1

FIAP
ESTUDOS DE CASOS COM CIO DE MERCADO
MBA Gesto de Segurana da Informao

Estudo de Caso 1: O risco da TI nos Negcios e Estudo de Caso

(DETECO DE FRAUDES EM UM BANCO)

ANA P. KAWAKAMI RM 49314

DIMITRI FURLAN RM 47961
EDIO DE OLIVEIRA RM 48848
EDMILSON GONZALLES RM 49121
MARCELO CARO RM 48772
RODRIGO PIERETTI RM 48898

Prof. Nivaldo Tadeu Marcusso

SO PAULO
2016

SUMRIO
INTRODUO..............................................................................................................3
1. RISCO OPERACIONAL EM TECNOLOGIA............................................................4
2. FRAUDES FINANCEIRAS.......................................................................................4
3. FRAUDES ELETRNICAS E PELA INTERNET.....................................................4
4. GESTO DA FRAUDE FINANCEIRA......................................................................5
4.1. PREVENO DA FRAUDE FINANCEIRA....................................................4
4.2. PREVENO DE FRAUDES ELETRNICAS E PELA INTERNET.............4
5. DETECTAO DA FRAUDE FINANCEIRA.......................................................... 5
6. CONCLUSES......................................................................................................10
7. REFERNCIA BIBLIOGRAFICA............................................................................11

INTRODUO
A fraude financeira pode ser definida como o ato de agir de m f com a
finalidade de lesar financeiramente outro agente, este outro agente podendo ser
uma pessoa, empresa, organizao ou governo.
A fraude financeira pode ser cometida por uma nica pessoa ou por um
grupo, porm basicamente duas maneiras de a fraude financeira acontecer:
mediante a alterao de dados e o desvio de numerrio.
As empresas de auditoria so importantes pesquisadoras do tema fraude,
sejam internas ou externas. Segundo relatrio de pesquisa da auditoria KPMG
(2009), 69% das empresas admitiram ser vtimas de algum tipo de fraude. Na
pesquisa bianual feita pela PWC (2009) constatou-se que no Brasil em 2009 houve
aumento de 27% nos casos de fraude financeira comparado ao ano anterior.
De acordo com levantamento feito com 16 bancos nacionais e internacionais
com operaes no Brasil foram perdidos no ano de 2010 aproximadamente R$ 1,5
bilhes devido s fraudes financeiras documentais cometidas por terceiros contra os
clientes destes bancos. As perdas com fraudes bancrias eletrnicas superaram os
900 milhes neste mesmo ano.
Para evitar fraudes financeiras muitas empresas adotam a mxima restrio
s informaes crticas e at mesmo restrio a ambientes. Os resultados da
pesquisa Unisys Security Index (2011) mostram que 79% dos entrevistados no
mundo todo afirmam que deixariam de se relacionar com uma organizao que no
garantisse a segurana de seus dados e 55% tomariam uma ao legal contra a
empresa. De acordo com a mesma pesquisa o custo mdio anual para uma
organizao mitigar apenas o crime virtual de U$$ 5,9 milhes.

1. RISCO OPERACIONAL EM TECNOLOGIA

As perdas por risco operacional relacionadas tecnologia ou sistemas so as
perdas decorrentes da falha destes sistemas, da indisponibilidade de infraestrutura e
recursos de TI que interrompem os negcios. A falta de manuteno, a incapacidade
de atendimento da demanda, a inadequao do sistema aos processos, falhas de
processamento, a indisponibilidade de sistemas, a falta da criao de backups ou
planos de contingncia so exemplos de risco de operacional em tecnologia. Em
todos estes riscos esto includos os equipamentos, os softwares, aplicativos ou
infraestrutura para comunicao e energia.
O risco tecnolgico qualquer situao onde os sistemas no cumprem sua
finalidade de prover informaes para quem toma deciso, com total confiabilidade e
em tempo real. O risco tecnolgico tambm o risco das atividades serem
interrompidas devido a problemas nos sistemas de processamento de dados,
relacionados energia e comunicao.
Tambm podem ser considerados riscos tecnolgicos os erros de programao,
m uso do software ou se o software no adequado para aquela empresa; se a
empresa utiliza mais que um sistema e eles no se integram, assim como sistemas
vulnerveis a invases de pessoas no autorizadas ou sistemas obsoletos.
Os equipamentos podem ser considerados parte do risco tecnolgico. As falhas
podem acontecer no hardware, ficando indisponvel o processamento e transmisso
dos dados. O disco rgido pode ser comprometido por vrus e se perderem
informaes importantes se no existir um backup.
Os bancos tm muito de suas operaes automatizadas, desta forma, esto
expostos a riscos de falhas de seus sistemas, seja de relacionamento com clientes,
seja interno, gerando um risco de confiabilidade de informaes e continuidade de
seus negcios.

