Machine learning contra fraudes de engenharia socialFraudes baseadas em engenharia social estão em ascensão, com abordagens cada vez mais ousadas e manipuladoras que as anteriores. Um ataque deste tipo refere-se a qualquer transação na qual a vítima é levada a revelar detalhes financeiros confidenciais ou transferir dinheiro de suas contas para fraudadores. Exemplos comuns incluem e-mails falsos (phishing) e mensagens de texto Foto: Reprodução 
Scott Zoldi (*) Vishing
Conhecido como Vishing – o Phishing por voz ou telefone – tem ganhado popularidade e depende do poder de persuasão do fraudador em conversas com a vítima. Esse tipo de fraude tem maior incidência quando os fraudadores alegam ser funcionários de bancos ou instituições públicas cobrando dívidas, fazendo com que as chamadas pareçam legítimas. Assim, as vítimas são informadas de que estão em débito e precisam quitá-los imediatamente, muitas vezes sob ameaças se não o fizerem. Por outro lado, o atendente também pode dizer que um reembolso é devido e os detalhes da conta são necessários para fazer o crédito imediato. Fraudes autorizadas
Dependendo de como o dinheiro das vítimas é transferido para a conta dos fraudadores, as fraudes direcionadas (em inglês – push payments) se encaixam em duas categorias: não autorizadas e autorizadas. No primeiro caso, as transações são executadas por um fraudador que usa informações fornecidas pelo verdadeiro titular da conta. Já no segundo, o titular é levado a realizar o pagamento para uma conta controlada pelo fraudador. Esse tipo de golpe tornou-se mais atraente para fraudadores desde o advento dos sistemas de pagamento em tempo real. Esses sistemas de transferência direta geralmente são irrevogáveis e a transferência de fundos acontece instantaneamente, assim como a obtenção das informações pelos criminosos. Machine learning combatendo fraudes
Por outro lado, a boa notícia é que modelos de Machine Learning podem neutralizar esses métodos de fraudes. Projetadas para detectar o aspecto geral das fraudes que atacam instituições financeiras, essas aplicações criam e atualizam perfis comportamentais online e em tempo real. Ao monitorar as características dos pagamentos, tais como quantias movimentadas em cada transação e rapidez com que são feitas, esses modelos conseguem detectar características e padrões genéricos que só aparecem em certos tipos de fraudes. Em cenários como esse, os comportamentos mencionados estarão desalinhados com a atividade transacional normal das contas e gerarão níveis de risco mais altos. Listas ordenadas de comportamento (B-Lists)
Outro recurso avançado de Machine Learning são as listas ordenadas de comportamento (em inglês – Behaviour Sorted Lists). Elas acompanham o modo como várias transações comuns interceptam tanto o cliente quanto a conta de diferentes formas como:
• Lista de contas que o cliente paga regularmente;
• Aparelhos que o cliente usou previamente para fazer seus pagamentos;
• Países onde o cliente realizou pagamentos;
• Lista de contribuidores de quem o cliente recebeu verbas regularmente;
• Novas origens de pagamentos;
• Hora e dia da semana específicos para pagamentos. Pesquisa realizada pela FICO mostrou que transações feitas fora do padrão por mais de 40 vezes são mais arriscadas do que as que seguem pelo menos um comportamento estabelecido. A tecnologia das B-LSIT permite que os modelos de Machine Learning detectem anomalias com base em um reconhecimento completo do comportamento do titular de uma conta. No caso de um push payment não autorizado – no qual o fraudador está realizando o pagamento – as transações são feitas frequentemente por meio de aparelhos não utilizados pelo titular legítimo, enquanto os valores vão para outra conta beneficiada. Depois disso, o fraudador pode dar um passo além, e sequestrar a conta, bloqueando o verdadeiro proprietário e assumindo o controle da conta inteira. Aqui, machine learning também pode rastrear eventos não monetários arriscados como mudança de e-mail, endereço ou telefone, os quais muitas vezes precedem transações monetárias fraudulentas. Os push payment autorizados são mais difíceis do que casos não autorizados. Os clientes podem ficar tão aterrorizados pela fraude de engenharia social, que quando o banco intervém, eles desconfiam, ignoram ou resistem aos esforços feitos para protegê-los. Nessas situações, a tecnologia das B-Lists utiliza um conhecimento profundo de comportamentos típicos previstos, baseado no