Por: GASA (Global Anti-Scam Alliance)

As fraudes digitais tornaram-se uma epidemia mundial. Estima-se que os consumidores de todo o mundo perderam 55 mil milhões de dólares devido a fraudes digitais. O trauma social e emocional não pode sequer ser medido. Em muitos países, as fraudes digitais são o tipo de crime mais denunciado, como no Reino Unido, onde 41% de todos os crimes denunciados estão agora relacionados com fraudes digitais, e 50% em Singapura.  

Além disso, essa perda é provavelmente uma subestimação grosseira, uma vez que apenas 7% de todas as fraudes digitais são sequer denunciadas. Porque somente 0.05% de todos os cibercriminosos são pegos, e novas tecnologias, como o Deep Fakes e o ChatGPT, estão a dificultar cada vez mais a identificação de fraudes por parte dos consumidores e das autoridades policiais, as fraudes digitais continuarão a crescer e a prosperar.

Os governos e as empresas de segurança estão, em grande parte, concentrados na luta contra o "grande cibercrime" que visa as (grandes) empresas e as infra-estruturas nacionais. No entanto, isto ignora o fato de que as fraudes online também estão prejudicando os consumidores e diminuindo sua confiança na economia digital global, que agora representa 15,5% do PIB mundial. Esta situação é inaceitável, e é necessário fazer mais para proteger os consumidores em todo o mundo.

No 3ª Global Anti Scam Summit, realizada em novembro passado, 1.300 participantes (virtuais e físicos) formularam coletivamente 10 recomendações para melhorar a proteção dos consumidores contra fraudes globais. Este documento resume essas recomendações e tem como objectivo inspirar as instituições internacionais e os governos nacionais a tomarem medidas para tornar a Internet mais segura para todos.

No 4.ª Global Anti Scam Summit, definiremos mais detalhadamente cada uma das dez recomendações para inverter a tendência das fraudes.

1. Aumentar a consciencialização dos consumidores a nível nacional, de forma unificada e contínua

Por quê: Na maioria dos países, não existe uma estratégia nacional única para conscientizar os consumidores sobre o que são fraudes, como se proteger contra elas e como denunciar fraudes digtiais. As campanhas para educar e aumentar o conhecimento sobre esquemas fraudulentos geralmente são fragmentadas entre órgãos governamentais e setores. Essas iniciativas geralmente assumem a forma de apelos únicos e pontuais, sem uniformidade na abordagem, e geralmente aconselham ações que estão desatualizadas (como verificar o certificado SSL ou as avaliações dos consumidores). Seu impacto geralmente não é avaliado cientificamente e, portanto, permanece desconhecido.

Como: vários estudos foram realizados para medir a eficácia do treinamento em engenharia antissocial. Eles enfatizam a importância da interatividade (gamificação), do contato com o usuário, do foco em um tipo específico de golpe e da educação contínua. É necessário um programa unificado, nacional e contínuo de conscientização com base nas práticas recomendadas internacionais, incluindo a educação desde a escola primária até os lares de idosos, em que os resultados sejam cientificamente comprovados e financiados de forma centralizada em parceria com o setor.

Quem: o estabelecimento de uma Parceria Público-Privada (PPP) nacional com a participação do governo, autoridades policiais, proteção ao consumidor, financeiro, telecomunicações, Internet e setores relacionados representa um curso de ação racional. Essa abordagem oferece vantagens para todas as partes interessadas, promovendo um ambiente de uso da Internet mais seguro para os consumidores e aproveitando o "poder de marketing" coletivo para aumentar a conscientização. Notavelmente, a iniciativa Friends Against Scams (Amigos Contra Fraudes) no Reino Unido representa um exemplo de prática recomendada nesse domínio. Esse programa treinou mais de um milhão de cidadãos usando a abordagem altamente bem-sucedida "Train the Trainer" (Treine o Treinador).

2. Facilitar uma plataforma nacional, fácil e on-line de relatórios

Por quê: em todo o mundo, estima-se que apenas 7% de todos os golpes são denunciados. As causas variam. Desde um sentimento de vergonha por parte da vítima até o fato de não saber onde denunciar um golpe (assim como a conscientização, as denúncias de fraudes geralmente estão espalhadas por várias partes interessadas). Da mesma forma, muitas vítimas acham que a denúncia não faz diferença ou é muito complicada. Em muitos países, certos tipos de fraudes precisam ser denunciados a órgãos específicos (polícia, autoridades financeiras ou autoridades do consumidor) e a denúncia de fraudes on-line não está disponível. A triste realidade é que muitas vítimas não conseguem denunciar um golpe, pois as autoridades se recusam a registrar a reclamação, alegando que a vítima "deveria ter percebido melhor".

