Opinião
Catarina Costa Ramos - Associada coordenadora da área de Proteção de Dados da GPA Advogados
|
Sara Tavares - Jurista da área de proteção de dados da GPA Advogados
01 de Outubro de 2020 às 09:24
Assaltos digitais: a nova realidade do setor bancário
Os ataques contra sistemas de informação e ao funcionamento ou exploração de serviços de telecomunicações, tal como previstos na lei, são crime.
Contrariamente ao que acontece nos filmes de ação, os assaltos a bancos deixaram de ser realizados à "La casa de papel", para serem total e estruturalmente realizados à distância de um clique.
Em Portugal, não somos exceção. O setor bancário português tem sofrido crescentes ataques cibernéticos, conforme evidencia o boletim publicado pelo Centro Nacional de Cibersegurança [CNCS (1)], que aponta para um crescimento de 124% destes incidentes, sendo o ataque de phishing o tipo de incidente mais frequente.
Não é de estranhar, como salienta o CNCS, que este aumento tenha coincidido com o período de confinamento, sendo que os números reduziram após este período.
Note-se que estes ataques cibernéticos no setor bancário não correspondem apenas a ataques diretos aos servidores e serviços dos bancos, mas também aos acessos e credenciais pessoais dos titulares de contas.
Neste sentido, torna-se fulcral a disseminação de informação relativa a cibersegurança, não só a nível empresarial (manutenção e atualização regular dos sistemas de informação a nível de segurança, políticas internas e criação de modelos de governo), mas também junto de todos os cidadãos quanto ao uso corrente dos seus dispositivos eletrónicos.
Em 2018, foi aprovado o regime jurídico da segurança do ciberespaço (RJSC) que transpõe a Diretiva (2) relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.
No âmbito do RJSC, algumas instituições de crédito em Portugal são classificadas como Operadores de Serviços Essenciais, tendo o dever de reportar ao CNCS os incidentes de cibersegurança com impacto relevante.
A Instrução n.º 21/2019 do Banco de Portugal [BdP (3)] prevê a obrigação de reporte dos incidentes de cibersegurança ocorridos em instituições de crédito, caixa central de crédito agrícola mútuo e caixas de crédito agrícola mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro.
Conforme destacou o Tribunal de Contas Europeu (4), os operadores dos setores financeiro e bancário já se encontram sujeitos a diferentes critérios de reporte, como sejam os decorrentes de legislação como o RGPD, Diretiva SRI, Diretiva relativa aos serviços de pagamento e Regulamento eIDAS.
Posto isto, levanta-se a questão: evoluímos (certamente) ou complicámos?
As instituições europeias têm sentido necessidade de implementar uma simplificação das comunicações às autoridades competentes, de modo não só a diminuir o custo burocrático (desnecessário), mas também a evitar uma comunicação segmentada de informações.
Em Portugal, a instrução do BdP vem centralizar nesta mesma entidade o papel de ponto único de contacto com o BdP, o Banco Central Europeu e a CNCS. Quando aplicável, o BdP comunicará as informações necessárias às restantes entidades.
Não esqueçamos, no entanto, o dever de notificação à Comissão Nacional de Proteção de Dados, sempre que estejam em causa violações de dados pessoais decorrentes de um incidente de cibersegurança, nos termos e para os efeitos do preceituado no RGPD.
Diga-se, ainda, que, nos termos da Lei do Cibercrime e do Código Penal, os ataques contra sistemas de informação e ao funcionamento ou exploração de serviços de telecomunicações, por exemplo, tal como previstos na lei, são crime.
Por fim, importa reforçar que esta preocupação diz respeito a todos, empresários ou não. A mitigação dos ciberataques só será possível através da adoção das melhores práticas, que exigem informação de qualidade e, sobretudo, alteração de hábitos. É que cada um dos nossos dispositivos em rede é uma janela para os sistemas dos bancos. E mesmo no cenário utópico de todos nós utilizarmos os nossos dispositivos em conformidade com as melhores recomendações, como se costuma dizer, "quando se fecha uma porta abre-se uma janela" - e os hackers são peritos nisso!
