Muitos de nós damos como certa a facilidade de sacar dinheiro da conta bancária, fazer transferências para a família em outro país e pagar contas na Internet. Em meio à pandemia mundial, vimos o quanto a conexão digital é importante para nosso dia a dia. Mas e se um ciberataque tirasse nosso banco do ar e uma remessa deixasse de ser feita?
O número de ciberataques triplicou na última década à medida que nos tornamos cada vez mais dependentes dos serviços financeiros digitais, que continuam a ser o setor mais visado. Claramente, a cibersegurança tornou-se uma ameaça à estabilidade financeira.
Em vista das profundas interconexões financeiras e tecnológicas, um ataque certeiro a uma grande instituição financeira ou a um sistema ou serviço central muito utilizado poderia espalhar-se rapidamente por todo o sistema financeiro, acarretando uma perturbação generalizada e perda de confiança. As transações não seriam concluídas se a liquidez fosse bloqueada, famílias e empresas poderiam deixar de ter acesso a depósitos e pagamentos. Em cenários extremos, investidores e correntistas exigiriam seus recursos ou tentariam cancelar suas contas ou outros serviços e produtos que usam regularmente.
As ferramentas de hacking são agora mais baratas, mais simples e mais poderosas, permitindo que hackers menos habilidosos causem mais danos por uma fração do custo anterior. A ampliação dos serviços móveis (a única plataforma tecnológica disponível para muitas pessoas) aumenta as oportunidades para os hackers. Os ataques têm como alvo instituições grandes e pequenas, países ricos e pobres, e não respeitam fronteiras. Assim, o combate aos crimes cibernéticos e a redução do risco deve ser um esforço conjunto a ser empreendido por todos os países e em cada um deles.
Embora o trabalho diário fundamental de gerenciamento de riscos — manutenção de redes, atualização de software e a aplicação de princípios sólidos de “higiene cibernética” — continue a caber às instituições financeiras, existe também a necessidade de enfrentar desafios comuns e reconhecer as repercussões e interconexões em todo o sistema financeiro. Incentivos a cada empresa para que invista em proteção não bastam; regulamentação e intervenção na forma de políticas públicas são necessárias para salvaguardar contra o subinvestimento e proteger o sistema financeiro como um todo contra as consequências de um ataque.
Em nossa opinião, muitos sistemas financeiros nacionais ainda não estão prontos para gerenciar ataques, e a coordenação internacional ainda é fraca. Em um novo estudo do FMI , sugerimos seis estratégias importantes que reforçariam consideravelmente a cibersegurança e melhorariam a estabilidade financeira em todo o mundo.
Mapeamento cibernético e quantificação de riscos
As interdependências do sistema financeiro mundial podem ser mais bem compreendidas por meio do mapeamento das principais interconexões operacionais e tecnológicas e da infraestrutura crucial. Incorporar melhor o risco cibernético à análise da estabilidade financeira ampliará a capacidade de entender e mitigar esse risco em todo o sistema. Quantificar o possível impacto ajudará a concentrar a resposta e promover um compromisso mais forte com essa questão. O trabalho nessa área ainda está começando devido, em parte, a deficiências nos dados sobre o impacto de eventos cibernéticos e desafios de modelagem, mas precisa ser acelerado para refletir sua crescente importância.
Convergência da regulamentação
A regulamentação e a supervisão mais harmônicas no plano internacional irão reduzir os custos de conformidade e criar uma plataforma para o reforço da cooperação transfronteiriça. Organismos internacionais como o Conselho de Estabilidade Financeira, o Comitê de Pagamentos e Infraestrutura de Mercado e o Comitê da Basileia, começaram a fortalecer a coordenação e promover a convergência. As autoridades nacionais precisam trabalhar em conjunto na implementação.
Capacidade de resposta
Como os ciberataques são cada vez mais comuns, o sistema financeiro precisa ser capaz de reiniciar suas operações rapidamente, mesmo diante de um ataque certeiro, a fim de preservar a estabilidade. As chamadas estratégias de resposta e recuperação ainda são incipientes, sobretudo nos países de baixa renda, que precisam de apoio para desenvolvê-las. São necessários mecanismos internacionais para apoiar a resposta e a recuperação em instituições e serviços transfronteiriços.
