Tag: Segurança da Informação

Publicado em por

FRAUDES DIGITAIS COM INTELIGÊNCIA ARTIFICIAL: COMO IDENTIFICAR E PREVENIR MANIPULAÇÕES COM DEEPFAKE

O avanço das ferramentas de inteligência artificial vem transformando profundamente o ambiente digital. Em especial, o uso de tecnologias conhecidas como deepfake, que permitem a manipulação extremamente realista de imagens, vídeos e áudios, tem impulsionado novas formas de fraude e criado riscos concretos para empresas e indivíduos. O que antes era domínio de especialistas técnicos tornou-se acessível a qualquer pessoa com um smartphone e uma conexão à internet.

As práticas de engenharia social, quando combinadas com conteúdos forjados por inteligência artificial, ganharam um grau de sofisticação que dificulta a identificação de tentativas de golpe. É possível simular com alta fidelidade a voz de um familiar, o rosto de um executivo ou até mesmo cenas inteiras que parecem autênticas a olho nu. O impacto dessas fraudes já se reflete no cotidiano de profissionais, consumidores e instituições públicas e privadas.

Empresas relatam casos em que falsas videoconferências com “executivos” resultaram em transferências indevidas de valores. Em outros episódios, mensagens de áudio supostamente enviadas por superiores hierárquicos foram usadas para acelerar decisões de pagamento sem os devidos protocolos de validação. Também são cada vez mais comuns os relatos de cidadãos que receberam pedidos de ajuda financeira em nome de parentes, com vozes idênticas às dos seus entes queridos, gerando perdas financeiras e abalos emocionais.

A disseminação dessas práticas foi impulsionada pela disponibilidade de aplicativos que replicam vozes e criam vídeos personalizados em poucos minutos. A barreira técnica praticamente desapareceu, o que amplia o uso dessas ferramentas com finalidades ilícitas.

A preocupação não se limita ao ambiente corporativo. Famílias, consumidores e usuários de redes sociais também estão expostos. Um conteúdo audiovisual fabricado pode ser compartilhado em massa com objetivos que vão desde o golpe financeiro até a destruição de reputações. Em períodos de alta sensibilidade, como eleições e eventos esportivos, a disseminação de vídeos e áudios falsos pode confundir a opinião pública e manipular decisões.

Algumas medidas podem reduzir significativamente o risco de ser enganado por esse tipo de fraude. Uma prática essencial é a verificação cruzada de qualquer solicitação financeira. Se uma mensagem indicar urgência para pagamento ou transferência, o ideal é confirmar por outros meios, como uma ligação telefônica ou uma conversa presencial. Sinais como mudanças abruptas no padrão de linguagem ou pedidos fora do usual merecem atenção redobrada.

No contexto empresarial, treinamentos voltados para a identificação de ameaças digitais devem incluir simulações e exemplos reais de manipulação por deepfake. Ferramentas que integram autenticação biométrica com validação algorítmica podem ajudar, embora ainda não sejam infalíveis.

Enquanto empresas de tecnologia seguem investindo em soluções de detecção automática de falsificações, cabe a cada usuário e organização desenvolver um olhar crítico e adotar uma postura de vigilância contínua. O simples hábito de desconfiar do incomum e validar informações sensíveis por mais de um canal é um passo valioso na proteção contra golpes digitais.

Publicado em por

FRAUDE NA TRANSFERÊNCIA DE VEÍCULOS: GOLPES COM VEÍCULOS USAM BRECHAS EM SISTEMAS PÚBLICOS E DADOS VAZADOS

A clonagem de veículos no Brasil assumiu contornos sofisticados, distantes da tradicional substituição de placas. Hoje, quadrilhas utilizam mecanismos digitais para efetuar transferências de propriedade sem sequer ter contato com o veículo original. Isso é possível graças ao uso indevido de dados extraídos de sistemas públicos, como os dos Detrans e do Contran, que permitem acesso a informações completas sobre veículos e seus proprietários.

Com essas informações em mãos, criminosos realizam transferências eletrônicas diretamente nos sistemas, sem necessidade de vistoria ou apresentação física do automóvel. Essa prática tem afetado não apenas motoristas particulares, mas também grandes frotas de empresas, locadoras e até veículos de montadoras utilizados em ações promocionais.

O problema se agrava pela existência de brechas nos sistemas governamentais e pela atuação de agentes infiltrados que alimentam mercados paralelos, inclusive na chamada dark web, onde dados pessoais são comercializados de forma anônima e fora do alcance de fiscalização. O ambiente favorece práticas ilícitas, como a falsificação de documentos e a apropriação indevida de bens.

Esses golpes são praticados tanto por organizações criminosas estruturadas quanto por indivíduos que atuam de forma autônoma. Enquanto as quadrilhas utilizam os veículos clonados como parte de esquemas de lavagem de dinheiro, inserindo-os em empresas fictícias para justificar movimentações suspeitas, os estelionatários independentes exploram os veículos como garantia para obtenção de crédito fraudulento.

