Fraudes corporativas no mundo digital

Fraudes
corporativas
no mundo do
digital

Photographer: Reuters

Melhor prevenir, que remediar!
prof. Roberto Dias Duarte
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
terça-feira, 25 de janeiro de 2011

Com licença, sou o
Roberto

“Conheço apenas
minha ignorância”



Todo o conteúdo está
disponível em:
www.robertodiasduarte.com.br
http://www.robertodiasduarte.com.br/ﬁles/omaiorB2Gdoplaneta.pdf

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte



Fraude?



Deﬁnição ampla de
fraude

É um esquema ilícito
ou de má fé criado
para obter ganhos
pessoais.



Fatores primários
• Existência de golpistas
motivados.
• Disponibilidade de
vítimas adequadas e
vulneráveis.

• Ausência de regras,
"guardas" ou
controladores eﬁcazes.



Por que há golpistas
motivados?
• Ineﬁciência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca ﬁscalização;
• desrespeito as leis encarado como
comportamento comum.


Mas principalmente
porque...

o desrespeito às
leis é considerado
comportamento
“normal”.



Por que há vítimas
vulneráveis?
• Pouca informação e
divulgação preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é
considerado comportamento
“normal”.


Por que há falta de
regras e controles?
• percepção do problema como
não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações
contra fraudadores;

• falta de leis especíﬁcas e pouca
clareza em algumas das
existentes.


Alavancas sobre as
vítimas
• Ganância e Vontade de fazer
"Dinheiro Fácil".

• Ignorância (Tecnológica,
Operacional, Legal, Comercial
etc...).
• Gostinho do "Ilegal", "Proibido".
• Gostinho do "Misterioso",
"Exclusivo", "Inédito".


Alavancas sobre as
vítimas

• Irracionalidade e tendência a negar as
evidências para perseguir um sonho.
• Ingenuidade, Credulidade e Escassa
Atenção.
• Necessidade e Outras Pressões/
Urgências



Fraude digital?



Assinatura Digital



Assinatura Digital

É um método de autenticação
de informação digital
Não é assinatura eletrônica
Não é assinatura digitalizada



Como funciona?



Como funciona?
HASH é
gerado a
partir da
chave pública

O HASH é
Autor assina descriptografado
a com sua partir da chave
chave privada pública

Novo HASH
é gerado

HASH é
armazenado
na mensagem

Novo HASH é comparado
com o original



Carimbo do tempo



Carimbo do tempo

Certiﬁca a autenticidade temporal
(data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal
Brasileira”



Documentos Digitais
MP 2.200-2 de Agosto/2001



Documentos Digitais
“As declarações constantes dos documentos em
forma eletrônica produzidos com a utilização de
processo de certiﬁcação disponibilizado pela

presumem-se
ICP-Brasil

verdadeiros em relação
aos signatários”
(Artigo 10o § 1o)



Documentos Digitais

“O disposto nesta Medida Provisória não obsta a
utilização de outro meio de comprovação da
autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certiﬁcados
não emitidos pela ICP-Brasil, desde que
admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)



Documentos Digitais



Documentos Digitais

Integridade
Autenticidade
Não repudio
Disponibilidade
Conﬁdencialidade
Auditabilidade



Integridade



Integridade

Qualquer alteração
da mensagem faz
com que a
assinatura não
corresponda mais
ao documento



Autenticidade



Autenticidade

O receptor pode
conﬁrmar se a
assinatura foi
feita pelo
emissor


Não
repúdio



Não
repúdio

O emissor não
pode negar a
autenticidade da
mensagem



Conﬁdencialidade



Conﬁdencialidade

Passo 1: Alice envia sua
chave pública para Bob
Passo 2: Bob cifra a
mensagem com a
chave pública de Alice
e envia para Alice, que
recebe e decifra o
texto utilizando sua
chave privada


Disponibilidade



Disponibilidade

A informação
deve estar
disponível
apenas para seu
uso legítimo


Auditabilidade



Auditabilidade

Deve haver
informação
relativa às
ações de
alteração
ou consulta
de dados Quem?
Quando?
O que fez?


Por que preciso saber
disso?



Bem-vindos ao
Terceiro Milênio

Lembrem-se:
já estamos na segunda década!



Ford Focus Eletric
(CES2011)



Tudo começou em 1914



Fordismo

• Linha de montagem automatizada
• Produtos baratos
• Trabalhadores pouco qualiﬁcados
• Controle de tempos e movimentos



E nossas empresas?



Empresa pré-industrial

• Informalidade
• Controles precários



Empresa pseudofordista

• Trabalhadores pouco qualiﬁcados
• Automação de tarefas departamentais
• Controles ineﬁcientes
• Gestão precária



Tecnologia sem
informação
Tem nota?

