É “uma inevitabilidade” que haja um ataque cibernético, com dimensão, a uma ou mais instituições bancárias em Portugal. Maria José Campos, administradora do Millennium BCP, reconhece que o que mais “tira o sono” aos gestores do setor financeiro é a necessidade de se prepararem para o risco de um ataque “totalmente destrutivo” que pode surgir subitamente.
Durante uma conferência organizada pelo Banco de Portugal, esta segunda-feira, a administradora bancária atirou: “O que nos tira o sono hoje é, sem dúvida nenhuma, a cibersegurança, pelo poder totalmente destrutivo deste tipo de ataques”, que, acrescentou, não são incidentes que demoram muitos dias a preparar-se e a consumar-se, são “ataques que podem acontecer em dias ou horas“.
Por ser “quase inevitável”, comentou a gestora, “a banca, para quem o investimento em cibersegurança não é novo, tem vindo a reforçar o investimento, com foco tanto na proteção e como na deteção” de problemas, bem como em mecanismos que possam facilitar a recuperação em caso de ataque.
Pedindo uma colaboração mais profunda entre os vários bancos sistémicos em Portugal sobre esta matéria, Maria José Campos diz que, sendo “uma inevitabilidade um ataque desta natureza, precisa de ser planeada a resposta ao incidente“, designadamente fazendo “exercícios table-top”, onde se envolvem desde executivos até jornalistas, parte importante da comunicação com os cidadãos no caso de haver problemas.
As declarações da administradora do BCP foram feitas poucos minutos depois de Hélder Rosalino, administrador do Banco de Portugal, ter reconhecido, no mesmo evento, a “preocupação” do supervisor financeiro em relação ao possível impacto de um incidente deste tipo – uma preocupação que, ainda assim, não é maior do que aquela que existe à escala global, “num tempo em que os riscos de cibersegurança e as fraudes ganharam uma dimensão nunca dantes vista”.
Também do lado do Banco de Portugal, Carlos Moura, diretor do departamento de sistemas e tecnologias de informação, afirmou que “nos últimos meses todos os alarmes estão ativos” no que diz respeito ao risco de ciberataques, com episódios em setores tão variados como os media, o retalho e as telecomunicações.
Com a invasão da Ucrânia pela Rússia, a preocupação aumentou: “Estamos a viver um momento implacável, o período mais intenso de ciberataques”, afirmou o especialista, apontando para dados que indicam que a cada 11 segundos uma empresa do mundo é afetada por tentativas de ransomware, ou seja, uma violação de segurança exigindo o pagamento de um resgate. “Em média organizações demoram 20 dias a recuperar de um ataque dessa natureza”, atirou o responsável do Banco de Portugal.
“O dia do outage [a interrupção de serviço] vai chegar, temos de estar preparados“, avisou Carlos Moura, antes de Luís Costa Ferreira, diretor de supervisão macroprudencial do Banco de Portugal, que admitiu que um tal ataque poderia ter “impactos financeiros diretos”, incluindo perdas que podem “comprometer a solvabilidade das instituições” e a colocar em causa a continuidade das operações.
Por isso é que o Banco de Portugal tem tido “várias iniciativas” junto dos bancos, incluindo uma “avaliação contínua”, com “inspeções in loco, com foco em cibersegurança“, além de comparações entre aquilo que fazem as várias instituições, de forma a que o supervisor possa desencadear intervenções em instituições que possam não estar de acordo com as melhores práticas.
“A cooperação entre entidades públicas e privadas e Autoridades é fundamental para assegurar a cibersegurança do setor bancário, que depende da ação de todos”, rematou.
Registadas 200 mil operações fraudulentas no 1.º semestre de 2021
As operações fraudulentas, através dos sistemas de pagamento, fixaram-se em 200.000 até ao primeiro semestre de 2021, o equivalente a 14 milhões de euros, revelou hoje o Banco de Portugal (BdP).
“No primeiro semestre de 2021, registaram-se 200.000 operações fraudulentas, com 14 milhões de euros de valor de fraude”, indicou a diretora do departamento de sistemas de pagamento do BdP, Maria Tereza Cavaco.
Segundo os dados avançados por esta responsável, numa conferência do supervisor financeiro, que decorre em Lisboa, o valor médio de fraude situou-se em 66 euros, no período em análise.
O BdP notou ainda que cerca de 260 em cada milhão de pagamentos com cartão são fraudulentos, enquanto no caso das transferências três em cada milhão correspondem a uma fraude.No que se refere ao débito direto, duas operações em cada milhão são fraudulentas.
Cerca de 76% das perdas por fraude foram suportadas pelos prestadores de serviços e 13% pelos próprios utilizadores.
Os instrumentos de pagamento eletrónico apresentaram níveis de fraude “muito reduzidos” no primeiro semestre de 2021, destacando-se as operações com cartões na ótica da entidade emitente, com 0,03% em quantidade e valor, revelou o BdP.
“No primeiro semestre de 2021, a utilização dos diferentes instrumentos de pagamento eletrónicos em Portugal manteve-se com níveis de fraude muito reduzidos”, lê-se no relatório dos sistemas de pagamentos 2021, divulgado esta sexta-feira.
Fraudes ou tentativas detetadas pela SIBS aumentam nove vezes em 2021
Os eventos detetados pela SIBS Paywatch, que indicam uma fraude ou tentativa de fraude, aumentaram nove vezes em 2021 e um em cada 99 ‘e-mails’ são ‘phishing’, indicou hoje a presidente executiva desta empresa de serviços financeiros.
“Em 2021, aumentaram nove vezes os eventos detetados pela SIBS Paywatch, o que revela um aumento significativo da fraude ou tentativa de fraude, nomeadamente através de ‘fake websites, phishing, vishing ou smishing'”, apontou Madalena Cascais Tomé, na conferência “Como proteger os pagamentos? (Ciber)Segurança e prevenção da fraude”, organizada pela Banco de Portugal (BdP), que decorre em Lisboa.
Segundo os dados hoje divulgados pela SIBS, um em cada 99 ‘e-mails’ é ‘phishing’ e já surge com algum contexto, por exemplo, é frequente, após a realização de uma compra ‘online’, receber um ‘e-mail’ que parece estar associado ao operador do logístico que vai entregar a encomenda, levando os utilizadores a aceder a determinado ‘link’.
Madalena Cascais Tomé lembrou que a ‘strong costumer authentication’ é uma realidade desde 2021, o que implica que para fazer um determinado pagamento seja necessária uma impressão digital, reconhecimento facial ou outro dado biométrico ou a receção de códigos por sms ou ‘e-mail’.
No entanto, apesar desta autenticação forte, a pegada digital dos utilizadores também tem aumentado, o que pode comprometer a segurança nos pagamentos.
“Não se partilha nenhum dado sensível recebido por telemóvel, em qualquer momento, circunstância ou a qualquer pessoa”, alertou.