Outros sites Cofina
Notícias em Destaque
Opinião
Catarina Costa Ramos | Sara Tavares 01 de Outubro de 2020 às 09:24

Assaltos digitais: a nova realidade do setor bancário

Os ataques contra sistemas de informação e ao funcionamento ou exploração de serviços de telecomunicações, tal como previstos na lei, são crime.

  • Assine já 1€/1 mês
  • ...
Contrariamente ao que acontece nos filmes de ação, os assaltos a bancos deixaram de ser realizados à "La casa de papel", para serem total e estruturalmente realizados à distância de um clique.

Em Portugal, não somos exceção. O setor bancário português tem sofrido crescentes ataques cibernéticos, conforme evidencia o boletim publicado pelo Centro Nacional de Cibersegurança [CNCS (1)], que aponta para um crescimento de 124% destes incidentes, sendo o ataque de phishing o tipo de incidente mais frequente.

Não é de estranhar, como salienta o CNCS, que este aumento tenha coincidido com o período de confinamento, sendo que os números reduziram após este período.

Note-se que estes ataques cibernéticos no setor bancário não correspondem apenas a ataques diretos aos servidores e serviços dos bancos, mas também aos acessos e credenciais pessoais dos titulares de contas.

Neste sentido, torna-se fulcral a disseminação de informação relativa a cibersegurança, não só a nível empresarial (manutenção e atualização regular dos sistemas de informação a nível de segurança, políticas internas e criação de modelos de governo), mas também junto de todos os cidadãos quanto ao uso corrente dos seus dispositivos eletrónicos.

Em 2018, foi aprovado o regime jurídico da segurança do ciberespaço (RJSC) que transpõe a Diretiva (2) relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.

No âmbito do RJSC, algumas instituições de crédito em Portugal são classificadas como Operadores de Serviços Essenciais, tendo o dever de reportar ao CNCS os incidentes de cibersegurança com impacto relevante.

A Instrução n.º 21/2019 do Banco de Portugal [BdP (3)] prevê a obrigação de reporte dos incidentes de cibersegurança ocorridos em instituições de crédito, caixa central de crédito agrícola mútuo e caixas de crédito agrícola mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro.

Conforme destacou o Tribunal de Contas Europeu (4), os operadores dos setores financeiro e bancário já se encontram sujeitos a diferentes critérios de reporte, como sejam os decorrentes de legislação como o RGPD, Diretiva SRI, Diretiva relativa aos serviços de pagamento e Regulamento eIDAS.

Posto isto, levanta-se a questão: evoluímos (certamente) ou complicámos?

As instituições europeias têm sentido necessidade de implementar uma simplificação das comunicações às autoridades competentes, de modo não só a diminuir o custo burocrático (desnecessário), mas também a evitar uma comunicação segmentada de informações.

Em Portugal, a instrução do BdP vem centralizar nesta mesma entidade o papel de ponto único de contacto com o BdP, o Banco Central Europeu e a CNCS. Quando aplicável, o BdP comunicará as informações necessárias às restantes entidades.

Não esqueçamos, no entanto, o dever de notificação à Comissão Nacional de Proteção de Dados, sempre que estejam em causa violações de dados pessoais decorrentes de um incidente de cibersegurança, nos termos e para os efeitos do preceituado no RGPD.

Diga-se, ainda, que, nos termos da Lei do Cibercrime e do Código Penal, os ataques contra sistemas de informação e ao funcionamento ou exploração de serviços de telecomunicações, por exemplo, tal como previstos na lei, são crime.

Por fim, importa reforçar que esta preocupação diz respeito a todos, empresários ou não. A mitigação dos ciberataques só será possível através da adoção das melhores práticas, que exigem informação de qualidade e, sobretudo, alteração de hábitos. É que cada um dos nossos dispositivos em rede é uma janela para os sistemas dos bancos. E mesmo no cenário utópico de todos nós utilizarmos os nossos dispositivos em conformidade com as melhores recomendações, como se costuma dizer, "quando se fecha uma porta abre-se uma janela" - e os hackers são peritos nisso!


(1)
Boletim - Observatório de Cibersegurança - n.º3/2020 - julho 2020 - Centro Nacional de Cibersegurança Portugal - https://www.cncs.gov.pt/content/files/boletim_observatorio_julho2020.pdf

(2)
Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho

(3)
https://www.bportugal.pt/sites/default/files/anexos/instrucoes/396809213_1.docx.pdf

(4)
https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_PT.pdf
Ver comentários
Mais artigos do Autor
Ver mais
Mais lidas
Outras Notícias