Durante reuniões recentes no Grupo de Trabalho de Segurança Cibernética e Riscos Digitais da SUSEP, tive a oportunidade de debater o uso de credenciais eletrônicas seguras nos processos de consentimento para o compartilhamento de dados por seus titulares.
O Brasil conta com uma das infraestruturas mais avançadas do mundo para emissão de credenciais digitais: a ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), que assegura autenticidade e validade jurídica em uma ampla gama de transações eletrônicas. Desde sua criação, a ICP-Brasil tem sido utilizada por milhões de cidadãos em serviços críticos, como os da Receita Federal do Brasil (RFB), o eSocial e o Processo Judicial Eletrônico (PJe). No entanto, setores como o financeiro e o segurador têm deixado de lado essa tecnologia altamente segura, dificultando que os titulares de dados exerçam seu direito de optar pelo uso de suas credenciais digitais em plataformas reguladas, como o Open Finance e o Open Insurance.
A ausência do uso de credenciais ICP-Brasil para autenticação nesses ecossistemas tem gerado preocupação entre especialistas. Embora amplamente utilizada em outros serviços sensíveis, a possibilidade de autenticação por meio dos certificados digitais ainda é evitada por muitas instituições financeiras e seguradoras. "Isso representa uma contradição: enquanto a ICP-Brasil é confiável para o governo e outros serviços críticos, o setor financeiro e segurador ainda resiste em adotar essa solução robusta para consentimento e autenticação", avaliam especialistas em segurança digital, com quem tive a oportunidade de dialogar.
Ao evitar o uso de credenciais digitais emitidas no âmbito da ICP-Brasil, setores regulados privam seus clientes de um método comprovadamente mais seguro para autenticação, que poderia reduzir significativamente o risco de fraudes eletrônicas nos processos de consentimento para o compartilhamento de dados, além de proteger informações pessoais em ambientes cada vez mais vulneráveis a ataques cibernéticos. Em vez de uma infraestrutura de credenciais digitais robustas, os usuários são levados a utilizar sistemas de login oferecidos pelos próprios fornecedores de serviços, que muitas vezes apresentam um menor nível de segurança.
Em abril de 2024, o Siafi (Sistema de Administração Financeira do Governo Federal) sofreu um ataque cibernético. O sistema, que gerencia pagamentos governamentais, foi comprometido por cibercriminosos que utilizaram credenciais de gestores habilitados para acessar e realizar transações financeiras não autorizadas.
O ataque foi detectado após uma tentativa de operação via PIX com o CPF de um dos gestores, método não utilizado pelo governo para pagamentos. Suspeita-se que os dados foram obtidos por meio de técnicas de “phishing”, nas quais os criminosos se passam por entidades confiáveis para coletar informações confidenciais.
Como resposta, o Tesouro Nacional implementou medidas adicionais de segurança, incluindo a exigência de autenticação de usuários exclusivamente por meio de certificado digital ICP-Brasil.
Diante do aumento de crimes cibernéticos contra titulares de dados (roubo ou vazamento de credenciais digitais), os órgãos reguladores poderiam adotar medidas preventivas para garantir que os titulares de certificados digitais ICP-Brasil possam utilizá-los nos processos de consentimento e autenticação nos sistemas Open Finance e Open Insurance, de forma opcional para aqueles que assim o desejarem. Além de fortalecer a segurança no ambiente digital, essa medida estaria alinhada às melhores práticas internacionais de proteção de dados e de combate às fraudes nos processos de consentimento para o uso e compartilhamento de informações pessoais.
Trata-se de um direito básico dos usuários de certificados ICP-Brasil. Eles já confiam nessas credenciais para uma série de transações sensíveis. O setor financeiro e segurador precisa oferecer a opção de utilizá-las, sob pena de limitar a segurança dos titulares de identidades digitais confiáveis e enfraquecer as políticas públicas de proteção cibernética.
A adoção de certificados digitais ICP-Brasil no Open Finance e Open Insurance, ainda que de forma opcional para os detentores dessas credenciais, seria um passo estratégico para aumentar a confiança dos usuários e promover um ambiente mais seguro nas transações eletrônicas. Além disso, a medida poderia contribuir para uma maior transparência e prevenção de fraudes nos processos de consentimento para uso de dados, dois pilares essenciais para o fortalecimento da economia digital no Brasil e para a proteção dos cidadãos.
Os certificados digitais ICP-Brasil são documentos eletrônicos que funcionam como uma identidade virtual para pessoas físicas ou jurídicas, permitindo a autenticação e a assinatura de documentos à distância, com validade jurídica equivalente à assinatura de próprio punho. No Siafi, os certificados digitais ICP-Brasil vão agregar uma camada adicional de segurança, garantindo integridade, autenticidade, conformidade, confidencialidade, disponibilidade, legalidade e irretratabilidade – ou seja, o não repúdio.
Agora, cabe às autoridades reguladoras, como o Banco Central e a SUSEP, avaliar a necessidade de agir de forma proativa para assegurar esse direito e promover a inclusão dessas credenciais nas plataformas de Open Finance e Open Insurance, garantindo que seus titulares possam usufruir de maior segurança e proteção nas transações financeiras e de seguros.
Comments