Cássio: O Think Tech está no ar, meu nome é Cássio Politi, e junto com a Algar Tech, nós vamos embarcar nessa jornada de repensar possibilidades. No episódio de hoje a gente faz uma imersão em cyber segurança. Como de praxe, eu recebo aqui a nossa especialista virtual em negócios da Algar Tech, que é a Sara. Cyber segurança vai ter um papo interessante, hein Sara?
Sara: Vai sim, Cássio. O nosso convidado de hoje vem de um banco digital já conhecido no Brasil, que é o C6. Uma pesquisa feita pelo C6 em parceria com o IPEC mostrou que 15% dos brasileiros já tiveram a conta de e-mail invadida, e 21% já tiveram a rede social invadida.
Cássio: Para o bate papo de hoje, eu tenho a imensa satisfação de receber o José Luiz Santana, que é head de cyber segurança do C6, um banco que está entregando um ótimo serviço, uma ótima qualidade do serviço que presta, e também algumas inovações para o mercado, conta que você pode usar no exterior e outras coisas mais. José Luiz, grande prazer receber você aqui, obrigado por aceitar o convite para esse papo de hoje.
José Luiz: O prazer é meu, Cássio, prazer estar com vocês, e espero ajudar, que o papo seja proveitoso.
Cássio: Vai ser, sem dúvida. Vamos falar aqui de cyber segurança, algo que você entende bem, conhece muito bem. Eu li recentemente, com muita atenção, uma pesquisa que vocês fizeram com o IPEC, ouviram 2 mil brasileiros de classes A, B e C, e o resultado que a gente vai comentar aqui hoje me faz lembrar uma reportagem que eu fiz aqui há uns 20 anos, quando eu era repórter, isso muito lá atrás, e a gente mostrava que os assaltos em condomínios sempre aconteciam, ou quase sempre aconteciam por um ponto de vulnerabilidade ali no processo, ou seja, o condomínio vai, põe câmera, põe grade, põe tudo aquilo, só que se o morador não cumprir o processo, não cumprir as normas, ferrou, o bandido acha uma brecha. E eu fiquei pensando se isso não se parece um pouco com cyber segurança, porque em muitos casos, o ponto de vulnerabilidade acaba sendo o comportamento do usuário. Está certa essa minha analogia ou está um pouco exagerada?
José Luiz: Você está completamente certo, Cássio, 20 anos depois, ainda continua… a vulnerabilidade principal ainda é o comportamental, seja na senha, como a pesquisa mostrou, seja ne escolha da senha, seja… e não configurar funcionalidades básicas, como limite transacional, por exemplo, do PIX, então o problema reside ali nas coisas simples, ainda é assim.
Cássio: Pois é. Eu acho que… você tocou em um ponto da senha, a senha é algo crítico, e a pesquisa própria de vocês mostra que praticamente metade das pessoas, está 48%, esqueceu a senha 5 minutos depois de criar, e claro, você vê aquele monte de gente, as vezes parente, as vezes gente que você vai ajudar, colocando aquelas senhas óbvias, o nome, um, dois, três, o próprio nome e sobrenome. Então, o principal ponto de cuidado é a senha ou é só um deles?
José Luiz: Olha, eu diria que é um ponto bem importante, não é só esse o ponto, mas é um ponto muito importante, escolher bem a sua senha e não a compartilhar com ninguém, e principalmente para aplicativos de banco, que é o caso do que a gente está falando aqui na pesquisa. Não utilizar essa senha em mais nenhum outro meio, seja web, seja uma rede social, seja um site de e-commerce, manter essa senha, utilizar somente naquele aplicativo de banco, é uma prática muito importante para você deixar a sua segurança, o modo que você utiliza seu banco mais robusto, porque hoje, é meio incontrolável, quanto mais você reutiliza a mesma senha, você não tem controle se aquele site de e-commerce, se por algum motivo, aquela senha vai vazar, ou uma rede social, você não tem controle, depois que você colocou a senha ali, você já não tem muito controle de onde aquela senha vai parar. Então, você utilizar uma senha específica para cada app, cada rede social, cada e-commerce que você vai utilizar, é a melhor prática. Eu costumo dizer que senha é igual escova de dente, você não compartilha com ninguém. Então, não escreva em nenhum post-it, não deixe guardado em nenhum bloco de notas, não escreva no WhatsApp, não envie por e-mail, porque hoje, no mundo digital que a gente vive, o celular é a nossa vida, ele literalmente contém muita informação sobre quem somos e a nossa vida por inteiro ali. Então, quando por exemplo, um criminoso fica de posse do seu celular, ela vai procurar no seu histórico de WhatsApp, ele vai procurar no bloco de notas, ela vai procurar nos seus e-mails. Então, você se resguarda bastante não escrevendo essa senha, deixando essa senha anotava em nenhum desses meios.
