O uso da inteligência artificial (IA) está permitindo a personalização das fraudes e pode até avançar para a hiperpersonalização, um estágio ainda mais perigoso para os clientes de instituições financeiras. Mas, assim como a tecnologia é aliada dos criminosos, ela também tem sido um recurso de defesa.
Para Annelise Ragone de Mattos, superintendente nacional de Governança de TI da Caixa, e Gustavo Gierun, CEO da fintech Distrito, a questão é manter o alerta.
“A IA generativa é transformacional em vários sentidos e, por isso mesmo, tem um lado positivo e também riscos”, explicou Gierun durante o painel Protegendo o futuro das transações financeiras no Febraban Tech.
Para ele, do mesmo jeito que as instituições financeiras usam a IA para melhorar algoritmos de prevenção contra fraudes, os criminosos podem adotar a tecnologia para furar a bolha de segurança, realizando a clonagem de voz e de imagens, numa espécie de personalização perversa.
Segundo Gierun, a agilidade de resposta é fundamental para evitar as ameaças, uma vez que a velocidade de performance da IA aumenta a cada ano. De novo, trata-se de um caminho de duas mãos: o desempenho melhorado da IA é animador, pois aumenta a capacidade de processamento de dados, mas também pesa contra, ao afetar a criptografia necessária para proteção das transações financeiras.
Na avaliação do executivo, um salto ainda maior pode ser dado por outra tecnologia disruptiva, a computação quântica, que começa a aparecer no radar dos bancos e foi tema da abertura do Febraban Tech.
Personalização sofisticada dos fraudadores
Para Annelise, da Caixa, a forte atuação dos fraudadores já envolve a personalização, com uso de IA, e acontece em larga escala. No caso do banco estatal, que atende uma gama variada de clientes, inclusive muitos com pouca familiaridade com o ambiente digital, a preocupação em monitorar as ameaças faz parte do dia a dia operacional.
“É uma corrida contra o tempo para conseguir acompanhar o comportamento dos fraudadores. A atuação precisa ser a mais tempestiva possível”, completa. De acordo com ela, os bancos precisam responder na mesma velocidade e da mesma forma que são atacados por criminosos com recursos de IA.
Apesar de ver a computação quântica como ainda distante, Annelise diz que o tema é importante e deve ser acompanhado de forma setorial.
Uma preocupação mais imediata para a executiva é a jornada digital dos clientes diversificados da Caixa. O banco é singular nesse aspecto, porque é duplamente um foco de ataque constante por ser uma instituição financeira e um órgão governamental. Diferente de outras instituições, a Caixa responde pelo pagamento de vários programas sociais, um alvo para os cibercriminosos.
Equilíbrio entre jornada digital e cibersegurança
Annelise lembra que em função dessas características, o banco precisa aplicar uma estrutura de cibersegurança potente, mas que não prejudique a jornada digital fluida, que evita fricções e seja sedutora para os clientes.
O desafio de manter uma jornada fluida também afeta os executivos de TI da Caixa. “A segurança faz parte dos negócios e não fazemos nada sem nos preocuparmos com ela. As ações, no entanto, precisam ser adequadas para cada grupo de clientes”, reforça a executiva.
Tanto ela como Gierun, da Distrito, foram unânimes em destacar a regulação no Brasil como um fator positivo para garantir a cibersegurança.
“O mercado de fintechs não teria crescido se não houvesse regulação”, argumenta Gierun. Para ele, os controles não só incentivaram o desenvolvimento interno das empresas, como também abriram oportunidades de exportação de soluções sofisticadas para outros países.
O CEO da Distrito destaca, em particular, a atuação do Banco Central em fomentar a competição, criar ambientes de teste e regular o mercado, principalmente os entrantes.
A Lei Geral de Proteção de Dados (LGPD) é outro ativo brasileiro, na avaliação do especialista. Ele ressalta, no entanto, que há margem para aperfeiçoamentos, com atenção especial para combater vazamentos de dados.
Ainda sobre regulação, Gierun acredita que as instituições financeiras ainda não tiraram todas as vantagens que o Open Finance permite. A relação entre Open Finance e regulação também está na agenda de Annelise, por ser uma frente de implementação técnica e complexa.
Ela avalia que os processos regulados da LGPD devem ser um exemplo para o Open Finance, principalmente porque a abertura envolve muita troca de informação, que precisa ser feita com segurança.
Governança é essencial para a cibersegurança
A executiva lembra que o desafio foi maior na Caixa pelo fato de o banco ter uma das maiores carteiras do mercado e ser alvo frequente de ataques cibernéticos. Outro aspecto diferenciador da instituição é que, por ser banco público, ela tem o acompanhamento obrigatório de outras instituições como o Tribunal de Contas da União (TCU).
“Isso demanda muito de nossa governança”, explica Annelise. Dentro do escopo dessa área, a executiva explica que está a análise “post mortem” dos incidentes, embora a governança não atue diretamente no problema.
Nessa avaliação pós-incidente, a governança de TI analisa a fragilidade que permitiu o incidente, faz um diagnóstico do que aconteceu e indica se existe uma vulnerabilidade que permita a recorrência da falha. “Analisamos se o incidente foi tratado com o imediatismo necessário. Tudo tem que ser resolvido no prazo mais curto possível”, explica.
A discussão post mortem, segundo Annelise, evita uma postura passiva em relação aos cibercriminosos. Para a especialista, uma vez corrigido o problema, é preciso fazer uma segunda verificação para que ele não se repita. “Não podemos pensar ‘pronto, resolveu e segue a vida’”, argumenta.
Colaboração é chave para conter ameaças na personalização
O monitoramento das ameaças cibernéticas com uso da IA não se restringe às instituições financeiras, segundo Henrique Kodama, analista do Cyber Lab da Febraban, em conversa com o Próximo Nível. Para ele, a questão é setorial e deve envolver a colaboração entre os bancos.
Kodama lembra que o setor financeiro usa personalização com IA há muitos anos, e vê os modelos atuais com papel de copiloto, principalmente para aumentar a produtividade da mão de obra no segmento. Ele também ressalta a evolução dos recursos, com várias instituições fazendo provas de conceito (PoCs) dos chamados agentes de IA.
Em relação aos ciberataques, o especialista ressalta que um dos focos deve ser a capacitação da mão de obra especializada, justamente um dos objetivos do laboratório, que foi criado em 2019. Segundo ele, uma das metas da iniciativa é aumentar a maturidade do setor financeiro na área de segurança cibernética.
Com uma cultura colaborativa com os bancos parceiros, o laboratório não tem que replicar iniciativas de cibersegurança já realizadas nos bancos. Aliás, Kodama destaca que as experiências das instituições em testar internamente os recursos de defesa é fundamental.
“Quando se traz para dentro de casa, torna-se muito mais real, porque os bancos conseguem trabalhar com a equipe que vai responder às crises de verdade”, explica.
O especialista argumenta ainda que as simulações nas instituições financeiras não precisam necessariamente envolver uma infraestrutura digital e complexa. “É possível fazer exercícios no papel, reunindo a equipe e discutindo ideias”, finaliza.
