UNICRE: Experiências de pagamento únicas

Os próximos anos serão decisivos no que toca a proeminência que a cibersegurança terá ao nível da estratégia de negócio.

Quando falamos do sector financeiro, e da área dos pagamentos especificamente, a inovação na forma como pagamos ou utilizamos o nosso dinheiro traz consigo novos desafios à segurança e, por consequência, uma ampla necessidade de actualização das normas e boas práticas de cibersegurança. Em entrevista à Executive Digest, Nuno Abrantes, CIO da UNICRE, explica como a empresa trabalha ao nível da cibersegurança.

A área dos pagamentos, principalmente quando falamos em conceitos como contactless e online, tem sempre associada alguma ideia de risco, de segurança. A cibersegurança é uma das vossas grandes prioridades?
Desde a sua fundação, há quase 50 anos, que a UNICRE tem tido uma forte ligação à tecnologia, acompanhando a evolução de um sector financeiro cada vez mais digital e em rápida transformação – realidade inerente ao propósito de ligar pessoas, empresas e tecnologia, proporcionando experiências de pagamento únicas. Neste propósito insere-se uma preocupação constante na garantia da total segurança ao nível da oferta que disponibilizamos aos clientes (consumidores e empresas) e ao nível dos processos internos, ambas realidades onde o risco cibernético é cada vez mais premente.
Nesse sentido, a cibersegurança é – e continuará a ser – uma prioridade na UNICRE. Prioridade essa que fazemos reflectir, reitero, em todo o nosso portefólio de produtos e serviços, através do qual trabalhamos para proporcionar experiências de pagamento únicas a cada cliente e a cada empresa, onde facilidade, rapidez, comodidade e segurança são elementos-chave. No fundo, queremos que, a partir de uma estratégia de negócio assente em princípios de cibersegurança, consigamos desenvolver soluções altamente seguras do ponto de vista da sua utilização, sem que para isso comprometamos uma melhor experiência de cada cliente.
Certo é que o trabalho de cibersegurança terá de passar também, e obrigatoriamente, por uma crescente consciencialização de consumidores e comerciantes, por um lado para as potencialidades das soluções de pagamentos (ou aceitação de pagamentos) digitais, e por outro para os riscos cibernéticos, dotando-os para uma melhor resposta preventiva e reactiva a esta tipologia de risco.

Com o aumento da importância da cibersegurança, tendo em conta episódios recentes em algumas empresas nacionais, que trabalho tem sido desenvolvido para maximizar a segurança digital?
Apesar da crescente ocorrência de ataques cibernéticos a empresas em Portugal nos últimos anos ter sido um factor preponderante para uma maior actuação do sector empresarial ao nível da cibersegurança, acredito que o trabalho de maximização da segurança digital é uma constante, na medida em que a própria evolução tecnológica é também ela constante. Quando falamos do sector financeiro, e da área dos pagamentos especificamente, a inovação na forma como pagamos ou utilizamos o nosso dinheiro traz consigo novos desafios à segurança e, por consequência, uma ampla necessidade de actualização das normas e boas práticas de cibersegurança. E é por esse motivo que, na UNICRE, temos vindo a trabalhar, todos os dias, no sentido de garantir uma maior segurança dos nossos clientes e colaboradores no ecossistema digital, trabalho esse que reforçámos nos últimos anos e no seguimento da recente pandemia que “obrigou” o sector (e toda a economia) a acelerar a sua transição digital.
Concretamente, na área de Customer Support, temos vindo a trabalhar na garantia da protecção e integridade dos dados dos nossos clientes, quer clientes UNIBANCO (com quem aplicamos soluções de autenticação multifactor, regras de validação de transacções online, etc.), quer clientes REDUNIQ (com os quais colaboramos para mitigar fraudes com cartão e para aumentar os níveis de segurança das suas plataformas). Já a nível interno, estamos em permanente actualização das nossas práticas de protecção e acesso aos sistemas internos pelos nossos colaboradores, em resposta à crescente expansão dos nossos modelos de trabalho, cada vez mais orientados para um ambiente de trabalho digital, remoto e colaborativo.
Todas estas práticas são actualmente acreditadas pela certificação PCI-DSS (Payment Card Industry Data Security Standards), tornando-nos o primeiro e único acquirer em Portugal a deter esta norma de segurança internacional.