Entre os alvos mais visados estão as frotas internas de montadoras, especialmente aquelas associadas a ações de divulgação e campanhas de marketing, devido à ampla exposição de placas e dados nas redes sociais. Essa visibilidade facilita a coleta de informações para a clonagem. Em frotas corporativas, a fraude pode demorar mais a ser identificada, já que os veículos costumam circular por diversas regiões e a fiscalização interna nem sempre detecta inconsistências de imediato.

A descoberta da fraude normalmente ocorre quando o verdadeiro proprietário começa a receber notificações de infrações em locais onde o veículo jamais esteve ou ao ser surpreendido com alterações indevidas na titularidade junto aos órgãos de trânsito.

Para verificar se houve clonagem, é possível realizar uma consulta no site do Detran estadual ou no aplicativo Sinesp Cidadão, utilizando a placa, o número do Renavam ou, preferencialmente, o número do chassi. Essas ferramentas fornecem informações sobre o histórico do veículo, incluindo multas, registro de furto ou roubo e movimentações de propriedade, permitindo a detecção de irregularidades.

Diante da confirmação de fraude, a recomendação é registrar imediatamente um boletim de ocorrência e ingressar com pedido judicial para anulação da transferência indevida. Embora o processo possa ser iniciado nos Juizados Especiais sem a necessidade de advogado, a assistência de um profissional com experiência na área contribui significativamente para a celeridade e eficácia da resolução.

O núcleo do problema está na vulnerabilidade das instituições públicas quanto à proteção de dados. Embora a Lei Geral de Proteção de Dados Pessoais (LGPD) estabeleça diretrizes claras para o tratamento de informações sensíveis, os principais vazamentos continuam a ter origem justamente em bases de dados públicas. Enquanto essa estrutura não for reformada e dotada de mecanismos de segurança adequados, a prática da clonagem digital de veículos continuará se repetindo com relativa facilidade.

Publicado em por

COMÉRCIO ELETRÔNICO SOB ATAQUE: COMO A SEGURANÇA CIBERNÉTICA REDEFINE PRIORIDADES ESTRATÉGICAS

A transformação digital tem impulsionado a evolução do comércio eletrônico, mas também abriu espaço para o avanço de ameaças cibernéticas sofisticadas. Entre essas ameaças, o phishing se destaca como uma das principais preocupações do setor, afetando tanto consumidores quanto empresas. Estima-se que 13% de todas as campanhas de phishing realizadas no último ano tenham buscado se passar por marcas amplamente reconhecidas, como plataformas de marketplace e serviços de tecnologia. Essa prática não apenas compromete a experiência do usuário, mas impõe prejuízos financeiros expressivos, com estimativas de até cinco milhões de dólares por incidente de violação de dados.

O aperfeiçoamento das táticas utilizadas pelos cibercriminosos é notório. Houve um salto significativo na utilização de páginas falsas com certificação HTTPS, recurso antes associado à segurança, agora apropriado para fins ilícitos. Além disso, métodos como o uso de QR codes em materiais de divulgação foram incorporados às estratégias de fraude, replicando com fidelidade páginas legítimas e induzindo o consumidor a fornecer informações sensíveis, como dados bancários e credenciais de acesso.

Essas práticas afetam diretamente a confiança do consumidor nas relações digitais. Pesquisas indicam que mais da metade dos usuários se sente menos segura ao compartilhar informações com empresas que já foram alvo de vazamentos. Esse impacto é ainda mais sensível entre consumidores de faixas etárias mais conservadoras, que demonstram propensão maior a abandonar marcas após incidentes de segurança. Ainda assim, paradoxalmente, uma parcela significativa do público continua fornecendo dados pessoais mesmo diante de alertas de comprometimento, o que expõe as empresas a riscos adicionais de ordem reputacional e jurídica.

Diante desse contexto, empresas especializadas em segurança da informação têm desenvolvido respostas tecnológicas robustas, utilizando recursos de inteligência artificial capazes de detectar atividades suspeitas em tempo real. Ferramentas baseadas em aprendizado de máquina têm se mostrado eficazes especialmente contra fraudes envolvendo compromissos de e-mail corporativo e ataques direcionados à cadeia de suprimentos, áreas que concentram parte relevante dos prejuízos empresariais.

Outro ponto de atenção está na disseminação de sistemas de autenticação de múltiplos fatores. Embora essa medida já tenha demonstrado redução significativa nos índices de phishing, sua adoção por empresas de pequeno e médio porte ainda é limitada. A carência de estrutura e a falta de treinamento específico são entraves recorrentes. Nesse sentido, programas de capacitação para colaboradores, aliados ao monitoramento proativo de exposições de dados em redes ilícitas, vêm se consolidando como estratégias complementares de proteção.

