Todos estamos incomodados, algumas palestras e debates já rolaram sobre este assunto espinhoso, mas a pergunta que não quer calar continua na cabeça de todo mundo:
Afinal, de quem é a responsabilidade pelas fraudes na emissão de bilhetes aéreos, que inundaram o mercado de viagens e turismo em 2013?
As cias. aéreas, porta de entrada natural para a tentativa de invasão de hackers (por serem o prestador do serviço e vendedor final do bilhete aéreo), foram fraudadas na bagatela de R$ 300 milhões no Brasil em 2013 e não me perguntem de onde vem este dado, não comprovado.
As agências de turismo, em especial as OTA’s, já convivem com as fraudes há muitos anos, o que gerou um novo mercado de tecnologias preventivas, todas prometendo não fechar a porta, mas reduzir a fresta pela qual os fraudadores podem lesar a sua empresa.
As agências especializadas em gestão de viagens corporativas, de uma forma geral, acreditavam estar seguras em relação a este tipo de ação, mas acabaram sentindo na carne que o problema fraude é igual a ameaça à saúde pública: ninguém está imune e se nada for feito para evitar, é apenas uma questão de tempo quando uma epidemia vai pegar você.
Sim, as fraudes tornaram-se epidêmicas…
E corre todo mundo para fechar a porteira, sistemas integradores anunciam ferrolhos eficazes, outros desenvolvem cadeados “inovadores”, chaveirinhos, tokens, senhas, contra-senhas, algoritmos indecifráveis, tentando atestar via marketing que “aqui fraudador não tem vez”…
Penso que o caminho para divulgar um produto não passa por requisitos de segurança, que são obrigação (e não diferencial) de qualquer site de e-commerce, seja de viagens e turismo ou de qualquer segmento econômico.
Ou alguém já assistiu uma propagando do Itaú ou do Bradesco alardeando os recursos de segurança de seus portais?
Ocorrências relacionadas a segurança da informação impactam negativamente toda a indústria, independentemente de quem é afetado diretamente.
Enquanto existem no Brasil 4 grandes empresas aéreas, meia dúzia de sistemas integradores independentes, outros tantos vinculados a consolidadores e operadoras, ou seja, não mais que uma centena de cabeças pensando em como resolver o problema, estima-se que existam, no mínimo, 10 mil fraudadores eficazes (os não eficazes não preocupam), que estão pensando o contrário, exatamente neste momento, somente no Brasil.
Ou seja, há um contingente pelo menos 100 vezes maior de pessoas tentando fraudar sistemas (e elas estão focando agora nos sistemas de reserva e emissão de bilhetes aéreos), do que de especialistas esforçando-se para blindá-los.
O pior de tudo isso é que nada que seja desenvolvido por essas 100 boas cabeças poderá impedir os comportamentos inseguros dos usuários: “Somente eu e fulano temos a senha e fulano é da minha inteira confiança”…
A verdade é que o e-commerce vive este problema desde que nasceu, por volta de 1996.
Como validar uma intenção de compra, manifestada por alguém que não está presente e, portanto, não pode ter sua identidade comprovada diante do vendedor?
Esta pergunta reveste-se de maior dificuldade ainda, quando relacionada à comercialização por meio eletrônico entre empresas (B2B) e entre empresas, intermediários e consumidor final (B2B2C).
Agora imagine o caso do mercado de viagens corporativas, em que a cia. aérea disponibiliza portais e webservices para agências de viagens comercializarem reservas e emissão de bilhetes aéreos, para empresas consumidoras de viagens corporativas.
Sim, é o B2B2B…
Em qualquer dos casos, penso que as cias. aéreas devem se espelhar nos bancos, ou seja, focar em procedimentos para prevenir fraudes geradas pela pouca aderência dos usuários com o tema segurança da informação.
Este é o ponto, enquanto os sistemas das cias. aéreas, sejam portais de reservas ou webservices, não restringirem e controlarem seus acessos através de uma dúzia de procedimentos e recursos técnicos, comuns no mercado financeiro, não serão um dedo ou dois que impedirão que o furo no dique se transforme num rombo, comprometendo a integridade de toda a represa.
Não precisa reinventar a roda, as tecnologias e os procedimentos já existem, basta a decisão de implementá-los, pelo bem não de A ou de B, mas de todo mercado de viagens e turismo.