2. FRAUDES FINANCEIRAS
A fraude um risco operacional, desta forma deve ser gerida. So crimes que
permanecem em grande parte na tecnologia, oferecem meios mais sofisticados, os
processos tortuosos favorecem o surgimento at mesmo de grupos organizados de
fraudadores.
Existem muitos tipos de fraudes e de e caracterizar a fraude. As fraudes por
funcionrios ou desapropriao de ativos e a fraude em demonstraes financeiras.
A fraude por funcionrios pode envolver o roubo de dinheiro ou estoque. O roubo
de ativos o tipo de fraude mais comum. Pode ser por meio de esquemas com os

pagamentos, reembolsos de despesas, muitas vezes existe a participao de dois

ou mais funcionrios.
Nesta categoria podem ser includos os funcionrios que agem como cmplices
de pessoas de fora da empresa para fraud-la. As fraudes em demonstraes
financeiras so caracterizadas pela omisso ou alterao intencional de relatrios
financeiros, ou seja, a manipulao, alterao ou falsificao de demonstraes
financeiras ou documentos que do suporte a elas.
Para a sabotagem foram definidos dois tipos de ocorrncia, a quebra de
equipamento e deleo de dados. De maneira geral quem pratica a sabotagem tem
a inteno de obter algum benefcio, por isso se distingue do vandalismo. A
sabotagem seria o ato de danificao ou destruio de equipamentos, dados e
informaes. O outro tipo de fraude seria a venda de servio no autorizado e o
roubo de informao ou propriedade. O roubo de informaes pode ser para uso
prprio ou de terceiros e por fim a fraude financeira.
Podemos classificar a fraude financeira em quatro grandes categorias: Fraude
Bancria, Fraude de Seguros, Fraude de Ttulos e Commodities e Outras fraudes
relatadas.
A Fraude Bancria seria qualquer ao consciente ou tentativa de esquema para
fraudar a instituio financeira ou para obter dinheiro, crditos, ativos, valores
mobilirios ou outros bens de propriedade, custdia ou controle da instituio
financeira por meio de falsas pretenses ou promessas.

3. FRAUDES ELETRONICAS E PELA INTERNET

As fraudes eletrnicas cometidas por terceiros em bancos so as que envolvem
clonagem e adulterao de cartes bancrios fraudes por qualquer meio e as
fraudes pela internet so as fraudes onde a internet foi o principal meio para que ela
acontecesse, como o roubo de senhas para violao de contas bancrias,
numerao de cartes ou dados dos clientes, em outras palavras, a fraude
eletrnica e pela internet visam violar contas e cartes bancrios.
Nos cartes bancrios existe uma srie de possibilidades de fraudes, desde a
duplicao da faixa magntica (fraude eletrnicas) at o bloqueio, no computador
(fraude pela internet), das listas de cartes de crdito roubados ou perdidos.
De acordo com a PWC (2011) Cyber crime um crime econmico cometido
usando o computador e internet. Incluindo distribuio de vrus, download arquivos
ilegais, phishing, pharming e roubo de informaes pessoais, por exemplo, roubo
de dados bancrios. Somente pode ser chamado de cybercrime se um computador,
ou computadores e a internet tm um papel central no crime, e no um acessrio.
Considerando Amrica Latina e Caribe os pases mais afetados pela fraude em