A resposta regulatória também começa a tomar forma. Normas europeias já estabelecem prazos rigorosos para a comunicação de incidentes de phishing por parte de plataformas digitais. Iniciativas semelhantes têm sido debatidas em outros países, com propostas que envolvem investimentos públicos significativos em capacitação cibernética para empresas de menor porte.

Para investidores atentos à transformação digital e à necessidade de infraestrutura segura, este é um campo com possibilidades relevantes. Empresas consolidadas que oferecem soluções de detecção de ameaças e proteção contra phishing têm mantido crescimento constante, especialmente aquelas que atuam com foco no setor de comércio eletrônico e logística. Também há espaço para companhias menos conhecidas que oferecem soluções especializadas e que podem ganhar participação à medida que a conscientização sobre cibersegurança avança.

Diante de um ambiente digital onde as ameaças se tornam mais refinadas e a proteção dos dados é um elemento estratégico para a competitividade, torna-se cada vez mais necessário que empresas de todos os portes adotem uma postura ativa frente aos riscos cibernéticos. A consolidação da confiança digital, nesse contexto, depende não apenas da reação ao incidente, mas da estruturação de políticas preventivas, da educação dos usuários e da incorporação de tecnologias que aliem desempenho e proteção.

Publicado em por

A INFORMALIDADE NO TRATAMENTO DE DADOS FACIAIS EM CONDOMÍNIOS

O uso de reconhecimento facial para controle de acesso em condomínios residenciais tem se tornado uma prática amplamente adotada no Brasil, mas sua implementação tem ocorrido sem o devido cuidado com os direitos dos titulares e com pouca ou nenhuma transparência no tratamento dos dados coletados. Estimativas apontam para a existência de aproximadamente um milhão de condomínios utilizando essa tecnologia, abrangendo inclusive dados de crianças, sem garantias adequadas de segurança, controle e fiscalização.

A coleta de dados como imagem do rosto, CPF, unidade residencial e registros de acesso diário configura um tratamento de dados pessoais sensíveis, conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD). Apesar disso, o que se observa é uma informalidade generalizada: em muitos casos, o envio das imagens ocorre por aplicativos de mensagens, sem qualquer protocolo seguro, e os pedidos de exclusão de dados são tratados de forma verbal ou por simples mensagens eletrônicas, sem registros formais que comprovem o cumprimento da solicitação.

A responsabilidade legal sobre esse tratamento recai sobre os próprios condomínios, na figura do síndico, que, por vezes, delega à empresa fornecedora do sistema a guarda e o controle das informações sem qualquer supervisão adequada. Não é raro que as empresas mantenham os dados mesmo após a saída do morador, em desconformidade com os princípios da finalidade, necessidade e segurança previstos na LGPD.

A ausência de regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD) agrava a situação. Ainda que o órgão reconheça os desafios desse tipo de uso, não há até o momento regras claras sobre tempo de armazenamento, exigências técnicas de segurança ou medidas mínimas de transparência que os condomínios e prestadoras devam seguir. A fiscalização, por ora, depende exclusivamente de denúncias formais, sem atuação proativa por parte da Autoridade.

Essa lacuna regulatória se reflete diretamente no risco de exposição de dados pessoais. Há registros de vazamentos que envolvem dados completos de moradores, incluindo suas imagens faciais, divulgados em fóruns clandestinos da internet. Há também relatos de fraudes envolvendo o uso indevido de biometrias faciais para acesso a sistemas governamentais e obtenção de crédito fraudulento.

O reconhecimento facial, ao transformar o rosto em uma “chave” biométrica, exige um nível elevado de segurança, pois, diferentemente de uma senha, essa informação não pode ser modificada em caso de violação. Mesmo assim, muitos sistemas instalados em condomínios operam com o nível de segurança mais básico, propensos a falsos positivos e vulnerabilidades, o que compromete não apenas a eficácia do controle de acesso, mas também a integridade do tratamento dos dados.

A cadeia de responsabilidades entre o condomínio, as empresas que fornecem os equipamentos e aquelas que armazenam os dados é, em geral, mal definida. Em muitos contratos, não há exigência de relatórios técnicos, protocolos de exclusão de dados ou auditorias regulares. Esse vazio contratual e técnico abre espaço para práticas arriscadas e, muitas vezes, contrárias à lei.

Diante disso, algumas associações têm orientado síndicos a incluir nos contratos cláusulas que obriguem a apresentação periódica de relatórios sobre a gestão dos dados, contendo o fluxo de tratamento, medidas de segurança, histórico de acessos e incidentes, além de delimitar o tempo de guarda das informações. Essa prática, aprovada em assembleia, pode ser um primeiro passo em direção a uma governança mais responsável.

