As instituições financeiras precisarão designar um diretor responsável por assuntos de segurança cibernética, disse nesta quinta-feira, 26, o diretor de Regulação do Banco Central, Otávio Damaso. A exigência faz parte da norma aprovada hoje pelo Conselho Monetário Nacional (CMN) para dar mais segurança às operações das instituições financeiras.
Segundo o diretor, existe hoje intensa interconexão entre instituições financeiras e não financeiras, ao mesmo tempo em que aumentaram os ataques e riscos cibernéticos, o que coloca em risco a própria estabilidade do sistema financeiro.
“Não é risco novo no âmbito da regulação prudencial, mas identificamos necessidade de chamar um pouco mais de atenção para gestão desse risco no âmbito das instituições financeiras, um movimento observado também em outros países”, disse.
“Estamos organizando a discussão para além das questões relacionadas a requerimento de capital”, acrescentou.
Além de exigir regras claras para a terceirização de armazenamento de dados pelas instituições financeiras, a partir da contratação de empresas no Brasil ou no exterior, o BC também prevê novas exigências para a política de governança da segurança cibernética no âmbito das instituições.
Controles específicos passam a ser exigidos, assim como a organização do plano de segurança cibernética e de tratamento de incidentes. Também será requisito a difusão de uma cultura de segurança cibernética. “Tudo isso identificando também a figura de um diretor responsável por esses assuntos”, afirmou Dâmaso.
A regra entra em vigor hoje e os bancos terão 180 dias para apresentar um plano com as mudanças, que deverão ser implementadas até 2021.
Terceirização no exterior
A possibilidade de terceirização de serviços como armazenamento e processamento de dados por instituições financeiras não as isentará da responsabilidade de prestação dessas informações à Justiça, caso solicitado, frisou Damaso.
O CMN regulamentou hoje a possibilidade de os bancos contratarem empresas no Brasil ou no exterior para armazenarem e processarem dados dos clientes, exigindo uma série de requisitos.
O diretor ressaltou, porém, que toda a responsabilidade pelas informações e pela garantia do sigilo bancário permanece com a instituição financeira. “Se a Justiça requerer dado, o banco é que terá de dar a informação (mesmo que esteja armazenada no exterior). A instituição financeira é detentora daquele dado. Os contratos que ela faz preveem propriedade da informação. Se a instituição financeira não quiser passar para o juiz, é problema dela com o Judiciário”, explicou.
Damaso detalhou que a terceirização pode envolver só uma parte dos dados, ou então produtos específicos de cada instituição financeira.
O diretor afirmou que as instituições financeiras já empregam esse recurso hoje, mas sem uma regulamentação clara. “A gente vê com bons olhos”, disse. “Os benefícios são maiores que os riscos, inclusive de acesso a novas tecnologias, a questões relacionadas a inteligência artificial e outros componentes que estão crescendo muito mundo afora”, afirmou Damaso. “O objetivo é, reconhecendo os riscos, mapeá-los e mitigá-los dentro do possível”, acrescentou.
A regra, segundo o diretor, não cria restrições em termos de terceirização no Brasil ou no exterior, mas coloca requisitos prudenciais de governança e de mapeamento desse processo de terceirização. O custo será “extremamente baixo, insignificante” para as instituições, avaliou Damaso.