.
Vabo,
Parabéns pelo Blog. Este é um tema que tem gerado grande frustração e indignação no mercado. É notório no rosto da grande maioria dos empresários do nosso setor.
Não consigo estimar quanto pode custar para uma cia aérea manter seu portal em pé, mas deve custar bem caro. Se somado todo custo de pessoal direto + indireto, milhões de investimentos em tecnologias (hardwares e softwares), servidores de estorage, fraudes, instabilidades, entre outros, será que não fica mais barato distribuir via GDS? Além de ser muito mais seguro e muito mais estável, deixa a cia aérea mais livre pra focar no seu core business, “servir o cliente”. Seria quase que dizer: “cada macaco no seu galho”?
Abs
Rubens
Rubinho,
Este é um tema interessante.
Sem dúvida, os GDS’s, por serem plataformas tecnológicas bem consolidadas, apesar de não serem imunes à fraudes, costumam apresentar recursos e procedimentos de segurança bem mais maduros.
A diferença fundamental, neste caso, é que os GDS’s usualmente assumem financeiramente alguns casos de fraudes (como o fazem com erros de tarifação etc.) isentando o agente de viagens, desde que seguidos todos os procedimentos de segurança (em vendas com cartões de crédito, por exemplo).
Já as cias. aéreas, talvez por inexperiência nesta questão, ainda não perceberam que culpar (e debitar) o agente de viagens por essas questões é uma faca de dois gumes: se por um lado a cia. aérea exime-se da responsabilidade pelo fato de que seus próprios recursos e procedimentos deveriam ser mais seguros, por outro lado este processo de cobrar do agente de viagens, sem a devida comprovação de onde a fraude ocorreu, acaba colando uma imagem de insegurança no modelo de distribuição via Portais e XML, que elas mesmas criaram e, portanto, deveriam preservar.
Estou certo que todas elas, neste momento, estão repensando suas estratégias para este assunto (Segurança via Portal e XML), pois do jeito que está, o modelo está em risco.
[]’s
Luís Vabo
Caro Vabo, boa tarde!
Pois então, o paradigma do mercado financeiro é excelente, e o que sempre usamos também…
Ou seja, se o cliente tem o controle e prova de que nada fez no sentido de que praticou exatamente as condutas mínimas, seguras e regulares em uma operação… um abraço, é responsabilidade da instituição financeira;
Se fica provado pelo banco que por exemplo, o cliente não tomou o cuidado mínimo necessário (inclusive, pré alertado diariamente pelo banco) no sentido de que atos praticados exclusivamente pelo cliente possibilitaram o ato ilícito de terceiro, neste caso, possível a atribuição da responsabilidade a este (casos como exemplo daquele que digita todos os números de uma tabela de senhas do banco, ou daquele que fornece dados completos em emails, desconsiderando avisos do banco de que o mesmo não envia tais emails)
Também concordo que as aéreas precisam aprimorar e muito suas blindagens! Ao mesmo tempo que o setor, todos os distribuidores, devem ter o mínimo de tecnologia e ciência das informações e condutas mínimas de segurança!
Bons contratos entre fornecedores e distribuidores, negociados e esclarecidos desde sua origem são boas opções!
Tema que compreende muita e necessária análise!
Abraço!
Pois é isso, Dr. Marcelo,
Nada mais simples e óbvio do que procurar benchmarking em segmentos que demandam este assunto bem mais do que o nosso.
Minha visão de que cabe às cias. aéreas a maior fatia de responsabilidade, deve-se simplesmente ao fato de que são elas que criaram o modelo de distribuição via Portais e XML, bem como desenvolvem e operam esses sistemas.
Mas é também bastante evidente que todos, eu disse TODOS, os sistemas distribuidores, redistribuidores, integradores, operadores, consolidadores etc etc etc, têm que estar blindados, com todos os recursos técnicos e procedimentos de segurança, para que toda a rede seja preservada.
E ainda assim, penso que cabe às cias. aéreas a homologação e o credenciamento de cada um desses sistemas, tanto no aspecto de segurança da informação quanto no de veracidade dos dados apresentados (lembra do MarkUp X MakeUp ?? Pois continua forte…).