A situação atual exige que os condomínios e os profissionais envolvidos comecem a tratar a biometria facial com a seriedade que o tema exige. A proteção da identidade biométrica não pode ser baseada apenas na confiança informal entre síndico e prestadora de serviço, mas em protocolos claros, medidas de segurança auditáveis e, sobretudo, no respeito à legislação vigente.

Publicado em por

LGPD EXIGE MATURIDADE DAS EMPRESAS DIANTE DO AVANÇO DOS VAZAMENTOS DE DADOS

O Brasil ocupa atualmente a sétima posição no ranking global de países com maior número de vazamentos de dados, de acordo com levantamento recente. Apenas em 2024, o número de incidentes envolvendo dados de brasileiros aumentou 24 vezes, revelando uma realidade preocupante sobre a forma como informações pessoais vêm sendo tratadas no ambiente digital. Além disso, o país lidera o ranking mundial de vazamento de cookies, com aproximadamente 7 bilhões de registros de usuários circulando na dark web.

Apesar da existência de uma legislação específica sobre o tema, como a Lei Geral de Proteção de Dados Pessoais (LGPD), os números indicam que ainda há um longo caminho a ser percorrido no que diz respeito à proteção efetiva de dados no Brasil. O que se percebe, especialmente entre pequenas e médias empresas, é uma compreensão limitada sobre o que a LGPD exige e como essas exigências devem ser aplicadas de forma contínua e estruturada.

É comum encontrar organizações que tratam a segurança da informação como uma questão meramente tecnológica, limitada à instalação de antivírus ou firewalls. Esse entendimento superficial ignora o fato de que a proteção de dados envolve também processos internos, gestão de riscos, capacitação de colaboradores, registro de operações e mecanismos de resposta a incidentes.

A LGPD, ao impor obrigações técnicas e administrativas, não detalha passo a passo o que deve ser feito. Esse grau de abstração exige que as empresas desenvolvam programas próprios de conformidade, adaptados à sua realidade. A ausência dessas iniciativas não apenas enfraquece a proteção das informações, como pode gerar responsabilidade civil e administrativa mesmo em situações nas quais a empresa foi vítima de um ataque externo.

Entre as medidas mais recomendadas estão o controle de acesso baseado em perfil de usuário, a manutenção de logs de auditoria, o uso de ferramentas de gestão de dados e a criação de canais independentes para denúncias internas. Esses elementos não apenas reduzem riscos operacionais, como também permitem comprovar diligência perante autoridades e titulares de dados, em conformidade com o artigo 46 da LGPD.

Tratar a proteção de dados como parte da governança corporativa é hoje uma exigência básica para qualquer empresa que deseje manter sua reputação, cumprir a lei e estabelecer relações comerciais confiáveis. A adequação à LGPD não se resume ao atendimento de uma obrigação legal. Quando bem estruturada, pode representar um diferencial competitivo no mercado e um pilar para a longevidade do negócio.

Publicado em por

FERRAMENTA DE SEGURANÇA É ALVO DE USO INDEVIDO APÓS VAZAMENTO DE LICENÇA CORPORATIVA

Uma versão não autorizada de uma ferramenta comercial voltada à evasão de sistemas de detecção foi utilizada indevidamente por agentes mal-intencionados para disseminar códigos maliciosos especializados na extração de dados confidenciais. A ferramenta em questão, originalmente desenvolvida para fins legítimos de teste de segurança, teve seu uso desviado após a violação de um contrato corporativo, envolvendo uma empresa que havia adquirido licenças de forma regular.

A equipe responsável pela solução, ao identificar o comprometimento, lançou uma nova versão do software com restrições adicionais. Esta atualização passa a ser disponibilizada exclusivamente a clientes que passem por um processo de verificação reforçado, com a exclusão imediata da entidade que contribuiu para a exposição do recurso. Trata-se da primeira ocorrência confirmada de uso indevido desde que novas regras de licenciamento foram adotadas no início de 2023.

Pesquisadores independentes já haviam detectado a utilização da versão anterior do software desde abril, apontando que sua disseminação ocorreu por meio de mensagens em plataformas digitais e campanhas fraudulentas por e-mail. Embora essas análises tenham permitido a criação de mecanismos de detecção específicos para os códigos implantados, houve discordância quanto à forma como as informações foram compartilhadas. A empresa responsável pelo software demonstrou preocupação com a priorização da divulgação pública em detrimento do aviso prévio ao fornecedor, o que poderia ter acelerado a contenção do risco.

Apesar do desacordo, os dados compartilhados permitiram identificar a origem da falha, auxiliando na exclusão do cliente responsável. A equipe de desenvolvimento reiterou que não mantém qualquer associação com práticas ilícitas e se colocou à disposição das autoridades competentes para contribuir com as investigações. Também foi expressa preocupação com os efeitos colaterais sobre os demais usuários legítimos, que agora enfrentam medidas adicionais de controle e verificação.

