O crescimento no número de desvios de contas bancárias online de pequenos e médios negócios está levantando dúvidas importantes sobre os mecanismo de autenticação e detecção de fraudes utilizados pelas instituições financeiras.

Esses crimes virtuais já motivaram várias empresas a processar seus bancos e levou os reguladores do governo a pedir que as instituições financeiras melhorassem seus sistemas de segurança.

A Federal Deposit Insurance Corporation (FDIC), órgão independente responsável pela preservação da confiança no sistema financeiro dos EUA, afirmou recentemente que, apenas durante o último trimestre de 2009, cibercriminosos roubaram mais de 150 milhões de dólares de contas bancárias de empresas de pequeno a médio porte.

Na maioria dos casos, segundo a FDIC, os criminosos obtiveram credenciais válidas de login de uma conta bancária de forma ilegal. Os crackers utilizaram as informações roubadas para enviar dinheiro das contas para outras contas internacionais via transferências bancárias.

Os bancos, na maioria dos casos, alegam que os furtos ocorreram porque as vítimas não protegeram adequadamente suas credenciais bancárias.

Relações públicas
Os bancos não são obrigados a reembolsar contas comerciais por perdas resultantes desses roubos, portanto a maior parte do impacto foi vista por uma perspectiva de relações públicas.

Por outro lado, os bandidos causaram de dezenas a centenas de milhares de dólares em perdas para inúmeras pequenas empresas, que agora têm baixa expectativa de recuperar o dinheiro. Algumas delas entraram com ações contra os bancos, alegando que eles falharam ao detectar e impedir transações fraudulentas.

No começo deste mês, por exemplo, a companhia Hillary Machinery processou o seu banco, PlainsCapital, depois que criminosos utilizaram credenciais roubadas para transferir mais de 800 mil dólares da conta bancária da empresa no ano passado.

Mais tarde, o banco recuperou cerca de 600 mil dólares dos valores roubados, mas até agora se recusou a pagar o valor restante.

Em sua ação, a companhia afirmou que o PlainsCapital não interrompeu transações bancárias que envolveram bancos estrangeiros e quantias completamente fora do padrão para a Hillary. A empresa alegou que contava com a proteção adequada do seu dinheiro por parte do banco.

A companhia também afirmou que um pequeno negócio não pode ter habilidades avançadas em questões de segurança da informação.

Detecção de fraude
Apesar da incerteza sobre como a corte vai lidar com os processos, esses ataques levantaram várias questões sobre os mecanismos de autenticação e de detecção de fraude utilizados por vários bancos.

Em 2005, o Conselho de Consulta às Instituições Financeiras (FFIEC) impôs normas aos bancos para a integração de uma autenticação reforçada para transações online. Um relatório de ambiente de internet banking pediu aos bancos para, entre outras medidas, atualizar o processo de autenticação singular – tipicamente baseado em nomes de usuários e senhas – e adicionar uma segunda forma de autenticação, ao final de 2006.

Os ataques incessantes aos pequenos negócios mostram que muitos bancos, especialmente os de pequenas comunidades, ainda não aplicaram esses controles, de acordo com a analista do GartnerAvivah Litan.

“A boa notícia é que existem várias soluções efetivas de detecção de fraude e autenticação que poderiam evitar esses ataques, se elas fossem adotadas pelos bancos”, afirmou Litan. “A má notícia é que muitos bancos não estão usando essas soluções e os reguladores não estão dando a devida atenção ao problema.”

(Jaikumar Vijayan)