Os Bancos, os clientes, e as responsabilidades

Hoje, na TeK: Bancos não assumem responsabilidades por ataques de phishing.

Não vou dissertar aqui sobre a validade dos argumentos de uns, nem de outros – isso iria muito para além das minhas competências para julgar a situação apresentada, sobretudo porque desconheço os detalhes de cada um destes cenários. É evidente que tenho uma opinião geral sobre o assunto mas, desta vez, porque não tenho uma posição independente sobre o tema, prefiro abster-me de comentários.

Dito isto, e apesar desta reserva, parece-me importante realçar o seguinte: em qualquer sistema de Banca pela Internet existe um conjunto de responsabilidades que estão atribuídas aos Bancos e aos seus clientes. E a segurança do sistema depende da correcta execução de procedimentos por ambas as partes, desde o momento em que são estabelecidos, conhecidos e aceites. Pelos Bancos, e pelos clientes.

Ao contrário do que acontece com o sistema Multibanco, em que os Caixas Multibanco e os Terminais de Pagamento são instalados e controlados por uma única entidade – em Portugal, a SiBS – no sistema de Banca pela Internet, o controlo de uma das pontas (o computador de acesso) é uma das responsabilidades dos clientes. E é aqui que a porca torce o rabo. Porquê? Porque nem todas as pessoas tem competências para manter o sistema a salvo da bicharada, apesar dos alertas e acções de sensibilização para os procedimentos mais adequados para assegurar a integridade dos seus computadores.

A verdade, a mais pura, é que nem todos conseguem garantir a segurança a 100% das suas máquinas. E neste contexto, o que fazer? Atribuir a totalidade da culpa aos clientes quando as suas máquinas forem comprometidas? Atribui-la aos Bancos pela disponibilização deste serviço? Não são perguntas para as quais exista uma resposta imediata, parece-me, porque a responsabilidade é repartida, incluindo a componente de informação e formação sobre práticas de segurança adequadas. Mas vale a pena pensar nelas porque o futuro promete a continuação dos desafios.

Como apontamento adicional dirigido aos profissionais do IT e da segurança, talvez valha a pena procurar uma solução que os clientes possam usar nos seus computadores e que seja imutável e integra ao longo do tempo, independentemente da sua utilização. Os profissionais que lêem isto sabem o que estou implicitamente a referir. Mas não vou entrar agora nos detalhes técnicos nem na discussão da sua validade.

Para os demais, e para não encerrar esta nota sem acrescentar alguns conselhos, as práticas mais simples que me ocorrem para evitar estes problemas, são as seguintes: (i) usar sempre o computador com uma conta standard, sem privilégios (ou seja, não usar a conta Administrador ou equivalente), (ii) usar um antivírus e uma firewall, (iii) garantir as actualizações do sistema operativo e das aplicações instaladas no computador, e, finalmente, (iv) não transferir e usar todos os programas que se encontram, por acaso, na Internet – incluindo as extensões ao Internet Explorer, e.g. controlos ActiveX et al.