Disposição para compartilhar
Quanto maior o intercâmbio de informações sobre ameaças, ataques e respostas nos setores público e privado, maior será a capacidade de dissuadir e responder com eficácia. Mesmo assim, graves barreiras persistem, muitas vezes em decorrência de preocupações com a segurança nacional e leis de proteção de dados. Órgãos de supervisão e bancos centrais precisam elaborar protocolos e práticas para o intercâmbio de informações sejam eficazes em meio a essas restrições. Um modelo aceito internacionalmente para o intercâmbio de informações, o aumento do uso de plataformas de informação comuns e a ampliação das redes confiáveis poderiam reduzir barreiras.
Maior dissuasão
É preciso tomar medidas eficazes para confiscar os produtos dos crimes e processar os criminosos, de modo a tornar os ciberataques mais caros e mais arriscados. A intensificação dos esforços internacionais para prevenir, dissuadir e interromper os ataques reduziria a ameaça na sua fonte. Isso exige uma forte cooperação entre os órgãos encarregados da aplicação da lei e as autoridades nacionais responsáveis pela segurança ou infraestrutura crítica, envolvendo diversos países e organismos. Como os hackers não conhecem fronteiras, a criminalidade mundial exige medidas de alcance mundial.
Desenvolvimento das capacidades
Ajudar as economias em desenvolvimento e de mercados emergentes a construir capacidades em termos de cibersegurança fortalecerá a estabilidade financeira e apoiará a inclusão financeira. Os países de baixa renda são especialmente vulneráveis ao risco cibernético. A crise da COVID-19 realçou o papel decisivo da conectividade nos países em desenvolvimento. O aproveitamento seguro da tecnologia continuará a ser fundamental para o desenvolvimento e isso implica a necessidade de abordar o risco cibernético. Assim como com qualquer vírus, a proliferação de ameaças cibernéticas em um determinado país deixa o resto do mundo menos seguro.
Abordar todas essas deficiências exigirá a colaboração dos órgãos normativos, autoridades regulatórias nacionais, supervisores, associações setoriais, setor privado, órgãos de aplicação da lei, organismos internacionais e outros doadores e instituições que trabalham para o desenvolvimento das capacidades. O FMI está concentrando seus esforços nos países de baixa renda ao oferecer capacitação aos supervisores financeiros e ao trazer os problemas e pontos de vistas desses países para os organismos internacionais e debates sobre políticas nos quais eles não estão suficientemente representados.
*****
Nigel Jenkinson é Chefe da Divisão de Regulamentação e Supervisão Financeira do Departamento de Mercados Monetários e de Capitais, na qual chefia o trabalho do FMI em matéria de formulação de políticas e desenvolvimento de capacidades para a supervisão financeira. Tem ampla experiência em todos os aspectos da estabilidade financeira e da política monetária, como cibersegurança, análise de riscos sistêmicos, liquidez bancária, quadros de gestão de crises, o quadro internacional de regulamentação financeira, e lacunas nos dados e qualidade dos dados. Em seus 30 anos de carreira no Banco da Inglaterra, concentrou-se nas áreas de estabilidade financeira e questões monetárias e, de 2003 a 2008, foi Diretor Executivo para Estabilidade Financeira. Foi também assessor no Conselho de Estabilidade Financeira, onde esteve profundamente envolvido nas reformas posteriores à crise financeira mundial. Representou o Banco da Inglaterra e o FMI no Comitê da Basileia e em outros fóruns internacionais. É mestre em Economia Matemática e Econometria pela London School of Economics.
Jennifer Elliott é Chefe da Divisão de Estratégia de Assistência Técnica do Departamento de Mercados Monetários e de Capitais, na qual é responsável pela gestão das atividades de desenvolvimento das capacidades do FMI no setor financeiro. Antes de iniciar sua carreira no FMI, trabalhou como reguladora de mercado nos mercados de capitais canadenses. No FMI, concentrou-se em uma série de questões de supervisão financeira, como o risco ligado à cibersegurança, bem como na prestação de assistência técnica e na condução dos Programas de Avaliação do Setor Financeiro (FSAP). Graduou-se na Universidade de Toronto e formou-se em Direito na Universidade de Victoria, no Canadá.