Tenho defendido junto às principais cias. aéreas, que caberia a elas realizar uma auditoria técnica, para re-certificação anual, em cada sistema.
Tiro no meu próprio pé? Não creio.
Quem não deve, não teme.
[]’s
Luís Vabo
Caro Vabo, boa tarde!
Pois então, o paradigma do mercado financeiro é excelente, e o que sempre usamos também…
Ou seja, se o cliente tem o controle e prova de que nada fez no sentido de que praticou exatamente as condutas mínimas, seguras e regulares em uma operação… um abraço, é responsabilidade da instituição financeira;
Se fica provado pelo banco que por exemplo, o cliente não tomou o cuidado mínimo necessário (inclusive, pré alertado diariamente pelo banco) no sentido de que atos praticados exclusivamente pelo cliente possibilitaram o ato ilícito de terceiro, neste caso, possível a atribuição da responsabilidade a este (casos como exemplo daquele que digita todos os números de uma tabela de senhas do banco, ou daquele que fornece dados completos em emails, desconsiderando avisos do banco de que o mesmo não envia tais emails)
Também concordo que as aéreas precisam aprimorar e muito suas blindagens! Ao mesmo tempo que o setor, todos os distribuidores, devem ter o mínimo de tecnologia e ciência das informações e condutas mínimas de segurança!
Bons contratos entre fornecedores e distribuidores, negociados e esclarecidos desde sua origem são boas opções!
Tema que compreende muita e necessária análise!
Abraço!
Pois é isso, Dr. Marcelo,
Nada mais simples e óbvio do que procurar benchmarking em segmentos que demandam este assunto bem mais do que o nosso.
Minha visão de que cabe às cias. aéreas a maior fatia de responsabilidade, deve-se simplesmente ao fato de que são elas que criaram o modelo de distribuição via Portais e XML, bem como desenvolvem e operam esses sistemas.
Mas é também bastante evidente que todos, eu disse TODOS, os sistemas distribuidores, redistribuidores, integradores, operadores, consolidadores etc etc etc, têm que estar blindados, com todos os recursos técnicos e procedimentos de segurança, para que toda a rede seja preservada.
E ainda assim, penso que cabe às cias. aéreas a homologação e o credenciamento de cada um desses sistemas, tanto no aspecto de segurança da informação quanto no de veracidade dos dados apresentados (lembra do MarkUp X MakeUp ?? Pois continua forte…).
Tenho defendido junto às principais cias. aéreas, que caberia a elas realizar uma auditoria técnica, para re-certificação anual, em cada sistema.
Tiro no meu próprio pé? Não creio.
Quem não deve, não teme.
[]’s
Luís Vabo
Concordo com ambos, muito embora, teoricamente, podemos admitir que a culpa pudesse ser compartilhada entre todos os envolvidos por razões propriamente expostas no post. Entretanto, na prática, o ônus absoluto tem ficado somente na mão das agencias de viagem…
Creio que faltou-nos, também, um pouco de união na tratativa do assunto…
abs
Rodrigo,
Faltou-nos e falta união neste e em vários outros temas.
A ABRACORP tem realizado diversas ações no sentido de informar, capacitar e divulgar, juntos aos associados, as melhores práticas de segurança e os recursos usualmente utilizados para este tipo de blindagem.
Mas sinto que a ABAV deve liderar essa corrida, pois estou certo que o Antonio Azevedo e sua gestão são sensíveis ao problema, até como agente de viagens atuantes que são (e, portanto, estão no mesmo caldeirão).
Talvez falte um pouco mais de divulgação para as agências associadas, sobre as ações concretas junto às cias. aéreas, para mitigar ou reduzir o problema de fraudes.
[]’s
Luís Vabo
Concordo com ambos, muito embora, teoricamente, podemos admitir que a culpa pudesse ser compartilhada entre todos os envolvidos por razões propriamente expostas no post. Entretanto, na prática, o ônus absoluto tem ficado somente na mão das agencias de viagem…
Creio que faltou-nos, também, um pouco de união na tratativa do assunto…
abs
Rodrigo,
Faltou-nos e falta união neste e em vários outros temas.
A ABRACORP tem realizado diversas ações no sentido de informar, capacitar e divulgar, juntos aos associados, as melhores práticas de segurança e os recursos usualmente utilizados para este tipo de blindagem.
