fraudes corporativas no mundo pós-sped - 7/4/2011

prof. Roberto Dias Duarte

Melhor prevenir, que remediar!prof. Roberto Dias Duarte

Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters

Fraudes corporativas no mundo do

digital

quinta-feira, 7 de abril de 2011

http://creativecommons.org/licenses/by-nc-sa/3.0/

http://creativecommons.org/licenses/by-nc-sa/3.0/


Com licença, sou o Roberto

“Conheço apenas minha ignorância”



Big Brother Fiscal IV

Disponível em maio/2011



Todo o conteúdo está disponível em:

www.robertodiasduarte.com.br

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte

http://www.robertodiasduarte.com.br/files/omaiorB2Gdoplaneta.pdf


http://www.robertodiasduarte.com.br











Uma dica para vocês...



Fraude?



Definição ampla de fraude

É um esquema ilícito ou de má fé criado para obter ganhos pessoais.



Fatores primários

• Existência de golpistas motivados.

• Disponibilidade de vítimas adequadas e vulneráveis.

• Ausência de regras, "guardas" ou controladores eficazes.



Por que há golpistas motivados?

• Ineficiência das leis;

• incerteza da pena;

• incerteza jurídica;

• existência de oportunidades;

• pouca fiscalização;

• desrespeito as leis encarado como comportamento comum.



Mas principalmente porque...

o desrespeito às leis é considerado comportamento “normal”.



Por que há vítimas vulneráveis?

• Pouca informação e divulgação preventivas;

• ignorância e ingenuidade;

• ganância;

• o desrespeito às leis é considerado comportamento “normal”.



Por que há falta de regras e controles?

• percepção do problema como não prioritário;

• despreparo das autoridades;

• escassa coordenação de ações contra fraudadores;

• falta de leis específicas e pouca clareza em algumas das existentes.



Alavancas sobre as vítimas

• Ganância e Vontade de fazer "Dinheiro Fácil".

• Ignorância (Tecnológica, Operacional, Legal, Comercial etc...).

• Gostinho do "Ilegal", "Proibido".

• Gostinho do "Misterioso", "Exclusivo", "Inédito".



Alavancas sobre as vítimas

• Irracionalidade e tendência a negar as evidências para perseguir um sonho.

• Ingenuidade, Credulidade e Escassa Atenção.

• Necessidade e Outras Pressões/Urgências



Aprendeu?



Fraude digital?



Assinatura Digital



É um método de autenticação de informação digital

Não é assinatura eletrônica Não é assinatura digitalizada

Assinatura Digital



Como funciona?



Como funciona?HASH é gerado a partir da chave pública

HASH é armazenado na mensagem

Autor assina a com sua chave privada

Novo HASH é gerado

O HASH é descriptografado partir da chave pública

Novo HASH é comparado com o original



Carimbo do tempo



Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal Brasileira”

Carimbo do tempo



MP 2.200-2 de Agosto/2001

Documentos Digitais



MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela

I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”

(Artigo 10o § 1o)

Documentos Digitais




Documentos Digitais




“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)

Documentos Digitais



Documentos Digitais



IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade

Documentos Digitais



Integridade



Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento

Integridade



Autenticidade



O receptor pode confirmar se a assinatura foi feita pelo emissor

Autenticidade



Não repúdio



O emissor não pode negar a autenticidade da mensagem

Não repúdio



Confidencialidade



Confidencialidade

Passo 1: Alice envia sua chave pública para Bob

Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada



Disponibilidade



Disponibilidade

A informação deve estar disponível apenas para seu uso legítimo



Auditabilidade



Auditabilidade

Deve haver informação relativa às ações de alteração ou consulta de dados Quem?

Quando?O que fez?



Por que preciso saber disso?



Bem-vindos ao Terceiro Milênio

Lembrem-se:já estamos na segunda década!



Ford Focus Eletric (CES2011)



Tudo começou em 1914



Fordismo

• Linha de montagem automatizada

• Produtos baratos

• Trabalhadores pouco qualificados

• Controle de tempos e movimentos



O Fisco entra na Era do Conhecimento



O Fisco entra na Era do Conhecimento

• IRPF

• Sintegra

• IN86, MANAD

• SPED

• ...



Ecosistema Fiscal

Vendeu?

Comprou?

Produziu?

Entregou?

Cliente

Fornecedor

Recebeu?

Pagou?

Contador

Fisco

Tem nota?

EFD ICMS/IPIEFD/CIAP

EFD PIS/COFINSEFD/FOLHA

Estoque?

