Bancos buscam novas tecnologias para coibir as fraudes na internet
 

Patrick Cruz de São Paulo

Enviado por Norival Ragozoni Junior (Aluno de Administração)

Os golpes contra correntistas que acessam sua conta no banco via internet tornaram-se um dos maiores pesadelos do sistema financeiro. Acredita-se que o volume de perdas causadas pelos fraudadores dobre a cada seis meses. Segundo estimativas, apenas no ano passado o prejuízo chegou a R$ 100 milhões.

Para evitar os prejuízos com fraudes, os bancos estão buscando novas tecnologias que garantam maior segurança às suas operações. É o caso do HSBC, que lança hoje uma nova ferramenta para identificação de quem acessa a conta pela internet cuja estrela maior é o "token", aparelho que se assemelha a um chaveiro e que cria senhas que nunca se repetem. Ele será distribuído, inicialmente, apenas para 20 empresas, em fase piloto. O público-alvo serão os clientes pessoa jurídica do banco com capacidade de movimentar em sua conta R$ 50 mil por dia, no mínimo. Os clientes têm que ser usuários do "connect bank", serviço do HSBC voltado a empresas pelo qual elas podem controlar quais funcionários farão as operações via web e que serviços cada um desses funcionários pode utilizar, como transferências, pagamentos e saques.

O acesso à conta bancária pela internet seguirá os mesmos moldes do que é feito hoje: o usuário digita o número de sua agência, o da sua conta e a senha. Surgirá na tela do computador, então, um novo campo de preenchimento. Ao acionar o token, aparecerão seis números, que serão digitados nesse novo espaço. Cada token tem um número de série, que será usado por uma única pessoa. O aparelho gera novas combinações a cada 36 segundos. Toda vez que o cliente acessar a conta, terá de digitar um número diferente.

O projeto piloto do HSBC brasileiro será acompanhado pela matriz do grupo, em Londres, que pretende utilizá-lo em outras praças, segundo Valdir da Silva Milani, diretor do HSBC. A fase de testes seguirá até julho, quando o banco pretende distribuir tokens a todas as cinco mil empresas que se encaixam no perfil desenhado para o projeto. Até o fim do ano, o banco prevê distribuir, gratuitamente, dez mil tokens.

O aparelho é criação da empresa belgo-americana Vasco (Value Added Security Company) e, no Brasil, foi adotado também pelo Itaú. Somados, os clientes do banco, todos pessoa jurídica, têm 35 mil tokens, mas o número deve crescer para 65 mil ainda neste mês.

Outras instituições têm experiências com a utilização de cartões de crédito com chip (os "smart cards", ou cartões inteligentes) para condicionar o acesso da conta no banco via internet. Todos seguem o decantado modelo de somar algo que o cliente sabe (a senha) com outra coisa que ele tem (os tokens ou smart cards).

Alternativas como essas ampliam a segurança, diz o senso-comum, mas esbarram nos custos. Cada token custou ao HSBC US$ 30, o que ainda inviabiliza sua distribuição aos 1,5 milhão de clientes do banco. O aparelho é de fabricação chinesa. Se fosse feito nos Estados Unidos, custaria US$ 80, estima o diretor Milani. Há também soluções no mercado que prevêem leitores de impressões digitais no mouse do computador, que custam cerca de US$ 120 a unidade. Os leitores de smart card custam entre US$ 50 e US$ 60.

O canal de atendimento pela internet é, disparado, o que apresenta crescimento mais forte, deixando para trás o atendimento por telefone ou o mais tradicional, feito nas agências. Crescem, lado a lado, o volume e a sofisticação dos ataques, muitas vezes evitáveis se o cliente atualizar com constância seus programas antivírus ou instalar no micro os "firewall", dispositivos que controlam a entrada e saída de dados do computador, diz o executivo-sênior de canais alternativos do HSBC, Jacques François Depocas. "Os bancos estão investindo em segurança na internet não tanto pela perda com os golpes, mas porque não querem perder credibilidade", diz César Lovisaro Neto, da UserID, empresa que representa a Vasco no Brasil. O temor de ter o nome da instituição ligado a vazamentos de informações ajuda a explicar o sigilo sobre o volume de golpes sofridos pelos bancos. Quando perguntados a respeito, seus representantes dizem que esses levantamentos existem, mas que são apenas para "consumo interno".

Um dos golpes mais temidos pela indústria é conhecido como cavalo-de-tróia. Esse vírus é instalado desavisadamente pelo internauta quando, por exemplo, recebe por e-mail a indicação para visitar uma página - recentemente, foram detectados cavalos-de-tróia em correspondências que sugeriam a visita a um endereço que supostamente continha fotos das participantes do "Big Brother Brasil 4", programa de TV da Rede Globo, nuas. Outros links chegam com as sugestivas frases "Você está sendo traído. Veja fotos" ou "Quer trocar de emprego? Clique aqui".

Os investimentos em tecnologia não se limitam à criação de novas maneiras de acessar a conta corrente ou o lançamento de aparelhos como os tokens.

Os bancos fazem com freqüência testes de invasão de seus sistemas. Técnicos de empresas contratadas tentam deliberadamente se passar por "crackers" (o hacker que tenta roubar dados) e acessar os sistemas internos das instituições ou contas correntes de teste.

Frank Meylan, responsável por essa área na KPMG, conta que o trabalho começa com um "teste cego", em que eles atuam sem conhecimento prévio dos sistemas do banco - avalia-se que tecnologias ele utiliza, por exemplo. Na segunda etapa os técnicos entram no mesmo nível de acesso que os clientes do banco têm. Segundo ele, muitas vezes o que se verifica é que os bancos ainda estão muito preocupados com a funcionalidade do internet banking, em torná-lo de mais fácil acesso para os clientes. "A parte da segurança está melhorando, mas muitas vezes ainda deixa a desejar", diz.

Uma falha grave, diz Meylan, e que já foi detectada nos testes feitos pela KPMG, ocorreu na transferência de recursos entre as contas. Com o login e senha de uma conta para testes, os técnicos transferiram recursos para outra conta, o que era esperado, mas também fizeram o caminho inverso: a conta que inicialmente transferiu os recursos os recebeu de volta, e vice-versa. A forma mais corriqueira de apanhar os crackers é o que se chama de trilha de auditoria, na qual os técnicos rastreiam o caminho feito pelo golpista para acessar o computador alheio (por quais servidores ele passou ou que modelo de micro ele utilizou, por exemplo), conta Renato Opice Blum, advogado especialista em direito eletrônico e sócio do escritório Opice Blum Advogados Associados.

Fonte: Valor Econômico - http://www.valor.com.br/veconomico/?show=index&mat=2385347&news=1