A entrada do novo Sistema de Pagamento Brasileiro (SPB) retoma a discussão em torno do velho problema que ameaça as corporações da economia digital: a questão da segurança da informação. Depois dos bancos, os correntistas pessoa jurídica passarão a efetuar operações bancárias a partir de R$ 5 mil por meios eletrônicos já a partir do segundo semestre, pelas previsões do Banco Central (Bacen). Entretanto, as corporações em geral ainda têm pouca noção de como usar SPB e dos prejuízos incalculáveis que a falta de uma política de proteção de dados mais elaborada pode causar neste processo.
De fato, as operações via SPB chegam para assegurar o mercado financeiro e os correntistas contra eventuais perdas causadas pela quebra de uma instituição bancária, a exemplo do que ocorreu com os bancos Marka e Fonte Cindam, em 1999. Com o SPB, se o banco não tiver reserva suficiente para cobrir o crédito de imediato, a transação simplesmente não acontece e o Banco Central deixa de cobrir o rombo proveniente das operações de crédito mal-sucedidas.
Para implementar um sistema de transação automatizado e seguro, os bancos investiram em média US$ 1 milhão em infra-estrutura tecnológica, além de mobilizar um batalhão de técnicos para ajustar a plataforma dentro dos padrões do Bacen. Mas no ambiente usuário-banco, a situação tende a se tornar crítica justamente pelo despreparo das corporações. Um recente estudo da Federação das Indústrias do Estado de São Paulo comprova que 57% das indústrias paulistas nem sabem como utilizar o SPB. Soma-se isso aos dados revelados pelos institutos de pesquisa.
Segundo o Gartner Group, as corporações brasileiras investem apenas 2% da verba de tecnologia com segurança, metade da média das americanas. Já um levantamento da e-Consulting mostra que 38% das empresas não possuem nenhum plano de ação formalizado em caso de ataques e 23% não têm clara essa definição. A situação torna-se ainda mais agravante, uma vez que cerca de 85% das fraudes e ataques à rede são feitos por funcionários insatisfeitos, de acordo com o IDC. Os números refletem a realidade do dia-a-dia: 75% das grandes companhias não utilizam sequer sistema de detecção de intrusos.
Há um consenso que nenhum sistema é suficientemente seguro aos ataques e invasores. Dependendo do grau de vulnerabilidade de uma rede, basta ter um simples PC ou laptop com internet e programado com CD ROMs que vêm nas revistas de informática, para um hacker iniciar a sua escalada em qualquer sistema. Uma vez na rede, o ladrão cibernético tem acesso a todos os diretórios da empresa, inclusive aos códigos das chaves de criptografia, números de documentos e cartões de crédito, senhas e outras informações necessárias para comandar as movimentações financeiras.
Até hoje os bancos contornavam facilmente casos de estorno e golpes por meio de solicitação escrita ou verbal. Mas com o SPB cada transação é autenticada pela assinatura digital própria, uma espécie de documento eletrônico com validade jurídica, e sem possibilidade de repúdio. Ou seja, uma ordem de pagamento ou transferência de recurso emitida não pode ser cancelada e tanto o banco quanto o correntista não tem como negar que a enviou. Dessa forma, como comprovar fraude numa ação eletronicamente certificada? O SPB substitui os paradigmas de confiança entre as instituições financeiras e entre bancos e clientes, por garantias baseadas em comprovações. E as empresas precisam acordar para esta nova realidade. Os investimentos em segurança da informação, mais do que nunca, devem ser revistos e priorizados.
Marcelo Silva é diretor da True Access São Paulo
