O crescente número e grau de sofisticação dos ciberataques constitui hoje um foco de preocupação de todos aqueles que estão presentes no meio digital e, em especial, dos bancos e das empresas que operam no setor financeiro. Sendo este um dos alvos preferidos dos hackers, seria de esperar que o setor financeiro estivesse na liderança da adoção dos mais sofisticados mecanismos para garantir a segurança dos dados dos utilizadores dos serviços de homebanking. No entanto, ao analisarmos os sistemas de autenticação da maioria dos bancos verificamos que estes são manifestamente obsoletos face às ameaças cibernéticas que o mundo enfrenta. Os bancos têm de agir rapidamente para oferecer aos seus clientes ferramentas de autenticação mais fortes, sob pena de beliscarmos aquele que é o ativo mais precioso do sistema financeiro: a confiança.
A utilização de um simples username e password como único processo de autenticação, além de ser um mecanismo arcaico – os utilizadores são “obrigados” a decorar uma série de passwords para aceder aos diversos sistemas e contas – é também pouco eficaz em termos de segurança. Sempre que colocamos e escrevemos uma password num site estamos a pôr em risco a segurança dos nossos dados, porque alguém pode estar a filmar ou a recolher essa digitação. Apesar disso, a inserção de um username e password ainda é o processo de autenticação mais usado para aceder aos serviços de homebanking em Portugal.
É, pois, urgente uma mudança neste campo. Os bancos e as empresas têm de fazer uma conversão célere dos seus sistemas de autenticação, para garantir que sou eu (e não outra pessoa) quem está a fazer uma determinada operação através de um smartphone ou de um computador.
Para garantir este nível de segurança não é preciso inventar a roda. Basta olhar para aquilo que as empresas mais inovadoras estão hoje a fazer. Muitas fintechs já utilizam os dados biométricos como forma de autenticação. É o caso, por exemplo, do banco digital holandês, Bunq, cujo acesso se faz através de uma app, por via de impressão digital ou reconhecimento facial. É depois gerado um QR Code, através do qual o utilizador acede à sua conta bancária, sem necessidade de inserção de um username ou de uma password.
Acredito que este é o percurso que os bancos têm de fazer: passar para a utilização de dados biométricos e adotar o multi-factor authentication, ou seja, exigir dois fatores de segurança com recurso a ‘apps’ (e não com códigos enviados por SMS, uma vez que estes não são seguros). O Google Authenticator e o Authy são dois exemplos de sistemas que utilizam a autenticação feita em duas etapas, apostando na geração dinâmica de tokens.
Muito embora o sistema financeiro demonstre alguma resistência em fazer esta conversão – sobretudo, devido ao perfil mais conservador de uma parte dos utilizadores de serviços bancários – esta mudança é inevitável.
Ao mesmo tempo, parece-me igualmente incontornável uma maior aposta na literacia digital e financeira dos consumidores, com o objetivo de dotá-los das competências necessárias para conseguirem identificar possíveis ameaças. Os esquemas fraudulentos que têm surgido relacionados com o sistema MBWay, por exemplo, constituem um alerta para a importância de cada um de nós saber como proteger os seus dados.
Estas duas dimensões – a conversão dos mecanismos de autenticação dos bancos, por um lado, e uma maior literacia financeira e digital dos consumidores, por outro – são os instrumentos essenciais para garantir a segurança dos dados dos portugueses e salvaguardar a confiança no sistema financeiro.