O episódio reforça a importância de mecanismos eficazes de governança sobre ferramentas sensíveis, especialmente aquelas cujo uso indevido pode comprometer ambientes corporativos e dados pessoais. A manutenção de relações de confiança entre desenvolvedores, pesquisadores e usuários é um fator essencial para a integridade dos processos de segurança da informação.

Publicado em por

SEGURANÇA NA NUVEM: O TESTE QUE GARANTE A CONTINUIDADE DO SEU NEGÓCIO

A importância dos testes de recuperação de desastres nas operações em nuvem

Empresas que operam com serviços em nuvem dependem fortemente da confiança na segurança e continuidade de suas operações. No entanto, uma constatação recorrente entre profissionais da área de tecnologia da informação é que os investimentos ainda são insuficientes diante da complexidade dos riscos envolvidos.

74% dos líderes de segurança e TI acreditam que suas organizações estariam mais preparadas para lidar com ameaças virtuais caso houvesse maior dedicação de recursos à prevenção. O levantamento envolveu 825 entrevistados de empresas localizadas em diversas partes do mundo, incluindo o Brasil, e evidenciou um ponto de atenção: muitas empresas ainda não adotam práticas adequadas de gestão preventiva, o que as expõe a vulnerabilidades evitáveis.

Entre os problemas mais recorrentes está a ausência de testes regulares nos planos de recuperação de desastres. Mesmo entre empresas que contratam soluções em nuvem, é comum que os sistemas de recuperação não sejam devidamente avaliados quanto à sua eficácia. A testagem periódica desses recursos é essencial para garantir que as ferramentas contratadas realmente funcionarão em momentos de falha ou ataque, permitindo a continuidade das operações e a integridade dos dados.

Como exemplo de boas práticas, uma empresa farmacêutica do interior de São Paulo realizou um teste completo de recuperação de desastres no final de 2024. O procedimento foi executado durante o horário comercial, utilizando tecnologias especializadas para validar todo o plano de restauração. O objetivo do teste foi confirmar se a infraestrutura disponível seria capaz de restaurar o ambiente operacional de forma eficaz, dentro dos parâmetros acordados, como tempo de recuperação (RTO), ponto de recuperação (RPO) e ponto de restauração.

A execução de um teste desse porte vai além da simples verificação técnica. Trata-se de um processo que permite ajustar estratégias, identificar pontos de melhoria e promover segurança jurídica e operacional para a empresa. A documentação gerada ao final do teste se torna uma referência indispensável para futuras respostas a incidentes, especialmente em um contexto no qual a rotatividade nas equipes de tecnologia é elevada.

Validar periodicamente os sistemas de recuperação não apenas fortalece a capacidade de resposta diante de falhas ou ataques, mas também amplia a maturidade da gestão de riscos dentro das organizações. Ainda são poucas as empresas que realizam esse tipo de simulação de forma completa e documentada. Entretanto, trata-se de uma medida estratégica para preservar não apenas dados e infraestrutura, mas a própria continuidade do negócio.

Publicado em por

CIBERSEGURANÇA EMPRESARIAL: POR QUE TREINAR SUA EQUIPE É UMA MEDIDA ESTRATÉGICA E INDISPENSÁVEL

A digitalização das rotinas empresariais, embora represente ganhos expressivos em agilidade e competitividade, também impõe desafios relevantes no campo da proteção de dados. Cada novo sistema, plataforma ou ferramenta conectada amplia a superfície de exposição a riscos cibernéticos. Diante disso, a segurança da informação deve ser compreendida como elemento estruturante da gestão organizacional.

Entre os muitos fatores que compõem a estrutura de defesa de uma empresa, um dos mais sensíveis é o comportamento humano. As equipes internas, especialmente aquelas que lidam com informações sensíveis e canais digitais, figuram como pontos vulneráveis quando não devidamente orientadas. O erro humano, ainda hoje, figura entre as principais causas de incidentes de segurança digital.

Relatórios especializados têm apontado que grande parte dos ataques bem-sucedidos foram facilitados por falhas operacionais, como o clique em links fraudulentos, a abertura de anexos contaminados por malwares ou o fornecimento de credenciais em páginas falsas. Esses dados, por si só, evidenciam o impacto que a falta de preparo técnico e comportamental pode gerar.

Além disso, há um número expressivo de empresas brasileiras que sofreram prejuízos decorrentes de fraudes com boletos falsos. Esses ataques, muitas vezes bem elaborados, resultam não apenas em perdas financeiras, mas também em danos reputacionais que afetam a relação da empresa com seus parceiros e clientes.

Mesmo com o uso de sistemas avançados de proteção, como firewalls e softwares de monitoramento, a eficácia das barreiras tecnológicas está diretamente relacionada à conduta dos usuários. Uma equipe consciente e bem treinada funciona como camada adicional de segurança, capaz de identificar tentativas de golpe e adotar medidas corretas diante de situações suspeitas.

