Vivemos a era da fraude. Não é exclusividade do Brasil, mas aqui as fraudes vêm se diversificando, fraudam-se desde bebidas alcóolicas, bolos e feijoada, até remédios, proteínas e canetas emagrecedoras, além de combustíveis, cartões de crédito e pagamentos online, entre tantas outras modalidades criminosas para lesar o outro.
Nosso mercado de viagens e turismo não é diferente e nunca as fraudes e tentativas de fraude foram tão recorrentes nos negócios das agências de viagens, operadoras de turismo, consolidadoras, cias. aéreas, redes hoteleiras, locadoras de veículos, e todos os demais players do mercado, os quais, não raro, preferem omitir quando sofrem alguma fraude (talvez para não demonstrar insegurança) e acabam assumindo o prejuízo em silêncio, numa atitude que acaba indiretamente beneficiando os fraudadores.
O guia de cibersegurança produzido pelo Comitê de Tecnologia da ABAV-SP, lançado no início deste ano, chamou a atenção para o tema, além dos recentes eventos do mercado de viagens e turismo que aprofundaram o debate (Forum Abracorp em 28/08, TravelTech Hub Day em 15/09, ABAV Expo em 08 a 10/10), comprovando que as empresas preocupam-se genuinamente e agem para proteger os negócios, aplicando protocolos, treinamentos e sistemas para reduzir a incidência de fraudes que impactam diretamente o cliente e a empresa concedente do crédito (seja a agência ou o fornecedor) e prejudicando indiretamente toda a rede produtiva do mercado de viagens e turismo.
Neste cenário, os sistemas OBT têm um papel importante como ferramentas corporativas que atuam entre o comprador e os fornecedores de serviços, não sendo intermediários financeiros da compra do serviço de viagem, não alterando a dinâmica do negócio entre as agências de viagens, cias. aéreas, redes hoteleiras etc, e principalmente, não tendo participação ou responsabilidade na concessão do crédito seja para pagamento faturado ou para pagamento com cartão de crédito.
Apesar disso, os OBTs têm se empenhado em desenvolver e oferecer camadas de segurança adicionais para reduzir os riscos das iniciativas fraudulentas geradas por múltiplos fatores, especialmente o uso indevido de credenciais de acesso, apesar dos esforços empreendidos por agências e empresas (clientes e fornecedores) no treinamento de suas equipes quanto à proteção do sigilo e confidencialidade dessas credenciais.
Com o objetivo de oferecer clareza para a cibersegurança dos nossos negócios, relacionei alguns dos recursos e funções desenvolvidos e aplicados nos últimos anos, para reduzir o impacto das tentativas de fraude nos negócios transacionados por centenas de milhares de empresas que confiam na tecnologia dos OBTs, seja por licenciamento direto ou através das agências de viagens corporativas:
Alteração periódica de senha
A prática de trocar periodicamente a senha de acesso é um recurso simples, mas essencial para manter a segurança da conta, sendo o usuário solicitado automaticamente a alterá-la em intervalos regulares pré-definidos, para reforçar a proteção.
Bloqueio de emissão automática
Este recurso identifica possíveis tentativas de emissão fraudulenta e, quando habilitado, impede a emissão de bilhetes caso seja detectada alguma ação suspeita no processo de reserva.
Restrição de acesso por IP
Funcionalidade que restringe o acesso ao sistema apenas a endereços de IP previamente autorizados e cadastrados.
R-Token
Além do login e senha individualizada, o sistema pode ser configurado para exigir uma combinação numérica, atualizada a cada 30 segundos, gerada via App para validação de operações críticas.
PCI-DSS
A certificação PCI-DSS, renovada anualmente, mantém e resguarda os procedimentos mais avançados de transmissão de dados críticos, relativos à segurança de transações com cartão de crédito.
Senhas fortes
Novo padrão de senhas, com maior nível de complexidade, para reduzir riscos de acessos indevidos.
SSO – Single Sign-On
Funcionalidade que permite ao usuário acessar diferentes sistemas com apenas um único login, gerando mais praticidade e segurança, além de menos senhas para gerenciar.
2FA – Autenticação em Dois Fatores
Recurso que adiciona uma etapa extra de verificação ao login, além da senha, enviando ao usuário uma notificação via Whatsapp para confirmar o acesso.
Bloqueio para edição de dados sensíveis
Apenas usuários autenticados por 2FA, SSO ou R-Token podem realizar alterações cadastrais, garantindo mais uma camada de proteção contra ações indevidas.
Notificação de novo acesso
Sempre que uma conta for acessada por um novo dispositivo, o usuário recebe uma notificação, permitindo acompanhar e bloquear, em tempo real, qualquer tentativa de login em novos dispositivos.
ISO 27001
Além da certificação PCI-DSS, o selo de certificação ISO 27001 garante processos e ambiente computacional referência mundial em gestão de segurança da informação.
Inteligência Artificial
A evolução da inteligência artificial generativa reforça a segurança da plataforma ao identificar desvios de políticas e comportamentos suspeitos, como alterações incomuns de padrão de uso, gerando proteção e confiabilidade ao alertar ou bloquear a continuidade da emissão do serviço.
DR – Disaster Recovery
O DR é um ambiente computacional segregado e dedicado para eventual recuperação de desastres tecnológicos, garantindo que, em caso de falhas graves, incidentes de segurança ou quaisquer imprevistos (como queda de datacenter, ataques cibernéticos ou desastres naturais), a operação dos sistemas não seja interrompida. Na prática, além da infraestrutura física redundante, o DR engloba um plano estruturado de continuidade que permite restaurar sistemas, dados e serviços de forma rápida e segura, minimizando impactos financeiros e operacionais.
Apesar de todos esses recursos (esta relação não pretende ser conclusiva), o uso indevido de credenciais de acesso em cenários que buscam burlar filtros e obstáculos tecnológicos e processuais, continua sendo o maior desafio de segurança antifraude para os envolvidos (clientes, agências e fornecedores) na venda e compra de serviços de viagens.
Há que se dar mais transparência e atenção permanente para este assunto.
Em tempo: Lembro que abordei este mesmo tema em março de 2014, quando uma epidemia de fraudes se alastrou sobre as cias. aéreas naquele momento, impactando todo o mercado de viagens e turismo: FRAUDES: AFINAL DE QUEM É A CULPA? e voltei ao assunto em junho de 2018, quando as iniciativas de cibersegurança começaram a ser implantadas de forma intensiva, primeiramente no ecommerce e no internet banking: A ERA DA INSEGURANÇA
.