Pressões para que os executivos de empresas financeiras sejam responsabilizados pelas falhas de cibersegurança de suas organizações receberam um reforço de peso nesta semana quando o Fundo Monetário Internacional se juntou ao coro.

A cobrança é feita no Relatório de Estabilidade Financeira Global, uma publicação anual em que o FMI lista as principais ameaças vigentes contra o sistema financeiro internacional.

No dia 9 de abril, o FMI divulgou o capítulo três do relatório deste ano, que pela primeira vez dedica toda uma seção unicamente aos riscos cibernéticos que pairam sobre o sistema financeiro.

“A indústria financeira está altamente exposto a este risco, com cerca de um quinto de todos os incidentes afetando companhias do setor,” afirmam os autores.

O Fundo cobra maiores esforços das empresas financeiras para mitigar o risco e propõe medidas mais duras para convencer os conselhos de que é necessário investir em cibersegurança.

“Os supervisores (do mercado financeiro) devem atribuir aos conselheiros a responsabilidade pela gestão da cibersegurança nas empresas financeiras e promover uma cultura de risco, de higiene cibernética e de treinamento e conscientização cibernética que levem a isso,” afirma o documento.

Prejuízos

As perdas diretas causadas pelos ataques cibernéticos somaram US$ 12 bilhões desde 2004, segundo o FMI, e vêm se acelerando – foram USR$ 2,5 bilhões só nos últimos quatro anos.

A elas devem ser somadas outros tipos de gastos causados pelos ataques. O estudo cita como exemplo o banco americano JP Morgan, que está gastando US$ 15 bilhões por ano em tecnologia para dar conta dos 45 bilhões de eventos cibernéticos que enfrenta a cada dia.

Outro exemplo foi o ataque contra a unidade americano do banco chinês ICBC que causou sérios distúrbios aos mercados de dívida do Tesouro americano no ano passado.

Não só os bancos são vítimas dos criminosos. O relatório nota que a própria infraestrutura que faz o mercado financeiro funcionar é cada vez mais visada por hackers.

Ameaça sistêmica

Mas o que realmente preocupa o FMI é o potencial sistêmico dos ataques cibernéticos.

O Fundo alerta que os ataques podem afetar todo o setor ao abalar a confiança dos atores econômicos no sistema financeiro, interromper a atividade de empresas responsáveis pela infraestrutura dos mercados e espalhar os danos por todos os lados graças aos altos níveis de interconectividade do setor.

Dessa maneira, vários efeitos nocivos podem ser criados para a economia real. Clientes podem correr para retirar seu dinheiro dos bancos. Bolsas de valores podem parar de funcionar, e a liquidez pode ser drenada do mercado. Como resultado, os calotes se multiplicariam entre consumidores e empresas.

Nada que se acerca a uma catástrofe de tais dimensões já aconteceu, mas o FMI alerta que o risco está aí. Um ataque a uma instituição-chave tem o potencial de gerar problemas em vários lados, como mostrou o ataque de novembro ao ICBC.

Para piorar, segundo o FMI, novas tecnologias como a inteligência artificial generativa tendem a exacerbar o risco.

Em janeiro, uma gangue já mostrou o quanto essa tecnologia pode lhes ser útil ao convencer um funcionário de uma empresa multinacional em Hong Kong a lhe transferir US$ 26 milhões.

A decisão de fazer a transferência foi tomada uma reunião por videochamada em que todos os outros participantes haviam sido criados com inteligência artificial.

Vulnerabilidades

Tudo isso deveria preocupar o sistema financeiro porque, segundo o FMI, as empresas do setor são especialmente vulneráveis a ataques cibernéticos. O relatório lista três motivos para essa alta exposição ao risco.

Em primeiro lugar, a alta concentração do mercado bancário em áreas críticas como os sistemas de pagamento e a custódia de ativos. Isso faz com que, mesmo que poucas entidades sejam afetadas por um ataque, os efeitos possam atingir todo o setor.

O segundo motivo é o uso cada vez maior de provedores externos para realizar serviços tecnológicos, uma prática que visa aumentar a eficiência das empresas.

Como vários desses provedores trabalham com mais de uma empresa em determinados mercados, eles podem ser pontos de entradas para ataques com efeito sistêmico no setor.

Finalmente, a já mencionada alta interconexão entre os atores do sistema bancário cria o potencial de que os efeitos de um ataque se espalhem como fogo em capim seco.

Tudo isso se multiplica por uns quantos fatores na medida em que as chamadas fintechs ganham espaço no sistema financeiro e as criptomoedas são utilizadas com maior frequência.

Nível de preparação

O FMI nota que, para combater tais ameaças, é necessário melhorar a regulamentação do e a governança da gestão de riscos cibernéticos.

Mas o processo de aprimoramento regulatório continua atrasado em muitos países, especialmente entre economias emergentes. O Fundo tem notado, porém, melhorias importantes na América Latina.

O Fundo termina o documento com uma série de recomendações para aprimorar a segurança cibernética do sistema financeiro, incluindo a troca de informações sobre ataques entre os diversos atores, a colaboração entre supervisores de vários países e a responsabilização de executivos pela cibersegurança de suas empresas. 

Edições anteriores

RSB # 14 - Incerteza regulatória modera otimismo com seguro garantia

RSB # 13 - E se o principal risco para a empresa é a sua liderança?

RSB # 12 - Especial cyber: Mais capacidade de seguro, mas cibersegurança ainda engatinha

RSB # 11 - Seguro para a transição energética exige parceria entre subscritores e clientes

RSB # 10 - Reforma do Código Civil alimenta disputa sobre o futuro do seguro

RSB # 9 - Mercado de seguro para empresas cresce 5,9% além da inflação

RSB # 8 - PLC 29: uma bomba nacionalista contra o (res)seguro?

RSB # 7 - Onde estão os seguros para a transição energética?

RSB # 6 - Renovações 2024: ventos menos duros no mercado global

RSB # 5 - Cativas e ILS: soluções para um mercado difícil

RSB # 4 - Capacidade abundante, mas seletiva, para as energias renováveis

RSB # 3 - Após arrumar a casa, ABGR quer crescer e influenciar

RSB # 2 - Mais capacidade de resseguro à vista?

RSB # 1 - Seguro cyber caro chegou para ficar