Cibersegurança: a preocupação do regulador
15 de abril de 2024Banco Central do Brasil voltou a expressar preocupação com o tema da segurança da informação no setor financeiro ao publicar a Consulta Pública nº 97/2023 sobre os ativos virtuais e a regulação das prestadoras de serviços de ativos virtuais conforme definido pela Lei 14.478/2022
Por Juliana Abrusio e Marcelo de Castro Cunha Filho
A segurança no espaço cibernético é cada vez mais desafiadora para as empresas no Brasil e no mundo.
O Global Cybersecurity Outlook 2024, relatório apresentado em janeiro de 2024, em Davos, no Fórum Econômico Mundial, apontou os riscos de cibersegurança entre aqueles com maior probabilidade de levar a uma crise material relevante em todo o planeta no ano de 2024.
O relatório também revelou a significativa desigualdade em relação aos mecanismos de proteção cibernética entre organizações mais maduras e aquelas que têm um nível mais baixo de resiliência, entre elas as pequenas e médias empresas (PMEs). Parte significativa das PME pesquisadas alegou não ter a proteção cibernética necessária para atender a requisitos operacionais críticos.
O cenário tende a se tornar cada vez mais desafiador na medida em que as ameaças cibernéticas se tornam cada vez mais frequentes e complexas. Além do número crescente de malwares, ransomwares, golpes de engenharia social, somam-se agora novos tipos de ameaças cibernéticas como, por exemplo, campanhas de desinformação.
Os vetores para os ataques no quadrante da desinformação especificamente são múltiplos e vão desde estratégias menos sofisticadas de phishing e disparos de e-mails contendo malwares até estratégias complexas que envolvem inteligência artificial, deep fakes e criação de perfis falsos com a utilização de bots.
A proliferação das ameaças e dos meios dos ataques não são resultado do acaso, mas sim do trabalho, muitas vezes organizado, de complexas estruturas, também conhecidas por milícias digitais, que difundem ameaças pelo ciberespaço para obter dinheiro, informações, poder etc.
O relatório Enisa de 2023 aponta que tanto o movimento de digitalização da economia (acelerado pela pandemia) assim como a guerra entre Rússia e Ucrânia serviram como catalisadores de uma crescente onda de novos ataques e ameaças.
O Brasil não fica de fora das estatísticas. Pelo contrário, estudos recentes apontam que o Brasil é o principal alvo, entre os países latino-americanos, de ameaças cibernéticas, contando com cerca de 1.500 ataques malwares por minuto.
Em resposta à crescente onda de insegurança no ciberespaço, o Brasil vem desenvolvendo, desde há algum tempo, um arcabouço regulatório voltado, em primeiro lugar, para prevenir as próprias ameaças cibernéticas e, em segundo lugar, para remediar os efeitos de uma possível crise cibernética.
Até o momento, a construção desse arcabouço regulatório tem acontecido de forma setorial e isolada. Nesse sentido, destacamos os esforços da Agência Nacional de Telecomunicações (ANATEL), Agência Nacional de Energia Elétrica (ANEEL), Comissão de Valores Mobiliários (CVM), Conselho Monetário Nacional (CMN), Banco Central do Brasil (Bacen) etc. para aumentar o nível de segurança cibernética nos seus respectivos mercados via regulação.
Nesse contexto, chama atenção a atuação proativa do CMN e do Bacen com relação à segurança cibernética no âmbito do sistema financeiro nacional.
Desde 2018, o CMN passou a exigir formalmente que as instituições financeiras adotassem política de segurança cibernética e observassem requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Atualmente, a Resolução CMN nº 4.893/2021, para instituições financeiras fundamentalmente, e a Resolução BCB nº 85, 2021, para instituições de pagamento, tratam do assunto e preveem que as instituições autorizadas a funcionar pelo BCB devem adotar política de segurança cibernética compatível com seu porte, perfil de risco e modelo de negócios, e devem contar com procedimentos e controles para reduzir a vulnerabilidade da instituição a incidentes.
As instituições autorizadas pelo Bacen têm ampla liberdade para contratar serviços de processamento de dados e nuvem, inclusive fora do país, condicionada a contratação à existência de convênio entre o BCB e as autoridades supervisoras dos países onde os serviços são prestados ou, no caso de inexistência do convênio, autorização pelo Bacen, podendo o órgão, em qualquer dos casos impor restrições sobre os termos da contratação.