Mas sinto que a ABAV deve liderar essa corrida, pois estou certo que o Antonio Azevedo e sua gestão são sensíveis ao problema, até como agente de viagens atuantes que são (e, portanto, estão no mesmo caldeirão).
Talvez falte um pouco mais de divulgação para as agências associadas, sobre as ações concretas junto às cias. aéreas, para mitigar ou reduzir o problema de fraudes.
[]’s
Luís Vabo
Luis,
Este “comportamento inseguro” que você menciona é por onde a maior parte das vezes as empresas são atacadas mesmo. O ponto aí, que você levantou bem, é que “empresas” são estas. Temos as várias partes do mercado de viagens procurando apontar os dedos para os outros, mas quando surge a dúvida realmente dá aquele “friozinho na barriga” do “será que pegaram minha planilha de senhas?”
O levantamento confiável de falhas, em situações como estas, é quase um trabalho de policia. Não para pegar quem deixou a porta aberta, mas para saber como e quando ela ficou aberta para pegar o ladrão, que estava ali esperando.
Acho que a pior coisa que pode haver neste cenário é a preocupação ser de “apontar dedos” antecipadamente e não de descobrir se há mesmo chances de haver vazamentos. Que cada um veja seu telhado.
Abraços.
Isso, Tadeu,
E que todos atuem de forma a proteger e preservar o mercado de viagens e turismo como um todo, que é maior e mais importante do que cada um individualmente.
[]’s
Luís Vabo
Prezado Luis Vabo,
Continuas a ganhar meu respeito, ao “bulir” nesse vespeiro…
Sabemos que são empresas graúdas envolvidas com gente graúda e, provavelmente envolvidas em esquemas de corrupção e super faturamento, em âmbito público e privado. Mexe em grandes interesses de lucro fácil. Depois da abordagem sobre este tema, onde assumi a minha ignorância ao assunto, tento acompanhar mais de perto e, o que notei é que, aos poucos, havia sido deixado ao esquecimento… Coisa tão comum nessas terras.
Ainda na semana passada, durante a viagem em Orlando, na qual me encontro com meu filho, estava me lembrando desse tema e pensava em enviar-lhe uma “provocação” para retornar ao tema… Eis que você me surpreende, de forma sempre positiva.
Assim sendo, só posso parabeniza-lo, mesmo não acreditando que haverá mudanças… Não, ainda… Sou cético demais? Talvez… Coloquemos assim: Não tenho lido ou assistido nada de fato que me faça pensar de forma diferente, infelizmente.
Cordial abraço.
Mury,
Entendo e compartilho, de certa forma, com o seu ceticismo.
Mas ainda guardo, e tento preservar, uma espécie de idealismo juvenil (e já vai longe).
Acho sim, que conseguiremos melhorar as atitudes, as práticas e a ética em nosso país, bem como trabalhar para prevenir e evitar fraudes.
Sim, podemos…
[]’s
Luís Vabo
Prezado Luis Vabo,
Continuas a ganhar meu respeito, ao “bulir” nesse vespeiro…
Sabemos que são empresas graúdas envolvidas com gente graúda e, provavelmente envolvidas em esquemas de corrupção e super faturamento, em âmbito público e privado. Mexe em grandes interesses de lucro fácil. Depois da abordagem sobre este tema, onde assumi a minha ignorância ao assunto, tento acompanhar mais de perto e, o que notei é que, aos poucos, havia sido deixado ao esquecimento… Coisa tão comum nessas terras.
Ainda na semana passada, durante a viagem em Orlando, na qual me encontro com meu filho, estava me lembrando desse tema e pensava em enviar-lhe uma “provocação” para retornar ao tema… Eis que você me surpreende, de forma sempre positiva.
Assim sendo, só posso parabeniza-lo, mesmo não acreditando que haverá mudanças… Não, ainda… Sou cético demais? Talvez… Coloquemos assim: Não tenho lido ou assistido nada de fato que me faça pensar de forma diferente, infelizmente.
Cordial abraço.
Mury,
Entendo e compartilho, de certa forma, com o seu ceticismo.
Mas ainda guardo, e tento preservar, uma espécie de idealismo juvenil (e já vai longe).
Acho sim, que conseguiremos melhorar as atitudes, as práticas e a ética em nosso país, bem como trabalhar para prevenir e evitar fraudes.
