0
0
Recentemente, a Meta concordou em pagar US$ 725 milhões para encerrar o processo de privacidade sobre o escândalo Cambridge Analytica, que ficou famoso por suposto perfil e direcionamento de eleitores durante a eleição presidencial dos EUA de 2016. As discussões sobre privacidade e uso ilegal de dados pessoais evoluíram tanto desde 2016 que Apple e Google têm se movimentado em direção a soluções mais centradas na privacidade. O Safari da Apple bloqueia cookies de terceiros por padrão, e o Chrome do Google seguirá o exemplo a partir do final de 2024. Vários navegadores de Internet focados em privacidade, como o Firefox e o Brave da Mozilla, bloqueiam a impressão digital dos usuários por padrão para preservar a privacidade online dos consumidores. No entanto, há um custo (de segurança) para o excesso de privacidade de dados, e a indústria de prevenção de fraudes on-line sofreu o impacto do aumento das ações de privacidade.
A fraude online está no noticiário há algum tempo e é responsável por várias atividades nefastas que vão desde identidades roubadas até eleições fraudulentas. Somente o roubo de identidade resultou em mais de US$ 6 bilhões em perdas financeiras para os consumidores dos EUA em 2021.
Um login online parece fácil. Ao iniciar sessão numa conta online, um consumidor introduz o seu nome de utilizador, palavra-passe e, ocasionalmente, um código de acesso único entregue no seu telemóvel ou endereço de e-mail. Mas uma complexa rede de algoritmos e humanos de primeira e terceiros trabalham em segundo plano para manter esse login seguro e livre de ataques fraudulentos. Eles analisam cada solicitação recebida e trabalham para prever a probabilidade de intenção maliciosa – talvez alguém esteja tentando assumir a conta de um usuário legítimo ou esteja planejando usar um cartão de crédito roubado para transações de comércio eletrônico.
As empresas de prevenção de fraudes online dependem dos mesmos conjuntos de dados que empresas como Apple e Google coletam, mas os usam para fins muito diferentes. Veja os cookies do navegador, por exemplo. As empresas de marketing usam uma tecnologia de rastreamento entre sites que aproveita os cookies para seguir a pegada de um consumidor na Internet. Essa tecnologia invasiva é tão preocupante que o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia determinou que as empresas buscassem permissão explícita dos consumidores ao usar qualquer coisa, exceto cookies estritamente necessários relacionados ao funcionamento geral de um site. A Apple e o Google seguiram em frente ou planejam fazê-lo com cookies de rastreamento entre sites. Mas essa medida impede que serviços de prevenção de fraudes on-line que dependem de cookies de terceiros para validar o direito do consumidor a uma conta on-line forneçam tal serviço, criando uma lacuna na segurança da conta.
O problema da regulação de escova larga
Um dos perigos de uma regulamentação amplamente definida, como a GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA), é que ela é deixada para interpretação. E o desalinhamento mais significativo dentro do setor é o que constitui “venda de dados pessoais”. Se comprovado que uma empresa estava vendendo dados pessoais sem o consentimento explícito do consumidor, as possíveis penalidades são tão graves que as empresas se esquivaram de um dos conceitos antigos de prevenção a fraudes – um consórcio. Um consórcio é um modelo em que os membros do sistema contribuem com informações sobre consumidores fraudulentos conhecidos para que outros membros possam usá-lo. Os serviços de prevenção de fraude usam cookies de terceiros para um conceito semelhante para evitar que os fraudadores ataquem seus clientes.
Esse desalinhamento coloca as empresas em desvantagem contra fraudadores online que trabalham juntos e contribuem para seu próprio consórcio, enquanto empresas legítimas, devido ao nervosismo em torno do cumprimento de várias leis, tendem a agir sozinhas.
Por causa dos sentimentos negativos sobre os cookies, as empresas de marketing estão se afastando deles. Embora alguns tenham adotado técnicas amigáveis à privacidade, como o Unified ID 2.0, a grande maioria depende de uma impressão digital online sem monitoração de estado — um identificador exclusivo gerado com base nas características do navegador, da rede e do dispositivo para o qual os consumidores não precisam fornecer permissões explícitas. Estudos mostram que esses identificadores podem não rivalizar com um cookie, mas são úteis a curto e médio prazo.
Para combater essas técnicas invasivas de privacidade, navegadores como Firefox, Brave e Tor, da Mozilla, implementaram técnicas padrão de alteração de impressão digital que impedem que o dispositivo e o navegador sejam devidamente digitalizados. Os fraudadores on-line sabem disso e aproveitam fortemente esses recursos exclusivos desses navegadores para evitar sistemas de prevenção de fraude.
Dada a eficácia das técnicas de alteração de impressões digitais usadas por alguns navegadores, os sistemas de prevenção de fraude não conseguem distinguir entre um bom usuário e um fraudador, mesmo quando ele sabe que o abuso está em andamento. Isso desencadeia uma tentativa de força bruta por parte dos sistemas de mitigação de fraude para parar o ataque, resultando em bons usuários sendo pegos na mistura. E quando isso acontece, bons usuários experimentam atritos desnecessários com os quais não estão satisfeitos.
O que é bom? O que é ruim?
Não ser capaz de distinguir entre bons e maus usuários é uma limitação que tem consequências ainda mais significativas quando as empresas configuram seus sistemas para rejeitar transações. A classificação inadequada leva à perda de receita, seja por restringir boas transações que foram classificadas como suspeitas ou por não conseguir impedir os fraudadores, levando a um estorno.
As empresas cruzaram tantos limites éticos usando técnicas de invasão de privacidade para obter lucro que os consumidores raramente reconhecem, ou mesmo sabem, como isso afeta sua segurança online quando tocam em Pedir aplicativo para não rastrear em seus iPhones.
No entanto, isso pode ser evitado. GDPR e CCPA (atualizado para a Lei de Direitos de Privacidade da Califórnia, ou CPRA, em janeiro de 2023) foram uma bênção para a prevenção do abuso de tecnologias de invasão de privacidade desenfreadas por empresas de publicidade. As mesmas leis, no entanto, precisam reconhecer o outro lado da moeda. GDPR e CPRA precisam fazer exclusões para empresas de prevenção de fraude e abuso quando se trata de usar dados pessoais, e não ser tão rigoroso que essas empresas se esquivem de usar os dados. Como estruturado hoje, esses regulamentos de privacidade realmente dão aos fraudadores uma vantagem. O uso ético dessas técnicas deve ser promovido, e a aplicação rigorosa de tais cláusulas é necessária para evitar o uso indevido. Em última análise, as regulamentações que protegem a privacidade sacrificando a identidade online e a segurança financeira são apenas metade eficazes.
FONTE: DARK READING