Cássio: Esse é um cuidado interessante, você falou também outro cuidado, o PIX, e eu vou confessar uma coisa aqui, eu só fui aprender a história do PIX quando eu conversei com o time de vocês para a entrevista aqui, e aí você para de julgar os outros, você fala assim: “Eu sou tão estúpido quanto a média, apesar de achar que toma cuidado”, porque você abre o aplicativo do C6, está na cara ali, a hora que você vai mandar um PIX, está limite de PIX, mexer no limite, mas a gente começar a treinar nosso olho para enxergar só aquilo que a gente já sabe onde está na tela, a gente já começa a enxergar só os botõezinhos que a gente já usa mais habitualmente, e claro, você vai lá, mexe no limite de PIX, porque eventualmente você vai fazer um PIX muito alto, você acaba se programando para isso, aí você mexe de novo no limite com mais antecedência, nesse caso para cima. Por que é tão importante limitar o PIX? Está tendo crime em relação a isso? É só uma questão de precaução, de vulnerabilidade teórica, ou é prática, está realmente acontecendo coisas que nos levam a isso?
José Luiz: Não, é prática, é um problema de segurança pública hoje, o roubo de aparelhos de celular, e a primeira forma… hoje, o que está acontecendo em realidade? O criminoso pega o celular, por diversas vezes ele rouba o celular já aberto, a pessoa estava com o celular aberto vendo o Waze dentro do carro, aí o criminoso vai, quebra o vidro, a janela já está aberta, vai lá e arranca o celular já aberto ali, e a primeira coisa que ele vai procurar é um aplicativo de banco, se já tem o aplicativo de banco, ele vai procurar a senha por ali, por isso a importância da senha não ser uma data de nascimento, a data de nascimento do cônjuge, do filho, não ser uma senha muito fácil, tipo um, dois, três, quatro, cinco e seis, porque ele já vai olhando para ver se a senha está anotada em algum lugar, histórico de WhatsApp, bloco de notas, fotos de documentos que estão no rolo de fotos ali do celular da vítima. De posse dessa senha, ele entra no aplicativo de banco e faz as transações, normalmente com PIX. Por que é importante configurar o limite de PIX? Na hora que você configura, o limite de transação, a quantidade de dinheiro que pode ser transferido da sua conta por dia, você está limitando, se esse criminoso estiver de posse da sua senha, você está limitando a quantidade de dinheiro que ele pode tirar da sua conta. Então, a melhor prática é que você configure o seu limite diário de PIX para o menor valor possível, que seja factível para o seu dia a dia, que você consiga utilizar sem grandes problemas. Aí você me pergunta: “Mas o criminoso vai estar de posse do meu celular, ele pode aumentar o limite”, mas se ele aumentar o limite PIX, esse novo limite só vai ser válido 24 horas depois que ele escolheu aquele novo limite, e aí é tempo suficiente para você avisar o banco que seu celular foi roubado e aquele celular ser desativado. Então é por isso que esse controle existe, é super útil, todo mundo deve configurar, recomendo que todo mundo já configure seu limite PIX para o menor valor possível para você conseguir utilizar o PIX no dia a dia.
