O acordo entre o Parlamento Europeu e o Conselho Europeu de Junho de 2022

27 de Fevereiro de 2023 ~ Rui Martins ~ Comentar

O acordo entre o Parlamento Europeu e o Conselho Europeu de Junho de 2022 garante que os “crypto-assets” (incluindo cripto-moedas) no espaço europeu terão:
1. Uma estrutura legal comum na União Europeia.
2. A protecção dos consumidores e a criação de protecções contra a manipulação dos mercados e o crime financeiro.
3. Que os “crypto-assets service providers” (CASPs) sejam obrigados a exporem o seu consumo de energia e consequente impacto ambiental.
4. Regras que permitirão supervisão, a protecção dos consumidores e do ambiente

Este quadro materializou-se no MiCA (Markets in crypto-assets (MiCA)) e vai aumentar a transparência que falta nesta indústria emergente e a introduzir regulação e supervisão onde esta escasseia. No geral, vai aumentar a qualidade e extensão da informação dos consumidores sobre este tipo de bens e regular as potencialmente muito danosas ofertas públicas de crypto-assets (ICO ou “Initial Coin Offerings”). O texto acordado entre as duas instituições europeias procura também criar obstáculos à manipulação dos mercados e impedir a lavagem de dinheiro, assim como o financiamento do terrorismo e de outras actividades criminosas (como o ransomware).

O MiCA vai estender-se a todos os crypto-assets que não estão atualmente regulados pela legislação financeira e entre as suas diversas provisões vai incluir um registo público de todas os CASPs (“crypto-asset service providers” que não sejam compatíveis com as regras de “money-laundering” da “European Securities and Markets Authority (ESMA)”

“Iniciativa cidadã quer “pôr ordem” na cibersegurança e proibir pagamentos de ransomware”

15 de Fevereiro de 2023 ~ Rui Martins ~ Comentar

Os CpC na Imprensa:
https://tek.sapo.pt/noticias/computadores/artigos/iniciativa-cidada-quer-por-ordem-na-ciberseguranca-e-proibir-pagamentos-de-ransomware

MBWAY: propostas para melhorar a segurança da aplicação

15 de Fevereiro de 20238 de Março de 2023 ~ Rui Martins ~ Comentar

O MBWAY é um serviço muito útil e prático mas, nos últimos anos, milhares de portugueses têm sido vítimas de burlas. Estas burlas têm sido feitas, sobretudo, através de sites de compra e venda de produtos e serviços entre particulares, como o OLX, Custo Justo ou pelo Facebook Marketplace e a sua quantidade, diversidade e escala indica que algo pode e deve ser melhorado nesta aplicação e que a atenção que o regulador (Banco de Portugal) dedica à mesma tem sido insuficiente.

Existem várias burlas e variações mas todas, até ao momento, parecem oscilar em torno de dois modelos:

a) Se a vítima não tem ainda MBWAY o burlão pede à vítima que associe “apenas para este pagamento” o telefone dele à sua conta bancária: a partir daqui o burlão passa esta movimentar a conta em qualquer ATM e a enviar dinheiro para outras contas. Numa outra variante o criminoso não usa o seu número para aceder à conta da vítima mas o pin do criminoso é introduzido no MBWAY da vítima (que já sabe o seu telemóvel)

b) Quando o alvo já utiliza MBWAY os criminosos pedem o telemóvel que está associado à conta MBWAY para, alegadamente, fazer o pagamento e dizendo que o vendedor vai receber uma mensagem para confirmar o pagamento. Mas a mensagem que é enviada é para “pedir dinheiro” e não “enviar dinheiro”. Em alguns casos o texto enviado contraria a operação dizendo algo como “O MBWAY recebeu uma ordem para transferir o X euros. Aceita enviar este dinheiro para a sua conta?”.

Importante:
Tenha em conta que, no caso de uma venda online, a única coisa que o comprador tem que saber de si, caso queira fazer uma compra com MBWAY, é o seu número de telemóvel: nada mais: Se lhe pedir algo mais: muito provavelmente é uma burla. Se não tiver MBWAY: recuse a transacção (a aplicação só permite transferências entre os seus utilizadores).

Para aumentar a segurança da aplicação MBWAY e reduzir ou acabar com as burlas que, apenas em 2022, lesaram muitos milhares de portugueses, num valor que deverá ser superior a 4 milhões de euros propomos ao Banco de Portugal, SIBS e Bancos que:
1. Somente possam ser associados a contas MBWAY telemóveis previamente registados e confirmados na conta bancária. Somente após esta associação ter sido realizada e confirmada por SMS ou cartão de códigos é que esta associação é que a conta MBWAY pode ser usada.
2. Quando alguém abre uma conta MBWAY os bancos devem ser obrigados a um “período de nojo” de pelo menos 24 horas antes que se possa realizar a primeira transacção MBWAY: assim se limita o “imediatismo” e “sentido de urgência” associado a estas burlas e se dá ao futuro lesado tempo para melhor conhecer o processo MBWAY e os riscos de burla associados.
3. Nenhuma operação MBWAY que envolva envio ou recebimento de dinheiro deve ser realizada sem um método de autenticação forte (MFA).

