A Polícia Federal desarticulou no início deste mês uma quadrilha acusada de roubar pelo menos R$ 7,5 milhões de clientes do Banco do Brasil, Caixa Econômica Federal e Itaú Unibanco. O crime seria apenas mais um entre os vários que envolvem clientes bancários todos os dias no país não fosse uma das “armas” usada pelos bandidos: o telefone celular da própria vítima.

Como esperado, o processo de migração das transações bancárias das agências para os canais digitais também atraiu a atenção dos criminosos. A empresa de softwares de segurança Symantec estima que as perdas de instituições financeiras com cibercrime somaram R$ 2 bilhões apenas no ano passado. Esse número representa um aumento em relação ao montante de R$ 1,8 bilhão estimado pela Federação Brasileira dos Bancos (Febraban) em 2015. O valor é pouco superior ao investimento dos bancos em segurança da informação, que foi da ordem de R$ 1,9 bilhão em 2015, segundo a associação.

Para os bancos, o aumento das fraudes virtuais significa mais gastos operacionais. As instituições financeiras têm elevado os investimentos em segurança da informação para prevenir tais ataques aos seus servidores e oferecer um acesso seguro às plataformas digitais pelos clientes.

Como os bancos não poupam esforços – nem dinheiro – para coibir as fraudes nas operações digitais, a estratégia dos criminosos costuma se concentrar no elo mais fraco dessa cadeia: o cliente. “Os correntistas dos bancos não têm cultura de investir em segurança no computador pessoal”, afirma André Carraretto, especialista em segurança da informação da Symantec.

Os golpes mais comuns envolvem o que os especialistas chamam de “engenharia social”. Em outras palavras, os bandidos conseguem movimentar os recursos ao obter, de forma ilícita, os dados das vítimas, geralmente se fazendo passar pelo banco no qual a vítima tem conta.

No caso da quadrilha pega na Operação Valentina da Polícia Federal, os criminosos enviavam mensagens de texto (SMS) pelo celular e e-mails falsos dos bancos pedindo uma atualização de cadastro. Os clientes eram, então, redirecionados para uma página falsa do banco em que os hackers se apropriavam das informações com a instalação de softwares maliciosos (malwares). Com a ajuda de um funcionário de uma operadora de telefonia, o telefone da vítima era bloqueado e habilitado para o chip do fraudador para que o cliente não descobrisse a fraude. A ação da polícia contou com a colaboração dos bancos.

Impedir as movimentações suspeitas nas contas, mesmo que todas as credenciais fornecidas do outro lado estejam corretas, é um dos grandes desafios para quem cuida da segurança das informações financeiras. No Itaú Unibanco, são 700 pessoas voltadas apenas para a área de segurança e prevenção a fraudes. O investimento em segurança da informação no banco representa mais de 15% do orçamento de TI, segundo Ricardo Pereira de Lima, superintendente da área.

Os bancos dizem que a tecnologia está ao lado deles, e não dos criminosos. “Conforme as soluções avançam, o número de fraudes cai”, afirma Rafael Giovanella, gerente executivo da unidade de Risco Operacional do Banco do Brasil. Sistemas de segurança adotados pelo banco nos últimos anos, como a biometria e um sistema de confirmação de transações via “QR Code”, ainda não tiveram registros de fraudes confirmadas, segundo Giovanella.

Os recursos disponíveis no telefone celular já permitem aos bancos terem mais certeza sobre a identidade de um cliente na abertura de uma conta feita de forma digital do que em uma agência, utilizando, por exemplo, a sua geolocalização, afirma o executivo de uma grande instituição.

O mesmo conjunto de dados é usado para acompanhar as transações realizadas por meio dos aplicativos. Caso uma movimentação atípica seja identificada, os bancos procuram confirmá-la antes com o cliente. O desafio, neste caso, é reduzir a taxa de “falsos positivos”, quando o banco liga para notificar sobre operação legítima, segundo Daniel Arraes, executivo da empresa de tecnologia de gestão de riscos Fico.

Isso porque os fraudadores já encontraram uma maneira de burlar essa restrição: com a ajuda de um funcionário de uma operadora de telefonia, conseguem bloquear o telefone da vítima e habilitá-lo para o chip do fraudador para que o cliente nem o banco descobrissem a movimentação irregular.

Nas próximas gerações de aplicativos, os bancos esperam reduzir a possibilidade de fraudes desse tipo. As novas soluções, baseadas na chamada “biometria comportamental”, buscam identificar o cliente por meio de padrões como a forma como cliente segura o aparelho ou digita na tela. A autorização das operações deixa de ser baseada em senhas e passa a incluir a geolocalização e reconhecimento facial e de voz. “São tecnologias que já existem e agora estão em teste nos laboratórios dos bancos”, afirma um executivo de uma grande instituição.

O investimento em segurança passa também pelos bancos que criaram plataformas exclusivamente digitais. No Intermedium, que conta com 120 mil correntistas no aplicativo, o investimento em cibersegurança responde por cerca de 20% do orçamento anual da área de TI, que gira em torno de R$ 20 milhões a R$ 25 milhões. Entre as tecnologias de segurança adotadas pela instituição está a análise grafoscópica (de verificação da escrita), geolocalização, reconhecimento digital, além do envio de tokens por SMS para autenticação das transações, diz Alexandre Riccio de Oliveira, diretor executivo do Intermedium.

O banco consegue, por exemplo, identificar transações suspeitas realizadas por robôs programados para fazer a transferência de recursos via internet banking para outros clientes. ” Em geral quando identificamos um movimento linear do mouse na tela bloqueamos a operação”, diz Oliveira.