Cássio: Pois é, a própria pesquisa de vocês trouxe isso, que 70% das pessoas sabem que dá para mexer no limite de PIX, estabelecer o limite, mas quase metade, 50% ainda não configuraram esse novo limite, e aquilo, esses códigos muito fáceis de usar, um terço da pessoa no Brasil faz isso, por isso que você vê tanta fraude. Agora, a tecnologia tem muito o que avançar para cobrir isso? Porque entre pensar que as pessoas vão se educar e se desenvolver a ponto de criar boas práticas de segurança, e pensar que o banco e a tecnologia podem avançar a ponto de proteger mais, eu fico com a segunda opção, eu acho sempre que… é uma questão de evolução de tecnologia, e não de ganho de cultura de mudança de cultura. Quanto tem para evoluir ainda no quesito proteção dos usuários?
José Luiz: Olha, Cássio, aqui no C6 a gente pensa exatamente igual a você, vai ser… a evolução tecnológica tem que tornar o ambiente mais seguro, obviamente a cultura de segurança digital vai se desenvolver na sociedade ao longo dos anos, mas a tecnologia deve tornar esse caminho mais fácil, com uma velocidade muito maior. E pensando nisso, que a gente vem focando muito esforço aqui no C6, por exemplo, mas a indústria como um todo, vem focando todos os esforços para deixar essa experiência cada vez mais segura. Aqui no C6, por exemplo, a gente lançou uma funcionalidade recentemente, que é a biometria facial para se realizar uma transação financeira, de acordo com o risco daquela transação, pode ser o valor, pode ser a contraparte que está recebendo aquela transação, pode ser se aquela pessoa acabou de contratar um crédito pessoal, que acontece muito, a pessoa não tem dinheiro na conta, mas tem crédito, aí o criminoso vai lá e contrata um crédito pessoal e pega aquele dinheiro e transfere. Tudo isso configura situação de risco, onde o nosso algoritmo aqui interno pode achar que aquela (transação) [00:13:31] é arriscada, e aí vai desafiar o usuário a fazer uma biometria facial. E é importante também que não é a biometria facial do aparelho celular, é uma biometria facial desenvolvida por nós aqui do C6, a régua, a acuracidade dela já é maior por si só, já que a (aplicação) [00:13:54] dela é para (inint) [00:13:58] de transação bancária, então a gente compara a face da pessoa com a face que foi utilizada para abrir aquela conta. Então, isso já mitiga o risco bastante, porque geralmente o criminoso já saiu com o celular correndo pela rua, já se escondeu, não está mais perto de você, e a hora que ele vai fazer a transação é cobrada a face do cliente, e aí ele já não tem mais nada para fazer, o celular já está inutilizado. Esse é um exemplo de funcionalidade, de tecnologia utilizada para proteger o cliente, é um exemplo, a gente tem outras funcionalidade justamente para deixar o cliente mais seguro, como por exemplo, o criminoso pode apertar esqueceu a senha para trocar a senha do meu aplicativo do C6, porque vai chegar um código via e-mail, e aí ele vai trocar a senha, é verdade, é esse o processo de troca de senha, só que quando isso é feito, o token que é necessário para ativar aquele celular para fazer a transação financeira é desativado automaticamente, então se o criminoso roubou seu celular e ele não sabe a senha, que é o que a gente falou no início do nosso papo aqui, é importantíssimo proteger a senha, porque se ele não sabe a senha, e ele vai lá no esqueceu a senha para fazer o processo de troca de senha, ali ele já desativou o celular, o celular não vai poder fazer mais nenhuma transação, outra funcionalidade que a gente criou justamente para proteger o cliente desse tipo de golpe. Então, eu acho que ainda dá para se fazer muita coisa com tecnologia, mas indo por esse caminho que a gente falou aqui, que a tecnologia tem que prover essa segurança, a gente está aqui o tempo todo no C6 pensando nessa experiência, em como usar tecnologia a nosso favor e colocar a tecnologia disponível para deixar a vida do nosso cliente mais segura.
