Por Rafael Romer | A transformação digital do mundo dos pagamentos está a pleno vapor. Para a Mastercard, uma das principais companhias globais do setor de tecnologia de pagamentos, isso significa uma transformação significativa do seu negócio. Uma destas mudanças está no foco que a companhia quer dar para a expansão do seu portfólio de serviços. Hoje, o pilar de serviços representa cerca de um terço dos negócios da companhia, mas deverá crescer em participação nos próximos anos.
Mas junto a essa transformação, chegam novos desafios de cibersegurança. O IT Forum sentou com Johan Gerber, vice-presidente executivo de Segurança e Ciber Inovação, durante uma passagem do executivo pelo Brasil em março, para discutir como a empresa está se preparando para enfrentar essas adversidades. Confira a conversa completa abaixo:
IT Forum: A Mastercard tem investido cada vez mais em ofertas que vão além das transações tradicionais de cartão, e em direção a novos serviços. O que isso significa em termos da estratégia de cibersegurança da empresa?
Johan Gerber: No passado, estávamos muito focados em nossas transações de cartão. Mas, em um ecossistema digital onde tudo está conectado e tudo envolve experiência, você não pode separar a transação da experiência geral. Quando estamos operando em um ambiente digital, meu risco começa assim que entro nele. Quando abro um aplicativo ou acesso um site, já estou exposto a riscos. Então, percebemos que precisamos ir além das transações de cartão na forma como olhamos para o risco. E fazemos isso com o uso de tecnologia. Uma das melhores coisas sobre a digitalização da economia é que temos muito mais dados disponíveis para a gestão de risco. No mundo antigo, pré-digital, sempre tínhamos uma tensão entre a experiência e a segurança: quanto mais fácil eu queria tornar a experiência, menor era minha segurança. Mas, no mundo digital, não temos essa tensão porque tenho acesso aos dados. Ao olharmos para além dos cartões, podemos melhorar a experiência do consumidor, mas sem perder controles de segurança ou conveniência. Esse é o conceito do ‘atrito inteligente’. Muitas pessoas falam que as coisas deveriam ser sem atrito. Mas, quando se trata de pagamentos e do meu dinheiro, eu não quero que as coisas não tenham atrito. Eu quero o atrito certo, no momento certo e no fluxo correto. Isso é importante para os consumidores porque lhes dá confiança de que alguém está cuidando deles e está olhando por eles. O ambiente digital oferece uma grande oportunidade para nós fornecermos aos nossos clientes um nível muito melhor de segurança e conveniência. Como empresa, nós nos vemos como um grande player nesse ecossistema digital.
ITF: Você mencionou o conceito de fricção inteligente, a ideia de ter pontos de fricção que garantem segurança ao processo, mas sem atrapalhar a experiência do usuário. Como vocês buscam este equilíbrio?
JG: Ainda não estamos acertando tudo 100%. Ainda cometemos erros e estamos aprendendo muito. Mas acreditamos que há dados suficientes e tecnologias, como biometria comportamental e identidades de dispositivos, que permitem proteger o consumidor silenciosamente, sem que eles precisem se preocupar em fazer algo. No entanto, o atrito inteligente é utilizado para reforçar a confiança do consumidor. Temos tecnologias suficientes que me permitiriam acessar minha conta bancária sem uma senha. Mas, como consumidor, a ideia de que alguém pode acessar minha conta bancária sem uma senha é estranha. Não tenho certeza se posso confiar nisso. Portanto, ao pensar em segurança por design ou atrito inteligente, a ideia é trazer mais confiança ao consumidor. Então, se alguém quiser movimentar dinheiro, acessar uma conta bancária ou fazer uma transação acima de um certo valor em reais, eu introduzo algum atrito nesse momento. O que eu não quero é encontrar atrito quando paro no meu mercadinho de bairro, onde vou todas as sextas-feiras. É assim que vemos isso: aplicar atrito em pontos muito específicos, que ajudam o consumidor a se sentir bem.
ITF: É quase como uma fricção artificial. Você não precisa dela, mas você está aplicando para dar uma sensação de maior segurança para o consumidor?
JG: Sim, mas também é preciso deixar algo claro: ainda precisamos da fricção porque existem diferentes camadas de segurança. Por exemplo, nós temos a biometria comportamental. Mas e se eu não estiver no meu dispositivo habitual? E se estiver usando rapidamente o seu dispositivo porque minha bateria acabou? Sempre há razões pelas quais você precisará de mais de um ponto de segurança. A questão é como você projeta isso para não incomodar o consumidor, a menos que seja realmente necessário. Há o elemento da confiança e há o elemento da segurança em camadas para garantir que você tenha apenas um único ponto de falha.