Além das normas gerais sobre política de segurança cibernética e contratação de serviços, o BCB impôs também medida de precaução aos participantes do Pix mais especificamente, incumbindo-os de comunicarem aos titulares de contas transacionais incidentes de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix, mesmo que o participante provedor da conta não seja o responsável pelo incidente e ainda que o incidente de segurança possa não acarretar risco ou dano relevante aos titulares.
Mais recentemente, o Bacen voltou a expressar preocupação com o tema da segurança da informação no setor financeiro ao publicar a Consulta Pública nº 97/2023 sobre os ativos virtuais e a regulação das prestadoras de serviços de ativos virtuais conforme definido pela Lei 14.478/2022.
Entre os diversos temas abordados pelo Bacen na Consulta Pública nº 97/2023, o órgão separa uma seção exclusiva para segurança cibernética.
O tema é especialmente relevante por vários motivos: o primeiro deles, pela própria novidade do tema da regulação dos ativos virtuais e das prestadoras de serviço de ativos virtuais; o segundo deles, pela quantidade e sofisticação das ameaças cibernéticas envolvendo os criptoativos como um todo, o que pode afetar a saúde de um setor ainda em franca expansão.
O incremento dos esforços na prevenção a ameaças cibernéticas e incidentes de segurança da informação representam uma iniciativa admirável do poder público em combater um mal que afeta grande parte da economia e, sobretudo, os direitos e as liberdades individuais.
Juliana Abrusio e Marcelo de Castro Cunha Filho são, respectivamente, head e advogado da área de Direito Direito Digital e Proteção de Dados do Machado Meyer Advogados
Sobre Juliana Abrusio
Especialista em Tecnologia, Privacidade e Proteção de Dados, Cibersegurança e Inteligência Artificial. Profissional reconhecida por diversos diretórios jurídicos (Chambers, Legal 500 América Latina, Latin Lawyers, GDR, Escolha do Cliente, Mulheres no Direito Empresarial, Who’sWho, Análise). Doutora em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP), Mestre pela Universidade de Roma Tor Vergata (Itália), pós-graduado lato sensu pela Universidade Presbiteriana Mackenzie. Sócia do escritório de advocacia Opice Blum, Bruno, Abrusio, Vainzof (2002-2020); Diretora Jurídica Adjunto na FIESP (2023); Conselheira na OAB-SP (Seção São Paulo – 2021-2024); Coordenador de Inovação e Tecnologia na Universidade Mackenzie (2020-2021). Diretora do Instituto Legal Grounds (2020-2021). Professora de Direito Digital e Proteção de Dados na Universidade Presbiteriana Mackenzie. Professora convidado na Fundação Dom Cabral, PECE/Poli da Universidade de São Paulo. Coordenadora do Comitê de Direito Digital e Proteção de Dados do CESA (Centro de Estudos das Sociedades de Advogados) (desde 2014); Presidente da Comissão de Economia Digital e Regulação do Instituto dos Advogados de São Paulo (IASP) (desde 2022); Vice-Presidente da Comissão de Estudos em TI e Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP) (2017-2020). Autor do livro “Proteção de Dados na Cultura do Algoritmo, Ed. D´Placido, 2020”; “Covid-19: Impactos Jurídicos na Tecnologia, Ed. D´Placido, 2020”; “Marco Civil da Internet – Lei 12.964/2014”. Organizadora do livro “Educação Digital” (2015, Ed. RT Thonsom Reuters), entre outros. Autor de diversos artigos sobre direito e tecnologia e Colunista do Crypto ID.
Leia outros artigos de Juliana Abrusio aqui!
Sobre Machado Meyer Advogados
Machado Meyer Advogados – Fundado em 1972, o Machado Meyer é um dos mais respeitados escritórios de advocacia do Brasil. O escritório cresceu acompanhando o ritmo acelerado de expansão do Brasil e trabalha para oferecer soluções jurídicas inteligentes para impulsionar os negócios e transformar a realidade dos clientes e da sociedade. Oferece assistência legal a clientes nacionais e internacionais, incluindo grandes corporações dos mais variados setores de atividades, instituições financeiras e entidades governamentais. O escritório está presente em São Paulo, Rio de Janeiro, Brasília, Belo Horizonte e Nova York. Para mais informações, acesse o site: www.machadomeyer.com.br e leia os artigos publicados aqui no Crypto ID escritos por seus advogados nesse link!