Desafios e recomendações na gestão de risco de terceiros no setor bancário e financeiro

Como muitos já descobriram, fornecedores de tecnologias podem melhorar tanto a qualidade dos processos corporativos como dos serviços ou produtos comercializados – e ainda reduzir custos. Contudo, como as instituições financeiras muitas vezes operam sob regulamentações e expectativas mais rígidas no mercado, elas nem sempre conseguem acompanhar o ritmo de outros segmentos.

Isso não é por acaso: bancos e instituições financeiras desempenham um papel crítico na segurança de toda a sociedade. Canais de pagamento confiáveis, combinados com proteções robustas contra lavagem de dinheiro e fraude, ajudam a manter a economia dinâmica e competitiva. Além disso, consumidores esperam que seus saldos estejam seguros e disponíveis.

É natural supor que fornecedores interessados em fazer parte deste ecossistema trabalhem em um nível de segurança que não comprometa a confiança das empresas e consumidores, mas isso não é algo que vai acontecer espontaneamente.

As fintechs, embora tenham trazido diversas inovações em serviços financeiros, frequentemente devem seu crescimento acelerado a uma grande cadeia de fornecedores. Os riscos assumidos na construção dessas infraestruturas, antes incomuns no sistema bancário, vêm chamando a atenção de reguladores conforme a relevância dessas empresas aumenta.

Não é possível, portanto, escapar do desafio de assegurar que os fornecedores estejam atuando de acordo com as normas de segurança que as instituições financeiras precisam. Aliás, o ideal é colaborar com os fornecedores para que eles possam evoluir continuamente, acompanhando mudanças regulatórias.

Como muitos fornecedores exigem algum nível de acesso a dados ou de conexão com a rede corporativa, programas de gestão de risco cibernéticos de terceiros (TPCRM) são críticos para o negócio, principalmente no setor financeiro.

Quais são os desafios?

Em resumo, algumas das principais complexidades que envolvem TPCRM no setor financeiro e bancário são:

1. Assegurar que fornecedores implementam as medidas de segurança necessária, de acordo com a relação deles para com o negócio;
2. Gerenciar riscos associados a serviços ofertados através de parceiras (também chamado de “banking-as-a-service”, ou “BaaS”);
3. Avaliar de forma correta os riscos emergentes de infraestrutura compartilhada e migração para a nuvem.

Assegurar a adoção das medidas de segurança apropriadas em fornecedores está no cerne da gestão do risco cibernético de terceiros. Invasores descobriram que prestadores de serviço podem ser uma porta de entrada para um alvo mais valioso, de modo que as empresas devem se certificar de que seus fornecedores estejam alinhados em termos de cibersegurança.

Este é um assunto muito amplo para um único post. Nos Estados Unidos, o Federal Reserve, a Federal Deposit Insurance Corporation (FDIC) e o Office of the Comptroller of the Currency (OCC) lançaram um documento bastante completo com recomendações para todos os tipos de relação com terceiros (acesse o PDF de 68 páginas).

No Brasil, algumas regulamentações já apontam a responsabilidade das instituições financeiras sobre os serviços prestados por terceiros (caso do artigo 20 da Resolução n° 4.557/17), mas é mais difícil encontrar uma lista de boas práticas recomendadas nos moldes do que tem sido preparado por reguladores no exterior.

A próxima questão, gerenciar os riscos associados a serviços ofertados através de parcerias, também se tornou importante aos olhos de reguladores. É uma prática que permitiu que bancos expandissem seus serviços, atendendo um número maior de clientes, e também incentivou as fintechs a não construir uma infraestrutura própria para serviços bancários — algo que alguns bancos compreensivelmente enxergam de forma positiva. Por consequência, esse tipo de arranjo está se tornando mais comum.

No Brasil, a Resolução CMN n° 4.935/2021, que trata da contratação de correspondentes bancários, deixa claro que a instituição contratante é que assume toda a responsabilidade pelo serviço.

Nos Estados Unidos, as mesmas instituições já mencionadas também trabalham juntas nessa questão (Federal Reserve, FDIC e OCC). No fim de julho, as agências norte-americanas lançaram uma nota conjunta (PDF) sobre os “arranjos com terceiros para prestar serviços e produtos de depósito bancário”.

