Há uma coisa particularmente alarmante sobre o maior assalto a bancos da Índia: o crime cibernético não tinha nada a ver com isso. Não existem gênios da tecnologia invisíveis e sem nome invadindo sistemas de computador para serem culpados. Em vez disso, foram os funcionários corruptos de uma única agência que usava a rede SWIFT (The Society for Worldwide Interbank Financial Telecommunication) que o executaram durante anos.
Nos dias de hoje, a narrativa de hackear é estranhamente reconfortante. Isso não significa que a corrupção vai até o topo ou, pelo menos, significa que não há um colapso completo da segurança do sistema bancário. Os criminosos estavam simplesmente fazendo o que os criminosos fazem. Todos podem sacudir os punhos diante da tecnologia para mudar em velocidade vertiginosa e seguir em frente. (Leia: Como funciona o sistema SWIFT)
O golpe de Nirav Modi de US $ 1,8 bilhão do segundo maior credor estatal da Índia, o Banco Nacional de Punjab (PNB.BO), é muito menos elegante.
O banco havia dito em seu comunicado às bolsas que as cartas de crédito fraudulentas que permitiam às empresas do comerciante de diamantes fazerem empréstimos no valor de US $ 1,8 bilhão foram “feitas pelos funcionários da agência por meio do SWIFT sem obter a aprovação da autoridade competente, os pedidos necessários do importador, documentos de importação, documentação legal com o banco e também sem fazer entradas no módulo de trade finance do banco do CBS (solução de core banking). ”
O PNB culpou dois funcionários de nível júnior em seu comunicado pela emissão de cartas ilegais e envio de mensagens SWIFT que não foram gravadas no sistema interno.
O que levanta a questão: todos os bancos que usam o SWIFT são vulneráveis a esse tipo de fraude ou o caso do PNB envolve um nível excepcional de negligência ou conluio?
RÁPIDO
A rede SWIFT, operada por um consórcio com sede em Bruxelas e usada por mais de 11.000 instituições financeiras, já foi usada em assaltos a bancos antes.
O banco central da Rússia disse recentemente que os hackers roubaram US $ 6 milhões de um dos bancos do país usando a rede SWIFT no ano passado. Os hackers assumiram o controle de um computador no banco e o usaram para transferir dinheiro para suas próprias contas. Da mesma forma, em 2016, os hackers ganharam US $ 81 milhões do banco central de Bangladesh usando credenciais SWIFT de funcionários. Um banco equatoriano disse que perdeu US $ 12 milhões em um assalto em 2015, em que os criminosos cibernéticos usaram códigos SWIFT.
SWIFT rejeitou assumir qualquer responsabilidade por tais incidentes. Em uma carta aos clientes do banco em 2016, o grupo disse que os bancos são os únicos responsáveis pela segurança de seus sistemas. “Os clientes são responsáveis por todas as mensagens assinadas com seus certificados e, claro, por proteger seus certificados e garantir que apenas operadores devidamente autorizados possam usá-los para assinar mensagens”, disse uma porta-voz à Reuters na época. “O SWIFT não é e não pode ser , responsável por mensagens criadas de forma fraudulenta nas empresas clientes. ”
A analista do Gartner e especialista em fraude financeira Avivah Litan disse no passado que era chocante para ela que o SWIFT confiasse tanto na autenticação em vez de “controles de detecção de fraude muito básicos”, como procurar beneficiários anormais, roubar contas remotas e procurar acesso anormal.
Mas a fraude Modi é muito diferente desses assaltos, porque embora novos detalhes apareçam diariamente, o banco não alegou hackeamento e o foco tem sido os internos. Uma semana desde que a fraude veio à tona, seis funcionários do Banco Nacional de Punjab foram presos por investigadores federais. A classificação mais alta deles é um homem que chefiou a agência Brady House do banco de 2009 a 2011.
Como tirar doces de um bebê
A explicação do banco de como as cartas foram entregues sem detecção por anos é que as transações não eram registradas em seu sistema interno porque o SWIFT não estava integrado a ele.
“A menos que o ambiente de controle fosse muito frouxo ou houvesse conluio, seria difícil processar transações SWIFT que não fossem autorizadas e inseridas no core banking. Vários controles deveriam ter disparado um alerta ”, disse Rakesh Asthana, CEO da World Informatix Cyber Security, cuja empresa foi contratada para supervisionar a investigação do assalto ao Bangladesh Bank.
Esses controles incluem a segregação de funções – os bancos que usam o SWIFT geralmente têm uma pessoa inserindo uma transação, uma pessoa separada aprovando a transação e uma terceira pessoa verificando todas as transações. Ele também disse que o PNB também poderia ter configurado relatórios de validação diários SWIFT para reconciliar totais e transações todas as manhãs.
Mas o mais importante é que o sistema de um banco não vinculado ao SWIFT, como era o caso do PNB, é muito raro no mundo financeiro global, segundo Asthana.
Há também a questão de como as transações passaram pelos auditores do banco.
