e IFs (Instituições Financeiras)”, pontua André Vidal, Head de Segurança da Informação da Pagar.me.
Para o executivo, essa declaração pode afetar não só a confiança dos usuários, mas a utilização do serviço de pagamento instantâneo e a criação de outros produtos de transação eletrônica. “O maior erro é dizer que as informações vazadas não são sensíveis. Eu discordo, todas as informações são sensíveis. Existem regulamentações que declaram a sensibilidade e diferenciam em determinada operação”, completa Vidal.
Apetite ao risco
Na visão de Fernando Fonseca, Presidente, ISACA Belo Horizonte Chapter, a declaração do presidente do Banco Central traz pouco impacto no sistema financeiro, pois ele acredita que o desapreço da população pela proteção de dados vem da base. “O brasileiro em geral é um ‘early adopter’ com um imenso apetite de risco. Dificilmente largará a comodidade por uma segurança”, diz.
De acordo com a pesquisa “Carat Insights – Futuro dos Meios de Pagamento”, produzida pelo Instituto Locomotiva, encomendada pela Fiserv, o uso do Pix como meio de pagamento é predominante entre os brasileiros (91%), se comparado a carteira digital (80%) e a leitura de QR Code (73%). O levantamento foi realizado entre os dias 29 de outubro e 3 de novembro de 2021, com 1.500 respondentes com mais de 18 anos e acesso à internet.
Os dados do Banco Central apontam que existem mais de 395 milhões de chaves cadastradas e, no mês de janeiro de 2022, o volume financeiro das transações Pix passou dos R$ 639 milhões. Os números apontam o potencial de crescimento que ainda existe nesse sistema de pagamento, principalmente com a criação dos novos produtos que devem ser lançados ainda este ano como o Pix Saque, Pix Troco, Pix Cobrança, Pix internacional e Pix offline.
Para Fonseca, existe uma banalização dos vazamentos de dados, não só pelos gestores, mas também pela população. “No entanto, um número crescente de pessoas vem acionando a justiça quanto a esses vazamentos, o que vai rapidamente tornar os custos legais mais altos que o investimento necessário em Segurança”, acrescenta.
Corrigir a falha de governança
“Esse episódio deixou evidente a ausência de um processo robusto de governança para mensurar o nível de Segurança das organizações financeiras para o produto Pix. O Banco Central deve ser o protagonista, exigindo rígidos controles de Segurança nas transações via Pix, possibilitando mais transparência e gestão de SI nos serviços prestados pelas instituições financeiras”, acrescenta Anderson Crispim, CISO da Atlas Governance.
Fernando Fonseca concorda e acrescenta que o BC deveria criar mecanismos robustos para operar com Pix e auditar o cumprimento, assim como existe o PCI DSS para lidar com cartão de crédito. Até porque, segundo Crispim, existe um mar de oportunidades nas inovações do sistema financeiro, o importante é a Segurança sempre acompanhar esse processo, impulsionando o negócio.
“Nós, profissionais de SI, estamos trabalhando arduamente com leis regulatórias do próprio Banco Central e que, caso não consigamos cumprir com as cláusulas básicas imputadas nos documentos, teremos sanções, multas e até remoção do título de IPs ou IFs. Essa mesma força para execução das melhores práticas deveria valer para o BC”, enfatiza André Vidal.
O executivo acrescenta ainda que o Banco Central deve acreditar no potencial de sua equipe de Segurança. “Meu recado para o time de SI do BC é: se precisar de ajuda saiba que nós, independente da empresa em que atuamos, podemos ajudar. Somos uma equipe macro dividida entre CNPJs mas o seu risco é o nosso risco”, conclui Vidal.
*Com informações da Agência Brasil