EM FOCO
Claudia da Costa Bonard de Carvalho
Opinião de Claudia Costa Bonard de Carvalho.
Professora, Advogada Criminal e Fundadora da Criminal Compliance Business School (CCBS).
março, 2021.
Foi noticiado, recentemente, pela imprensa que o CEO da área de cybersegurança da empresa espanhola TELEFÔNICA foi despedido por conta de contratações fraudulentas com fornecedores[1], em desacordo aos preceitos de seu código de ética, o que foi descoberto após investigações internas.
Cumpre destacar que a área de cybersegurança das empresas tem por atividade principal detectar e mitigar a ação de cybercriminosos, sendo que, a sua arquitetura de segurança da informação, para tal objetivo, é estruturada, em grande parte, para detectar atacantes externos, utilizando-se ferramentas como scanners de portas de acesso ao sistema, bem como realizando auditorias de tráfego de dados.
No que toca ao rastreio de atividades estranhas dentro da empresa (insiders), foi desenvolvido o método UEBA (User and Entity Behavior Analytics)[2], para identificar comportamentos atípicos de colaboradores na rede, como violações de privilégios de acesso, downloads desnecessários de um volume grande de dados, acesso remoto em local incomum, o que, de acordo com as métricas inseridas no sistema, trará indicativos de fraude.
Frise-se que estas tecnologias são empregadas também nas modernas investigações internas (forensics), realizadas por grandes empresas de auditoria do mercado, de modo a apurar indícios de criminalidade corporativa, nos programas de Compliance.
O que dizer, então, quando uma fraude parte de quem justamente opera esse sistema de informação? Certamente esta pessoa não praticou nenhuma destas atitudes suspeitas na rede interna e nem precisaria disto para cometer delitos.
Trata-se de hipótese clássica, relacionada às modernas teorias da criminalidade econômica, tendo em vista que a fraude ora noticiada diz respeito à conduta de alto executivo de uma empresa, que certamente entendeu ser vantajoso realizar as referidas contratações, e conhecia as possibilidades de sucesso de seu objetivo, dentro dos trâmites administrativos da empresa.
Logo, a inteligência artificial ora empregada no Compliance Digital de uma empresa apenas obterá red flags limitados de criminalidade, como possíveis vazamentos de dados pessoais, mas não poderá auditar outras questões que se relacionam a delinquência corporativa, como telefonemas ou reuniões fora de pauta, com clientes, as quais também devem ser consideradas.
Verifica-se, desta forma, que a análise preditiva de comportamentos por modernos softwares de investigação é importante, mas não será suficiente para que uma empresa possa rastrear, de forma ampla, focos de criminalidade em seus quadros e atividades.