Quem é responsável por um roubo no Internet Banking via "0-day exploit" no cliente?

[Number One]

Senhores,

Estive em um ciclo de palestras promovido pelos profissionais do escritório Opice Blum em São Paulo há poucos dias. Como trabalho em um banco, o foco foi exatamente este do tópico em questão, com exceção do "0-day exploit" - não houve essa especificação.

Como trabalho em uma área que foge ao tema, não estava tão bem informado sobre essas questões, mas o fato que mais me chamou a atenção é que os Tribunais e Primeiras Instâncias começaram a virar o jogo. Se antes o banco era tido como único responsável financeiro pelo dano, as coisas começaram a mudar. Agora os usuários, pela má gestão de seus sistemas, começaram a ser responsabilizados, ou seja, nestes casos de fraude em que o sistema do usuário está desprotegido, a Justiça brasileira está responsabilizando o usuário, e não mais o banco. É um enorme avanço no critério Justiça.

Claro que ainda vejo o banco como a parte que disponibiliza um meio inseguro para uso e movimentação de contas, mas este fator aos poucos está sendo superado, cabendo ao usuário se certificar da segurança dos meios que utiliza para gerir suas contas.

Sei que tem umas jurisprudências interessantes sobre o caso, se eu as encontrar postarei aqui.

Abraços!

NumberOne

[belchior]

Bom para mim vem dos 3
do ladrão de executar e do Usuario de não prevenir e do banco de não proteger
Esses roubos vem aumentando a cada dia, todos acham uma vulnerabilidade em um script, o banco tem q se informar melhor e deixar seus dados bem ocultos fazendo assim um acesso 100% seguro
Lembrando 99% é mto para profissionais desse ramo executar transferencias de contas


Bye

[fgp]

Bom para mim vem dos 3
do ladrão de executar e do Usuario de não prevenir e do banco de não proteger

aí que mora a razão desta enquete existir.
depois que a fraude acontece, o que fazemos?

o cliente manda o banco pra justiça, o banco por sua vez diz que não é responsável pelas tranqueiras que o cliente põe em sua máquina.

o cliente diz que desconhecia fatores técnicos (e não tem pra que conhecer) e que confiou na propaganda do banco que dizia que tranzações pela internet é rápido, barato e seguro.

jogamos a culpa no ladrão, prendemos ele por X anos e o dinheiro que o cliente perdeu?

[belchior]

Concerteza o banco deve ter Logs de Segurança que indicarão pra onde foi transferido esse valor, e logo devolvendo, para o cliente a quantia perdida nesse Roubo.

Acontecendo isso o Banco podera trabalhar para que isso não aconteceça novamente

-1 problema para o banco eu acho

Falow^^

[Number One]

O banco só é responsável por, nesta história, ter o maior poder econômico.

O usuário irresponsável não é considerado culpado por ser considerado um "lesado".

O ladrão é vítima da sociedade desigual e injusta.

O programador é inocente porque não elaborou o programa pensando no seu uso para fins ilícitos.

É isso aí, viva o Brasil! Por isso que tem empresa que chega aqui, investe um monte e depois larga tudo pra trás só pra poder ir embora.

Abraços!

NumberOne

[J.Augusto]

(...)Agora os usuários, pela má gestão de seus sistemas, começaram a ser responsabilizados, ou seja, nestes casos de fraude em que o sistema do usuário está desprotegido, a Justiça brasileira está responsabilizando o usuário, e não mais o banco.(...)

Quem sabe, uma dedução, pela maior quantidade de sistemas pirateados por ai, que são utilizados... (XPiratão) - (Updates) - (proteção) + (SoftsPiratas) + (bobagens na WWW) = usuário culpado.

(...)O usuário irresponsável não é considerado culpado por ser considerado um "lesado".(...)

Acrescentaria... Desinformado.

[Number One]

Acrescentaria... Desinformado.

Nem sempre desinformado, o Direito brasileiro é muito paternalista, muito pró-menos-abastado.