ITF: Você mencionou a biometria comportamental. Você pode explicar mais sobre esse conceito e onde ele é utilizado pela Mastercard?
JG: Há cerca de cinco anos, adquirimos uma empresa sediada em Vancouver, no Canadá, chamada NuData. Sua tecnologia funciona em segundo plano e mede a maneira como você interage com seu dispositivo. Por exemplo, se digito com um dedo ou com dois, se sou canhoto ou destro, como seguro meu dispositivo. Assim, ela tem todos esses dados únicos. E a ciência nos mostra que isso é uma autenticação tão forte quanto uma biometria física, como a impressão digital. Na Europa, por exemplo, a biometria comportamental agora é aceita como uma forma certificada de biometria se você usar autenticação de dois fatores. E tudo isso ocorre silenciosamente em segundo plano. Somos criaturas de hábitos. Então, se estou no meu computador, quando toco no mouse, sempre faço isso da mesma forma. Quando digito, há um ritmo. Você cria uma pegada biométrica. E a coisa mais importante sobre isso é que eu não preciso saber quem você é. Só preciso saber que o padrão é o mesmo.
ITF: Isso é algo que a Mastercard oferece em todo o seu portfólio ou é algo específico para algumas soluções?
JG: Nós disponibilizamos isso para bancos em todo o mundo. Ou até mesmo para varejistas. Se você quiser abrir uma conta em um varejista, por exemplo, eles implementarão isso na página de login. Também disponibilizamos para governos. Por exemplo, o governo de Singapura usou isso em sua identidade digital, chamada Singpass. Toda vez que você abrir o aplicativo de identidade digital do governo de Singapura, sempre que quiser acessar uma conta bancária, precisará passar pela identidade digital do governo de Singapura. Então isso está incorporado em diferentes tipos de casos de uso.
ITF: Quando estávamos falando sobre a fricção inteligente, você comentou que a Mastercard ainda está aprendendo com essas novas abordagens e não acerta 100% do tempo. Quais são alguns desafios que vocês ainda estão enfrentando nesse novo cenário de cibersegurança?
JG: Eu acho que um dos desafios é a consistência da tecnologia em todas as diferentes plataformas. Vivemos em um mundo muito fragmentado, cada país e bloco geopolítico está tentando fazer as coisas à sua própria maneira. Então, quando você viaja, consegue capturar os dados necessários para fornecer a mesma experiência consistente no exterior como quando você está em casa? A falta de adoção real desse tipo de tecnologia em diferentes pontos é provavelmente um dos maiores desafios que enfrentamos. Eu diria que outro desafio é a falta de consistência nas regulamentações. Tenho o direito de fazer certas coisas em um país, mas não em outro. Em alguns casos, suas mãos estão amarradas, você não tem acesso à tecnologia.
ITF: Johann, a inteligência artificial generativa é parte de praticamente qualquer conversa da atualidade. O que a Mastercard tem feito com a IA generativa e quais são alguns desafios latentes dessa tecnologia?
JG: Vou começar dizendo que sou muito otimista sobre a influência da IA generativa. É algo bom, algo que devemos abraçar – e algo que já está por aí, não dá para voltar atrás. Vemos que os criminosos estão adotando ativamente essa tecnologia. Se você pensar em coisas como o ‘WormGPT’, cibercriminosos basicamente disponibilizaram isso para que qualquer criminoso possa acessar o “receituário” de como criar um ataque cibernético muito sofisticado. Isso é algo que os criminosos fazem muito bem, mas nós da indústria não fazemos tão bem. Eles não se preocupam com diferenciação ou em manter seus segredos comerciais; quando encontram algo, eles compartilham. Assim, a IA tem o poder de permitir que eles compartilhem informações e serviços entre si. Minha maior preocupação com a IA generativa em ataques é a engenharia social. Eu posso aprender tanto sobre você usando a IA generativa, e, então, utilizá-la para ligar para o banco enquanto finjo que sou você. Outro benefício que a IA generativa traz para os criminosos é que ela permite que eles ampliem seus ataques. A IA tem sido usada por criminosos há muito tempo. No mundo cibernético, eles usam a IA tradicional para identificar vulnerabilidades em sites e sistemas de defesa de empresas. Com a IA generativa, posso automatizar todo o processo e atacar centenas de empresas, cada uma com uma abordagem diferente. Fico preocupado com isso a ponto de perder o sono.
