Periodicamente sou consultado e questionado sobre a segurança do serviço oferecido pelos bancos e administradores de cartões, considerando o uso de cartão com chip e senha. Primeiramente precisamos entender que a segurança deve ser do sistema completo, que inclui o cartão, proteção da digitação de senha, perfil histórico e a única forma de garantir efetivamente a autenticação do usuário: o uso de controles de biometria. São controles possíveis e fáceis de existirem por parte dos bancos/administradoras.
Seguem abaixo algumas considerações sobre a proteção da informação e a segurança do serviço oferecido à pessoa natural. Faço estas considerações como uma contribuição para os operadores do direito e operadores de proteção da informação, nas suas atividades de garantirem o uso não criminoso do sistema de crédito/débito.
- Evidentemente a segurança do uso de cartão com chip e senha é melhor do que a tecnologia utilizada anteriormente: cartão e assinatura. Melhorou, mas ainda tem muitas falhas para a pessoa que utiliza este sistema. Isto significa que os bancos/administradores devem sempre utilizar as melhores tecnologias de controle de proteção de dados. Se não utilizarem, estão assumindo o risco. Opção empresarial, mas que o cliente não pode ser penalizado por suas fraquezas e limitações.
- A digitação da senha garante que a pessoa que porta o cartão naquele momento, seja ele o cliente ou o fraudador, possui a senha. Não garante que é a pessoa legítima relacionada à conta de débito/crédito. Somente com o uso de biometria pode-se garantir que a pessoa é a pessoa. Somente a biometria, que é uma técnica possível de ser utilizada em todos os pontos de uso de cartão, tipo caixas eletrônicos e máquinas de venda por uso de cartão. É obrigação do fornecedor de serviço (bancos e administradoras) oferecerem este nível de proteção. Se não oferecem, decidiram correr riscos no seu negócio.
- A senha fornecida pelo banco/administradora é enviada para o cliente por meio convencional, papel, via serviço de entrega (correio ou empresa especializada). Segurança regular, pois a violação da leitura da senha pode acontecer, mesmo sem rompimento do papel.
- A segurança da senha é compartilhada com o cliente e com os mecanismos que o banco/administradora oferece.
4.1. O cliente não deve compartilhar a senha.
4.2. O banco/administradora deve garantir que o sistema garante o sigilo da digitação da senha.
4.3. As máquinas de coleta de dados de cartão não possuem nenhuma proteção simples de encobrir fisicamente os dados que o cliente está digitando. E este controle é fraco. Alta vulnerabilidade.
4.4. As máquinas mais modernas são as mais vulneráveis. Os equipamentos tipo “maquininhas” são totalmente abertas e permitem facilmente que o vendedor ou alguém perto da máquina veja a digitação da senha.
4.5. Os bancos/administradoras não estão fornecendo proteção adequada para a digitação de senha. Este controle é responsabilidade de quem presta o serviço. É uma fragilidade de proteção do serviço.
4.6. Há alguns anos, as máquinas uso de cartões começaram a ter a proteção física de encobrir a digitação da senha. Este controle foi deixado de lado pelos bancos/administradoras. Repetindo: este controle piorou e podemos afirmar que inexistes nas máquinas atuais de coleta de cartão a proteção física de encobrimento da digitação da senha. Alta vulnerabilidade.
4.7. A não proteção física da visualização da digitação de senha, permite inclusive que sistemas de segurança de filmagem de ambiente, hoje de alta qualidade, capturem a movimentação da digitação da senha. Alta vulnerabilidade.
- A proteção para garantir que a pessoa é a pessoa é a técnica da biometria, onde uma característica física da pessoa é validada no momento da operação. Somente esta técnica garante que a pessoa é a pessoa. O que a justiça exige para condenar alguém? Que aquela pessoa é aquela pessoa. Impressões digitais, filmagem, testemunha ocular e similar. A própria Justiça Eleitoral exige a biometria ou apresentação de documento com foto.
5.1. Os bancos já utilizam esta técnica de biometria. Bem como outras aplicações não financeiras: Justiça Eleitoral (citada acima), Detran, Condomínios, uso particular em segurança residencial para abrir portas e outras situações do dia a dia. Isto indica que esta técnica é totalmente possível de ser implementado nas mais diversas situações. Inclusive situações mais simples, por atores de menor poder aquisitivo que os bancos/administradoras.
5.2. Os bancos/administradoras não implementam este controle biométrico no uso das máquinas de uso de cartão porque não querem. Desta maneira estão assumindo o risco do seu negócio. Este risco é dos bancos/administradora. Não é um risco nem uma negligência da pessoa, do cliente. Os bancos/administradoras não implementam o controle de segurança razoável, possível, de alta efetividade e que protege a pessoa. Inclusive os bancos já usam em algumas aplicações, como saque em caixas eletrônicos. Se não possuem este controle em outras aplicações, decidiu aceitar um risco de uso indevido de dado de autenticação de pessoa.
5.3. Atualmente, somente o uso de biometria deveria permitir o uso de movimentação de contas de crédito ou débito. Não considerar este controle adequado, é risco que os bancos/administradoras decidem assumir. Não é risco assumido pelo cliente. O cliente é obrigado a utilizar o controle (frágil) oferecido. O cliente é um ator que tem uma atuação limitada. O sistema é responsabilidade dos bancos/administradoras. É responsabilidade dos bancos/administradoras de exigir biometria nas transações de crédito/débito.