Muitos usuários sabem muito bem que é arriscado abrir arquivos desconhecidos, que o software pirata não proporciona garantias etc. Mas ele sabe também que lá no fórum vai ter um cara sentado atrás de uma mesa que vai olhar; ele de um lado, pseudo-desinformado, e do outro o advogado do banco, engravatado, sapato lustrado, pasta de couro na mão e vai pensar, "antes errar deste lado do que daquele, pois se eu errar contra o banco ninguém vai vir me chamar de vendido" e complementará o pensamento "não fará falta ao banco". Pronto, sentença dada, usuário irresponsável feliz, bandido desconhecido à solta, programador safado à solta, banco - representante do poder econômico - condenado ao ressarcimento + danos morais + correção monetária + 100% do valor do ressarcimento se este foi postergado para discussão da lide e o banco fora condenado a efetuá-lo...

E assim vamos indo, sem qualquer observância do que realmente interessa: pegar os bandidos!

Abraços!

[Security Mirim]

Bom, desculpe se vou chocar a opinião geral, (But ...!)

Na minha opinião a culpa é ...
Só de quem realizou o ataque!

O banco que assuma os prejuizos!
(É mais barato arcar com os preujizos em caso de ataques à desvio das contas de clientes, do que implementar um bom nivel de segurança!)

Ao, programador!
Dêem um premio! (Alguns milhares de doláres! E quem sabe um emprego melhor!)
Um talento a ser explorado em prol de algo útil!
Ah, as vezes ele até reportou o problema ao fabricante, que nada fez pra corrigir o problema! (Não era viavél financeiramente!)

E se não fossem, aos 0-days, pra que eu ficaria correndo atras de um problema que eu desconheço?

"Liberdade de expressão! Deixa eu falar filho da PU**!" (Raimundos!)

Afinal, eu devo ser responsabilizado apenas por que eu falei que "1+1" a pilha de processamento, irá causar um estouro na pilha de processamento, que me levará ao poderes de gozar de privélgios em sistemas (Alheios ou não!) ... ?????

Se eu quiser falar que 1+1= KBUM! Acho que é o direito de qualquer cidadão!

Até aonde eu saiba, pessoas continuam criando armas mais poderosas, bombas atômicas, mas não são presas por isso! Mais quem mata ...

Quanto ao cliente ...
Oh, sim! Esquecemosss ... que o mesmo deve ser um super "geek/guru" em computadores, redes e pecados em informática!
(Se a estrutura compremetida foi a dele, e isso que possibilitou que alguem obtesse seus dados, para ações fraudulentas, sorry baby! O mundo é cruel e o mais importante de tudo, CAPITALISTA!)

0-days poderiam ser evitados, se ....
houvesse um maior investimento em $$ (TI)

:)

[ALIG_wicked]

tah claro como o sol...
eh o ladrao ! q executou o exploit e se beneficiou dele

[Number One]

O banco que assuma os prejuizos!
(É mais barato arcar com os preujizos em caso de ataques à desvio das contas de clientes, do que implementar um bom nivel de segurança!)

Se for invasão ao sistema do banco, com desvio dos recursos, ok! O banco que assume os prejuízos. Agora, se o usuário não consegue guardar seus dados seguros, o que tem o banco a ver com isso?

Ao, programador!
Dêem um premio! (Alguns milhares de doláres! E quem sabe um emprego melhor!)
Um talento a ser explorado em prol de algo útil!
Ah, as vezes ele até reportou o problema ao fabricante, que nada fez pra corrigir o problema! (Não era viavél financeiramente!)

Pois é, é isso que eles querem. Serem reconhecidos pelo ato criminoso de divulgar um método de lesar o próximo. É um criminoso, diria até mais, é a mente criminosa que estimula o ladrãozinho a praticar os crimes. Deveria ter pena maior pela apologia ao crime.

Espera com seus crimes obter o reconhecimento de uma grande empresa para ter seu "talento" explorado... Por favor!

Quanto ao cliente ...
Oh, sim! Esquecemosss ... que o mesmo deve ser um super "geek/guru" em computadores, redes e pecados em informática!
(Se a estrutura compremetida foi a dele, e isso que possibilitou que alguem obtesse seus dados, para ações fraudulentas, sorry baby! O mundo é cruel e o mais importante de tudo, CAPITALISTA!)

Nos contratos de Internet Banking os clientes se declaram aptos a utilizarem seus sistemas de forma segura. Portanto, assumem os riscos da utilização insegura do sistema via internet para movimentação da conta-corrente.

Abraço!