|
* Por Eduardo Daghum
Os primeiros métodos de comprometimento de dados de cartões no Brasil apareceram na década de 80, com o uso das informações que ficavam registradas no carbono do comprovante de vendas manual. Este método era muito artesanal, utilizado em pequena escala e de conhecimento de poucos fraudadores.
A maximização do uso dos cartões na década de 90 exigiu do setor maior agilidade na captura das transações, aumentando de forma considerável o número de operações eletrônicas, que trouxeram maior segurança e uma forte redução das fraudes por cartões perdidos ou roubados.
Mas da mesma forma, a indústria da fraude acompanhou o avanço tecnológico dando início aos primeiros casos de skimming, a cópia dos dados da tarja magnética. Os fraudadores usavam dispositivos chamados na época de ‘ratinho’ ou ‘mosquitinho’, e copiavam os dados para posteriormente repassá-los às quadrilhas especializadas.
Os emissores de cartões e as credenciadoras então passaram a investir de forma mais agressiva em sistemas de monitoramento online. O foco era identificar e controlar de forma mais efetiva onde os dados eram copiados, o chamado ponto de comprometimento - POC (Point of Compromise).
O comportamento da fraude se assemelha muito com um colchão d’água, ou seja, quando apertamos de um lado, o líquido sobe em outro lugar. Foi o que aconteceu no final da década de 90, com a migração das fraudes do cartão de crédito para as transações de débito. O comprometimento de dados nesta ocasião recorria a novas tecnologias, como os chamados aparelhos “chupa-cabras”, que além dos dados da tarja magnética passaram a capturar também a senha do cliente. O controle do ponto de comprometimento tinha que ser mais abrangente incluindo além do comércio, as ATM´s e agencias bancárias.
Novamente o setor de meios de pagamentos investiu milhões em ações como: aquisição de terminais POS e redes de auto-atendimento com maior nível de segurança, criação de alertas automáticos quando o equipamento é aberto sem autorização e utilização de sensores de massa para identificação de aparelhos externos de filmagem.
Mas o que todos se perguntam é qual será o próximo passo dos fraudadores. Tudo leva a crer que será o comprometimento em massa de dados, como já vem acontecendo no exterior e no Brasil.
A novidade é que desta vez grande parte do setor de meios de pagamento está enfrentando a ameaça de forma mais estruturada. Um dos melhores exemplos é o PCI (Payment Card Industry), um programa desenvolvido pelo setor de cartões de crédito que cria um padrão de segurança da informação. Ele está sendo aplicado junto aos estabelecimentos e os outros agentes do mercado que armazenam, processam e transmitem dados das principais bandeiras de cartões.
Porém há outra parte deste mercado que não pode ser esquecida, como os cartões de loja e de bandeiras regionais. Temos que unificar esforços para que a proteção atinja todo o setor. Somente assim eliminaremos o “efeito colchão d’água” e faremos o volume real da fraude cair de forma consistente. Caso contrário, novamente só estaremos fazendo a fraude migrar para o lado menos protegido.
* Eduardo Daghum é sócio diretor da Horus, empresa especializada em controle e prevenção a fraudes em meios eletrônicos de pagamento.
Artigo publicado na edição de novembro de 2007 da revista CardNews.
|