Sim, podemos…
[]’s
Luís Vabo
O responsável pela fraude é o fraudador, que em princípio está cometendo o crime de estelionato e sabe que a distância entre leis e punições é abissal. Coloque 10 fraudadores na cadeia por 5 anos que a coisa começa a mudar.
Vc está certo, Sidney,
Entretanto, ainda não apareceu “quem colocará o sino no pescoço do gato”…
Enquanto isso, o mais recomendável é manter portas e janelas bem fechadas.
[]’s
Luís Vabo
O responsável pela fraude é o fraudador, que em princípio está cometendo o crime de estelionato e sabe que a distância entre leis e punições é abissal. Coloque 10 fraudadores na cadeia por 5 anos que a coisa começa a mudar.
Vc está certo, Sidney,
Entretanto, ainda não apareceu “quem colocará o sino no pescoço do gato”…
Enquanto isso, o mais recomendável é manter portas e janelas bem fechadas.
[]’s
Luís Vabo
Prezado e ilustre Vabo
Sou iniciante no tema e estou me aventurando em algumas ações judiciais quanto a emissão de passagens por hackers ou crackers via agencia de viagens.
Sou-lhe grato, já de início, pela contribuição para meus estudos sobre o tema nos comentários iniciados por você.
A jurisprudência nacional é bem escassa e o tema nem passa perto de uma consolidação.
A questão que coloco é: Não seria responsável direto e objetivo a empresa de aviação, uma vez que o site que disponibiliza é [em princípio] para estar guardado dentro da maior segurança?
Caso recente de uma operadora de viagens que, tendo um limite de emissões mês de R$ 110.000,00 e uma média de vendas anual de R$ 40.000,00, teve entre 6a feira a noite e domingo a emissão em seu nome de R$ 190.00,00 em passagens nacionais.
Quid iures?
Forte abraço
Marcio Nascimento
Pois é, Marcio,
A questão é bastante complexa, pois atualmente as cias. aéreas disponibilizam seu conteúdo de diversas formas, destacando-se o canal XML, onde os demais “players” da distribuição (agentes, operadoras, consolidadores etc.) conectam seu próprios sistemas de reservas, dando capilaridade ao negócio.
Se a brecha de segurança ocorrer no sistema da cia. aérea não pode haver dúvidas quanto à sua responsabilidade.
Mas há casos em que o sistema do distribuidor “permitiu” a fraude, face à sua pouca segurança tecnológica ou de procedimentos operacionais.
Resumindo: há que se investigar e apurar a real responsabilidade (que pode inclusive ser compartilhada).
[]’s
Luís Vabo
Prezado e ilustre Vabo
Sou iniciante no tema e estou me aventurando em algumas ações judiciais quanto a emissão de passagens por hackers ou crackers via agencia de viagens.
Sou-lhe grato, já de início, pela contribuição para meus estudos sobre o tema nos comentários iniciados por você.
A jurisprudência nacional é bem escassa e o tema nem passa perto de uma consolidação.
A questão que coloco é: Não seria responsável direto e objetivo a empresa de aviação, uma vez que o site que disponibiliza é [em princípio] para estar guardado dentro da maior segurança?
Caso recente de uma operadora de viagens que, tendo um limite de emissões mês de R$ 110.000,00 e uma média de vendas anual de R$ 40.000,00, teve entre 6a feira a noite e domingo a emissão em seu nome de R$ 190.00,00 em passagens nacionais.
Quid iures?
Forte abraço
Marcio Nascimento
Pois é, Marcio,
A questão é bastante complexa, pois atualmente as cias. aéreas disponibilizam seu conteúdo de diversas formas, destacando-se o canal XML, onde os demais “players” da distribuição (agentes, operadoras, consolidadores etc.) conectam seu próprios sistemas de reservas, dando capilaridade ao negócio.
Se a brecha de segurança ocorrer no sistema da cia. aérea não pode haver dúvidas quanto à sua responsabilidade.
Mas há casos em que o sistema do distribuidor “permitiu” a fraude, face à sua pouca segurança tecnológica ou de procedimentos operacionais.
Resumindo: há que se investigar e apurar a real responsabilidade (que pode inclusive ser compartilhada).
[]’s
Luís Vabo