As fintechs chegaram ao Brasil há poucos anos e seu crescimento salta aos olhos. De acordo com dados do estudo Inside Fintech, da consultoria de inovação aberta Distrito, entre os anos de 2016 e 2022 surgiram 513 novas startups do setor financeiro. Em 2021, do total de US$ 9,4 bilhões investidos em startups, 40% já foram destinados às fintechs.
O crescimento foi impulsionado durante o período da pandemia de coronavírus, uma vez que as fintechs oferecem serviços que facilitam o atendimento ao cliente à distância, como controle de seus saldos, transferências, cartões de débito e crédito, inteiramente por meio de plataformas digitais, sem que precisem se dirigir à estrutura física da instituição financeira.
Ocorre que seu crescimento acelerado não veio acompanhado da necessária proteção digital, tornando estas empresas inovadoras vulneráveis a ataques externos e internos relacionados ao sequestro de informações e dados do sistema da empresa. Um exemplo dessa vulnerabilidade é o ataque hacker sofrido pelo Banco Pan em abril de 2022, responsável pelo vazamento de informações de mais de 13 milhões de clientes, como CPF, número do cartão e limite de crédito.
A cibersegurança é o conjunto de medidas que visam proteger as informações em dispositivos eletrônicos. Uma estratégia eficiente de segurança de dados precisa estar, preliminarmente, em conformidade com as normas do Banco Central (Bacen), em destaque a Resolução 4.658/2018, que disciplina a política de segurança cibernética, e a Lei Geral de Proteção de Dados (LGPD). Ademais, é indispensável adotar práticas envolvendo a criptografia de dados estabelecendo a tokenização destes, acesso controlado à informação, treinamentos em equipe, métodos de autenticação e serviços em nuvem. É de grande importância para a expansão das novas relações de negócios ter um projeto de segurança da informação que acompanhe os padrões de mercado, como ISO 27.001 (padrão e a referência Internacional para a gestão da Segurança da informação) e PCI-DSS (padrão de segurança de dados do setor de cartões de pagamento) e acompanhamento constante das novas ameaças que emergem.
Neste cenário de vulnerabilidade da segurança digital, um ataque hacker representa prejuízos de grande escala e pode comprometer drasticamente o posicionamento da fintech no mercado, gerar danos à entidade em contratos com investidores e clientes, ocasionar a perda de confiabilidade e gerar ações judiciais.
Em casos de ocorrência de ataque, é necessário localizar a origem do cibercrime para identificar os danos e impactos causados aos clientes e parceiros de negócio. A depender do caso, pode ser necessário notificá-lo à Autoridade Nacional de Proteção de Dados – ANPD, aos titulares de dados pessoais (conforme art. 48 da LGPD), e seguir as medidas previstas no Plano de Resposta a Incidentes. Segundo o Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio americano – cujas normas e instruções são utilizadas como referência global, incluindo empresas brasileiras – também é indispensável ter um plano de recuperação de desastres, que preveja, por exemplo, treinamento de equipe para atuar na resposta, análise do incidente, implementações de ações de contenção, erradicação e recuperação, e desenvolvimento de atividades para prevenir novos incidentes.
É importante que as organizações tenham suporte de especialistas para agir preventivamente e remediar eventuais incidentes, incluindo assessoria jurídica especializada. Neste contexto, é importante, também, que haja a documentação de medidas internas e procedimento para potenciais questionamentos que possam surgir, utilizando como base a LGPD e normativos infralegais, como a Norma Complementar n. 05/IN01/DSIC/GSIPR e Decreto n. 10.748/2021 (sobre a Rede Nacional de Resposta a Incidentes Cibernéticos).
A incorreta ou inadequada gestão de incidentes, bem como os danos causados pelo ataque, podem levar a sanções administrativas e ações judiciais individuais e coletivas. No ano de 2018, o Ministério Público do Distrito Federal e Territórios (MPDFT) moveu uma ação civil pública por danos morais coletivos contra o Banco Inter S/A, após ser constatado o comprometimento de dados de 19.961 clientes, encerrada após o pagamento de R$ 1,5 milhão pelo Banco a instituições públicas que combatem crimes cibernéticos e instituições carentes.