13/06/2023

Prevenção e impactos de vazamentos de dados em instituições financeiras

No ambiente cada vez mais digital em que vivemos, o mercado financeiro é uma das áreas mais vulneráveis ao vazamento de dados de clientes e outros stakeholders
Laura Resende
LGPD Mercado Financeiro

Com a quantidade massiva de informações pessoais e financeiras que circulam todos os dias, é essencial compreender as implicações desses vazamentos e as medidas necessárias para preveni-los.

Neste artigo, exploraremos os tipos de dados mantidos no setor, as possíveis formas de vazamento, dados relevantes e consequências, além de sugerir as melhores práticas para tratar e prevenir tais incidentes.

Quais são os principais dados mantidos no mercado financeiro?

Gestoras de recursos, corretoras, bancos e empresas de pagamento são apenas alguns exemplos de empresas que lidam com uma ampla variedade de dados, incluindo informações pessoais (nome, endereço, número de CPF), dados bancários, transações financeiras, investimentos, históricos de crédito e muito mais.

Além disso, empresas financeiras também possuem informações corporativas confidenciais, como relatórios financeiros, estratégias de negócios e informações privilegiadas.

Esses dados são vitais para a operação das entidades, mas também são um alvo valioso para criminosos cibernéticos, já que o vazamento de qualquer um desses tipos de informações pode ter consequências devastadoras, tanto para os indivíduos quanto para as próprias organizações.

O que é um incidente de segurança com dados pessoais?

De acordo com a definição da Autoridade Nacional de Proteção de Dados (ANPD),

“é um evento adverso confirmado que compromete a confidencialidade, integridade ou disponibilidade de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados”.

Ainda segundo a autarquia, esses incidentes podem ocorrer acidentalmente, como o envio para um destinatário incorreto, por exemplo, ou intencionalmente, como invasão ou furto de sistemas.

Importante lembrar que incidentes de segurança com dados não se restringem apenas às violações da confidencialidade, como destacamos neste artigo, mas também a eventos de perda ou indisponibilidade de dados.

Case recente

Nos últimos anos, vários vazamentos causaram grande impacto. Um exemplo notável foi o caso da empresa de crédito Equifax, em 2017, no qual dados pessoais de aproximadamente 147 milhões de consumidores foram comprometidos.

O incidente resultou em multas bilionárias e uma queda acentuada no valor de mercado da empresa.

Como podem ocorrer os vazamentos?

Existem várias maneiras pelas quais os vazamentos de dados podem ocorrer no mercado financeiro:

Vulnerabilidade na segurança cibernética

Uma das formas mais comuns é através de ataques cibernéticos, como phishing, malware, ransomware ou invasões diretas aos sistemas de TI das instituições financeiras.

Além disso, os vazamentos também podem ocorrer devido a práticas de segurança inadequadas, como senhas fracas, falhas na proteção física dos dados e acessos não autorizados a dados confidenciais.

Relatórios apontam que hackers estão cada vez mais direcionando suas atividades criminosas para o setor financeiro, aproveitando-se das brechas existentes nos sistemas de segurança.

De acordo com um estudo realizado pela empresa de segurança cibernética Fortinet, foram registrados 103,16 bilhões de tentativas de ataques no país em 2022.

Dados como este preocupam empresas do mercado financeiro, que têm procurado investir em profissionais qualificados em informática.

Falhas internas

Além disso, os vazamentos também podem ocorrer por meio de falhas internas, como a perda ou roubo de dispositivos móveis, negligência dos funcionários na proteção dos dados ou acesso não autorizado às informações e publicações não intencionais.

Função do DPO

O Data Protection Officer (DPO), ou Encarregado de Proteção de Dados, desempenha um papel crucial na prevenção e resposta a vazamentos de dados no mercado financeiro, pois é o profissional designado pelas organizações para garantir a conformidade com as leis de proteção de dados e supervisionar as medidas de segurança.

Essa função, obrigatória de acordo com a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, envolve implementar políticas de segurança, educar os funcionários sobre boas práticas de proteção de dados e supervisionar investigações de incidentes de segurança.

O Art. 46 da LGPD estabelece que “agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Vazamento de dados no mercado financeiro e suas consequências

As consequências de vazamentos de dados são sérias e abrangentes, pois podem resultar na exposição de registros de clientes.

Além das multas e penalidades regulatórias que podem ser impostas pelas autoridades, as instituições afetadas também enfrentam danos significativos à reputação, perda de clientes, litígios e ações judiciais.