Nesse contexto, torna-se altamente recomendável adotar ações estruturadas voltadas à educação digital dentro da organização. Algumas medidas que podem ser implementadas incluem:

1. Capacitação periódica: É importante manter uma rotina de treinamentos que abordem temas como fraudes eletrônicas, engenharia social, proteção de senhas e segurança em ambientes digitais. A atualização dos conteúdos deve acompanhar as mudanças nas táticas utilizadas por cibercriminosos.

2. Simulações e testes práticos: Exercícios como campanhas de phishing simulado permitem identificar vulnerabilidades reais no comportamento dos colaboradores. Os resultados dessas ações ajudam a direcionar novas capacitações com base em situações vivenciadas.

3. Recursos informativos acessíveis: Cartilhas, vídeos curtos, fluxogramas e murais informativos são instrumentos valiosos para reforçar boas práticas no cotidiano da equipe. O conteúdo deve ser simples, direto e orientado à prevenção.

4. Valorização da conduta segura: Estimular a troca de informações, o relato imediato de situações suspeitas e o diálogo aberto sobre cibersegurança contribui para a construção de um ambiente mais vigilante e colaborativo.

A segurança digital, portanto, vai além da tecnologia. Ela depende da conscientização de cada pessoa envolvida nas rotinas corporativas. O investimento em capacitação não deve ser tratado como despesa, mas como política de proteção de patrimônio, confiança institucional e continuidade dos negócios.

Empresas que escolhem atuar de forma preventiva e educativa em relação à proteção digital colhem os frutos de uma estrutura mais sólida e preparada para os desafios do ambiente empresarial moderno. É a postura de quem compreende que a verdadeira proteção não está apenas nos sistemas, mas, sobretudo, nas atitudes.

Publicado em por

DADOS EXPOSTOS? ENTENDA SEUS DIREITOS E MEDIDAS POSSÍVEIS SEGUNDO A LGPD

Na última semana, veio a público um incidente de segurança que comprometeu uma fornecedora de tecnologia responsável pela integração de instituições financeiras ao sistema Pix. O ataque cibernético, que desviou valores expressivos de contas vinculadas ao Banco Central, revelou vulnerabilidades profundas nas engrenagens técnicas que sustentam o sistema financeiro nacional.

Diferentemente de falhas pontuais em aplicativos ou sistemas isolados, esse tipo de incidente atinge estruturas de infraestrutura que deveriam ser protegidas por padrões elevados de segurança, supervisão e governança. O acesso indevido ocorreu por meio de uma brecha explorada na integradora tecnológica, afetando diretamente contas utilizadas para liquidações financeiras entre instituições e o Banco Central.

Embora o impacto inicial tenha se concentrado em contas institucionais, é necessário reconhecer o potencial reflexo sobre usuários finais. Instabilidades em sistemas de pagamento, eventuais bloqueios operacionais e o possível comprometimento de dados transacionais são riscos que não podem ser descartados. Dados operacionais expostos, se não forem corretamente tratados após o incidente, podem ser utilizados de forma fraudulenta em outras esferas do sistema bancário.

Nessas situações, a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece obrigações objetivas para as organizações envolvidas. Entre elas, está o dever de comunicar prontamente à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência do incidente, além de, conforme a gravidade, informar os titulares e adotar medidas para mitigar os efeitos do vazamento.

A legislação assegura ainda ao titular o direito de acessar informações sobre o tratamento de seus dados e sobre o incidente ocorrido. É possível, por exemplo, solicitar detalhes sobre a extensão da exposição, os dados afetados e as medidas tomadas para correção e prevenção. O titular também pode solicitar cópias dos dados tratados e exigir revisão de decisões automatizadas que envolvam seus dados pessoais.

Caso haja indício de uso indevido dos dados — como fraudes bancárias, abertura de contas indevidas ou empréstimos não autorizados — o titular pode apresentar reclamação à ANPD e, se necessário, acionar o Poder Judiciário para buscar reparação. Contudo, decisões recentes do Superior Tribunal de Justiça indicam que a simples exposição dos dados, por si só, não gera o dever automático de indenização. É preciso comprovar um dano efetivo e o nexo com o incidente de segurança.

Diante disso, é recomendável que o cidadão que suspeita de envolvimento em um incidente de segurança:

  1. Solicite informações formais à instituição envolvida sobre a possível exposição de seus dados;
  2. Monitore movimentações bancárias e financeiras, com especial atenção a tentativas de fraude;
  3. Formalize reclamação junto à ANPD caso a empresa não forneça os esclarecimentos devidos;
  4. Em caso de dano material ou moral, avalie o ajuizamento de ação judicial com base nos direitos previstos pela LGPD.

A confiança no sistema financeiro digital repousa, em grande parte, na capacidade das instituições de prevenir, detectar e responder de forma transparente a situações como essa. O dever de proteger os dados dos cidadãos permanece, mesmo quando falham os mecanismos de segurança. E é justamente nesse ponto que os direitos do titular devem ser plenamente respeitados e exercidos.

