Exame Logo

Quem garante a segurança dos nossos dados?

Depois de uma falha de segurança que pode sujeitar 143 milhões de pessoas a fraudes nos Estados Unidos, a consultoria de crédito Equifax demite seu CEO

Equifax: empresa demorou para consertar falha de segurança em software (Lucas Jackson/Reuters)
DR

Da Redação

Publicado em 27 de setembro de 2017 às 17h34.

Última atualização em 27 de setembro de 2017 às 17h35.

A essa altura das nossas vidas digitais, todo o mundo já sabe que existem riscos de roubo de identidade – e a consequente fraude financeira com o uso dos seus dados.

Não é à toa que tantos sites exigem senhas com um número incomensurável de algarismos e letras, maiúsculas e minúsculas. O problema é que, justamente por serem senhas tão seguras , são impossíveis de lembrar; e então os sites são obrigados a fornecer modos de recuperar as senhas… que se baseiam em informações pessoais bem mais simples, como número de identidade, email, uma ou outra data significativa.

Veja também

Por essa brecha, têm se multiplicado os roubos de dados de pessoas físicas. Só nos últimos meses foram reportados uma onda de furtos de celulares (que permitem ao meliante recuperar senhas do proprietário do telefone), roubos de cadastros de milhões de clientes do Yahoo e, nos Estados Unidos, acesso a informações de clientes das redes de varejo Home Depot, Target… e até do governo.

É nesse contexto que se entende a demissão, nesta terça-feira, do executivo-chefe da companhia de análise de crédito Equifax, Richard Smith. Há 20 dias, a empresa anunciou um roubo gigante de dados de indivíduos. No total, 143 milhões de pessoas podem ter tido informações pirateadas de seus arquivos.

Com esse tipo de informações (números do seguro social, datas de nascimento, endereços etc.) fica mais fácil para um fraudador se fazer passar por alguém e comprar coisas em seu nome.

Para piorar a situação, as potenciais vítimas não são clientes da Equifax. A companhia é uma consultoria de crédito, uma das três gigantes de um setor que ainda não decolou no Brasil (mas que é potencialmente benéfico para os negócios em geral): o cadastro positivo.

Trata-se de recolher mostras de que o indivíduo é ativo financeiramente – usa cartão de crédito, paga suas contas etc. Com esse cadastro, as empresas em geral se sentem mais confortáveis para estabelecer crédito para o consumidor, com taxas menores.

A ideia é ótima, mas, como se viu agora, abre mais uma porta para que fraudadores se apropriem dos dados das pessoas.

A empresa está oferecendo um ano de proteção grátis contra o roubo de identidade para qualquer cidadão de seu cadastro, mas esses crimes costumam acontecer vários anos depois do acesso aos dados. Por isso, advogados estão pressionando a Equifax a estender a oferta pela próxima década.

Uma outra solução seria congelar o cadastro tanto na Equifax quanto em suas principais concorrentes, a Experian e a TransUnion. Mas isso traz consequências: sem o cadastro positivo, fica mais difícil conseguir boas taxas de empréstimo, ou mesmo aprovação de crediário em algumas lojas.

As falhas da Equifax

O escândalo foi potencializado pela péssima gestão que a empresa parece ter feito do problema. Para começar, a Equifax soube da fraude há mais de dois meses, no final de julho, mas esperou até setembro para divulgá-la.

Quando o fez, montou um site que, pelo menos a princípio, ficou muito aquém do desejado para lidar com a compreensível ansiedade de milhões de pessoas.

Pouco depois, ficou claro que a quebra de sigilo poderia ter sido evitada se a empresa tivesse dado ouvidos a um alerta, em março, de que havia problemas no código de software livre que ela havia usado para montar seu sistema. A Equifax demorou para instalar os reparos necessários, e deu tempo para que os piratas invadissem seus arquivos entre 13 de maio e 30 de julho.

Também se soube depois que pelo menos três executivos da Equifax, incluindo seu chefe de finanças, venderam ações da companhia depois de o rombo de segurança ter sido descoberto, mas antes de ter sido anunciado (a Equifax disse que os executivos não sabiam do caso quando venderam suas ações).

Com tantas falhas, não é de estranhar que as ações da companhia tenham caído mais de 30%, um prejuízo de mais de 5 bilhões de dólares para os acionistas.

Uma semana depois, dois dos principais executivos da Equifax (o chefe de informações e o chefe de segurança) renunciaram a seus postos. E agora chegou a vez do executivo-chefe.

Sua renúncia ocorreu dois dias antes de uma convocação do Congresso americano para que ele testemunhasse sobre o caso, e muitos críticos viram sua saída como uma tentativa de a empresa esvaziar a ameaça de punições.

A Equifax afirmou, porém, que Richard Smith estará à disposição dos congressistas se for convocado.

O substituto brasileiro

Smith, 57 anos, está provavelmente encerrando em baixa uma carreira que só lhe havia rendido elogios. Depois de 22 anos no conglomerado industrial General Electric, onde ocupou altos postos, ele se tornou CEO da Equifax em 2005. Em 12 anos, ele levou a empresa a mais do que dobrar seu faturamento: de 1,4 bilhão de dólares quando entrou para 3,1 bilhões, no ano passado.

Esse desempenho lhe rendeu, obviamente, recompensas milionárias. Vai sair da empresa, de acordo com o relatório oficial, com 18,4 milhões de dólares em pensão. Seus bônus em 2015 e 2016 foram de aproximadamente 3 milhões a cada ano.

Ele provavelmente não vai sentir tanta falta do bônus deste ano, que deixará de receber. Assim como também não será pago pelos próximos 90 dias, em que trabalhará como consultor para a empresa. Ele tampouco vai receber um pacote de rescisão de contrato.

Essas medidas, pelo costume do mercado executivo americano, são o mais próximo que existe de uma punição. Há casos de devolução – como os 136 milhões de dólares que o CEO John Stumpf e a executiva Carrie Tolstedt devolveram à Wells Fargo, no ano passado, depois do escândalo de contas falsas no banco – mas são raríssimos.

De qualquer forma, não foram definidas as circunstâncias de saída de Smith. Isso significa que sua demissão ainda pode ser considerada “por justa causa”, o que abriria a possibilidade de ele ter de devolver parte de sua compensação financeira.

Mas a política de devolução de dinheiro da Equifax, que a companhia anuncia como “rigorosa”, especifica apenas a aplicação da medida em caso de revisão de resultados. É pouco provável, então, que Smith saia de mãos abanando.

Ele foi substituído interinamente no cargo pelo brasileiro Paulino do Rego Barros Jr., um engenheiro que fez carreira nos Estados Unidos, e está na companhia desde 2010 (ele era presidente para a região da Ásia e do Pacífico).

Aos protestos de que a companhia deveria trazer gente de fora para lidar com a situação, a Equifax respondeu que está considerando candidatos tanto internos quanto externos para ocupar o cargo de CEO.

Acompanhe tudo sobre:Exame Hoje

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame