O papel do OpenGateway na luta contra o cibercrime

A cada nova notícia de cibercrime, o ecossistema de inovação volta a discutir a importância da segurança em cadeia. Um dos últimos ataques ocorridos ao Pix, por exemplo, foi feito à uma empresa ligada ao Banco Central, a C&M Software, e resultou em prejuízos estimados em mais de R$ 500 milhões. Diante disso, as operadoras de telefonia também tem se posicionado como parte integrante na proteção às organizações e ao consumidor final.

A posição vem depois de muito trabalho e desenvolvimento das três maiores operadoras do país, Claro, Tim e Vivo, em parceria com a GSMA, associação mundial de operadoras de redes móveis, para utilizar os dados em prol da verificação do usuário. De acordo com Ariane Rovalis, especialista em Data Analytics da Claro Brasil, o esforço começou há cinco anos, dentro de casa, com a organização de dados e criação de novos produtos para auxiliar nessa verificação.

O problema acontecia quando eles chegavam nos clientes. “Dado o caráter de multioperadoras brasileiras, quando a gente ia para o cliente, ele não conseguia escalar, porque não conseguia falar com toda a sua base dele.”

A percepção ocorreu junto com o início de um projeto liderado pela GSMA para padronizar o ecossistema de conectividade móvel. A ideia, baseada no conceito de OpenFinance, logo ganhou o nome de OpenGateway e, com início na Europa, reuniu mais de 200 operadoras ao redor do mundo, incluindo as brasileiras.

A partir de então, todas as APIs foram desenvolvidas em padrões definidos pela Camara, entidade que hospeda as “APIs de serviço”, e pela TMForum, que desenvolve “APIs de Operação”, facilitando a contratação de qualquer serviço. Atualmente, o projeto conta com 37 APIs. Na Claro, segundo Ariana, sete já foram desenvolvidas e estão em funcionamento, mas o plano é que mais cheguem ao mercado em breve.

No cenário global, o Brasil foi o segundo país a lançar mundialmente todas as APIs multioperadoras, ficando atrás apenas do Sri Lanka. Por uma escolha das próprias empresas, ainda levando em conta o cenário nacional, todas as tecnologias foram produzidas em conjunto e estão disponíveis em todas as organizações.

Leia mais: “Estratégia não muda”, diz diretora da Amazon Brasil sobre possível taxação de big techs no país

A seleção levou em conta os tipos de fraude que ocorrem no país, que possuem um caráter maior de engenharia social. “Trabalhamos muito nessa questão do dado cadastral para tentar barrar esses tipos de golpe, com a verificação dos números, dentro da LGPD e garantindo a anonimização do usuário”, contou.

Durante sua palestra realizada no Hacktown, evento de inovação de Santa Rita do Sapucaí, a especialista trouxe alguns cases de como esse auxílio no combate ao cibercrime tem ocorrido na prática. Muito procurados pelo setor financeiro, a empresa aumentou o nível de experiência dos clientes do Itaú por meio das APIs Know your costumer (validação cadastral), number verification (autenticação silenciosa de identidade móvel), sim swap alerta (verificação sobre a troca recente de simcare) e tenure & reciclyng (verificação de tempo de posse da linha e plano móvel).

A combinação de todas as frentes faz com que o usuário passe por diversas confirmações de sua identidade ao entrar no aplicativo do banco ou realizar uma compra, mas ainda assim, sem precisar validar sua senha em todas as etapas. Já o Nubank utilizou os novos serviços da operadora para ajudar a criar o score de crédito de seus clientes mais novos.

“Se você é um jovem universitário, provavelmente você ainda não tem o cartão de crédito, ou ainda mora com seus pais, então não tem conta no seu nome, mas você tem um número na operadora que tá há cinco anos contigo”, exemplificou Ariane.

Além dos bancos, as APIs também tem sido utilizadas como uma forma de validação para redes sociais. O TikTok, por exemplo, exige que seus clientes confirmem a própria identidade a cada três dias, a depender da frequência de acesso do usuário ao aplicativo. O processo para fazê-lo, no entanto, demorava cerca de dois minutos, tempo médio alto para as novas gerações. Foi então que a companhia decidiu realizar o procedimento de forma mais silenciosa, com a verificação do número de telefone em cinco segundos.

O passo dado em conjunto, além de melhorar a experiência, traz novas camadas de proteção para mais uma ponta do ecossistema de tecnologia. E, apesar de não garantir negócios, assegura que os clientes que queiram contratar o serviço possam fazê-lo por todo o território nacional. “No dado a gente não é concorrente, todo mundo vai precisar de todas as bases”, finalizou a especialista.