A crescente onda de ataques cibernéticos vem gerando uma série de preocupações para empresas financeiras e reguladores em todo o mundo. Tendo mais do que duplicado desde a pandemia de Covid-19, esses incidentes motivaram um alerta do Fundo Monetário Internacional (FMI) acerca da segurança cibernética e da sua importância para garantir a estabilidade financeira global.
Reconhecida a seriedade do problema e dos consequentes prejuízos potenciais ao setor, o FMI destacou a questão em seu relatório semestral sobre riscos financeiros pela primeira vez em abril de 2024.
Segundo o organismo multilateral, os ataques cibernéticos a empresas financeiras representam praticamente um quinto do total de ocorrências dessa natureza, sendo os bancos o alvo principal.
Nas duas últimas décadas, o setor financeiro enfrentou mais de 20 mil investidas, contabilizando US$ 12 bilhões em perdas.
Ademais, só entre 2017 e 2023, as perdas extremas decorrentes de incidentes cibernéticos aumentaram, somando quase US$ 2,5 bilhões, com milhares de registros roubados ou comprometidos.
Também são relevantes os danos indiretos, aqueles relacionados à reputação ou a custos de atualizações de sistemas de segurança cibernética.
Consequentemente, devido ao grande volume de transações contendo dados sensíveis, ao alto grau de concentração do setor e à forte conexão com a economia real, a entidade adverte para a grande probabilidade de ameaças à resiliência operacional das instituições, impactando negativamente a estabilidade financeira global.
Como os incidentes envolvendo a segurança cibernética podem afetar a estabilidade financeira
Na avaliação do FMI, os ataques contra a segurança cibernética podem ameaçar a estabilidade financeira e econômica global ao comprometerem a confiança no sistema financeiro, afetarem serviços críticos ou chegarem nas demais instituições.
Por exemplo, um incidente grave envolvendo determinada instituição financeira pode minar a sua credibilidade e, em casos extremos, levar a liquidações no mercado ou corridas aos bancos.
Embora até agora não tenham acontecido movimentos significativos dessa natureza, a análise apontou que ocorreram resgates modestos de depósitos bancários logo após um ataque cibernético.
No que diz respeito a falhas na segurança cibernética que possam afetar serviços críticos, como as redes de pagamento, o FMI cita um ataque de dezembro de 2023 ao Banco Central do Lesoto, que impediu transações por parte dos bancos em todo o país.
Enquanto isso, um mês antes, em um ataque cibernético à unidade norte-americana do Banco Industrial e Comercial da China, um hacker forçou o banco a compensar as negociações manualmente e gerou preocupações sobre a segurança cibernética dos mercados.
Outra consideração do relatório é que as empresas financeiras dependem cada vez mais de prestadores de serviços de tecnologia da informação (TI) terceirizados. Assim, embora esses fornecedores externos possam melhorar a resiliência operacional, eles podem, ao mesmo tempo, expor o setor financeiro a choques sistêmicos.
Como ilustração, o documento menciona um ataque de ransomware, também em 2023, a um fornecedor de serviços de TI, que causou interrupções simultâneas em 60 cooperativas de crédito dos EUA.
O que o FMI propõe?
Diante do exposto, com o sistema financeiro global constantemente sujeito a ataques que comprometam a sua segurança cibernética, decorrentes não só da digitalização, como também do aumento das tensões geopolíticas, o FMI apresentou algumas medidas para enfrentar os incidentes cibernéticos.
Entre elas, recomendou que a comunicação de incidentes cibernéticos pelas instituições financeiras aos reguladores nacionais deveria ser obrigatória, permitindo, assim, um acompanhamento mais eficaz dos riscos.
Ao mesmo tempo, reforçou a importância de uma legislação cibernética a nível nacional e melhores mecanismos de governança relacionados com a segurança cibernética nas empresas, a fim de ajudar a diminuir a frequência de incidentes.
Nesse sentido, caso os incentivos privados sejam insuficientes para lidar com os riscos cibernéticos, a intervenção pública será necessária.
Nesse contexto, uma pesquisa recente da própria entidade averiguou que os quadros políticos de segurança cibernética, especialmente nos mercados emergentes e nas economias em desenvolvimento, continuam insuficientes.
Dessa forma, para reforçar a resiliência no setor financeiro, a recomendação é que as autoridades desenvolvam uma estratégia nacional de cibersegurança adequada, acompanhada de uma regulamentação eficaz e de uma capacidade de supervisão mais abrangente.
Ainda entre as advertências, aparecem a avaliação periódica do cenário de segurança cibernética; a identificação de potenciais riscos sistêmicos decorrentes da interconectividade e das concentrações, incluindo prestadores de serviços terceirizados; e a necessidade de priorizar o compartilhamento de informações entre os participantes do setor financeiro para ajudar na prevenção coletiva.
Ademais, como os ataques frequentemente emanam de fora do país de origem das vítimas e os retornos das investidas costumam transpor fronteiras, o FMI destaca que a cooperação internacional é imperativa para enfrentar com sucesso o risco cibernético.
Veja ainda:
Cibersegurança: como as maiores economias avançam na proteção de dados
Investimento contra golpes financeiros marcam mercados globais
Cibersegurança se consolida e fará parte do futuro da economia digital