É sabido que muitos dos processos e procedimentos na Administração Geral Tributária (AGT) ainda têm como elemento de decisão o ser humano, ou seja, o técnico da AGT possui alguma autonomia na tomada de decisão.

Sobre o caso dos 7 mil milhões viu-se que o core fault [falha] da situação está no ciberespaço, pois, pelo que se relata, os técnicos tinham autonomia de poder alterar o valor a pagar por cada multa ou imposto (erro crasso na administração de TICs), resultando no crime de acesso ilegítimo, falsidade informática.

Nesta senda, os gabinetes ligados às TICs do ministério saem a perder, pois deviam possuir mecanismos que permitam a validação de informação em real-time e, caso uma anomalia fosse detetada, reportar rapidamente às áreas competentes.

Segundo o diretor do Gabinete de Tecnologias da AGT, a instituição usa o sistema do Oracle, pois então não é suficiente já que "at the end of the day" [no fim do dia], como se diz, não passa de uma ferramenta que obedece a instruções humanas, por isso deve-se constantemente atualizar e rever todo o procedimento informático na instituição. Apresento alguns pontos, tendo em conta que a gestão do Ministério das Finanças (MinFin) deve olhar com olhos de ver para todo o processo de digitalização:

■ Segurança aprimorada e prevenção de fraudes:

■ A digitalização melhora a transparência nas operações financeiras, facilitando o cumprimento dos requisitos regulamentares e evitando penalidades

■ Os sistemas digitais usam criptografia, autenticação multifatorial e biometria para proteger dados financeiros confidenciais.

■ Deteção de fraude: algoritmos de IA e aprendizado de máquina podem detetar padrões incomuns e sinalizar possíveis fraudes em tempo real

Só para levarmos em conta, é preciso que se diga que, dentro do ministério, ainda não existe nenhum departamento de políticas de ciberseguranca que vigie e assegure transversalmente todos os outros órgãos que o compõem, tem apenas departamentos que resolvem e atendem incidentes de primeira linha.

Dada a sua sensibilidade, deve estar focado no utilizador, aplicando a metodologia A, zero trust (ZT), que é uma abordagem arquitetónica e uma meta para a segurança da rede, que pressupõe que cada transação, entidade e identidade não é confiável até que a confiança seja estabelecida e mantida ao longo do tempo e usando 2FA (A autenticação de dois fatores), ou verificação em duas etapas. Trata-se de uma medida de segurança que requer duas formas distintas de identificação (também conhecidas como factores) antes de conceder acesso a um sistema ou serviço.

Aplicando estes dois métodos, mas de uma forma em que a validação seja em real-time e validada por mecanismo informático, teremos meio caminho andado na proteção destas infra-estruturas

*Eric Dario Martins, Engenheiro de Telecomunicações