Há uma coisa particularmente alarmante sobre o maior assalto bancário da Índia: o crime cibernético não tem nada a fazer. Não há gênios tecnológicos invisíveis e sem nome invadindo sistemas de computadores para serem responsabilizados. Em vez disso, eram funcionários corruptos em uma única filial que usavam a rede SWIFT (Sociedade para Telecomunicações Financeiras Interbancárias Mundiais) que a executavam há anos.
Nos dias de hoje, a narrativa de hackers é estranhamente reconfortante. Isso não implica que a corrupção chegue ao topo, ou, no mínimo, significa que não há um colapso completo da segurança do sistema bancário. Os criminosos estavam simplesmente fazendo o que os criminosos fazem. Todos podem agitar os punhos com a tecnologia para mudar a uma velocidade vertiginosa e seguir em frente. (Leia: Como o sistema SWIFT funciona)
A fraude de Nirav Modi de US $ 1, 8 bilhão do segundo maior banco estatal da Índia, o Punjab National Bank (PNB.BO), é muito menos elegante.
O banco havia declarado em trocas que as cartas de crédito fraudulentas que permitiam às empresas do comerciante de diamantes obter empréstimos no valor de US $ 1, 8 bilhão foram “feitas pelos funcionários da agência através do SWIFT sem obter aprovação da autoridade competente, solicitações necessárias do importador, documentos de documentação legal e de importação junto ao banco e também sem fazer entradas no módulo de financiamento comercial da CBS (core banking solution) ”.
O PNB culpou dois funcionários de nível júnior em sua declaração por emitir cartas ilegais e enviar mensagens SWIFT que não foram registradas no sistema interno.
O que levanta a questão: todos os bancos que usam SWIFT são vulneráveis a esse tipo de fraude ou o caso PNB envolve um nível excepcional de negligência ou conluio?
RÁPIDO
A rede SWIFT, operada por um consórcio com sede em Bruxelas e usada por mais de 11.000 instituições financeiras, já havia sido usada em roubos de bancos antes.
O banco central da Rússia disse recentemente que hackers roubaram US $ 6 milhões de um dos bancos do país usando a rede SWIFT no ano passado. Os hackers assumiram o controle de um computador no banco e o usaram para transferir dinheiro para suas próprias contas. Da mesma forma, em 2016, os hackers conseguiram arrecadar US $ 81 milhões do banco central do Bangladesh, usando credenciais SWIFT de funcionários. Um banco equatoriano disse que perdeu US $ 12 milhões em um assalto de 2015, onde os cibercriminosos usavam códigos SWIFT.
A SWIFT rejeitou assumir qualquer responsabilidade por tais incidentes. Em uma carta aos clientes bancários em 2016, o grupo disse que os bancos são os únicos responsáveis pela segurança de seus sistemas. "Os clientes são responsáveis por todas as mensagens assinadas com seus certificados e, é claro, por protegê-los e garantir que apenas operadores devidamente autorizados possam usá-los para assinar mensagens", disse uma porta-voz à Reuters na época. "SWIFT não é e não pode ser, responsável por mensagens criadas de forma fraudulenta nas empresas clientes."
O analista do Gartner e especialista em fraude financeira Avivah Litan disse no passado que era chocante para ela que o SWIFT dependesse tanto da autenticação em vez de "controles muito básicos de detecção de fraude", como procurar por beneficiários anormais, procurar retomar contas e procurar acesso anormal.
Mas a fraude Modi é muito diferente desses assaltos, porque, embora novos detalhes surjam diariamente, o banco não alegou hackers e o foco estava nas pessoas de dentro. Uma semana desde que a fraude veio à luz, seis funcionários do Punjab National Bank foram presos por investigadores federais. O ranking mais alto deles é um homem que chefiou a agência Brady House do banco de 2009 a 2011.
Como tirar doces de um bebê
A explicação do banco sobre como as cartas foram dadas sem detecção por anos é que as transações não foram registradas em seu sistema interno porque o SWIFT não estava integrado a ele.
“A menos que o ambiente de controle seja muito frouxo ou tenha havido conluio, seria difícil processar transações SWIFT que não são autorizadas e entraram no core banking. Vários controles deveriam ter acionado um alerta ”, disse Rakesh Asthana, CEO da World Informatix Cyber Security, cuja empresa foi contratada para supervisionar a investigação do assalto ao Banco de Bangladesh.
Esses controles incluem a segregação de tarefas - os bancos que usam SWIFT geralmente têm uma pessoa entrando em uma transação, uma pessoa separada que aprova a transação e uma terceira pessoa que verifica todas as transações. Ele também disse que o PNB também poderia ter criado os Relatórios de Validação Diários SWIFT para reconciliar totais e transações todas as manhãs.
Mas o mais importante é que o sistema de um banco que não está vinculado ao SWIFT, como foi o caso do PNB, é muito raro no mundo financeiro global, de acordo com Asthana.
Há também a questão de como as transações passaram pelos auditores do banco.