A perda de confiança dos clientes e investidores pode levar a uma redução na base de clientes, queda no valor das ações e dificuldade em atrair novos negócios. As instituições financeiras também podem enfrentar sanções regulatórias e perdas de parcerias estratégicas devido a essas violações de segurança.

Como comunicar violações e roubos de informações confidenciais?

A Lei Geral de Proteção de Dados (LGPD) determina aos agentes de tratamento de dados pessoais a adoção de medidas para prevenir a ocorrência de danos aos titulares em virtude de suas atividades.

Ainda de acordo com a Lei e as orientações da ANPD, “na eventualidade de um incidente de segurança, uma importante medida de mitigação de danos é a comunicação da ocorrência aos titulares dos dados pessoais violados.

Dessa forma, eles poderão tomar conhecimento do ocorrido e adotar medidas de precaução para mitigar os riscos a que foram expostos em razão do incidente.”

Ou seja, a LGPD impõe em seu art. 48 o dever de comunicar aos titulares e à ANPD a ocorrência de incidentes que possam causar riscos ou danos relevantes – recomenda-se que a comunicação seja feita em até dois dias úteis da ciência do fato.

Para comunicar um episódio em desconformidade com a LGPD é preciso acessar o portal do Sistema Único de Processo Eletrônico em Rede do Governo Federal pelo, no Fala.BR.

No entanto, nem todas as situações imprevistas são consideradas como incidentes que requerem registro.

Do ponto de vista legal, somente eventos de segurança que têm o potencial de causar um risco ou dano significativo aos indivíduos afetados devem ser comunicados.

Como comunicar um incidente de segurança aos titulares de dados?

A comunicação deve ser realizada o mais rápido possível após a identificação do incidente. Essa ação permite que os titulares tomem providências para evitar eventuais impactos negativos.

O aviso deve ser feito individualmente e diretamente aos titulares em canais já utilizados para contato entre empresa e cliente.

Inclusive, no dia 23 de maio de 2023, a ANPD realizou uma Audiência Pública para debater com o público a minuta do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais e analisar possíveis atualizações.

Quais as melhores formas de prevenção?

Em primeiro lugar, é essencial implementar políticas de segurança de dados robustas e garantir que todos os funcionários sejam treinados regularmente em boas práticas de proteção de dados.

De acordo com o Art. 19. do Código ANBIMA de Distribuição 2023, encontrado na Seção VI que diz respeito à Governança,

“as instituições participantes deverão implementar e manter treinamento para todos os seus profissionais, incluindo terceiros, sobre práticas gerais de proteção de informações confidenciais, reservadas ou privilegiadas e dados pessoais, segurança da informação e cibersegurança, bem como sobre os protocolos de continuidade de negócios e prevenção de incidentes.”

As políticas de segurança devem ser estabelecidas e comunicadas claramente a todos os colaboradores, com ênfase na importância de proteger informações confidenciais e evitar práticas como o compartilhamento indiscriminado de senhas.

Isso inclui o uso de senhas fortes e conscientização sobre phishing e outras táticas de engenharia social.

Outras medidas eficazes de segurança da informação são criptografia de dados, uso de autenticação multifatorial, implementação de firewalls, realização de auditorias regulares de segurança e atualização constante dos sistemas e softwares.

A adoção de tecnologias avançadas, como inteligência artificial, também pode ajudar a identificar comportamentos anormais e prevenir ataques cibernéticos.

Em um mundo cada vez mais interconectado, o vazamento de dados no mercado financeiro deve ser uma preocupação constante, já que instituições financeiras e seus clientes enfrentam riscos significativos devido às crescentes ameaças cibernéticas.

Ao priorizar a segurança, a empresa pode mitigar os riscos de vazamento e proteger a confiança dos clientes, garantindo um ambiente mais seguro e confiável para as transações financeiras.

Comprometidos em auxiliar na gestão de dados pessoais e privacidade desse setor, oferecemos no Compliasset diversas ferramentas voltadas a atender à LGPD.

Acesse agora nossa página e saiba como podemos ajudar sua empresa.

*Este conteúdo não representa opinião legal do Compliasset, tendo o propósito puramente informativo.

Entre em contato

Ícone Contato Software Compliasset Alertas Artigos

Faça parte do futuro do compliance no mercado regulado com o Compliasset.

Descubra como o nosso software pode fortalecer seu negócio.

Fale conosco hoje mesmo e agende uma demonstração gratuita!

APENAS 30 MINUTOS DE CONVERSA e PRONTO

O Compliasset te ajuda a ter mais velocidade no dia a dia!

Tenha o melhor software de Compliance como o seu aliado. É rápido, fácil e vai te colocar entre os melhores.