Não há dúvida de que a cada avanço tecnológico que facilita a vida das pessoas e melhora o desempenho dos negócios — como é o caso do desenvolvimento do e-commerce e dos pagamentos digitais — também são aprimorados os crimes cibernéticos. São ameaças reais, e de consequências graves para a operação e a reputação das empresas, que podem perder recursos financeiros e credibilidade aos olhos de seus clientes. Essa dinâmica perversa das ciberfraudes requer atenção a um ponto fundamental de proteção: o compliance.
Ocorre que, para estar à frente dos criminosos, as empresas precisam adotar estratégias de compliance que tenham uma perspectiva ampla, combinando aculturamento e criação de camadas de proteção dos sistemas potencialmente vulneráveis desenhadas especificamente para aquele negócio. Na avaliação de alguns críticos, esse tipo de estratégia pode até parecer exagerada — um certo "overcompliance" —, mas ela é fundamental a essa altura do século 21. A questão vai muito além de simplesmente estruturar proteção dos sistemas: trata-se de reforçar a governança, aspecto que diferencia as empresas que não vão muito longe das que têm tudo para se tornar perenes.
Um compliance robusto, customizado e consistente — embora possa demandar mais investimentos financeiros, de tempo e de recursos humanos — afasta a empresa dos produtos de prateleira. Essa proteção massificada, além de muitas vezes não atender aos propósitos de proteção daquele negócio especificamente, pode dar aos stakeholders a impressão de que a ação é superficial, feita apenas para cumprimento de normas dos órgãos reguladores e para marketing.
Abordar o compliance nessa perspectiva mais particular de cada empresa, no entanto, não significa abrir mão das ferramentas tecnológicas, aliadas essenciais na preservação da integridade dos sistemas. Tome-se o exemplo os pagamentos de e-commerce. Um sistema antifraude se baseia em ferramentas (como algoritmos e aplicações de inteligência artificial) para analisar as transações de pagamento em tempo real e determinar o seu nível de confiabilidade. Com isso, ele pode bloquear as operações suspeitas, alertar os usuários sobre possíveis golpes e permitir as operações legítimas. No caso de pagamentos, o sistema antifraude funciona de forma integrada com a plataforma de gateway (o serviço que conecta os vendedores aos meios de pagamento online), verificando se cada transação é segura ou não. Um funcionamento eficiente dessas camadas de proteção evita, por exemplo, os indesejáveis estornos de pagamento, que causam prejuízos financeiros e de reputação.
De qualquer maneira, por mais eficientes que sejam esses mecanismos protetivos, o compliance não é matéria 100% feita de tecnologia, não é algo binário. Sem contato humano, o compliance simplesmente não roda.
Atualmente, existe uma grande interação nas companhias entre equipes Antifraude e Prevenção à Lavagem de Dinheiro, criando um ecossistema chamado de FRAML (FRAUD+AML) em que, em diferentes tempos, tratam de temas similares, inclusive com proteção e incentivo de reguladores. O que, de certo modo, futuramente, pode se concretizar como um "open compliance", tal qual já existe o "open finance", que certamente gerará muito mais maturidade a qualquer sistema financeiro, inclusive o global, em decorrência das operações em block chain e ativos virtuais.
Diante desse contexto, as empresas que buscam estar preparadas para enfrentar crimes cibernéticos precisam estar cientes de que cultura de compliance é algo perene, contínuo e orgânico. Mudam as necessidades dos clientes, novos golpes surgem e são alteradas as exigências legais. Daí a relevância de um compliance que seja o oposto da massificação, daqueles produtos de prateleira que prometem resolver de uma vez — e a baixo custo — todos os problemas de segurança cibernética.
Não existe, portanto, "overcompliance". Há, sim, falta de diálogo com as linhas de defesa montadas com foco específico no negócio. Isso é o que sustenta o diferencial das empresas genuinamente preocupadas com proteção.
Alison Dorigão Palermo, diretor de Compliance da Nuvei para a América Latina.