O Banco Central é um vigilante insone ou está mais para um síndico ausente quando se trata da proteção de informações pessoais confiadas a instituições financeiras? Pode até ser que a autoridade monetária faça muito e divulgue pouco. No entanto, o recente vazamento de dados de clientes da XP, no mês passado, aumenta a percepção de que o BC não tem atuado com a devida severidade, seja para prevenir episódios como esse, seja para apurar eventuais responsabilidades e, se necessário, punir os próprios bancos por falhas em sua segurança digital.

No ano passado, por exemplo, 84,6 milhões de contas bancárias foram violadas no Brasil, segundo dados da Surfshark, empresa de segurança cibernética sediada na Holanda. O número é 24 vezes superior ao registrado em 2023. No ranking global do vazamento de informações financeiras, o Brasil subiu do 9º para o 7º lugar. Não é uma posição compatível com um dos países que se orgulha de ter uma das mais complexas e rígidas regulações do sistema bancário no mundo.

Como se não bastasse, o Brasil somou o maior número de ataques virtuais a bancos na América Latina em 2024, com 1,6 milhão de incidentes, de acordo com estudo da russa Kaspersky, também especializada em proteção de dados. Diante desse cenário, há perguntas que não querem calar: o Banco Central estipula regras rígidas a serem cumpridas pelas instituições financeiras? O BC audita os sistemas de segurança da informação dos bancos?

Há muitos dilemas e controvérsias. O BC, ao contrário de outras autarquias, não pode sair por aí dizendo que tal banco não dispõe de um bom sistema de controle das informações, seus clientes tiveram contas devassadas e que vai punir a referida instituição. O grau de simbiose do sistema financeiro é tremendo. Qualquer declaração da autoridade monetária contamina a galáxia bancária.

O BC, portanto, tem de ficar calado, sem dar visibilidade aos seus processos ou disclosure dos bancos que exercem más práticas de segurança ou até mesmo foram punidos. A priori, a julgar pelo enunciado das suas ações, o órgão fiscalizador, o Banco Central, estipula exigências rígidas a serem cumpridas por seus fiscalizados em relação à segurança de dados dos clientes. No âmbito administrativo, há Resoluções editadas tanto pelo BC quanto pelo Conselho Monetário Nacional (CMN).

É o caso da Resolução do BC no 85/21 (voltada a instituições de pagamento) e da Resolução do CMN no 4.893/2021 (para instituições financeiras). Segundo o próprio BC em contato com o RR, “ambas tratam da política de segurança cibernética e dos requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições supervisionadas pelo Banco Central do Brasil. Estabelecem, portanto, requisitos de segurança da informação para as instituições supervisionadas pelo BCB”.

Há ainda a Resolução do BC no 260/22 (para instituições de pagamento) e a Resolução do CMN no 4.968/2021 (para instituições financeiras), “que dispõem sobre os sistemas de controles internos das instituições supervisionadas pelo BCB”. Segundo o Banco Central, “entre as exigências dessas normas, inclui-se a realização de testes periódicos de segurança para os sistemas de informações e de tecnologia por parte das instituições”. Em meio a essa sopa de resoluções, de que maneira o BC audita se as normas estão sendo seguidas à risca?

De acordo com a instituição, “a verificação de conformidade com a regulamentação estabelecida é conduzida no curso do processo contínuo de supervisão, sendo a intensidade das ações desenvolvidas e a periodicidade das verificações realizadas proporcionais ao perfil de riscos das instituições”.

Frente ao tamanho do problema, tudo soa pomposo, mas, ao mesmo tempo, vazio e frágil. Faltam explicações sobre o que é realizado na práxis. Sob um certo ângulo, os bancos parecem fazer mais do que o BC. Em contato com o RR, a Febraban afirma que “no exercício de sua função institucional, mantém grupos para discussões relacionadas à segurança de dados, que tocam cibersegurança e tratamento de dados pessoais, e mantém diálogos com diversos stakeholders, como o BCB e a ANPD”. 