perfil das ações passadas do cliente real. Estamos incorporando a tecnologia de perfil colaborativo para trazer mais compreensão sobre novos comportamentos de clientes. Esses métodos podem ser usados para identificar indivíduos que geralmente são alvo de Push Payment e acionar a intervenção do banco. Os fraudadores sempre visaram o elo mais fraco do processo bancário. À medida que os sistemas se tornam mais seguros, o elo mais fraco acaba sendo o próprio cliente. No entanto, analisando a forma como cada um normalmente usa sua conta, os bancos podem detectar transações que são fora do comum e pará-las, antes que qualquer dinheiro desapareça, o que tornará os golpes de engenharia social cada vez menos lucrativos. Conhecer detalhadamente o perfil de comportamento de seu cliente não só ajuda a evitar fraudes em tempo real, mas também possibilita uma experiência sem atritos aos clientes, garantindo lealdade a longo prazo. (*) É Chief Analytics Officer da FICO. Scott foi responsável pela criação de 91 patentes de analíticos, sendo 43 patentes concedidas e 48 em processo. Ele está envolvido ativamente no desenvolvimento de novos produtos analíticos e aplicativos de Machine Learning, como a Plataforma FICO® Falcon®, que protege mais de 2,6 bilhões de cartões de pagamento em todo o mundo. | ICMS nas operações com mercadorias e bens digitaisFoto: Reprodução 
A sempre discutida tributação de tecnologias tem uma nova convenção para o alinhamento de impostos recolhidos a partir destes conteúdos. Já tivemos o período em que esta tributação era mais clara sobre o que era serviço (tecnologia desenvolvida para venda) e o que era produto (CD, DVD e demais mídias físicas nas quais a tecnologia era gravada e comercializada). Contudo, a partir do crescimento das vendas de tecnologias diretamente por meio de download, fez-se necessária a atualização de critérios. Um destes movimentos se deu recentemente no principal Estado recolhedor de tributos do Brasil.
A tributação das operações realizadas com softwares, programas, jogos eletrônicos, aplicativos, entre outros, e que sejam comercializados por meio de transferência eletrônica de dados, passaram a ser disciplinadas em conformidade com o Convênio ICMS nº 106/2017. Em especial no Estado de São Paulo, as novas regras foram incorporadas por meio do Decreto nº 63.099/2018 e da Portaria CAT nº 24/2018. Destacamos que a regra para identificação do Estado beneficiário do imposto é o local de domicílio do adquirente do bem ou da mercadoria comercializada por este meio. Logo, nas operações destinadas ao Estado de São Paulo, a este será devido o ICMS.
Outro ponto importante se refere ao momento da ocorrência do fato gerador, pois em tais operações o imposto se faz devido por ocasião da venda ou da disponibilização ao consumidor final. Contudo, vale destacar que todas as operações anteriores à referida saída ao consumidor final são isentas do tributo. Deste modo, as operações de importação também serão contempladas pela isenção do imposto, se identificadas as condições necessárias. Esse ponto foi pacificado pela Secretaria de Fazenda do Estado de São Paulo, com a publicação de Resposta a Consulta Tributária de nº 17.394/2018.
Nas operações com mercadorias e bens digitais, a obrigatoriedade de emissão de NF-e ocorrerá apenas quando estas forem destinadas ao consumidor final, já que todas as operações anteriores estão amparadas pela isenção. Destaca-se ainda que, além da hipótese de emissão da NF-e por operação, procedimento usualmente praticado por ocasião da venda, será facultado ao contribuinte optar pela emissão de uma única NF-e, consolidando todas as operações ocorridas no mês anterior e que tenha como destinatários adquirentes estabelecidos no mesmo município.
No que se refere à necessidade de inscrição estadual, a SEFAZ/SP determina que o estabelecimento localizado em outro Estado que pretenda realizar operação destinada à pessoa domiciliada ou estabelecida neste Estado, deverá regularmente inscrever-se no cadastro de contribuintes. Vale ressaltar que o estabelecimento deverá ter como atividade exclusiva a comercialização de bens e mercadorias digitais, pois a inscrição será específica para a realização de tais operações. Destacamos ainda que aquele que possuir mais de um site ou plataforma eletrônica poderá adotar uma única inscrição, sem a necessidade de assim pleitear uma inscrição específica para cada um de seus sites ou plataformas, agilizando sua rotina operacional.