Entregou? Fisco
Vendeu? Cliente

Recebeu?

Produziu?
Contador

Estoque? Pagou?

Fornecedor
Comprou?


Empresa informatizada

• Egosistema: departamentos
integrados
• Sistemas integrados (ERP)
• Profissionais com qualificação técnica
e científica

• Gestão operacional



Egosistema
Tem nota?

Entregou?
Fisco
Vendeu? Cliente

Recebeu?

Produziu?
Contador

Estoque? Pagou?

Fornecedor
Comprou?


O Fisco entra na Era do
Conhecimento



O Fisco entra na Era do
Conhecimento
• IRPF
• Sintegra
• IN86, MANAD
• SPED
• ...



Ecosistema Fiscal
NF-e
NFS-e EFD ICMS/IPI
CT-e
EFD/CIAP
Tem nota? CF-e Brasil-id
EFD PIS/COFINS
CC-e Siniav
Entregou? EFD/FOLHA

Fisco
NF-e SPED Contábil
Vendeu?
NFS-e EFD Contábil
CF-e
CC-e

Recebeu? Cliente

Produziu?
Contador

NF-e
Estoque? Pagou? NFS-e
CF-e
CC-e Fornecedor
Comprou?


As empresas entram na
Era do Conhecimento

• Conhecimento
• Comportamento ético
• Tecnologia
• Integração total



Ecosistema Empresarial
NFS-e
CF-e
NF-e
CC-e CT-e
Nota correta?
Fisco Entregou?
Vendeu? Cliente
SPED Contábil
Recebeu?
CT-e
Estoque?
EFD Contábil
Brasil-id
Siniav
Pagou?
Produziu?
Comprou?
EFD ICMS/IPI
EFD/CIAP EFD/FOLHA

Contador EFD PIS/CONFIS
prof. Roberto Dias Duarte Fornecedor

Vamos entender as
principais
vulnerabilidades das
empresas no mundo do
SPED?



O que é a Nota
Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica
como sendo um documento de existência
apenas digital, emitido e armazenado
eletronicamente, (...)

Sua validade jurídica é garantida pela
assinatura digital do remetente (garantia de
autoria e de integridade) e pela recepção, pelo
Fisco, do documento eletrônico, antes da
ocorrência do fato gerador.”



Documento Fiscal Digital



Livro Contábil Digital



Livro Fiscal Digital
(ICMS/IPI)



SPED é um repositório
digital de inteligência

• Fiscal
• Contábil
• Gerencial
• Tecnológica



Mas, nada muda na
minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1
Tenho que veriﬁcar
o arquivo XML
Ajuste SINIEF 07/2005

Cláusula décima

§ 1º O destinatário deverá veriﬁcar a
validade e autenticidade da NF-e e a
existência de Autorização de Uso da NF-e.



Vulnerabilidade #1
Po r q u e empresa não
veriﬁcam?
Falta de conhecimento das regras;



Vulnerabilidade #1
veriﬁcam?
G a n â n c i a : p r e ç o s a b a i xo d o
mercado;



Vulnerabilidade #1
veriﬁcam?
mercado;
Desrespeito as leis encarado como
comportamento comum;



Vulnerabilidade #1
veriﬁcam?
mercado;
Sistemas precários;



Vulnerabilidade #1
veriﬁcam?
mercado;
Pessoal pouco qualiﬁcado.



Vulnerabilidade #1
Consequências:
Mercadorias sem nota;



Vulnerabilidade #1
Consequências:
Mercadorias de origem ilícita;



Vulnerabilidade #1
Consequências:
Problemas ﬁscais: documentos
inidôneos



Vulnerabilidade #2



Vulnerabilidade #2
N ota autor izada não me
livra do "passivo ﬁscal"
Cláusula quarta

§ 1º Ainda que formalmente regular, não será considerado
documento ﬁscal idôneo a NF-e que tiver sido emitida ou
utilizada com dolo, fraude, simulação ou erro, que possibilite,
mesmo que a terceiro, o não-pagamento do imposto ou qualquer
outra vantagem indevida.
(...)

§ 3º A autorização de uso da NF-e concedida pela administração
tributária não implica validação das informações nela contidas.



Vulnerabilidade #2
Ainda que formalmente regular,
não será considerado
documento ﬁscal idôneo a NF-e
que tiver si do emiti da o u
utilizada co m do lo, f rau de,
s i m u la ç ã o o u e r r o, q u e
possibilite, mesmo que a terceiro,
o não-pagamento do imposto ou
q u al q u er o ut r a va ntag e m
indevida.


