No Brasil, apenas no primeiro trimestre de 2023, a cada minuto, foram feitas 2,8 mil tentativas de fraudes financeiras em canais eletrônicos.
Esses dados são resultado de um cruzamento dos resultados de pesquisa da empresa CAF e dados do Banco Central.
O estudo revela que, durante os meses de janeiro a março, aproximadamente 1,73% de todas as transações digitais realizadas no sistema financeiro brasileiro tinham intenções criminosas.
Em números absolutos: cerca de 365 milhões de tentativas de golpes somente nos canais financeiros digitais ao longo desse período.
Considerando apenas esse dado, existir leis de cibersegurança para não só evitar, mas também combater esses problemas já é essencial.
E, de fato, existem diversas regras que as instituições financeiras precisam seguir para se proteger.
A seguir, entenda quais são elas e, ainda, como se manter em conformidade com as leis de segurança cibernética!
Leis de cibersegurança: quais são as regras para o setor financeiro?
As leis de cibersegurança desempenham um papel crucial no setor financeiro, visando proteger tanto as instituições quanto os dados sensíveis dos clientes contra ameaças digitais cada vez mais sofisticadas.
Um exemplo notável é a Resolução Conjunta nº 6 do Banco Central (Bacen), que tem como objetivo reforçar as estratégias de prevenção de fraudes no setor financeiro.
Mas ela é só uma entre as várias que existem. Entenda melhor sobre as principais legislações do tema nos próximos tópicos.
Resolução CMN 4.893/2021
A Resolução CMN 4.893/2021 do Banco Central estabelece as orientações detalhadas para a implementação da política de segurança cibernética nas instituições financeiras
Além disso, essa resolução define os critérios para a contratação de serviços de processamento, armazenamento de dados e computação por parte das instituições que possuam autorização do Banco Central para operar.
Conforme as disposições desta norma, as políticas de segurança devem ser baseadas nos princípios de confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação empregados.
Resolução CVM 35/2021
A Instrução CVM 35/2021 estipula diretrizes e processos a serem seguidos durante a mediação de operações envolvendo valores mobiliários em mercados regulamentados desse setor.
Dentre seus diversos requisitos, essa instrução exige que o intermediário elabore uma política abrangente de segurança da informação, que abarca diversos aspectos críticos.
Esses incluem, como exemplo, o tratamento e gestão dos dados dos clientes, a salvaguarda da cibersegurança e as orientações para a avaliação da importância dos incidentes de segurança.
Lei nº 13.709/2018
A Lei Geral de Proteção de Dados (LGPD) é um dos principais marcos legais em matéria de segurança cibernética no Brasil. Ela estabelece as diretrizes para o manuseio de dados pessoais no país.
Dentro desse contexto, essa lei de cibersegurança estabelece as normativas abrangentes referentes à coleta, armazenamento, processamento e compartilhamento de informações.
Isso engloba igualmente todas as entidades que operam no setor financeiro, já que elas também fazem uso de dados de seus clientes e usuários.
Resolução nº 119/2021
A Resolução nº 119/2021, que modifica a Circular nº 3.978/2020, estabelece diretrizes relacionadas à política, aos procedimentos e aos controles internos a serem adotados pelas instituições financeiras.
O objetivo é prevenir a utilização do sistema financeiro para a prática de crimes de lavagem de dinheiro.
Os procedimentos destinados à verificação da identidade do cliente devem abranger a obtenção, a verificação e a validação das informações de identificação do cliente, podendo, quando necessário, incluir a comparação dessas informações nos bancos de dados.
A gestão da carteira de ativos também deve ser realizada de maneira discricionária por um administrador profissional, sujeito à supervisão de uma autoridade reguladora com a qual o Banco Central do Brasil tenha feito um acordo de cooperação.
Resolução BCB nº 85
A Resolução BCB nº 85 dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e computação em nuvem por instituições de pagamento.
Em vigor desde 2021, o normativo dita que as instituições devem implementar e manter uma política que assegure a confidencialidade, a integridade e a disponibilidade dos dados e sistemas.
Ela deve especificar, no mínimo, os objetivos de segurança cibernética, os procedimentos adotados para reduzir a vulnerabilidade, os controles específicos para proteger informações sensíveis e o registro, análise da causa e impacto de incidentes que sejam relevantes para as atividades da instituição.
Além disso, dentre outras exigências, as instituições de pagamento precisam estabelecer um plano de ação e resposta a incidentes e garantir a continuidade dos serviços de pagamento prestados.
Resolução Conjunta nº 6/2023
A Resolução Conjunta nº 6/2023 do Banco Central estabelece os critérios para o intercâmbio de dados e informações relacionados a suspeitas de fraudes que as instituições financeiras devem seguir.
Esta resolução entrará em vigor no final de 2023, introduzindo novas responsabilidades para as instituições financeiras a fim de prevenir atividades fraudulentas.
Por exemplo, as instituições financeiras autorizadas pelo Banco Central serão obrigadas a compartilhar informações entre si referentes a indícios de fraude.
Isso tem como objetivo aumentar a transparência para os demais participantes do mercado financeiro, permitindo uma melhor compreensão dos perfis que apresentam maior probabilidade de envolvimento em atividades fraudulentas.
Entenda tudo sobre Gestão de vulnerabilidades e cibersegurança no mercado financeiro!
Como se manter em conformidade com as leis de cibersegurança?
Manter a conformidade com as leis de segurança cibernética é crucial para as instituições financeiras, dada a sensibilidade dos dados que elas manipulam.
Para isso, é importante que as instituições:
- Desenvolvam e implementem uma política própria e abrangente, junto com uma equipe jurídica, estando sempre esteja em conformidade com as leis de cibersegurança locais e até internacionais;
- Treinem regularmente sua equipe em práticas de segurança cibernética. A conscientização dos funcionários é a primeira linha de defesa, pois eles também podem ter responsabilidade no vazamento de dados, por exemplo;
- Realizem avaliações regulares de riscos para identificar vulnerabilidades e ameaças que a empresa pode estar vivenciando. Isso ajuda a priorizar recursos, ações e políticas de backup específicas, por exemplo;
- Usem soluções tecnológicas específicas para cibersegurança no setor, como SD-WAN, Hardware Security Module (HSM) as a service, simuladores eficazes com pentest, firewall e análise e gestão de vulnerabilidades.
Inclusive, se você quer entender mais sobre como a tecnologia avançada é uma alavanca para a segurança das instituições financeiras, aproveite para ler esse material!