cartes de crdito so Brasil, Mxico e Caribe. Estes trs somam cerca de 80% da
fraude Visa na regio. As principais economias, Brasil e Mxico, foram identificadas
para a iniciativa de controle de riscos internacionais da Visa.
Sobre os tipos de fraude em cartes a perda, roubo e falsificao so a maior
parte, sendo a falsificao 35% do total. A falsificao na Amrica Latina merece
ateno, pois nas outras regies este nmero no passa de 20%.
No ser possvel prosseguir sem o esclarecimento de alguns conceitos que so
tratados como tipos de ataques, ou cybercrimes. As definies so tcnicas,
utilizadas no mercado. Sobre estes tipos de ataque Almonte (1997) lista alguns
deles:
Phishing: uma tentativa de confundir as pessoas para que forneam suas
informaes confidenciais, como o nmero de CPF e senhas. Geralmente, essas
tentativas utilizam e-mails ou mensagens instantneas aparentemente legtimas,
combinados com websites falsos, para fazer solicitaes fraudulentas de
informaes.
Pharming: uma tentativa de enganar os usurios da Internet roubando o nome
de domnio ou a URL de um website e redirecionando seus visitantes para um
website falso, pelo qual so feitas solicitaes fraudulentas de informaes.
Password sniffing: O processo de capturar ativamente pacotes de informaes
de uma rede selecionada. A espionagem obtm todo o trfego da rede,
independente do endereo para onde os pacotes estejam endereados. Trata-se de
um mtodo de recolher senhas monitorando os pacotes de dados no trfego de uma
rede para tirar informaes que podem interessar a algum. So softwares que
realizam esta atividade automaticamente, eles podem ser comprados ou
programadores podem fazer seu prprio software. Isto no significa que quem o usa
sempre tem ms intenes, porm pode ser uma ameaa. Qualquer senha digitada
na rede est vulnervel ao sniffing.
Masquerading: Trata-se de uma tcnica para traduo de endereos, ele
permite que uma rede ou um host com IP que no existe se comunique com a
internet atravs de um servidor vlido, que pode traduzir ou mascarar este IP
invlido com o IP vlido do servidor que est sendo utilizado.
Eavesdropping: Significa que uma comunicao est sendo interceptada, no
somente pela internet, mas rdio, telefone ou qualquer transmisso privada. Uma
forma de evitar o eavesdropping a criptografia da mensagem.
IP spoofing: Uma tcnica usada por um invasor para ganhar o acesso no
autorizado rede a um sistema de computador ou a uma rede forjando credenciais
conhecidas da rede. O spoofing de IP um mtodo comum usado por invasores
para ganhar acesso no autorizado a sistemas de computador ou rede. Trata-se
da troca do IP original por outro, um IP se passa por outro. Por meio do IP Spoofing

o fraudador pode tirar proveito de hosts confiveis e entrar em mquinas onde no

exigido senha.
Data didling: Trata-se da mudana dos dados. Esta mudana pode acontecer
antes, durante ou depois da entrada destes dados no sistema. Por exemplo, antes
da entrada dos dados no sistema os documentos poderiam ser falsificados ou
alterados ou a troca de discos e fitas vlidos por outros modificados.
Denial of service: So ataques de negao de servio, ou seja, o fraudador
utiliza um computador para tirar de operao outro computador ou servidor
conectado internet. Este tipo de ataque pode acontecer de diferentes maneiras,
dentre elas a sobrecarga no processamento de dados, a gerao de grande trfego
de dados para uma rede ou tirar o provedor de funcionamento. Todos estes ataques
vo impedir que o usurio consiga usar o servido, deixando a rede indisponvel.
Social engineering: A engenharia social no est apenas relacionada ao
ambiente de internet, mas tambm est nele. Neste caso o fraudador usa suas
habilidades verbais para enganar e convencer a vtima, tendo acesso facilitado a
diversas informaes confidenciais. Nas empresas ele tambm pode se fazer de
funcionrio e pegar informaes que os demais por descuido podem ter deixado
sem a proteo necessria.
Spyware: Trata-se de um programa invasor. Ele entra no computador sem
autorizao do usurio e fica oculto fazendo mudanas, gravando informaes ou
deixando o computador extremamente lento.
A fraude em cartes tambm tem seu vocabulrio prprio como, por exemplo, o
Skimming que a captura no autorizada e transferncia de dados de pagamento
para outra fonte, para fins fraudulentos. A fraude em cartes pode acontecer por
meio do comprometimento em massa de dados de cartes, pela clonagem no carto
reimpresso ou o correspondente pode fazer lavagem de cupons. Uma
vulnerabilidade dos cartes a tarja magntica que pode ser facilmente copiada,
pois seus dados so estticos.
Quando a fraude pela internet a maior ameaa est do lado de fora da
empresa. De acordo com o grfico 6, 46% das mais de 3000 empresas
respondentes da pesquisa da PWC (2011) afirmaram que a maior ameaa do
cybercrime so os fraudadores externos. Os prximos tpicos vo apresentar mais
informaes sobre estes tipos de fraude e fraudadores.