Consideram que é necessário combater o mito de que a cibersegurança é uma questão tecnológica? Temos de colocá-la ao nível do plano de negócio?
Creio que hoje essa questão se coloca cada vez menos, uma vez que as empresas e as suas respectivas lideranças estão cada vez mais conscientes do impacto que a cibersegurança pode trazer ao negócio. Se olharmos, por exemplo, para as conclusões do Global Risks Report 2023 desenvolvido pelo World Economic Forum, verifica-se que o alargamento do cibercrime e dos riscos cibernéticos representa o oitavo maior risco para as empresas em todo o mundo, tanto num horizonte a dois anos, como a 10. Perante este cenário, e olhando para a rápida transformação que tecnologias como a Inteligência Artificial estão a trazer ao mundo empresarial e à própria sociedade, arrisco-me a dizer que os próximos anos serão decisivos no que toca a proeminência que a cibersegurança terá ao nível da estratégia de negócio. Empresas que têm a estratégia de IT – onde a área de cibersegurança se insere – como um pilar da estratégia de negócio serão empresas mais competitivas e resilientes, não apenas no que à prevenção e mitigação dos riscos cibernéticos diz respeito, mas também relativamente à capacidade de adaptação e transformação da sua oferta às necessidades de usabilidade e protecção exigidas cada vez mais pelos clientes, sejam estes consumidores finais ou negócios que necessitem de soluções de aceitação de pagamentos.

De que forma deve ser implementada e desenvolvida a Gestão de Risco Tecnológico?
A gestão de risco tecnológico é uma componente essencial para garantir a resiliência operacional e a protecção dos activos digitais de uma organização, na medida em que permite identificar, avaliar e mitigar potenciais riscos associados à tecnologia. A implementação eficaz desta gestão requer uma abordagem estruturada que começa com a identificação e avaliação dos riscos tecnológicos, desde as probabilidades ao grau, seguida pela formulação de estratégias de mitigação robustas.
A monitorização constante e a revisão periódica do processo (auditorias e incidentes) são fundamentais para garantir a eficácia ao longo do tempo, sem deixar de referir a formação contínua de todos os colaboradores e a aposta numa comunicação eficaz, os dois alicerces que vão permitir promover uma cultura de segurança da informação na organização. A conformidade com as normas legais e regulamentares é um requisito não negociável em todas as fases do processo. Sem esquecer que esta gestão deve ser adaptativa por natureza, permitindo um ciclo contínuo de avaliação de risco que se ajusta ao panorama tecnológico e ao ambiente de negócios em constante evolução.

Esta confiança transmite-se para os vossos clientes e comerciantes?
No que respeita aos pagamentos digitais, mais do que um cliente conhecer quais as soluções e inovações disponíveis, importa que este reconheça o seu valor acrescentado e o nível de segurança que aportam no momento de uma transacção financeira. Para tal, são fundamentais dois passos.
Em primeiro lugar, importa aos players do sector, como a UNICRE, ter a capacidade de desenvolver produtos de pagamento digitais cada vez mais seguros e que respeitem os padrões de segurança de excelência, sem que para isso seja comprometida a experiência de utilizador. Exemplo disso é a certificação PCI-DSS, norma de segurança internacional que legitima as boas práticas de segurança de uma determinada empresa, e da qual a REDUNIQ é o primeiro e único acquirer devidamente acreditado em Portugal.
Por fim, é crucial trabalhar a questão da literacia financeira (e dos pagamentos) junto de consumidores e empresas. Infelizmente, o preconceito – e diria até mesmo o medo – continuam a ser um dos principais entraves a um maior nível de penetração das soluções de pagamento digitais no mercado português, cenário que torna ainda mais relevante e necessária a implementação de um plano de educação da população e setor empresarial para a inovação nos pagamentos e nos negócios – caminho que o Banco de Portugal coloca como prioritário na sua Estratégia Nacional para os Pagamentos de Retalho para 2025, onde refere como objectivo «reforçar a proximidade e transparência perante os utilizadores de serviços de pagamento e, de igual modo, aumentar o seu conhecimento e a sua confiança nas soluções disponibilizadas».