SPED ContábilEFD Contábil

NF-eNFS-eCF-eCC-e

CT-eBrasil-id

Siniav

NF-eNFS-eCF-eCC-e

NF-eNFS-eCF-eCC-e



Ecosistema Empresarial

Vendeu?

Comprou?Produziu?

Entregou?Cliente

Fornecedor

Recebeu?

Pagou?

Contador

Fisco Nota correta?

EFD/FOLHA

Estoque?EFD Contábil

NF-eCC-e CT-e

SPED Contábil

EFD ICMS/IPIEFD/CIAP

EFD PIS/CONFIS

NFS-eCF-e

CT-e

Brasil-idSiniav



Vamos entender as principais

vulnerabilidades das empresas no mundo do

SPED?



“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)

Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”

O que é a Nota Eletrônica?



Documento Fiscal Digital



Livro Contábil Digital



Livro Fiscal Digital (ICMS/IPI)



SPED é um repositório digital de inteligência

• Fiscal

• Contábil

• Gerencial

• Tecnológica



Mas, nada muda na minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1Tenho que verificar o arquivo XML Ajuste SINIEF 07/2005

Cláusula décima

§ 1º O destinatário deverá verificar a validade e autenticidade da NF-e e a existência de Autorização de Uso da NF-e.



Vulnerabilidade #2



Vulnerabilidade #2Nota autorizada não me livra do "passivo fiscal"

§ 1º Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver sido emitida ou utilizada com dolo, fraude, simulação ou erro, que possibilite, mesmo que a terceiro, o não-pagamento do imposto ou qualquer outra vantagem indevida. (...)

§ 3º A autorização de uso da NF-e concedida pela administração tributária não implica validação das informações nela contidas.

Ajuste SINIEF 07/2005

Cláusula quarta



Vulnerabilidade #2



Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.

Vulnerabilidade #2



Vulnerabilidade #3



Vulnerabilidade #3Só posso cancelar NF-e se a mercadoria não circulou....

ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.



Vulnerabilidade #4



Vulnerabilidade #4Tenho que enviar o arquivo XML ao destinatário e ao transportador

Cláusula Sétima

§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e ao transportador contratado, imediatamente após o recebimento da autorização de uso da NF-e.

Ajuste SINIEF 07/2005



Vulnerabilidade #5



Vulnerabilidade #5Tenho que guardar o arquivo XML Ajuste SINIEF 07/2005

Cláusula décimaO emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado.

(...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.



Vulnerabilidade #6



Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais

eCPF, eCNPJ, ePJ



Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM



Causas das vulnerabilidades



Causas das vulnerabilidades

Falta de conhecimento das regras; Ganância: preços abaixo do

mercado; Desrespeito as leis encarado como

comportamento comum; Sistemas precários; Pessoal pouco qualificado.



Consequências



Consequências Mercadorias sem documento

idôneo: XML não assinado, DANFE clonado, dados inconsistentes, NF-e cancelada/denegada, etc.

Mercadorias de origem ilícita; Problemas fiscais: documentos

inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros

documentos



Tenho como evitar?



Solução: Paradigma do século XXI

Conhecimento

Comportamento

Tecnologia



Ação preventivas básicas



Termo de compromisso

Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual

Identifica as pessoas:

Senha;

Cartão ou token;

Biometria;

Certificado Digital.



“Empréstimo” de senha



Cópias de segurançaQual a política definida?

Qual a cópia mais antiga?

Os arquivos das estações têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologadoItens de verificação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências



Uso de antivírusPrevenção além do software:

Anexos

Executável? No way!

Download? Só de sites confiáveis

Backup, sempre

Educação



Correio eletrônico Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...



Informações pessoais Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Engenharia socialProcedimentos para obtenção de informações

através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire confiança

presta “favor”



Quer tentar?



Direitos do usuário

Acesso individual

Informações para trabalhar

Saber o que é rastreado

Conhecer as políticas e normas

Ser avisado sobre tentativas de invasão

Treinamento sobre segurança

Comunicar ocorrências de segurança

Garantia de privacidade

Ser mais importante que a tecnologia



Mensagem do He-Man



Todo o conteúdo está disponível em:

www.robertodiasduarte.com.br

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte

Estudo “O Maior B2G do Planeta” em:http://www.robertodiasduarte.com.br/files/omaiorB2Gdoplaneta.pdf












fraudes corporativas no mundo pós-sped - 7/4/2011

Business