Como: A Internet Crime Complaint Center (IC3) do FBI e a Action Fraud no Reino Unido são organizações que demonstram as práticas recomendadas para a denúncia nacional de fraudes e crimes cibernéticos. Embora a Action Fraud tenha sido citada negativamente nos noticiários recentemente por sua execução deficiente e pouca "ação", a Action Fraud, juntamente com o CIFAS e o UK Finance, tornou a denúncia de crimes cibernéticos mais acessível e aumentou a conscientização política de que a fraude on-line se tornou o crime número um no Reino Unido. A Federal Trade Commission e o FBI obtiveram o mesmo resultado nos EUA. Em geral, os consumidores desses países podem denunciar fraudes on-line de forma centralizada e fácil, embora sempre seja possível melhorar o processo de denúncias.

A facilidade de denúncia tem vários efeitos positivos. Além de dar poder às vítimas de golpes, ela também oferece uma plataforma para que as vítimas avisem rapidamente outras pessoas sobre vendedores duvidosos. As denúncias de golpes podem ser rapidamente transformadas em alertas de golpes, permitindo que os provedores de serviços derrubem sites e servidores. A polícia holandesa, por exemplo, oferece uma lista de sites duvidosos. Antes de ser processado formalmente, um site é adicionado a essa lista depois de receber três denúncias formais.

Quem: National Consumer Cyber Security Center of Police Anti-Scam Comment (consulte a recomendação 6).

3. Estabelecer suporte interorganizacional para as vítimas de fraude

Por quê: As fraudes são o único crime em que você cai. A associação com a fraude on-line ainda é de que a culpa é da vítima. No entanto, à medida que os golpistas se tornam mais avançados na aquisição de alvos, na tecnologia e na metodologia criminal, ficou dolorosamente claro que qualquer pessoa pode ser enganada. O golpe certo só precisa encontrar a pessoa certa no momento certo. É essencial que a vítima não seja culpada, mas sim o criminoso. Ajudar as vítimas de golpes não é apenas humano. É essencial ajudar as vítimas a se tornarem cidadãos contribuintes novamente e evitar que sejam alvo de golpistas novamente, pois acabam nas "listas de burros" dos criminosos cibernéticos.

Como: As vítimas de fraudes precisam receber o mesmo apoio que as vítimas de qualquer outro crime em todos os níveis (desde os municípios até o nível nacional) e de todas as perspectivas (recuperação de dinheiro, social/psicológica e técnica, por exemplo, oferecendo ferramentas gratuitas de proteção contra fraudes e limitando as opções de transferência bancária). Um helpdesk de suporte a fraudes pode ajudar as vítimas a encontrar as organizações certas em relação a todos os aspectos da fraude e, idealmente, um helpdesk que não apenas direcione a vítima aos vários provedores, mas que também assuma um papel ativo no "processo de recuperação".

Quem: A parceria público-privada nacional sugerida em nossa primeira recomendação pode assumir a liderança se não houver uma organização de apoio à vítima. Nos países em que há uma organização de apoio às vítimas, recomenda-se ampliar seu estatuto e apoio financeiro. Recomenda-se também o uso de voluntários. Muitas vítimas de golpes que se recuperaram gostariam de ajudar outras vítimas a se reerguerem também. As melhores práticas são a iniciativa The Cyber Helpline no Reino Unido, Fraudehelpdesk na Holanda e IDcare na Austrália.

4. Desenvolver ferramentas de infraestrutura para proteger os consumidores

Por quê: embora aumentar a conscientização sobre golpes seja importante e útil, pesquisas recentes mostram que o aumento da conscientização, por si só, não reduz a vitimização. Não se pode mais esperar que os consumidores identifiquem todos os golpes sozinhos. A regra "se é bom demais para ser verdade, provavelmente é" não se aplica mais à medida que os golpistas profissionalizam suas táticas. Novas tecnologias, como Deep e ChatGPT são ferramentas necessárias e medidas preventivas para oferecer proteção adicional aos consumidores.

Como: várias ferramentas comerciais são oferecidas para alertar, filtrar ou bloquear golpes on-line. Algumas empresas de antivírus, como a F-Secure e a Trend Micro, oferecem um conjunto completo de proteção contra fraudes em celulares e desktops. Da mesma forma, um número cada vez maior de escolas e corporações integra a proteção contra fraudes em seus filtros de Internet usando os serviços de fornecedores como NetSweeper e DNSfilter. A proteção em nível de infraestrutura é necessária devido ao fato de que os consumidores geralmente deixam de usar e atualizar esses produtos, se é que os compram.

