Pensar o setor dos pagamentos sem cibersegurança é o mesmo que fazer mergulho livre e entrar em apneia, sem preparação para regressar à superfície. No primeiro momento a experiência do “click sem pensar” é plena, mas no segundo momento, por falta de preparação e proteção, há uma forte probabilidade de ocorrer um incidente grave, com impactos reputacionais e financeiros.
Numa altura em que a cibersegurança é cada vez mais importante, torna-se fulcral relembrar que a própria regulação da indústria dos pagamentos – cujos principais drivers são a inovação e a tecnologia – tem sido há algumas décadas pioneira na promoção de ecossistemas de pagamentos transversalmente seguros.
A primeira imersão às profundezas da cibersegurança dos pagamentos começa no final dos anos 90 e início dos anos 2000, período em que surge um dos maiores desafios do setor dos pagamentos – o PCI DSS – Standard de Segurança de Dados da Indústria de Pagamentos – que sucede o lançamento, em 1996, do protocolo de pagamentos SET – Secure Eletronic Transaction.
Criado pelos principais Sistemas de Pagamento com Cartão – nomeadamente Visa, MasterCard, American Express, Discover e JCB – o PCI DSS trouxe consigo um conjunto de 12 requisitos de segurança que todos os players envolvidos na cadeia de pagamentos com cartão (titulares de cartão, comerciantes, emissores, acquirers e processadores, entre outros players da Indústria) passaram a ser obrigados a cumprir.
Mais tarde, em 2018, a PSD2 – Segunda Diretiva de Serviços de Pagamento, vem reforçar a autenticação forte das transações realizadas com instrumentos de pagamento, com o objetivo de proteger a confidencialidade e integridade das credenciais de segurança utilizadas nos pagamentos à distância.
Em simultâneo, o regulador europeu, com o objetivo de proteger as pessoas, as instituições e as economias do aumento dos ciberataques e dos ataques de engenharia social em larga escala – como a conhecida burla do WhatsApp “Olá Mãe. Olá Pai” ou “Fraude do CEO” – promove o alargamento do âmbito de aplicação da regulação, direta ou indiretamente relacionada com cibersegurança a outras entidades e outras temáticas. São exemplo disso a NIS – Diretiva de Segurança das Redes e da Informação, o RGPD – Regulamento Geral da Proteção de Dados, ambos aplicáveis desde 2018, e a DORA – Diretiva de Resiliência Operacional Digital, cuja aplicação está prevista a partir de 17 janeiro 2025.
O Regulamento RGPD assume um papel crítico na segurança de dados pessoais, enquanto a Diretiva NIS2, em vigor desde janeiro de 2023, vem reforçar o trabalho iniciado em 2016, com a Diretiva NIS1, criada com o objetivo de proteger as Organizações de ciberataques e de assegurar, nesse âmbito, o mesmo level playing field em todos os Estados-membros da União Europeia (UE) e outras iniciativas de regulação europeia descritas em seguida.
De referir ainda a densificação, realizada pelo Banco de Portugal, no que se refere ao Reporte de Incidentes de Cibersegurança, que desde 25 de dezembro de 2019 obriga as instituições a reportar incidentes de cibersegurança ao regulador.
A Diretiva DORA, por outro lado, vem densificar a NIS2, abrangendo exclusivamente as instituições de crédito e financeiras, e fornecendo um quadro harmonizado de cibersegurança especificamente para este setor, complementar a toda a regulação nacional e europeia emitida.
Por último, e por ser público o recente ataque cibernético à AMA – Agência para a Modernização Administrativa, em Portugal, não deverá desprezar-se a interligação dos mundos da cibersegurança com o da identificação na indústria dos pagamentos – por via do eIDAS – Regulamento de identificação eletrónica e serviços de confiança para transações eletrónicas – na medida em que um ataque de cibersegurança pode adicionalmente provocar disrupções do serviço prestado pelas instituições financeiras.
Estas diretivas NIS2 e DORA foram criadas para fortalecer a capacidade das instituições no que concerne à prevenção, gestão e resposta a incidentes de cibersegurança e para garantir que os serviços essenciais permanecem em funcionamento. O seu cumprimento é vital para garantir a resiliência operacional no setor financeiro, mesmo em cenários de crise. A não conformidade com estas diretivas pode implicar graves consequências para as instituições, incluindo multas e sanções rigorosas, além de comprometer a confiança dos clientes e parceiros. Falhas na segurança digital não só expõem as instituições a potenciais ciberataques, como também prejudicam a estabilidade financeira, podendo ter repercussões sistémicas. A conformidade com estas diretivas é crucial não apenas para a proteção interna, mas para a manutenção da estabilidade e da confiança em todo o ecossistema financeiro.
Esta caminhada regulatória explica o motivo pelo qual “o risco de afogamento” é potencialmente menor nos prestadores de serviços de pagamento europeus, certificados em PCI DSS, na medida que se foram preparando, ao longo de 25 anos, para responder a ataques e incidentes cibernéticos e, consequentemente, aos requisitos mais recentes das diretivas NIS2 e DORA. No fundo, a chave para um bom mergulho em apneia é dominar e exercitar previamente a respiração.
Carla Amorim,
Diretora da Gestão de Riscos e Compliance na UNICRE