A entidade tem um Laboratório de Segurança Cibernética, inaugurado em setembro de 2020, “que já realizou 202 atividades com mais mil horas direcionadas para 23.800 profissionais dos 113 bancos associados e de diversos parceiros estratégicos, com temas voltados para prevenção, conscientização e combate a crimes digitais, gestão de segurança, governança de dados, inovação e desenvolvimento seguro”.

No entendimento da Febraban, “o sistema bancário possui robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação, tais como mensageria criptografada, autenticação biométrica, tokenização, os quais são continuamente aprimorados, considerando os avanços tecnológicos e as mudanças no ambiente de riscos”.

Ainda segundo a entidade, “a segurança de seus clientes é prioridade, e os bancos associados têm a estimativa de investir neste ano R$ 47,8 bilhões em tecnologia, sendo que 10% deste total voltado para a cibersegurança”. Parece bem convincente. Segundo o BC, “em caso de descumprimento das normas editadas pelo Conselho Monetário Nacional (CMN) e pelo Banco Central do Brasil (BCB) que estabelecem diretrizes e comandos prudenciais e de conduta para a mitigação dos riscos operacionais e tecnológicos incorridos pelas instituições financeiras, entre os quais se incluem eventos relevantes de vazamentos de dados, mas não se limitam a esses, as instituições ficam sujeitas às sanções administrativas previstas na Lei 13.506 e normas infralegais aplicáveis”.

Já não parece tão convincente. Não se tem indícios, mesmo que preservados os nomes dos bancos, de medidas profiláticas ou sanções aplicadas pelo BC a instituições financeiras devido à exposição de dados de clientes. Como fica tudo como está, parece normal que um mesmo banco possa ter episódios recorrentes de vazamentos.

A XP, por exemplo, é reincidente. Em 2017, informações como nome, CPF, telefone, e-mail e até mesmo número de contas de aproximadamente 29 mil clientes foram expostos. Os criminosos chegaram a enviar mensagens aos próprios investidores. Como se soube à época, a fragilidade na proteção de dados remonta a 2013. Nesse ano, conforme amplamente divulgado pela mídia, hackers invadiram o sistema da XP e roubaram informações cadastrais.

Na mesma época, os cibercriminosos conseguiram, inclusive, desviar cerca de R$ 500 mil de três clientes – posteriormente ressarcidos pelo banco. No episódio mais recente, o banco de Guilherme Benchimol enviou um comunicado a seus clientes apenas em 24 de abril, 32 dias depois de tomar conhecimento, em 22 de março, de que “uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado”. No caso em questão, não basta à XP proteger os dados de seus clientes com extrema segurança. É preciso parecer radicalmente que a XP protege os dados de seus clientes com extrema segurança.

No próprio mercado, a extensa rede de agentes autônomos da XP, seu grande trunfo comercial, é vista como um ponto sensível em termos de proteção de dados. São mais de 400 escritórios e 15 mil agentes, cada qual com acesso a um volume expressivo de dados de clientes. Essa atomização da estrutura de atendimento e da gestão de investimentos levanta algumas dúvidas: a pulverização da força de venda da XP, com a existência de centenas de agentes autônomos, é um fator de vulnerabilidade em termos de segurança da informação?

A XP dispõe de um plano de contingência para episódios como este, que padronize os procedimentos a serem adotados pela própria instituição e por seus agentes autônomos? Qual é o grau de acesso dos agentes autônomos aos sistemas da XP? O RR fez essas perguntas ao próprio banco, que não respondeu especificamente aos questionamentos. A instituição ficou restrita a assertivas óbvias. Afirmou que “os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto”. Que “os clientes podem continuar a operar com total segurança.”

Estranho que banco tenha dito que “adotou todas as medidas adicionais de segurança para solucionar o fato”. Ora, deveria ter tomado as providências antes da infração, e não depois. E essas medidas deveriam ser obrigatórias e não adicionais. O RR perguntou à XP quais foram as “medidas de segurança” adotadas para solucionar o fato. Mas uma vez, o banco preferiu não responder. É compreensível que a XP não queira cutucar o vespeiro. Depois da repetição da falha de segurança, é de se imaginar que a instituição financeira fará o possível e o impossível para que não ocorra um novo episódio da mesma espécie. Há muito capital reputacional em jogo.