Sede do Banrisul em Porto Alegre.

O Banrisul pode processar a Kaspersky Lab, multinacional russa de soluções de segurança, pelo que considera a divulgação de informações falsas sobre um ataque hacker sofrido pelo banco estatal do Rio Grande do Sul no ano passado.

A polêmica está correndo desde o começo de abril, quando a Kaspersky divulgou durante um evento mundial da companhia, o caso de um banco brasileiro que teria sofrido um “ataque relâmpago” em outubro de 2016, durante o qual teve sequestrado os “serviços bancários online e móveis da organização por várias horas”.

Durante a apresentação, Dmitry Bestuzhev, diretor Kaspersky Lab, deu a pista que o banco atacado seria uma "uma instituição de médio porte com cerca de US$ 25 bilhões em ativos, mais de 500 agências e presença no Brasil, na Argentina, nos Estados Unidos, e nas Ilhas Cayman".

O perfil foi publicado pela revista americana Wired, que trouxe uma matéria a fundo sobre o ataque, tal e como descrito pela Kaspersky.

Com base nas informações sobre o tamanho e no fato do Banrisul ter divulgado um ataque de porte muito menor no mesmo mês de outubro, sites especializados como o Adrenaline, além da empresa de segurança SSL Store e fórum web WebHosting Talk associaram o ataque ao Banrisul.

A área de segurança da informação do G1 chegou a trazer um levantamento indicando que no país apenas o Citibank (se considerar apenas Brasil), Banco Votorantim e Banrisul possuem ativos no patamar indicado, sendo que dos três só o Banrisul tem um número suficiente de agências.

De forma mais preocupante para o Banrisul, a Zero Hora, o principal jornal diário do Rio Grande do Sul e não um canal especializado, traz uma matéria sobre o assunto na sua edição de hoje.

O Banrisul reconhece apenas que o seu domínio de Internet foi comprometido por um ataque ao Registro.br, permitindo  aos atacantes recomendar aos clientes do banco um arquivo de segurança falso, visando roubar senhas.

O ataque não chegou a comprometer dados de correntistas e tampouco causou prejuízos, garante o banco.

“Houve uma tentativa de ataque. A empresa foi irresponsável porque a informação é improcedente. Já estamos tomando medidas judiciais para proteger a marca, os clientes e os acionistas”, afirmou à Zero Hora um alto executivo não identificado do Banrisul.

Procurada pelo Baguete, o Banrisul foi menos duro em uma nota dizendo apenas que “está analisando a adoção de medidas legais cabíveis”.

A análise não é só conversa, no entanto, uma vez que o banco menciona na sua resposta estar analisando "especialmente" o “tipo penal previsto no artigo 3º da Lei 7492”.

A chamada Lei do Colarinho Branco define crimes contra o sistema financeiro nacional, incluindo, no seu artigo terceiro, a divulgação “falsa ou prejudicialmente incompleta sobre instituição financeira”.

A Kaspersky Lab se defende afirmando que não fez qualquer referência a alguma organização em específico e que não comenta especulações ou conclusões de terceiros.

Ser o mais sensacionalista possível sobre os riscos de segurança enfrentando pelos seus clientes e potenciais clientes reunidos em um evento mundial é, claro, totalmente dentro dos interesses da Kaspersky, que vende software para prevenir esse tipo de situação (de forma oposta, minimizar o problema é o problema principal do Banrisul).

No entanto, existe um limite do que a Kaspersky pode saber sem ser prestadora de serviço do Banrisul (caso fosse, provavelmente a empresa teria assinado infinitos NDAs). 

A tática de divulgar ataques sem menções a nomes, aliás, uma prática comum entre as empresas desse segmento, só funciona se as empresas atacadas tiverem uma margem para não se darem por aludidas.

O caso se torna mais grave ainda para um banco, um tipo de empresa altamente regulada que depende da confiança dos seus correntistas para estar no mercado.

Pode ser que dessa vez, a Kaspersky tenha perdido a mão.

Talvez tenha influenciado na decisão da Kaspersky de correr o risco (influenciar um pouco uma série de bancos no mundo todo pelo preço de incomodar muito um) o fato da América Latina ser relativamente inexpressiva no faturamento na empresa, ficando em 7% do total, estagnado nos últimos anos na faixa dos US$ 600 milhões.

Mesmo assim, a região vinha em alta, tendo sido transformada na na sétima unidade de negócios autônoma da companhia no final de 2016.