30/4/2021
O ano de 2020 foi marcante para o Brasil e para o mundo por razões que variam desde a busca incansável da ciência para encontrar uma vacina e refrear os estragos causados pela pandemia da COVID-19, até a preocupação, acentuada em grande parte também pela COVID-19, em como avançar tecnologicamente de modo a manter a maior parte dos serviços operando, garantindo o funcionamento da economia.
Em um período tão atípico e difícil, foi possível observar um crescimento nunca visto antes na utilização de serviços digitais. No que tange à avanços tecnológicos, aliás, o setor financeiro foi o setor privado responsável pela maior parte dos recursos investidos no Brasil e no mundo em tal setor. Nesse sentido, a Pesquisa FEBRABAN de Tecnologia Bancária 2020[1], cujo ano base foi 2019, registrou um aumento de 48% nos investimentos em tecnologia pelos bancos brasileiros. Já no recorte da pandemia do COVID-19, as transações entre pessoas físicas nos canais digitais chegaram a representar 74% das transações realizadas.
Paralelamente ao crescimento da tecnologia e o impulsionamento da competição no setor bancário, uma preocupação existente no Brasil desde 2018, quando a Lei Geral de Proteção de Dados (“LGPD”) foi sancionada, voltou a protagonizar o dia a dia dos players do setor financeiro em 2020: a segurança cibernética e dos dados pessoais. Afinal, foi durante o conturbado ano de 2020 que a LGPD entrou em vigor, mesmo com diversas expectativas de seu adiamento.
No que diz respeito à incidentes de segurança, o Relatório de Ameaças feito pela McAfee[2] em dezembro de 2017 aponta que a grotesca maioria de incidentes de segurança ocorre nas Américas do Norte, do Sul e Central, e que o Brasil é o segundo no ranking de países com a maior quantidade de ataques cibernéticos do mundo. O FMI[3] também aponta o Brasil como um dos países que mais correm riscos nesse sentido.
Neste cenário, em fevereiro de 2020, entraram em vigor dois importantes normativos: o Decreto nº 10.222/2020, que descreve a Estratégia Nacional de Segurança Cibernética criada pelo Governo Federal, que terá validade até 2023, e o Decreto nº 10.139/2019, que obrigou os órgãos e entidades da administração pública federal a revisarem e consolidarem seus normativos, a fim de racionalizar o estoque regulatório.
No que tange à Estratégia Nacional de Segurança Cibernética criada pelo Governo Federal como uma iniciativa de proteção dos sistemas estatais digitais, foi possível observar uma importante movimentação: o setor financeiro (juntamente com os setores de energia, telecomunicações, transportes, etc) foi tratado pelo Decreto nº 10.222/2020 como um setor de infraestrutura crítica, justamente pela relevância de suas atividades, e é o setor que têm se adaptado melhor às diretrizes de segurança cibernética.
Já o processo de revisão decorrente do Decreto nº 10.139/2019 impactou cerca de 2600 normativos vigentes editados pelo Banco Central do Brasil (“BCB”) e pelo Conselho Monetário Nacional (“CMN”), entre eles a Resolução nº 4.658/2018 e a Resolução nº 4.752/2019, que tratavam de segurança cibernética e foram compiladas no corpo da Resolução CMN nº 4.893/2021, que revoga as normas anteriores sobre o assunto e trata das políticas de segurança cibernética e requisitos para a contratação de serviços de tratamento e armazenamento de dados em nuvem por instituições autorizadas a funcionar pelo BCB.
Embora a Resolução CMN nº 4.893/2021 não apresente quase nenhuma novidade em relação às regulamentações anteriores, referida resolução foi estruturada levando em consideração os padrões internacionais de segurança cibernética e determina, como pontos principais, que as instituições reguladas pelo BCB desenvolvam uma política de segurança cibernética, um plano de ação de respostas a incidentes e um plano de ação para continuidade de negócios. Além de tais documentos, as instituições devem estipular os requisitos para contratação de serviços em nuvem, no Brasil ou no exterior.
Ressalta-se, no entanto que a Resolução CMN nº 4.893/2021 deixou claro que as disposições de tal regulamentação não se aplicam às instituições de pagamento (“IPs”). Isso porque há regra específica para as IPs, a Circular BCB 3909, de 16 de agosto de 2018. Frisa-se, no entanto, que as regulamentações desta norma também são muito parecidas com as determinações da Resolução CMN nº 4.893/2021.
É preciso ter em mente que a segurança cibernética para as instituições de pagamento, chamadas de fintechs, é assunto ainda mais relevante. Isso porque, em geral, as grandes instituições financeiras têm grandes setores de tecnologia e políticas robustas de segurança, o que é mais difícil para fintechs de menor porte, que muitas vezes não tem como destinar grandes montantes para essa área, já que precisam focar em ganhar mercado e desenvolver alguma solução inovadora.
Investir em segurança cibernética, além de requisito legal, é essencial para que as fintechs demonstrem aos consumidores uma robustez estrutural e que crie uma maior confiança, atraindo clientes, além de evitar fraudes que poderiam comprometer sua saúde financeira, a medida em que o volume de transações pode não ser tão significativo. Isso pode ser claramente notado pelo aumento do número de fintechs estruturadas e preocupadas com o desenvolvimento sustentável do mercado.
Por fim, ressalta-se que tanto as instituições financeiras como as instituições de pagamento devem cumprir rigorosamente com o disposto da LGPD, em razão do alto grau de segurança implementado por essa lei. Em razão do volume de dados pessoais e dados sensíveis de clientes, essas instituições precisam adotar os controles e mecanismos necessários para proteger a empresa e os dados.
Todos estes mecanismos demonstram a preocupação do Brasil em tornar-se mais seguro, o que, inclusive, atrairá maior empreendedorismo, investimento e concorrência no setor, o que faz com que as soluções sejam cada mais atraentes e facilitadoras da via dos clientes.
Coautoria de: Cassia Monteiro Cascione, Nathalia Fernandes Gonçalves, Esther Jerussalmy Cunha e Fabricio Bertini Polido