Prevenção:
Em primeiro lugar nunca deve adicionar ao MBWAY associado à sua conta bancária um telemóvel que não seja o seu: se o fizer está a conceder a quem controla esse telemóvel acesso directo à sua conta bancária.
Em segundo lugar, se ainda não aderiu ao MBWAY não o deve fazer a conselho de desconhecidos. De igual modo, nunca ceda a desconhecidos dados pessoais.
Se receber mails ou SMS referindo o MBWAY – mesmo no decurso de uma transacção – nunca siga os links aqui referidos.
Vigie o seu extracto bancário regularmente em busca de anomalias ou de transacções suspeitas.
Ser perdeu o telemóvel onde tinha o MBWAY instale a aplicação noutro equipamento e remova esse equipamento pelo menu “MAIS:DEFINIÇÕES:Os meus dispositivos” (regularmente deve passar por aqui para fazer limpeza nos telemóveis formatados ou antigos). Se não puder instalar a aplicação num telemóvel dirija-se a um terminal multibanco e faça aqui essa operação.

Enviadas à SIBS e ao Banco de Portugal a 15.02.2023

Regulação de Criptomoedas, Democracia Participativa no Parlamento Europeu e propostas concretas para o Governo português

4 de Fevereiro de 2023 ~ Rui Martins ~ Comentar

Em 26 de janeiro estive no Parlamento Europeu em reuniões com representantes da comissão de petições Mariana Santos e David Gil (assistente do eurodeputado Pedro Marques) e, no dia seguinte, com o eurodeputado Carlos Zorrinho (da Comissão da Indústria, da Investigação e da Energia). Abordei temas como a regulação das criptomoedas e várias propostas para travar a indústria do ransomware. Com o eurodeputado abordei também dos conceitos de democracia participativa aplicados aos PE e do voto electrónico onde – nos últimos anos – tenho desenvolvido bastante actividade.

No geral, defendi o voto electrónico no PE e em Portugal mas começando nas associações, clubes, ordens profissionais e outras instituições da sociedade civil e, depois de amplos testes e eventuais correcções e de a prática estar disseminada e tornada comum na sociedade civil sendo que acredito, conjuntamente com um grupo de amigos, que se poderia passar para eleições nacionais sendo que o piloto deveria poder ser realizado em eleições para o Parlamento Europeu (PE).

A petição que – em 2022 levei ao PE e que agora foi debatida – foi referenciada em
https://news.cision.com/pt/parlamento-europeu/r/esta-semana-no-parlamento-europeu—23-a-29-de-janeiro,c638100822790000000 e a sua gravação encontra-se em https://multimedia.europarl.europa.eu/en/webstreaming/peti-committee-meeting_20230125-0900-COMMITTEE-PETI
sendo que a análise da petição ocupa o último ponto da ordem do dia da manhã onde o Comissário respondeu a algumas das questões e observações colocadas pela petição.