Cássio: Claro, a tecnologia sempre como meio e não como fim, é o que a gente usa até como slogan aqui do podcast, e é o que você está trazendo. Agora, tem aspectos que fogem um pouco ao controle de vocês, fogem um pouco… as vezes até pessoas que são atentas a cyber segurança nem imaginam, isso que a pesquisa trouxe também, você usar a rede pública… um terço dos entrevistados na pesquisa admitem que já usaram a rede pública de Wi-Fi para acessar conta no banco, para fazer uma compra online, tudo. Por exemplo, você está no aeroporto ali e vai… tem uma rede disponível gratuita aqui, vou acessar, faço a transação, e acho que não imagina o risco que está correndo, então esse tipo de situação imagino que fuja as vezes até um pouco ao alcance, vocês vão criando mecanismos, tudo, mas sempre tem uma situação que as pessoas as vezes nem sabem… aliás, essa, por exemplo, de Wi-Fi, porque é tão perigosa, hein José Luiz?
José Luiz: Então, bom ponto, Cássio. Uma rede pública, ela está disponível para todo e qualquer dispositivo se conectar a ela, e todo dispositivo que estiver conectado naquela rede, ele vai poder… ele vai estar conectado, de alguma forma, em algum nível, a todos os outros dispositivos que estão na mesma rede, que estão compartilhando a mesma rede. Então, fica mais fácil para um fraudador, para um criminoso, para um cracker, esse criminoso digital, tentar enganar o seu aparelho celular, de forma que o seu aparelho celular pense que está acessando a internet, pense que está acessando o site original, aquela URL, aquele endereço IP original, aquele autêntico, mas na verdade você não vai estar acessando aquele endereço autêntico, você vai estar acessando um site falso. Essa é uma das técnicas que quando você está em uma rede pública, um criminoso digital pode utilizar contra você. Então, sempre que estiver em uma rede pública, o melhor é não fazer nada de crítico, não acessar app de banco, ou qualquer outro site que vai ser uma ação, uma informação crítica que você vai precisar acessar, ou uma transação que você vai precisar fazer, o melhor é fazer de uma rede Wi-Fi privada, que você conhece, justamente para mitigar o risco, cyber segurança são camadas, uma camada vai sobrepondo a outra e vai mitigando determinado risco. Então, obviamente existem vários controles, principalmente em aplicativos de banco, para não ser vulnerável a esse tipo de rede, mas caso algum desses controles sejam furados, o ideal é que tenha uma outra camada, e qual vai ser essa camada? Não utilize rede pública para fazer esse tipo de ação. E muita gente, como você falou, nem imagina o risco de acessar uma rede pública, as vezes tem um outro risco também, você pensa que está em uma rede pública do aeroporto, mas o criminoso subiu um outro Wi-Fi com a rede com o mesmo nome da rede do aeroporto, e você acha que você está acessando aquela rede específica do aeroporto, mas na verdade você está acessando a rede do criminoso, que aí ele está com todas as ferramentas necessárias ali na rede dele para te invadir, para te atacar, então assim, todo cuidado é pouco com redes públicas.
Cássio: (inint) [00:20:50] desse caso aí, outro dia prenderam… outro dia não, faz uns anos, mas prenderam quadrilha em Congonhas fazendo isso, colocando Wi-Fi ali para roubar dados, e não deve ser difícil captar gente ali querendo buscar um Wi-Fi, infelizmente. José Luiz, quero te agradecer muito por esse bate papo tão didático, tão esclarecedor, tão útil, que mostra, de um lado, quais os cuidados que a gente tem que tomar, e por outro lado, quais as formas que a tecnologia tem sido implantada e usada para tentar mitigar esses riscos. Então, te agradeço muito pelo papo, é um prazer ter você aqui, obrigado, viu José Luiz?
José Luiz: O prazer foi meu, Cássio, sempre um prazer falar do assunto cyber segurança e passar informação.
Cássio: Muito bem, vamos chegando então ao final do Think Tech de hoje, e a parte da conversa com o José Luiz Santana do C6 que me chamou muito a atenção, entre muitas, é do PIX, me surpreendeu, viu Sara? É bom redobrar a atenção com o limite de PIX a partir de agora.
Sara: Sem dúvida, Cássio, os crimes envolvendo PIX dispararam no estado de São Paulo. Segundo uma reportagem da CNN de maio de 2022, só no primeiro trimestre do ano, foram mil 271 denúncias de transferências não autorizadas na plataforma, é um volume 228% maior do que o registrado no primeiro semestre de 2021.
Cássio: É isso aí, o Think Tech de hoje fica por aqui, até a próxima.