Por fim, os Estados signatários do Convênio ICMS nº 181/2015 poderão conceder redução da base de cálculo nas operações com produtos digitais, procedimento este já internalizado no Estado de São Paulo, que regulamentou a referida previsão, de forma que a carga tributária final nas operações com softwares, programas, aplicativos e arquivos eletrônicos que sejam destinadas ao consumidor final resulte no percentual de 5% (cinco por cento). No entanto, tal benefício não se aplica aos jogos eletrônicos mesmo que educativos. Por tratar-se de questão recente, e que ainda tem gerado dúvidas quanto a sua aplicação, é importante que os atuantes da área acompanhem a legislação do ente federativo de sua jurisdição. (Fonte: Juliana dos Santos Sousa) Novos paradigmas da privacidade de dadosEvandro Garcia (*) Além de inovações nas ciências médica e laboratorial, o setor da saúde se depara, atualmente, com um grande desafio relacionado à proteção de dados Recentemente, foi aprovada no Senado a nova Lei de Proteção de Dados Pessoais, que demandará das instituições uma revisão das políticas internas de processamento, retenção e compartilhamento de informações. As empresas terão 18 meses, contados a partir de 14 de agosto de 2018, para se adequar à nova lei, que foi lançada quase que simultaneamente e com bastante semelhança às recentes revisões da GDPR (General Data Protection Regulation) na União Europeia.
Mas, por que esse tema está na pauta do Brasil e do mundo? Com o aumento da facilidade de acesso e compartilhamento de informações via redes sociais e outros meios na internet, a manutenção e a segurança de dados sensíveis têm se tornado um tema cada vez mais complexo e que envolve toda a cadeia de saúde, incluindo governo, provedores, seguradoras e profissionais da área.
Cada vez mais os pacientes entendem que seus registros médicos e informações de saúde devem ser mantidos seguros e privados por todos os profissionais envolvidos na jornada de saúde. Políticas tradicionais, que garantiram a privacidade dos registros em papel, tornaram-se obsoletas em um sistema operado por meios eletrônicos e precisam ser revisitadas no que tange à adoção de sistemas, bem como em processos e políticas institucionais que garantam a segurança dos dados sensíveis.
Os princípios da GDPR e da LGPD são extensos e é importante entender suas implicações para implementá-los no contexto adequado e sem exageros, de forma a não prejudicar a eficiência operacional e a interoperabilidade entre sistemas e instituições. Conheça alguns exemplos do que dizem, de forma geral, a GDPR e a LGPD:
Processamento legal, justo e transparente: as empresas que processam dados pessoais são solicitadas a processá-los de maneira legal, justa e transparente. O processamento para qualquer finalidade precisa da devida informação aos titulares.
Direitos dos titulares de dados: os titulares de dados têm o direito de perguntar às empresas quais informações elas têm sobre eles e o que fazem com os dados. Além disso, podem solicitar a correção, contestar o processamento, apresentar uma queixa ou solicitar a eliminação ou transferência de seus dados pessoais.
Consentimento: o consentimento claro e explícito deve ser solicitado. Uma vez coletado, esse consentimento deve ser documentado. O titular dos dados pode retirar seu consentimento a qualquer momento.
Violações de dados pessoais: as organizações devem manter um registro de violação de dados pessoais e, com base na gravidade, o regulador e o titular de dados devem ser informados dentro de 72 horas após a identificação da violação.
Privacidade por design: as empresas devem incorporar mecanismos organizacionais e técnicos para proteger os dados pessoais no projeto de novos sistemas e processos.
Transferências de dados: o controlador de dados pessoais tem a responsabilidade de garantir que eles sejam protegidos e respeitados, mesmo se o processamento estiver sendo feito por terceiros.
Oficial de Proteção de Dados: quando houver um processamento significativo de dados pessoais em uma organização, será necessário deve designar um responsável pela proteção de dados, cuja responsabilidade é aconselhar a empresa sobre a conformidade com os requisitos da GDPR.
Conscientização e treinamento: as instituições devem criar conscientização entre os funcionários sobre os principais requisitos das normas e realizar treinamentos regulares para garantir que todos permaneçam cientes de suas responsabilidades com relação à proteção de dados pessoais e à rápida identificação de violações. (*) É Head de Healthcare Informatics Latam da Philips. |
