Os órgãos reguladores bancários norte-americanos (Federal Deposit Insurance Corporation (FDIC), the Board of Governors of the Federal Reserve System (Board), e Office of the Comptroller of the Currency (OCC)) aprovaram, recentemente (17/11), uma nova regra que exige aos bancos a notificação de incidentes de segurança significativos em até 36 horas, sendo que seu impacto será avaliado com base nas suas operações, na entrega de produtos e serviços bancários, ou se atingirem a estabilidade do setor financeiro dos Estados Unidos.
A Computer-Security Incident Notification Final Rule estabelece que provedores de serviços bancários também deverão notificar clientes “o mais rápido possível” se um ataque cibernético os afetou materialmente ou se possui probabilidade de afetá-los por 4 ou mais horas.
Como exemplo, incidentes que precisam ser reportados incluem ataques de negação de serviço (DDoS) de larga escala, que cortariam o acesso da conta do cliente aos serviços bancários ou incidentes cibernéticos que derrubariam as operações bancárias por um extenso período de tempo.
De acordo com o Computer-Security Incident Notification Final Rule, “incidentes relativos à segurança computacional podem ser causados por malwares destrutivos ou softwares maliciosos, assim como por falhas não maliciosas de hardware e software, erros causados por colaboradores, entre outros”.
Ainda, o documento explica: “Ataques cibernéticos que visam o setor financeiro aumentaram em frequência e severidade nos últimos anos. Estes ataques podem adversamente afetar dados e sistemas das organizações financeiras e, em última análise, a capacidade de retomar suas operações”.
Por isso, a nova regra emitida tem como objetivo aumentar a conscientização sobre ameaças emergentes às organizações bancárias e ao sistema financeiro norte-americano. Desse modo, as agências reguladoras dos EUA conseguirão reagir às crescentes ameaças antes que se tornem algo sistêmico.
Assim, a Computer-Security Incident Notification Final Rule permitirá que as agências sejam informadas sobre os ataques cibernéticos mais significativos em momento oportuno, enquanto evitam reportes burocráticos e desnecessariamente difíceis de serem realizados, visto que a regulação em questão não exige avaliação do incidente para cumprir requisito da notificação.
Sobre a autora
Milena Pappert é advogada, especialista em Direito Digital pela Escola Paulista de Direito. Cursou Ciência da Computação para Advogados em Harvard, e tem conhecimento na linguagem de programação Solidity para confecção de Smart Contracts. Milena é certificada em ISFS pela EXIN e em Sistemas Integrado de Gestão de Compliance e Antissuborno pela ABNT.