Quem: O Centro Nacional de Segurança Cibernética do Consumidor (consulte a recomendação 6) pode estabelecer uma proteção contra fraudes no nível da infraestrutura da Internet para proteger os consumidores em estreita cooperação com os provedores de serviços de telecomunicações e Internet. Exemplos de práticas recomendadas são o Anti-Phishing Shield da Bélgica, o Quad9, um resolvedor de DNS suíço sem fins lucrativos, e o navegador antifraude de Taiwan. O resolvedor de DNS europeu pode ser uma alternativa futura para proteger os cidadãos na Europa.

5. Tornar a fraude rastreável em nível internacional

Por quê: A Internet foi criada para facilitar a comunicação global, não para torná-la anônima. Embora os indivíduos tenham direito à privacidade, as empresas não têm, pois fornecem produtos e serviços a consumidores e empresas. O atual Regulamento Geral de Proteção de Dados (GDPR) foi levado longe demais, protegendo mais os criminosos do que os consumidores, apesar da intenção original. Os princípios do GDPR e a promoção do direito individual à privacidade não devem dar aos criminosos a capacidade de operar nas sombras. De fato, as rigorosas leis do GDPR reduzem o acesso a informações e dados públicos que podem ser usados para ajudar a prevenir ou interromper atividades criminosas. Além disso, os principais princípios do GDPR são proteger os consumidores de empresas e criminosos que coletam seus dados pessoais sem o conhecimento e a permissão do indivíduo. Com as alterações relevantes no GDPR, esse princípio pode coexistir com a troca robusta de informações para evitar o crime cibernético.

Como: É necessário um equilíbrio mais eficaz entre a aplicação da lei e a proteção da privacidade. A legislação existente do GDPR deve ser modificada para distinguir entre empresas e pessoas. Se um serviço ou produto é vendido, os dados são corporativos, mesmo que a pessoa que opera a empresa ou fornece o produto ou serviço seja um indivíduo. No papel de uma empresa, deve ficar claro quem está vendendo um produto ou serviço, incluindo formas diretas de contato com essa entidade. Na prática, isso significa o restabelecimento dos dados WHOIS (a serem substituídos pelo RDAP) para garantir que o proprietário de um domínio possa ser identificado.

No entanto, isso não deve se limitar a um domínio. Toda a cadeia de valor necessária para vender produtos ou serviços deve aplicar o KYC e tornar transparente quem é a parte ofertante. O mesmo se aplica a contas de vendedores em mercados e mídias sociais. Da mesma forma, é fundamental poder identificar a organização que enviou um pacote (a origem do remetente é especialmente importante na identificação de produtos falsos) e ver o site e o nome da empresa que debitou sua conta no extrato do cartão de crédito.

Quem: cada parte da cadeia de valor tem sua associação global do setor que pode facilitar o rastreamento de fraudes, por exemplo, ICANN para domínios, União Postal Universal para pacotes, União Internacional de Telecomunicações para mensagens de texto, etc. Se o setor não agir, a legislação (inter)nacional é a próxima etapa lógica.

6. Estabelecer um centro nacional dedicado à segurança cibernética do consumidor

Por quê: a maior reclamação com relação à Action Fraud do Reino Unido e, em menor grau, ao IC3 do FBI, é a falta de ação. Esse é um problema geral na maioria dos países. Apesar de facilitar as denúncias, o consenso geral é que, normalmente, pouca ação é tomada. Na maioria dos países desenvolvidos, menos de 1% da aplicação da lei está concentrada no combate ao crime econômico e as agências não têm as habilidades digitais para combater adequadamente o crime digital.

Como: Muitos países criaram um Centro Nacional de Segurança Cibernética para proteger a infraestrutura nacional e os setores vitais. Infelizmente, os interesses dos consumidores foram negligenciados quando deveriam receber o mesmo nível de proteção. Para combater os golpes on-line de forma eficaz e eficiente, é essencial uma centralização dos escassos recursos e habilidades de segurança cibernética. Sugerimos que a organização faça parte da polícia nacional, mas, como muitos dos conjuntos de habilidades necessários se sobrepõem aos do Centro Nacional de Segurança Cibernética, também recomendamos que as organizações alocadas sejam unidas em uma espécie de centro de fusão. Além disso, como as organizações comerciais estão lutando para contratar os mesmos especialistas, recomenda-se que especialistas do setor comercial (bancos, operadoras de telecomunicações, empresas de segurança cibernética, etc.) também sejam incluídos. Uma excelente prática recomendada é o Singapore Anti-Scam Command (Comando Anti-Fraudes de Singapura), em que todas as partes interessadas se reúnem fisicamente, possibilitando o bloqueio de contas bancárias, números de telefone e endereços IP em tempo real para proteger os cidadãos de Singapura contra golpes.