A nota alerta os bancos de que um parceiro “pode ser incentivado a promover crescimento de um modo que não está alinhado às obrigações regulatórias do banco” e que “múltiplos níveis de terceirização e subcontratação, em que o banco não tenha contratos diretos […] podem criar entraves para a capacidade do banco de identificar, avaliar, monitorar e controlar vários riscos”.

Por fim, o desafio na migração para a nuvem reflete a complexidade da infraestrutura de TI já existente. Com cartões de crédito e pagamentos online, as instituições financeiras desempenharam um papel fundamental para todos os outros negócios que atualmente prosperam na web. Evidentemente, muitos sistemas foram construídos e provisionados ao longo dos anos para tornar isso possível – e migrar toda essa infraestrutura não é fácil.

Serviços em nuvem nem sempre são um paralelo exato ao que as empresas já possuem – ou não é economicamente viável realizar uma migração dessa forma, o que exige cuidados. Reguladores também se preocupam com o risco sistêmico da nuvem, já que ela poderia levar a um cenário em que alguns poucos provedores são responsáveis por todos os canais financeiros de um país… ou até do mundo.

Em junho, o Banco Central Europeu lançou a primeira versão de um documento que traz recomendações para “terceirização de serviços de nuvem para provedores de serviços de nuvem”. Entre outras sugestões, o texto destaca os riscos de concentração e “lock-ins” – quando não é fácil migrar para outra plataforma ou modalidade de serviço.

Nos Estados Unidos, o Departamento do Tesouro está colaborando com o Conselho de Coordenação do Setor de Serviços Financeiros (FSCC) para lançar uma série de guias. O primeiro, “Questões e considerações na migração para a nuvem“, diz que instituições financeiras nem sempre conseguem negociar cláusulas contratuais específicas com os provedores de nuvem, de modo que são necessárias algumas estratégias para garantir a conformidade com a regulamentação do setor.

A Resolução 4.893/21 trata desse mesmo tema no Brasil e estabelece uma série de requisitos que devem ser observados pela instituição contratante. Algumas condições – como a existência de parceria do Banco Central do Brasil com a instituição supervisora no país do prestador do serviço – podem dificultar ou até inviabilizar a contratação de certos provedores de nuvem.

A questão da responsabilidade

Parece que os reguladores são unânimes nisso: uma instituição financeira pode ser responsabilizada por problemas decorrentes da atuação de parceiros ou prestadores de serviço.

A FDIC, nos Estados Unidos, foi ainda mais longe em uma série de slides, afirmando que “o conselho de diretores e a alta gerência são responsáveis por administrar as atividades conduzidas através da relação com terceiros como se fossem da própria instituição”.

Embora seja possível que as regulações caminhem para outra direção – flexibilizando os encargos e transferindo parte da responsabilidade para os terceiros –, instituições financeiras não podem se eximir da gestão de riscos de terceiros se quiserem se manter competitivas, relevantes e eficientes. Contratos ou outras garantias por escrito não bastam, em especial quando os terceiros também subcontratam e lidam com suas próprias complexidades.

A solução é trabalhar ao lado dos parceiros e assegurar uma postura de segurança consistente em todo o seu ambiente – que deve abranger também a infraestrutura compartilhada com terceiros.

O que vem a seguir?

Um sistema financeiro sólido é crítico para toda a atividade econômica. Bancos podem desempenhar um papel ativo na formulação das regras que estão para a relação com terceiros e devem buscar fazê-lo.

Algumas agências que citamos aqui regularmente publicam seus documentos para consulta pública. Lidar com regulamentações é sempre desafiante, mas a recompensa por desenhar e aderir a regras eficientes é um ambiente mais seguro para todo o setor. Por isso a importância de contribuir quando surge uma oportunidade.

Fora isso, manter um programa de gestão de risco cibernético de terceiros robusto é essencial, como muitos reguladores já deixaram claro. Tudo que a empresa consegue aprender no contexto desse programa, irá orientar suas próximas decisões – não apenas em TI, mas em todo o negócio – e criar um legado de segurança a longo prazo.