Como as instituições financeiras podem vencer a fadiga de conformidade

Michael Magrath, 30 de Janeiro de 2020

Enquanto os altos executivos lutam para proteger o valor para as partes interessadas e para manter os nomes de suas empresas fora das notícias diárias sobre violações da cibersegurança, alguém poderia pensar que as organizações estariam em conformidade com os requisitos de segurança integrados nas regulamentações.

Por mais incrível que pareça, nem sempre é esse o caso. O Relatório de Segurança de Pagamento, lançado recentemente pela Verizon, descobriu que apenas uma em cada cinco organizações nos Estados Unidos estava totalmente em conformidade com os requisitos de segurança fundamentais do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). Mesmo no setor de serviços financeiros, menos de 40 por cento das organizações analisadas pelo relatório estavam em plena conformidade.

Por que esses números são tão baixos? Uma explicação pode ter a ver com o número de regulamentações com as quais as organizações devem estar conformes. Um artigo da World Finance de 2018 observou que há 750 entidades regulatórias no mundo, cada uma com seu próprio conjunto de regras.

Então, as instituições estão simplesmente sofrendo de “fadiga de conformidade”?

Talvez. Na Europa, quando as organizações pensavam que podia respirar após o Regulamento Geral sobre a Proteção de Dados (GDPR) entrar em vigor, elas já tiveram de voltar suas atenções para a conformidade com os requisitos de Autenticação Forte de Cliente (SCA) na Diretiva de Serviços de Pagamento (PSD2) revisada.

O GDPR catalizou um grande esforço global de fortalecer a privacidade dos dados e a proteção da segurança para os consumidores. Nos EUA, a fase final da Regulamentação de Cibersegurança do Departamento de Serviços Financeiros (DFS) do Estado de Nova York entrou em vigor em março passado – ela exigia que bancos, seguradoras e outras instituições de serviços financeiros e licenciadas implementassem programas de gerenciamento de riscos para fornecedores terceirizados. A começar em fevereiro de 2020, as entidades terão de certificar sua conformidade.

Embora muitos bancos pequenos e regionais tenham evitado as regras do DFS por não operarem em Nova York, a Comissão Federal de Comércio propôs mudanças na Lei Gramm-Leach-Bliley baseadas nas regulamentações de Nova York. Se confirmadas, elas exigirão que todas as organizações de serviços financeiros criptografem todos os dados dos clientes, implementem controles de acesso para evitar o acesso de usuários não autorizados às informações do cliente e usem autenticação multifator para o acesso aos dados do cliente.

E não para por aí. A Lei de Privacidade do Consumidor da Califórnia (CCPA) que entrou em vigor em 1º de janeiro de 2020, abriu caminho para que Massachusetts, o Havaí, Washington e outros estados apresentassem suas próprias legislações de privacidade e proteção de dados. 

Há consideráveis razões para se preocupar com um potencial de haver 50 versões da CCPA criando um tsunami de conformidade para bancos e outras organizações afetadas. Como resultado, o Congresso está sob pressão para aprovar uma lei de proteção de dados federal geral e, antes da Ação de Graças, a Lei de Direitos de Privacidade do Consumidor Online foi apresentada no Senado.

A tecnologia ao resgate?

A boa notícia é que as organizações de serviços financeiros podem fazer uso das novas tecnologias para chegar à conformidade total com muitos aspectos das regulamentações mencionadas acima, ao mesmo tempo em que fornecem uma jornada digital segura e incrível para seus clientes.

A Força Tarefa de Ação Financeira (FATF) publicou um esboço de sua Orientação sobre Identidade Digital, que provavelmente servirá de referência por quase todos os países buscando criar regulamentações de identidade digital para serviços financeiros. A FATF aconselha as instituições financeiras a aplicarem uma abordagem baseada em risco para o uso de identidades digitais para a diligência devida do cliente, além de fornecer detalhes sobre como usar esses sistemas para a verificação, integração e autenticação para transações dos clientes.

Bancos em diversos países – incluindo os EUA, Reino Unido, França e Hong Kong – aderiram aos processos de abertura de conta digital, que não apenas atendem à conformidade, mas também fornecem abordagens rápidas e de fácil utilização para integrar os clientes de modo digital.

O processo tipicamente requer uma identificação com foto a ser capturada digitalmente pelo dispositivo móvel do usuário, que é então verificado usando as tecnologias de verificação de documento e de reconhecimento facial. Os dados capturados dos indivíduos podem ser comparados com bancos de dados das autoridades para fornecer uma camada adicional de segurança com relação à pessoa que eles afirmam ser. Uma vez verificado, o processo de integração e de abertura de conta pode continuar por meio de assinatura eletrônica de todos os formulários necessários. As assinaturas eletrônicas ajudam os bancos a manter a conformidade, fornecendo uma trilha de auditoria visual.

As credenciais do usuário são, então, criadas – elas não devem depender de senha estática, mas tirar proveito da biometria, como a impressão digital ou o reconhecimento facial com detecção de vida. Elas podem, daí, aproveitar o que há de mais recente em autenticação adaptativa inteligente, que combina biometria comportamental (a forma como o cliente segura o dispositivo móvel, padrões de toque, pressão do dedo e mais) com aprendizagem de máquina para autenticar continuamente o usuário durante sua sessão de serviços bancários digital.

Como essas tecnologias são, em grande parte, invisíveis ao usuário, elas fornecem medidas fortes de segurança de dados e de autenticação para atender à conformidade regulatória, ao mesmo tempo em que fornecem uma experiência de cliente quase sem atrito para a maioria das transações.

Para estarem conformes a várias proteções de privacidade e de segurança de dados do mundo, é fundamental que as organizações de serviços financeiros se mantenham atualizadas nas mudanças regulamentares mais recentes e novas propostas sendo discutidas, pois elas têm um impacto crucial nas iniciativas de transformação digital das organizações não apenas em 2020, mas durante toda a próxima década.

Ficaremos todos atentos para ver o que há de novo no front regulatório, mas devemos começar a implementar processos e tecnologias mais avançados para a segurança de dados, verificação de identidade, autenticação de usuário e detecção de fraudes agora mesmo, para não apenas atender à conformidade, mas também para proteger melhor nossos clientes. 

Acelerando a aquisição de novos clientes
WEBCAST

Acelerando a aquisição de novos clientes

Para acelerar a aquisição de novos clientes e reduzir as taxas de abandono, as instituições financeiras precisam transformar o novo processo de abertura de conta em uma experiência digital contínua e segura para os candidatos. Assista a este webcast gravado para conhecer as tendências do mercado e as melhores práticas para abertura de conta digital.

Assista agora

O artigo a seguir, de autoria de Michael Magrath, diretor das Normas e Regulamentações Globais da OneSpan, apareceu pela primeira vez em BAI.org no dia 23 de janeiro de 2020.

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).