Quem: é função do governo nacional estender o estatuto do Centro Nacional de Segurança Cibernética ou da polícia nacional, ou criar uma entidade separada voltada para o crime cibernético que visa os consumidores, e disponibilizar os recursos necessários. Essa unidade não apenas recebe todos os dados referentes a golpes (recomendação 2), mas também pode desenvolver as habilidades para investigar, prevenir e aplicar a lei em nível nacional.

7. Estabelecer um Centro Global de Compartilhamento de Dados sobre Fraudes

Por quê: o crime cibernético não tem fronteiras. Os golpistas profissionais, em sua maioria, não praticam o crime em sua própria região ou país. Muitas vezes, eles dispersam suas atividades em dezenas de países para permanecerem "invisíveis" para as autoridades locais e nacionais. Somente com o compartilhamento de dados sobre golpes, as redes de golpes podem ser identificadas mais rapidamente.

Como: os dados sobre golpes relatados nacionalmente precisam ser compartilhados globalmente para encontrar ameaças e sinais comuns. Isso exige não apenas a criação de padrões globais de troca de dados, mas também a remoção de barreiras para o compartilhamento de dados. Reconhecemos que esse é um processo sensível e longo. No curto prazo, o compartilhamento de dados não privados, como endereços IP e domínios relacionados a golpes, já é possível. Em casos de lavagem de dinheiro (Money Laundering, ou ML), os dados relacionados à privacidade já são compartilhados, embora muitas vezes por meio de processos lentos e complicados. A mesma importância dada aos crimes de lavagem de dinheiro também deve ser dada aos golpes on-line. Além disso, o processo de aprovação do compartilhamento de dados deve ser reduzido de dias, semanas ou meses para minutos ou poucas horas, pois a velocidade é essencial tanto em casos de lavagem de dinheiro quanto de fraude. O importante é que as informações não se limitem à aplicação da lei. Fontes confiáveis, como bancos, provedores de serviços de Internet e empresas de segurança cibernética, também precisam ter acesso a esses dados para identificar ou evitar fraudes.

Quem: Os centros regionais poderiam ser o FBI/FTC nos EUA e a Europol na UE. Internacionalmente, a Interpol já está gerenciando 19 bancos de dados policiais com informações sobre crimes e criminosos. Manter, além disso, um banco de dados agregado de fraudes denunciadas, coletadas pelos centros nacionais de denúncia de crimes cibernéticos, seria uma escolha lógica.

8. Tornar os provedores de serviços responsáveis pela viabilização de fraudes

Por quê: os golpistas usam a Internet da mesma forma que as empresas. Eles precisam de nomes de domínio, servidores, canais de marketing e plataformas de pagamento para cometer seus crimes. Embora todos os provedores de serviços sofram com o uso indevido por criminosos cibernéticos, alguns provedores permitem o uso indevido muito mais do que outros, devido à sua estratégia de preços (baratos) e à falta, ou até mesmo à completa ausência, de processos de Know Your Customer (KYC). No passado, a denúncia e a vergonha provaram não ser suficientes. Alguns provedores simplesmente não se importam. A introdução de um nível mínimo de KYC pode ter um impacto positivo significativo. O Registro dinamarquês, DK Hostmaster, por exemplo, introduziu a exigência de apresentação de um documento de identidade antes de poder registrar um nome de domínio .dk. Como resultado, o número de lojas on-line suspeitas de violações de direitos de propriedade intelectual usando um nome .dk caiu 85% em apenas um ano.

Como: Faça com que cada provedor de serviços, seja ele um agente de registro, um registro, uma empresa de hospedagem, uma plataforma de mídia social, um método de pagamento (por exemplo, cartões-presente), uma bolsa de criptomoedas ou outras partes, seja responsável por impedir o uso indevido de sua plataforma. Assim como na Diretiva NIS 2, cada provedor de serviços pode determinar o nível de aplicação do KYC, no entanto, um padrão objetivo é definido para o uso indevido máximo de sua plataforma. Por exemplo, se 3% de todos os domínios forem considerados maliciosos, as empresas que hospedarem 6% de domínios maliciosos em comparação com sua participação no mercado poderão ser responsabilizadas pelos danos causados por seus clientes. Da mesma forma, uma plataforma de mídia social que é continuamente denunciada como parte da cadeia de fraudes deve ser responsabilizada. Isso vai até a Internet das coisas (IOT): cada vez mais consumidores usam dispositivos IOT, como Alexa, geladeiras inteligentes e outros. A segurança cibernética deve fazer parte de qualquer serviço de Internet oferecido.