“Em última análise, também é uma questão de fluxo de caixa”, disse Asthana em um e-mail para a Investopedia. “Portanto, não está claro para mim o que os auditores internos e externos fizeram, se foram meticulosos em suas auditorias. Se eles tivessem alguma objeção de auditoria e a administração não agisse, isso significaria uma conspiração muito maior subindo na cadeia de administração. Isso requer uma investigação completa para estabelecer quem sabia o quê e quando. ”
“Qualquer atividade empresarial realizada pelo banco é auditada não apenas pela equipe de auditoria interna do banco, mas também pelos auditores concorrentes que auditam uma única agência, é chocante que tal incidente tenha passado despercebido não só pelos auditores, mas também pelo banco sênior funcionários também ”, disse um banqueiro anônimo ao Economic Times. “As auditorias analisam as empresas aprovadas para fazer negócios, as contas financiadas, cartas de crédito emitidas, ferramentas de financiamento de curto prazo, etc.”
O analista de pesquisa Deepak Shenoy, da Capital Mind, disse: “Diante disso, parece que o ex-funcionário está sendo usado como bode expiatório. É provável que muitas pessoas estivessem envolvidas nisso. E que gerou taxas enormes e gordas para PNB todos esses anos. ”
O incidente também chamou a atenção para as várias fraudes anteriores que ocorreram no PNB e em outros bancos nacionalizados da Índia. Dados do Reserve Bank of India obtidos pela Reuters mostram que bancos estatais relataram 8.670 casos de “fraude de empréstimo”, totalizando 612,6 bilhões de rúpias (US $ 9,58 bilhões) nos últimos cinco exercícios financeiros até 31 de março de 2017. PNB liderou esta lista com 389 casos, totalizando 65,62 bilhões de rúpias (US $ 1,03 bilhão) nos últimos cinco anos financeiros
O SWIFT poderia fazer mais?
A SWIFT opera como um sistema de mensagens complexo e não se responsabiliza pela maneira como os controles de fraude são implementados por seus clientes.
“O SWIFT pode tornar alguns dos elementos-chave obrigatórios em vez de deixá-los para os clientes que têm vários níveis de controles e conhecimento de segurança cibernética”, disse Asthana quando questionado se a rede poderia fazer mais para evitar esses incidentes caros.
A SWIFT reconheceu a necessidade de, pelo menos, ser o denunciante em alguns casos. Em abril de 2017, introduziu o Customer Security Controls Framework, que descreve um conjunto de controles de segurança obrigatórios e consultivos para os clientes. Os bancos foram solicitados a atestar seu nível de conformidade até o final do ano passado, e a SWIFT alertou que se reserva o direito de informar os supervisores financeiros se não o fizerem. O comunicado de imprensa anunciando que 89% dos clientes atestaram sua conformidade não menciona se os supervisores financeiros dos 11% restantes foram alertados desde o início do ano. A partir de janeiro de 2019, ele estende seu direito de denunciar usuários que não cumpram os controles de segurança mais importantes.
É importante lembrar que em janeiro de 2018, o SWIFT registrava em média 30,32 milhões de mensagens por dia e é utilizado em 200 países. É uma cooperativa de propriedade dos membros e garantir que os bancos sejam mais disciplinados seria uma tarefa hercúlea e cara consertar o que está essencialmente podre na administração de bancos individuais com os quais tem pouco a ver, para proteger o dinheiro das pessoas que não funciona pra.
A reputação da SWIFT sofre um golpe após cada crime cibernético, mas há muitas pessoas para assumir a culpa quando se trata da última fraude de PNB. A investigação parece ter apenas arranhado a superfície do que os especialistas acreditam ser uma conspiração muito maior, e questões relacionadas à falta de supervisão são, em última análise, algo que o Banco Nacional de Punjab e o governo da Índia terão de responder. O SWIFT forneceu ao PNB mais ferramentas para se proteger, ferramentas que infelizmente não eram usadas.
Na terça-feira, o Reserve Bank of India divulgou um comunicado dizendo que advertiu e alertou os bancos sobre a necessidade de prevenir qualquer “uso malicioso potencial da infraestrutura SWIFT” pelo menos três vezes desde agosto de 2016. Agora, os bancos estão obrigados a implementar medidas antes de um prazo estipulado. O banco central também criou um comitê para examinar “as razões para a alta divergência observada na classificação de ativos e provisionamento pelos bancos vis-à-vis a avaliação de supervisão do RBI, e as etapas necessárias para evitá-lo; fatores que levam a uma incidência crescente de fraudes em bancos e as medidas (incluindo intervenções de TI) necessárias para coibir e evitá-las; e o papel e a eficácia de vários tipos de auditorias realizadas em bancos para mitigar a incidência de tais divergências e fraudes. ”
A Investopedia contactou a SWIFT e recebeu a seguinte declaração: “A SWIFT não comenta sobre clientes individuais ou entidades. Quando um caso de fraude potencial é relatado para nós, oferecemos nossa assistência ao usuário afetado para ajudar a proteger seu ambiente. ” Enviou um aditamento à declaração após a publicação: “Para ser claro, não há indicação de que a rede SWIFT tenha sido comprometida.”