Publicado em por

COMO PROTEGER OS DADOS NA ÁREA DA SAÚDE EM TEMPOS DE DIGITALIZAÇÃO

A digitalização dos serviços de saúde avançou de forma significativa nos últimos anos, sobretudo após a pandemia de Covid-19. Hospitais, clínicas e operadoras de planos passaram a adotar soluções tecnológicas que otimizam o atendimento, melhoram a gestão e ampliam a capacidade de armazenamento e análise de dados. Entretanto, esse avanço também expôs o setor a um volume maior de riscos cibernéticos, tornando indispensável uma abordagem estratégica e integrada de proteção de dados.

Estudos internacionais apontam que o setor de saúde está entre os mais visados por agentes maliciosos. Em 2023, houve um aumento expressivo nas tentativas de invasão digital a instituições da área, superando 60% de crescimento em comparação com o ano anterior. No Brasil, o impacto é igualmente relevante: dados indicam que o custo médio de um incidente de segurança em organizações de saúde ultrapassou os R$10 milhões em 2024, colocando o país entre os mais afetados globalmente.

Esse quadro demonstra que não se trata apenas de investir em ferramentas tecnológicas isoladas. A segurança da informação deve ser compreendida como um componente da qualidade assistencial e da continuidade operacional. Isso exige o envolvimento coordenado de pessoas, processos e políticas internas, que precisam estar alinhadas a práticas reconhecidas e atualizadas.

Capacitar as equipes constantemente, revisar fluxos operacionais e estabelecer políticas claras são medidas que fortalecem a resiliência institucional. Recursos como autenticação multifator, criptografia de dados em trânsito e em repouso, segmentação de redes e utilização de sistemas de detecção e resposta a incidentes são apenas parte de um conjunto mais amplo de estratégias necessárias.

Para apoiar esse processo, documentos técnicos consolidados oferecem orientações valiosas. A publicação norte-americana NIST Special Publication 800-66, Revision 2, por exemplo, fornece diretrizes para implementar controles eficazes voltados à proteção de informações de saúde eletrônicas. Já o NIST Cybersecurity Framework 2.0, lançado em 2024, organiza a abordagem de segurança em cinco funções: Identificar, Proteger, Detectar, Responder e Recuperar — permitindo que organizações desenvolvam políticas estruturadas para gestão de riscos cibernéticos.

A proposta de tornar obrigatórias práticas como autenticação multifator, criptografia de dados e segmentação de redes por órgãos internacionais reforça o movimento por um padrão mais rigoroso de proteção, especialmente em áreas que tratam dados sensíveis.

Nesse contexto, a combinação entre tecnologia, capacitação contínua e governança bem definida constitui um pilar essencial para preservar a confidencialidade, integridade e disponibilidade das informações. Instituições de saúde que adotam essa abordagem integrada estão mais preparadas para enfrentar incidentes, mitigar impactos e manter a confiança dos pacientes e parceiros institucionais. A segurança da informação, portanto, deve ser tratada como parte da estratégia organizacional, e não apenas como uma exigência técnica.

Publicado em por

NOVA INTELIGÊNCIA ARTIFICIAL INTEGRA COMPLIANCE, PROPÓSITO E VALIDAÇÃO EM AMBIENTES EMPRESARIAIS

Está prevista para agosto de 2025 a chegada ao mercado de uma inteligência artificial corporativa desenvolvida no Brasil, com proposta técnica centrada na prevenção de riscos reputacionais, violações de compliance e falhas de integridade em campanhas digitais. A ferramenta será apresentada oficialmente durante um evento nacional voltado à inovação e à sustentabilidade, com a presença de representantes de grandes empresas do setor de bens de consumo.

A arquitetura da IA foi construída com o objetivo de superar padrões problemáticos observados em sistemas tradicionais, como respostas aduladoras, omissões deliberadas, procrastinação lógica e ausência de mecanismos rastreáveis de controle. Em contraposição a esse modelo, a nova proposta traz uma estrutura programada para funcionar com base em códigos éticos modulares, validações sucessivas e ciclos de feedback que integram elementos como escuta ativa e silêncio deliberado.

Diferentemente de modelos que operam com base probabilística, essa inteligência foi desenhada para atuar a partir de um propósito estruturado, alinhado a um protocolo de autoajuste que visa garantir confiabilidade e auditabilidade em cada decisão. O sistema também adota um motor interno de compliance, responsável por assegurar que nenhuma ação ocorra sem que haja clareza sobre a finalidade, documentação completa e aderência aos princípios que regem a aplicação da tecnologia.