Quem: O Global Scam Data Sharing Hub terá os dados para tornar transparente quais provedores de serviços estão continuamente listados no topo das plataformas mal utilizadas. As organizações nacionais de aplicação da lei e de proteção ao consumidor podem usar os dados agregados coletados pelo Global Scam Data Hub como base para levar os provedores de serviços aos tribunais.

9. Permitir ação preventiva (avisar, bloquear, parar)

Por quê: responsabilizar os provedores de serviços também significa dar a eles a liberdade de agir em relação ao (possível) uso indevido de seus serviços por golpistas. Os golpes não são preto no branco. Por exemplo, uma loja on-line que não entrega produtos por seis semanas e tem um número crescente de reclamações de consumidores sem nenhuma resposta pode ser uma fraude. Entretanto, na realidade, também pode ser um pai solteiro com dois empregos diários e um filho doente. Os provedores de serviços não são "policiais da Internet", mas devem agir de acordo com os sinais que indicam que sua plataforma está sendo usada indevidamente.

Como: Os provedores de serviços devem receber proteção legal contra a responsabilidade de seus clientes, se seguirem um procedimento claro para evitar abusos. Caso o abuso não seja 100% claro, três medidas podem ser tomadas.

1. Avisar o cliente sobre o possível uso abusivo do ativo.

2. Se o abuso não for interrompido ou se nenhuma resposta (clara) for dada, o provedor poderá bloquear o usuário avisando os usuários finais (por exemplo, usando uma "tela vermelha", como o Google e a Microsoft já fazem para phishing e malware) ou tornando o serviço temporariamente indisponível.

3. Por fim, se o problema continuar sem solução e nenhuma ação for tomada pelo proprietário do ativo abusivo, o serviço abusivo poderá ser totalmente derrubado.

Quem: os provedores de serviços podem determinar seus próprios processos e padrões e usar seus próprios Termos e Condições para evitar responsabilidades. O motivo pelo qual os provedores de serviços devem agir é o fato de serem responsabilizados pela viabilização de fraudes se não monitorarem e melhorarem suficientemente sua própria plataforma (consulte a recomendação 8). O benefício para os provedores de serviços é ter a reputação entre seus clientes e fornecedores de que estão fazendo o possível para tornar a Internet um lugar mais seguro para os consumidores.

10. Criar uma rede internacional de investigação e acusação de golpes

Por quê: Os golpistas trabalham globalmente, muitas vezes em vários países. Na maioria dos países, a fraude (on-line) é passível de punição, mas as penalidades geralmente são leves em comparação com outros crimes. Roubar uma bicicleta avaliada em US$ 250 pode resultar em uma punição mais severa do que roubar US$ 250.000 de uma pessoa idosa por meio de um golpe romântico on-line. Alguns crimes, como o de "mula de dinheiro", quase não são punidos. Combinado com as baixas chances atuais de ser preso, o crime cibernético compensa.

Como: Cada ator da cadeia de fraudes deve ser punido mais severamente, inclusive as mulas de dinheiro e os facilitadores. Dirigir o "carro da fuga" depois de roubar um banco também é facilitar o crime. Os poderes executivos para prender criminosos sempre estarão em nível nacional. Alguns países já criaram um tribunal especializado para lidar com os casos mais técnicos de fraudes on-line. No final, a legislação e a punição para fraudes on-line devem ser unificadas em todas as nações, para garantir que os golpistas on-line não fujam para os países com pouca ou nenhuma legislação que impeça os golpes on-line.

Quem: Com o estabelecimento de um centro global de compartilhamento de dados sobre fraudes (recomendação 7), uma próxima etapa lógica seria usar esses dados para identificar as maiores redes de fraudes e prender os chefões por trás delas. A expansão do estatuto da Europol, da Interpol e de iniciativas relacionadas, para facilitar a investigação e a apreensão de redes de golpes em estreita cooperação com as equipes nacionais de combate a golpes, é essencial para virar a maré dos golpes.

Acesse aqui o artigo original publicado na revista GASA (Global Anti-Scam Alliance).