4. GESTO DA FRAUDE FINANCEIRA

Gerir a fraude significa ter estratgias que possam identificar fraudes existentes e
evitar que novas fraudes aconteam. Inicialmente necessrio que seja designado
um responsvel ou um departamento responsvel para este trabalho. Por meio
deles a organizao vai procurar entender quais so os tipos de risco de fraude que
a ameaam, saber quem a comete, como e quando acontece e quanto se perdido.
Identificadas estas variveis sero definidas metas e a monitorao da performance
em avaliaes peridicas da escala de ameaa de fraude. Durante a monitorao
ser possvel identificar quais so as medidas mais efetivas e focar mais recursos
nelas.
Quando o assunto a fraude uma ao recomendada o trabalho em conjunto
com outras organizaes que sofrem os mesmos tipos de problemas. No caso dos
bancos e financeiras brasileiros este trabalho uma realidade, sendo realizado por
exemplo, atravs das Comisses de Combate Fraude da FEBRABAN, da
Comisso Base de Inconsistncia da Associao Nacional das Instituies de
Crdito, Financiamento e Investimento e tambm, existe desde 2009 um acordo de
cooperao entre a Polcia Federal e a FEBRABAN para montagem de um banco de
dados, os bancos que aderiram encaminham online as informaes sobre as fraudes
que sofreram.
So muitos os benefcios de se trabalhar juntos contra a fraude, as boas prticas
podem ser divididas e a troca de informaes pode acontecer de forma mais
eficiente. As organizaes participantes podem desenvolver habilidades, sistemas e
um escopo mais consistente juntas, podendo testar tambm a consistncia das
informaes passadas por clientes, alm do benefcio de se construir confiana e
entendimento entre elas.
Alm do trabalho em conjunto, para lidar com as fraudes importante impor
sanes para casos acontecidos, como mover aes penais e de recuperao de
ativos. preciso avaliar a efetividade destas sanes, investigar os casos e
esclarec-los por completo usando para deteco vrios mtodos diferentes,
cruzando informaes e as confirmando.

4.1. PREVENO DA FRAUDE FINANCEIRA

Todo programa de preveno fraude deve comear pelo comprometimento
do topo da empresa, que vai implementar e seguir um cdigo de tica e conduta.
O sistema de controles internos deve ser claro e os funcionrios devem ser
constantemente treinados para cumpri-lo. As organizaes devem aderir
prtica de verificar o histrico dos funcionrios, dos fornecedores e dos clientes e
divulgar a todos as consequncias para um ato de fraude. Assim ser possvel
criar uma cultura antifraude, fortalecer os controles e a conformidade com as
normas internas.
4.2. PREVENO DE FRAUDES ELETRNICAS E PELA INTERNET
Para a preveno, uma medida tomada no nvel administrativo em algumas
instituies foi a criao de comits de processamento de dados. Em outras
procuram separar definitivamente funes que nos centros tradicionais de
processamento de dados se confundem com as partes de desenvolvimento, de
manuteno dos sistemas e de operao. Algumas empresas fizeram alteraes
que colocaram a parte de entrada de dados hierarquicamente separada da de
operao. Tambm tem dado maior nfase s auditorias de processamento de
dados, outras empresas ainda comearam a restringir ambientes. Em 1982
comearam a aparecer produtos desenhados especificamente para combater
fraudes por computador: Imaspzap, Incorzap, Command (CMD), Spy, Debugger.