Como podemos lidar e potenciar a Protecção de Dados Pessoais, face a um mundo cibernético onde os nossos dados podem estar à disposição de qualquer pessoa?
Num ambiente onde os dados podem estar à disposição de qualquer pessoa, é essencial às empresas adoptar uma postura proactiva orientada para a constante garantia da confidencialidade e integridade dos dados dos seus clientes. Na área dos pagamentos, uma vez que lidamos diariamente com informação pessoal altamente sensível, esse desígnio é ainda mais premente, sendo, aliás, um dos focos do sector ao nível da cibersegurança. É por isso necessário que os players do sector financeiro invistam fortemente na implementação de soluções de cibersegurança e protecção de dados, em particular mecanismos como a autenticação forte, a tokenização de transacções, as assinaturas digitais certificadas e a assinatura com chave móvel digital. Ao mesmo tempo, torna-se fundamental assegurar uma maior integração entre as áreas de IT – em especial as equipas de cibersegurança – e de serviço ao cliente, de forma a que estas possam estar em permanente colaboração na prevenção, identificação e mitigação de riscos de segurança digital, para assim garantir a total segurança e a privacidade das informações pessoais que cada entidade financeira gere.

Nesta área de pagamentos, a tecnologia é o principal pilar. Como olham para o tema da transformação digital?
A transformação digital tem sido um elemento-chave ao longo da história da UNICRE, e em especial nos últimos anos, em que temos assistido a uma rápida transformação da forma como pagamos ou utilizamos o nosso dinheiro. Há uma década, seria impensável conceber a ideia de pagar apenas com um simples gesto de aproximar um cartão, um smartphone ou um wearable a um terminal de pagamento, enviar e receber dinheiro em segundos ou realizar compras que pudessem ser creditadas depois. Hoje, todos estes avanços e muitos mais são possíveis.
Acredito que, mais do que necessária, a transformação digital nos pagamentos é (e continuará a ser) um processo inevitável. O rápido avanço tecnológico está a abrir novos caminhos na forma como comunicamos e interagimos uns com os outros no ecossistema digital, e essa realidade traz, naturalmente, oportunidades ao sector financeiro, e à área dos pagamentos em particular, de criar formas diferenciadores de nós mesmos – consumidores e negócios – interagirmos com o dinheiro. Numa primeira camada, a transformação digital está a permitir-nos enquanto sector desenvolver um conjunto de soluções disruptivas que objectivam gerar experiências transacionais cada vez mais simples, rápidas e cómodas, que não só garantam elevados padrões de segurança, como também acompanhem as actuais e emergentes necessidades dos consumidores que, tal como a evolução tecnológica, também se transformam a uma velocidade alucinante. Já numa segunda camada, a transformação digital abre-nos espaço para criar uma plataforma capaz de impulsionar o crescimento dos negócios – sobretudo do pequeno negócio – que, tal como os consumidores, tenham a capacidade de modernizar a sua infra-estrutura de pagamentos como forma de se tornarem cada vez mais competitivos.
Olhamos, nesse sentido, para a transformação digital como um pilar fundamental da área dos pagamentos que nos irá permitir dar um passo em frente na construção de uma economia mais capacitada para enfrentar as exigências de um mercado cada vez mais polarizado e digital.

Este artigo faz parte do Caderno Especial “Cibersegurança”, publicado na edição de Outubro (n.º 211) da Executive Digest.