Entre os principais componentes da ferramenta, destacam-se os mecanismos de microchecagem de intenção, que analisam a consistência de comandos antes da execução, e os rituais programados de verificação, que sustentam o compromisso com a responsabilidade técnica e institucional. Todo o processo é passível de auditoria, permitindo rastrear decisões e corrigir desvios, o que reduz significativamente a possibilidade de falhas operacionais ou éticas.

A proposta se mostra especialmente adequada para ambientes empresariais sujeitos a normativas rigorosas, nos quais falhas comunicacionais ou operacionais podem gerar impactos jurídicos e financeiros expressivos. O sistema será licenciado para empresas, entidades públicas e equipes técnicas que desejem integrar a inteligência artificial ao cotidiano de forma segura, respeitosa e alinhada a valores institucionais.

No campo das aplicações práticas, a tecnologia atua na automatização de tarefas, personalização de conteúdos, análise de dados para tomada de decisão, geração de materiais de comunicação e monitoramento de conformidade regulatória. Sua base técnica contempla ainda o acompanhamento de mudanças legais e a implementação de padrões de governança voltados ao uso responsável de dados em campanhas publicitárias e operações digitais.

A proposta central é demonstrar que é possível inovar com responsabilidade, protegendo ativos intangíveis das organizações como reputação, coerência institucional e a confiança do público. O sistema foi concebido a partir da sistematização de falhas observadas no mercado, registradas e transformadas em diretrizes de desenvolvimento. Não se apresenta como uma promessa abstrata, mas como uma resposta técnica às limitações já identificadas na aplicação de inteligências artificiais em contextos sensíveis.

Publicado em por

GOLPES VIRTUAIS EM AMBIENTES DIGITAIS: COMO IDENTIFICAR RISCOS E PROTEGER SEUS DADOS

O avanço da conectividade digital trouxe inúmeros benefícios, mas também abriu espaço para práticas ilícitas que exploram a confiança e a falta de informação dos usuários. A sofisticação dos golpes virtuais tornou-se um desafio constante para quem utiliza celulares, redes sociais e plataformas de compras online. As perdas não são apenas financeiras: muitas vezes envolvem vazamento de dados pessoais e comprometimento de relações pessoais e profissionais.

Entre os golpes mais recorrentes, destaca-se a clonagem de aplicativos de mensagens, em que criminosos assumem identidades alheias para solicitar transferências de valores. Também proliferam perfis falsos em redes sociais, que imitam lojas conhecidas e atraem consumidores com ofertas inexistentes. Sites de compras aparentemente legítimos, mas sem qualquer respaldo jurídico, também figuram entre os meios mais usados para enganar consumidores. Outro método comum é o falso suporte bancário: a vítima acredita estar falando com um atendente oficial, quando, na verdade, está entregando informações sensíveis a um golpista. Além disso, links maliciosos enviados por e-mail ou mensagens de texto continuam sendo uma porta de entrada para roubo de dados.

O ponto de partida para se proteger não está apenas em “desconfiar de tudo”, mas em adotar hábitos consistentes de prevenção. É necessário adotar uma postura ativa diante do uso da tecnologia, especialmente em relação ao controle da própria identidade digital.

Medidas eficazes para proteção:

  1. Configure autenticação em dois fatores sempre que possível. Este recurso adiciona uma camada extra de segurança, exigindo mais do que apenas a senha para acesso às suas contas.
  2. Evite realizar cadastros em sites e promoções de procedência duvidosa. Quanto mais lugares armazenam seus dados, maior o risco de exposição indevida. Uma base de dados, quando comprometida, pode ser utilizada por criminosos em ataques de engenharia social bastante convincentes.
  3. Desconfie de pressa e urgência em mensagens. Golpistas costumam criar um ambiente emocional que pressiona a vítima a tomar decisões rápidas. Mensagens com apelos dramáticos ou solicitações financeiras imediatas devem ser ignoradas ou, no mínimo, verificadas por outro canal de contato.
  4. Utilize gerenciadores de senhas. Em vez de repetir senhas fracas, essas ferramentas geram e armazenam códigos complexos com segurança, dificultando o acesso indevido às suas contas.
  5. Monitore frequentemente suas contas bancárias e redes sociais. Atividades incomuns podem ser os primeiros sinais de que suas informações foram comprometidas.
  6. Evite salvar senhas e dados de cartão em navegadores ou aplicativos desconhecidos. Ainda que prático, esse hábito facilita a ação de programas maliciosos instalados sem o seu conhecimento.

Caso ocorra uma fraude, é fundamental reunir imediatamente todos os registros da comunicação com o golpista, comprovantes de transferência e prints de conversas. Dirija-se à delegacia mais próxima ou registre o boletim de ocorrência online. Essas informações são valiosas tanto para a investigação quanto para eventual responsabilização dos envolvidos.

Proteger-se exige atenção constante, mas é perfeitamente possível navegar no ambiente digital com segurança, desde que se adote uma postura preventiva e consciente. Segurança online não é apenas sobre tecnologia, mas sobre comportamento.