5. DETECTAO DA FRAUDE FINANCEIRA

Uso de softwares como ferramenta de trabalho, a realizao de auditorias
internas e externas, criao de uma forma de receber denncias e seguir as
suspeitas. Pode ser disponibilizado um telefone de ligao grtis ou e-mail para
receber estas denncias e divulg-los, deixando claro que o informante no precisa
se identificar e de que maneira sero tratadas determinadas fraudes, alm da
existncia de um departamento que monitore os casos de fraude e suas
possibilidades.

10

Medidas de deteco da fraude devem ser separadas pela origem interna ou

externa. Para detectar fraudes internas todos os funcionrios devem ser obrigados a
sarem em frias, as reconciliaes bancrias devem ser feitas frequentemente, as
contas bancrias no utilizadas devem ser fechadas e as informaes prestadas
pelos fornecedores devem ser checadas.
Para detectar a fraude externa devem ser realizadas diligncias em qualquer
parte terceira que se associar ao negcio, sejam clientes, fornecedores, novos
parceiros etc. Deve existir esforo para conhecer o cliente e suspeitar de algumas
red flags comuns como a residncia do cliente ser fora da rea ou muito distante da
companhia, suas aes so inconsistentes com os objetivos que ele diz ter com o
negcio, grandes movimentaes financeiras sem explicao.
Podem ser implementados controles para evitar e detectar a engenharia social,
como a destruio de documentos, acesso controlado a informaes sensveis,
gerenciamento de identificao e senhas, controle de acesso de visitantes e o uso
de computadores fora da companhia. Outras aes podem ser teis para descoberta
de mais red flags como as auditorias surpresa, ouvir reclamaes de clientes e
fornecedores, relatrios e anlise financeira.

6. CONCLUSES

11

Este trabalho procurou discutir a fraude financeira, que so os atos voluntrios

que podem lesar financeiramente outros agentes. As principais fraudes financeiras
tratadas neste trabalho foram os referentes alterao ou falsificao de
documentos, as fraudes cometidas via internet, como a perpetrao em ambientes
virtuais e as fraudes eletrnicas que utilizam alteraes e manipulao de sistemas
eletrnicos.
Estas fraudes podem ser internas, cometidas por funcionrios, externas,
cometidas por terceiros sem relao trabalhista com a organizao, ou mistas, onde
existe cumplicidade entre pelo menos um agente interno e outro externo. As fraudes
financeiras externas foram escolhidas como foco do trabalho.
As fraudes financeiras externas podem acontecer em qualquer tipo de
organizao, porm os bancos so os principais alvos destes fraudadores pela
natureza do seu negcio: a movimentao financeira. Conforme foi verificado nesta
pesquisa, entre todos os setores, apenas os bancos e seguradoras tem mais
incidncia de fraudes externas que fraudes internas.
Espera-se que este trabalho contribua de alguma forma para a continuidade na
discusso sobre fraudes financeiras e que possa contribuir com todas as
Organizaes, no somente bancos, que pretendam implementar ou ampliar
programas de gesto da fraude.

7. REFERNCIA BIBLIOGRAFICA

12

http://cartilha.cert.br/seguranca/

http://www.comptechdoc.org/independent/networking/guide/netip
masq.html

http://revistas.fee.tche.br/index.php/indicadores/article/view/1659/
2027

https://portal.febraban.org.br/

https://www.pcisecuritystandards.org/documents/skimming_preve
ntion_IS.pdf

http://www.serasaexperian.com.br/release/indicadores/cheques_d
evolvidos.htm

http://www.marcosassi.com.br/fraudes-de-r-900-mi-estimulambancos-a-investir-em-seguranca