(1)
Boletim - Observatório de Cibersegurança - n.º3/2020 - julho 2020 - Centro Nacional de Cibersegurança Portugal - https://www.cncs.gov.pt/content/files/boletim_observatorio_julho2020.pdf
(2)
Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho
(3)
https://www.bportugal.pt/sites/default/files/anexos/instrucoes/396809213_1.docx.pdf
(4)
https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_PT.pdf
Em Portugal, não somos exceção. O setor bancário português tem sofrido crescentes ataques cibernéticos, conforme evidencia o boletim publicado pelo Centro Nacional de Cibersegurança [CNCS (1)], que aponta para um crescimento de 124% destes incidentes, sendo o ataque de phishing o tipo de incidente mais frequente.
Note-se que estes ataques cibernéticos no setor bancário não correspondem apenas a ataques diretos aos servidores e serviços dos bancos, mas também aos acessos e credenciais pessoais dos titulares de contas.
Neste sentido, torna-se fulcral a disseminação de informação relativa a cibersegurança, não só a nível empresarial (manutenção e atualização regular dos sistemas de informação a nível de segurança, políticas internas e criação de modelos de governo), mas também junto de todos os cidadãos quanto ao uso corrente dos seus dispositivos eletrónicos.
Em 2018, foi aprovado o regime jurídico da segurança do ciberespaço (RJSC) que transpõe a Diretiva (2) relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.
No âmbito do RJSC, algumas instituições de crédito em Portugal são classificadas como Operadores de Serviços Essenciais, tendo o dever de reportar ao CNCS os incidentes de cibersegurança com impacto relevante.
A Instrução n.º 21/2019 do Banco de Portugal [BdP (3)] prevê a obrigação de reporte dos incidentes de cibersegurança ocorridos em instituições de crédito, caixa central de crédito agrícola mútuo e caixas de crédito agrícola mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro.
Conforme destacou o Tribunal de Contas Europeu (4), os operadores dos setores financeiro e bancário já se encontram sujeitos a diferentes critérios de reporte, como sejam os decorrentes de legislação como o RGPD, Diretiva SRI, Diretiva relativa aos serviços de pagamento e Regulamento eIDAS.
Posto isto, levanta-se a questão: evoluímos (certamente) ou complicámos?
As instituições europeias têm sentido necessidade de implementar uma simplificação das comunicações às autoridades competentes, de modo não só a diminuir o custo burocrático (desnecessário), mas também a evitar uma comunicação segmentada de informações.
Em Portugal, a instrução do BdP vem centralizar nesta mesma entidade o papel de ponto único de contacto com o BdP, o Banco Central Europeu e a CNCS. Quando aplicável, o BdP comunicará as informações necessárias às restantes entidades.
Não esqueçamos, no entanto, o dever de notificação à Comissão Nacional de Proteção de Dados, sempre que estejam em causa violações de dados pessoais decorrentes de um incidente de cibersegurança, nos termos e para os efeitos do preceituado no RGPD.
Diga-se, ainda, que, nos termos da Lei do Cibercrime e do Código Penal, os ataques contra sistemas de informação e ao funcionamento ou exploração de serviços de telecomunicações, por exemplo, tal como previstos na lei, são crime.
Por fim, importa reforçar que esta preocupação diz respeito a todos, empresários ou não. A mitigação dos ciberataques só será possível através da adoção das melhores práticas, que exigem informação de qualidade e, sobretudo, alteração de hábitos. É que cada um dos nossos dispositivos em rede é uma janela para os sistemas dos bancos. E mesmo no cenário utópico de todos nós utilizarmos os nossos dispositivos em conformidade com as melhores recomendações, como se costuma dizer, "quando se fecha uma porta abre-se uma janela" - e os hackers são peritos nisso!
(1)
Boletim - Observatório de Cibersegurança - n.º3/2020 - julho 2020 - Centro Nacional de Cibersegurança Portugal - https://www.cncs.gov.pt/content/files/boletim_observatorio_julho2020.pdf
(2)
Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho
(3)
https://www.bportugal.pt/sites/default/files/anexos/instrucoes/396809213_1.docx.pdf
(4)
https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_PT.pdf
Mais artigos do Autor
Ver mais