Vulnerabilidade #2
Por que empresa erram na
emissão de NF-e?
Falta de conhecimento;



Vulnerabilidade #2
emissão de NF-e?
Ganância (sonegação, venda a
qualquer custo);



Vulnerabilidade #2
emissão de NF-e?
qualquer custo);
Desrespeito as leis;



Vulnerabilidade #2
emissão de NF-e?
qualquer custo);



Vulnerabilidade #2
Consequências:



Vulnerabilidade #2
Consequências:
inidôneos



Vulnerabilidade #3



Vulnerabilidade #3
Só posso cancelar NF-e se a
mercadoria não circulou....
ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo
não superior a 24 horas, contado do momento em que foi concedida a
respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a
circulação da mercadoria ou a prestação de serviço e observadas às
demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de
2005.



Vulnerabilidade #3
Por que empresas cancelam
NF-e depois do fato gerador?
Tentativa de correção de erros;



Vulnerabilidade #3



Vulnerabilidade #3
Ganância (sonegação);



Vulnerabilidade #3



Vulnerabilidade #3
Consequências:



Vulnerabilidade #3
Consequências:
inidôneos.



Vulnerabilidade #4



Vulnerabilidade #4
Tenho que enviar o arquivo
XML ao destinatário e ao
transportador


Cláusula Sétima
§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou
disponibilizar download do arquivo da NF-e e seu respectivo
Proto co lo de Autor ização de Uso ao de s tinatár io e ao
transportador contratado, imediatamente após o recebimento da
autorização de uso da NF-e.



Vulnerabilidade #4
Por que empresas não enviam
o XML o u enviam sem
segurança?



Vulnerabilidade #4
segurança?



Vulnerabilidade #4
Consequências:
S i g i lo ﬁ s c al e c o m e r c i al
violados



Vulnerabilidade #4
Consequências:
S i g i l o ﬁ s c al e c o m e r c i al
violados
Problemas ﬁscais: guarda de
documentos.



Vulnerabilidade #5



Vulnerabilidade #5
Tenho que guardar o arquivo
XML

Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e
responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa,
devendo ser disponibilizado para a Administração Tributária quando solicitado.

(...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e,
alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo
a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE
que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo
da recusa em seu verso.



Vulnerabilidade #5
Po r q u e e m p r e s a s n ã o
guardam o XML ou guardam
sem segurança?



Vulnerabilidade #5
sem segurança?



Vulnerabilidade #5
Consequências:
S i g i lo ﬁ s c al e c o m e r c i al
violados



Vulnerabilidade #5
Consequências:
S i g i l o ﬁ s c al e c o m e r c i al
violados
Problemas ﬁscais: guarda de
documentos.



Tenho como evitar?



Solução: Paradigma do
século XXI

Conhecimento
Comportamento
Tecnologia



Ação preventivas básicas



Termo de compromisso
Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual
Identiﬁca as pessoas:

Senha;

Cartão ou token;

Biometria;

Certiﬁcado Digital.



“Empréstimo” de senha



Cópias de segurança
Qual a política deﬁnida?

Qual a cópia mais antiga?

Os arquivos das estações
têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologado
Itens de veriﬁcação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências


Uso de antivírus
Prevenção além do software:

Anexos

Executável? No way!

Download? Só de sites conﬁáveis

Backup, sempre

Educação



Correio eletrônico
Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...


Informações pessoais
Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Engenharia social
Procedimentos para obtenção de informações
através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire conﬁança

presta “favor”


Direitos do usuário
Acesso individual Treinamento sobre
segurança
Informações para
trabalhar Comunicar ocorrências
de segurança
Saber o que é rastreado
Garantia de privacidade
Conhecer as políticas e
normas Ser mais importante
que a tecnologia
Ser avisado sobre
tentativas de invasão


Empresa 2.0



Requisitos para o salto
Compromisso: Participação da direção
Conhecimento: Capacitação, consultoria
Integração: Trabalho em equipes multidisciplinares
Tecnologia: ERP, B2B, auditoria, segurança, cloud, BI
Revisão dos processos:
internos e externos (clientes e
fornecedores)
Tempo e disciplina: Comece
devagar e persista!



O país do futuro é o
Brasil de agora

http://www.robertodiasduarte.com.br
prof. Roberto Dias Duarte http://www.youtube.com/user/robertodiasduarte

Todo o conteúdo está
disponível em:
www.robertodiasduarte.com.br
Estudo “O Maior B2G do Planeta” em:
http://www.robertodiasduarte.com.br/ﬁles/omaiorB2Gdoplaneta.pdf


http://www.youtube.com/user/robertodiasduarte



Fraudes corporativas no mundo digital

Recommended

Recommended

More Related Content

More from Roberto Dias Duarte

More from Roberto Dias Duarte (20)

Recently uploaded

Recently uploaded (6)

Fraudes corporativas no mundo digital