ITF: Mas há também o potencial positivo da IA generativa para a cibersegurança? Se conseguirmos abraçar essa tecnologia, podemos usá-la de forma muito eficaz para combater os cibercriminosos da mesma maneira. O que a Mastercard está fazendo em relação a isso?
JG: Nós acabamos de anunciar um novo produto chamado Decision Intelligence Pro, onde estamos incorporando a IA generativa em cada transação de nossa tomada de decisão. Em termos de identificar transações suspeitas, podemos ser muito mais precisos. Também estamos pensando em usar a IA generativa para ajudar nossos gerentes de risco a entenderem melhor o risco. Hoje, há muitos dados e as pessoas têm que vasculhá-los em busca de tendências. Se você aplicar a IA generativa aos seus dados e ela puder extrair informações relevantes, isso reduz muito o tempo para chegar a uma abordagem mais consistente na compreensão do risco. Agora, o que estamos buscando é a ajuda dos reguladores para que não eliminem essa tecnologia, mas criem um framework baseado em riscos para sua gestão.
ITF: Gostaria de mudar de assunto. Recentemente conversei com uma empresa dedicada à fabricação de um hardware de criptografia pós-quântica, e falamos sobre como cibercriminosos estão estocando dados criptografados para, uma vez que a computação quântica se tornar ubíqua, descriptografá-los e empregá-los em ataques. A criptografia pós-quântica é uma preocupação para a Mastercard também?
JG: Nós definitivamente estamos preocupados com isso e estamos participando de várias iniciativas da indústria sobre criptografia e sobre como criar uma abordagem padrão para proteger nossas chaves. Por exemplo, o FS-ISAC [Centro de Compartilhamento e Análise de Informações de Serviços Financeiros] tem mecanismos por meio dos quais podemos colaborar com todos os outros participantes da indústria financeira. Como criamos padrões em torno da computação quântica? Como introduzimos algoritmos resistentes à computação quântica? Porque os dados que os criminosos estão acumulando – e eu realmente acredito que isso é verdade –, tornam-se obsoletos com o tempo. Portanto, não podemos ficar presos aos nossos métodos de criptografia atuais. Acredito que daqui entre três e cinco anos, esse problema se tornará muito, muito real. Mas, mais uma vez, precisamos garantir que todos adotem isso. Precisamos obter padrões aos quais todos irão aderir. Estamos trabalhando com a IBM e algumas outras plataformas de computação quântica em estudos sobre isso. Nós incorporamos tecnologia resistente à computação quântica em nossos cartões sem contato. Quando você faz o pagamento por aproximação, a maneira como criptografamos e o algoritmo gera o valor único – o que chamamos de criptograma –, já está utilizando criptografia resistente à computação quântica nesses processos. Estamos começando a implementar isso onde podemos. Não podemos simplesmente ficar parados e esperando que nunca consigam quebrar nossa segurança.
ITF: Nós começamos a conversa falando sobre pagamentos digitais e queria explorar um pouco mais o tema. O Brasil está no meio do piloto do Real Digital, o Drex. Queria escutar de você: esse movimento de moedas digitais tornará o ecossistema de pagamentos digitais mais seguro?
JG: Eu acredito que as moedas digitais serão parte do nosso futuro. Não há dúvidas sobre isso, seja uma moeda digital emitida por um banco central ou uma descentralizada. No entanto, acho que precisamos pensar nos casos de uso que estamos tentando resolver. Vejo pagamentos internacionais ou certos tipos de remessas como bons casos de uso. Vejo os pagamentos B2B sendo um caso de uso real. Portanto, há alguns casos específicos em que acho que faz muito sentido. Mas acredito que a indústria ainda tem um longo caminho a percorrer. O maior problema é se alguém hackear um contrato inteligente e alterar os valores – todo o sistema será comprometido. A cibersegurança vai desempenhar um papel muito importante nisso. Então, não tenho certeza se estamos prontos para dizer que é mais seguro. Mas, assim como eu disse no início desta conversa, em um mundo completamente digital, as migalhas de pão, os pontos de dados que você gera, nos ajudam realmente a nos tornarmos mais seguros. Portanto, tenho esperança para o futuro. Será parte do nosso futuro, na minha opinião, mas vai precisar dessas camadas de proteção também.
Fonte: IT Fórum