"Em última análise, também é uma questão de fluxo de caixa", disse Asthana em um email para a Investopedia. “Portanto, não está claro para mim o que os auditores internos e externos fizeram, se eles foram minuciosos em suas auditorias. Se eles tivessem alguma objeção de auditoria e a gerência não agisse, isso significaria uma conspiração muito maior subindo a cadeia de gerenciamento. Isso precisa de uma investigação completa para estabelecer quem sabia o que quando. ”
“Qualquer atividade comercial realizada pelo banco é auditada não apenas pela equipe de auditoria interna do banco, mas também pelos auditores simultâneos que auditam uma única agência; é chocante que esse incidente tenha passado despercebido não apenas pelos auditores, mas também pelo banco sênior. funcionários ”, disse um banqueiro anônimo ao Economic Times. “As auditorias analisam as empresas aprovadas para fazer negócios, as contas financiadas, as cartas de crédito emitidas, as ferramentas de financiamento de curto prazo etc.”
O analista de pesquisa Deepak Shenoy, da Capital Mind, disse: “Diante disso, parece que o ex-funcionário está sendo usado como bode expiatório. É provável que muitas pessoas tenham participado dessa coisa. E isso gerou enormes taxas para o PNB todos esses anos. ”
O incidente também chamou a atenção para as várias fraudes anteriores que ocorreram no PNB e em outros bancos nacionalizados da Índia. Os dados do Reserve Bank of India obtidos pela Reuters mostram que os bancos estatais relataram 8.670 casos de "fraude de empréstimos" totalizando 612, 6 bilhões de rúpias (US $ 9, 58 bilhões) nos últimos cinco exercícios financeiros até 31 de março de 2017. O PNB encabeçou esta lista com 389 casos, totalizando 65, 62 bilhões de rúpias (US $ 1, 03 bilhão) nos últimos cinco exercícios financeiros
O SWIFT poderia fazer mais?
O SWIFT opera como um sistema complexo de mensagens e não se responsabiliza pela maneira como os controles de fraude são implementados por seus clientes.
“O SWIFT pode tornar alguns dos principais elementos obrigatórios, em vez de deixar para os clientes que têm graus variados de controle e conhecimento em segurança cibernética”, disse Asthana quando perguntado se a rede poderia fazer mais para evitar incidentes tão caros.
A SWIFT reconheceu a necessidade de, pelo menos, ser o denunciante em alguns casos. Em abril de 2017, introduziu a Estrutura de controles de segurança do cliente, que descreve um conjunto de controles de segurança obrigatórios e consultivos para os clientes. Foi solicitado aos bancos que atestassem seu nível de conformidade até o final do ano passado, e a SWIFT alertou que se reserva o direito de informar os supervisores financeiros, caso não o façam. O comunicado à imprensa anunciando que 89% dos clientes atestaram sua conformidade não menciona se os supervisores financeiros dos 11% restantes foram alertados desde o início do ano. A partir de janeiro de 2019, estende seu direito de denunciar usuários que não cumpriram os controles de segurança mais cruciais.
É importante lembrar que, em janeiro de 2018, o SWIFT registrou uma média de 30, 32 milhões de mensagens por dia e é usado em 200 países. É uma cooperativa de propriedade de membros e garantir que os bancos sejam mais disciplinados seria uma tarefa hercúlea e cara consertar o que é essencialmente apodrecido na administração de bancos individuais com os quais tem pouco a ver, proteger o dinheiro das pessoas que não funcionam para.
A reputação da SWIFT é afetada após todos os crimes cibernéticos, mas há muitas pessoas para culpar quando se trata da mais recente fraude de PNB. A investigação parece ter acabado de raspar a superfície do que os especialistas acham que é uma conspiração muito maior, e as perguntas sobre a falta de supervisão são, em última análise, algo que o Banco Nacional do Punjab e o governo da Índia terão que responder. A SWIFT forneceu ao PNB mais ferramentas para se proteger, ferramentas que infelizmente não foram usadas.
Na terça-feira, o Reserve Bank of India divulgou um comunicado dizendo que havia alertado e alertado os bancos sobre a necessidade de impedir qualquer "uso potencialmente malicioso da infraestrutura SWIFT" pelo menos três vezes desde agosto de 2016. Agora, os bancos têm a obrigação de implementar medidas antes de um prazo estipulado. O banco central também criou um comitê para analisar "os motivos de alta divergência observada na classificação e provisionamento de ativos pelos bancos em relação à avaliação de supervisão do RBI e as etapas necessárias para evitá-lo; fatores que levam a uma crescente incidência de fraudes nos bancos e as medidas (incluindo intervenções de TI) necessárias para coibir e evitá-las; e o papel e a eficácia de vários tipos de auditorias realizadas nos bancos para mitigar a incidência de tais divergências e fraudes ".
A Investopedia entrou em contato com a SWIFT e recebeu a seguinte declaração: “A SWIFT não comenta clientes ou entidades individuais. Quando um caso de possível fraude é relatado a nós, oferecemos nossa assistência ao usuário afetado para ajudar a proteger seu ambiente. ”Ele enviou uma adição à declaração após a publicação:“ Para deixar claro, não há indicação de que a rede SWIFT tenha já foi comprometido."