5.4. Filmagens são um tipo de controle que pode ser utilizado ativamente (no momento) ou passivamente (após o fato).
5.5. Ativamente acontece como o uso de reconhecimento de face, já utilizado em escala normal. Já se reconhece pessoas na multidão. No carnaval passado, um fugitivo da polícia foi preso em local de grande concentração em função do reconhecimento facial. Este caso foi noticiado com bastante destaque. O não uso dessa tecnologia atual pelos bancos/administradoras significa que estão assumindo o risco. Não é o cliente. O cliente é cliente do sistema.
5.6. Passivamente quando após o uso do cartão, o cliente informa que ele não fez a movimentação. É simples, fácil e possível, rapidamente os bancos/administradoras podem verificar a filmagem e reconhecer se foi o cliente ou o fraudador que executou a transação. Tanto em caixas eletrônicos como em lojas e outros usos das maquinas de coleta de dados de crédito/débito.
5.7. Qualquer negativa pelo cliente em não reconhecer o uso de cartão, em caixas eletrônicos ou em máquinas nas lojas, pode ser facilmente verificado pelas filmagens. Os bancos/administradoras devem exigir este tipo de filmagem. É o sistema de proteção do uso de cartão. Se os bancos/administradoras não exigem o uso deste controle, estão assumindo o risco. Não é o cliente. O cliente é cliente do sistema.
- Como proteção lógica de sistemas de segurança de transações de débito e crédito, é obrigatório que os bancos/administradoras considerem o perfil de uso de débito e crédito pelo cliente. Este controle já é realizado em vários segmentos financeiros. Um cliente que nos recentes cinco anos, ou desde a sua vida de cliente na instituição financeira, realiza compras durante a madrugada de valores de até R$ 500,00 (quinhentos reais), deve ser impedido automaticamente se a conta deste cliente for ter um movimento de débito/crédito de R$ 5.000,00 (cinco mil reais), neste período. Principalmente se não for utilizada a biometria. É um controle básico. Se os bancos/administradoras não utilizam este controle estão assumindo um risco de fraude. Um risco de negócio.
6.1. A consideração de perfil histórico de uso de débito/crédito pelo cliente é um dado pessoal do cliente que o identifica. A Lei de Proteção de Dados Pessoais considera esta identificação no seu artigo 5º.I, dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Mas as instituições financeiras já utilizam este conceito há muitos anos. Principalmente nas transações em que o usuário está usando o sistema de maneira remota: compras em lojas físicas ou compras no ambiente virtual.
6.2. A utilização de crédito/débito fora do perfil histórico da pessoa indica grande possibilidade de fraude. Caso não seja utilizado a biometria, os bancos/administradoras devem bloquear a transação. E se assim desejarem, exigir outros controles complementares de segurança, para identificar o portador do cartão. Se assim não fizerem, estão assumindo riscos de fraude.
6.3. Um comportamento dentro do perfil histórico de uso de débito/crédito pelo cliente que os bancos/administradoras obrigatoriamente devem considerar é a realização de várias transações no mesmo local ou em poucos locais, em um intervalo de tempo muito curto. Curtíssimo. Ninguém faz compras de milhares de reais no mesmo estabelecimento em cinco minutos, ou outo tempo curto. Característica de fraude. Se os bancos/administradoras não consideram este controle estão assumindo o risco de terem fracos controles de segurança e consequentemente riscos de fraude.
- Quando da não utilização de biometria em compras em lojas, falha de controle do sistema de proteção de crédito/débito, os bancos/administradoras deveriam exigir de apresentação de documento oficial de identidade. É a única maneira de garantir que a pessoa é a pessoa. Se não fazem esta obrigatoriedade estão assumindo os riscos da prestação de serviços de crédito e débito. Estão assumindo riscos de fraudes.
- A grande fragilidade do controle de visualização da senha, equipamentos sem proteção física para encobrir a movimentação da digitação, o não uso de biometria, permitem que criminosos tenham conhecimento da senha e obtenham o cartão do cliente de maneira fraudulenta: trocando por outro cartão parecido ou furtando o mesmo. E desta maneira possam realizar transações de débito/crédito de passando pelo cliente, considerando que os bancos/administradoras não utilizam os controles adequados:
- Autenticação por biometria;
- Perfil de histórico de uso de crédito/débito pelo cliente;
- Verificação de filmagens;
- Não proteção física para encobrir a digitação de senhas. Inclusive as máquinas mais modernas, são as mais vulneráveis;
- Limite de valores por transações.
- A não implementação destes controles é um risco de negócio assumido pelos bancos/administradoras. O cliente não pode ser penalizado, caso sofra uma ação de criminosos.
- Ainda existem, dento do ambiente de serviço de uso de crédito/débito, outros aspectos, tipo: a máquina de coleta dos dados do cliente, a transmissão dos dados, o ambiente dentro da empresa que vendo o produto, o ambiente dentro do banco, e muito mais. Fica para uma próxima análise.
Conclusão
Sabemos que os criminosos são criativos. Mas deixar os criminosos realizarem suas ações fraudulentas por falta de controles possíveis, é negligência ou um risco assumido pelos bancos/administradoras. O que não pode é o cliente ser penalizado por algo que não fez e porque controles adequados não foram implantados pelos que prestam o serviço.