Na reunião com os representantes das duas comissões tive ocasião referir o fundamental do texto:
“Daquilo que sei das iniciativas do Parlamento e do Conselho Europeu quanto à regulação das Criptomoedas estas instituições são sabedoras da matéria e os cidadãos da Europa estão em boas mãos. Talvez tenham começado com algum atraso mas agora parecem estar a recuperar algum do tempo perdido desde 2013 (a 1ª vez que a UE trabalhou este tema)
O que pretendo aqui trazer é mais uma perspectiva diferente: a de um técnico de IT, de um cidadão europeu anónimo com responsabilidades na defesa da sua organização contra a indústria do ransomware e a sua integração umbilical com as criptomoedas.
Em suma e por pontos:
1. Não existiria uma crescente “indústria de ransomware” sem criptomoedas. Cidadãos, empresas e Estados não teriam perdido muitos milhões de euros e de horas de trabalho sem a anonimidade que as criptomoedas garantem (se forem “bem” usadas).
2. A anonimidade quase total destas transacções serve os interesses dos grandes grupos criminosos e dos serviços de informações de potências inimigas. Mas mesmo que seja possível identificar o IP de origem: como seria possível que países como a Rússia ou a China entregassem os criminosos ou os agentes dos seus serviços de informações a uma qualquer investigação realizada fora do seu território? Este problema nunca será resolvido (por muita legislação que se crie). Mas é possível proibir – no espaço europeu – o pagamento de resgates: isso seria – talvez – decisivo como forma de afastar do nosso território estes bandos criminosos.
3. Apesar de correcções recentes, os níveis de valorização das criptomoedas continuam excessivos e representam um risco para a economia real. O colapso desta bolha não pode deixar de ter consequências sobre todos nós e a queda recente de algumas bolsas demonstra a fragilidade e a sua má governação desta indústria. Neste sentido: aguardamos com expectativa a materialização do MiCA em 2024 (?) e esperamos que seja rapidamente adoptado por todos os países da União d que a adopção de programas de bug hunting e de um rigoroso padrão de cibersegurança seja obrigatório.
4. Os representantes das maiores empresas europeias de seguros já avisaram: em breve não serão capazes de cobrir os riscos de ataques por ransomware (e, recordemo-nos: sem criptomoedas não pode haver ransomware). Este alerta é um efeito do crescimento deste fenómeno o que vai, necessariamente, adicionar mais um risco sistémico a toda a economia porque uma parte central da estratégia de resposta e prevenção de muitas empresas assenta, precisamente, neste tipo de seguros e nos requisitos que estes exigem às organizações que os adoptam. A este respeito, há que avaliar a obrigatoriedade deste tipo de seguros nas organizações que tenham determinada escala e facturação. Algo a reflectir.

Em conclusão:
Está bem a União Europeia ao decidir agir nesta direcção. Ao fazê-lo não está “apenas” a proteger os seus cidadãos, as suas organizações públicas e empresas: será também o clima e o planeta que sairão mais protegidos. Se o fizer não será a primeira entidade internacional a agir neste campo: uma vez que vários países já lançaram regulações (de severidade variável) mas será certamente seguida por muitos países do mundo e será a primeira vez que tal regulação se aplica a um tão grande número de países ao mesmo tempo. Aqui, como no RGPD, a Europa será o farol do mundo.
Sei bem que a União Europeia não gostaria de agir no sentido de proibir todas as transacções ou a posse de criptomoedas porque, simplesmente, não acredita que é possível impedir a inovação por decreto: e concordo com esse conceito. Mas é possível lançar a MiCA o mais rapidamente que for possível, desenvolver esta regulação – talvez seguindo as sugestões que aqui apresentei – e ter sempre em vista a ligação umbilical que existe entre ransomware e criptomoedas: para mim o ponto mais importante desta intervenção.”

Acredito que a União Europeia está bem encaminhada com o MiCA: a reacção positiva (apesar de algumas dúvidas) das entidades e dos grandes investidores em crypto-assets para com o regulamento indica que aguardam a segurança e previsibilidade que o MiCA trará a esta indústria (que já foi chamada de “o Far West das Criptomoedas). Do que vi (o regulamento é extenso e a tradução é de má qualidade: mas dizem-me que isso está a ser trabalhado). Não há dúvidas que a força do bloco europeu (28 países) e o facto de ser aqui que se transaccionam 25% de todas as cripto do mundo fará a diferença e servirá para que a UE sirva de exemplo a outros (os EUA, em particular, precisam de reformar a sua débil e confusa regulação em crypto-assets). Nestas reuniões, confirmei que o MiCA entrará em vigor em 2024 e que como o processo começou no Conselho Europeu não terá que ser aprovado nos parlamentos europeus. Não consegui saber quem foi foi dos 28 países quem votou contra o MiCA mas suspeito que foi a Hungria.

Depois destas reuniões enviei ao Ministro da Transição Digital do Governo português propostas que permitiram desenvolver os artigos previstos no regulamento europeu MiCA:
1. Proibir – em Portugal – o pagamento de resgates: isso seria – talvez – decisivo como forma de afastar do nosso território estes bandos de criminosos.
2. Exigir que as entidades que operam em Portugal (e já temos uma cryptoexchange em Portugal: (o Bison Bank) tenham programas de bug hunting e um rigoroso (e auditado do exterior) padrão de cibersegurança.
3. A mineração de criptomoedas é um seríssimo problema ambiental e de consumo de energia: Todas as organizações que se dedicarem a esta actividade em Portugal deve, compensar as suas externalidades através de uma taxa de carbono especialmente reforçada.
4. Todas estas entidades que operem em Portugal devem ter seguros contra perdas por ransomware: não somente porque estes seguros obrigam ao cumprimento de um exigente conjunto de requisitos de cibersegurança mas porque formam uma rede de protecção contra ataques bem sucedidos a estas organizações e aos crypto-assets de clientes que conservam sob o seu controlo.

Rui Martins
fundador do CpC