fraudes corporativas no mundo pós-sped

prof. Roberto Dias Duarte

Melhor prevenir, que remediar!

Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.


Photographer: Reuters

Fraudes corporativas

no mundo pós-SPED

sexta-feira, 6 de maio de 2011

http://creativecommons.org/licenses/by-nc-sa/3.0/

http://creativecommons.org/licenses/by-nc-sa/3.0/


Com licença, sou o Roberto

“Conheço apenas minha ignorância”



Big Brother Fiscal IV

Disponível em maio/2011



Todo o conteúdo está disponível em:

www.robertodiasduarte.com.br

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte

http://www.robertodiasduarte.com.br/files/omaiorB2Gdoplaneta.pdf


http://www.robertodiasduarte.com.br









Quer tentar?



Fraude?



O que é fraude?

É um esquema ilícito ou de má fé criado para obter ganhos pessoais.



Fatores primários1 - Existência de golpistas motivados.

• Ineficiência das leis;

• incerteza da pena;

• incerteza jurídica;

• existência de oportunidades;

• pouca fiscalização.



Mas principalmente porque...

o desrespeito às leis é considerado comportamento “normal”.



• Pouca informação e divulgação preventivas;

• ignorância e ingenuidade;

• ganância;

• o desrespeito às leis é considerado comportamento “normal”.

Fatores primários2 - Existência de vítimas vulneráveis



• percepção do problema como não prioritário;

• despreparo das autoridades;

• escassa coordenação de ações contra fraudadores;

• falta de leis específicas e pouca clareza em algumas das existentes.

Fatores primários3 - Falta de controle ou fiscalização



Vítima ou golpista?



Segurança da Informação?



Ameaça?



Causa potencial de um incidente, que caso se concretize pode resultar em dano

Ameaça?



Vulnerabilidade?



Falha (ou conjunto) que pode ser explorada por ameaças

Vulnerabilidade?



Evento que comprometa a operação do negócio ou cause dano aos ativos da organização

Incidente?



Resultados de incidentes

Impacto?



Análise de risco

Impacto

Transfere

Probabilidades

Aceita Reduz

Mitiga



Ativo digital?



Ativo? Intangível?

“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”

Fonte: http://www.cpc.org.br


http://www.cpc.org.br

http://www.cpc.org.br


Assinatura Digital



É um método de autenticação de informação digital

Assinatura Digital

Não é Assinatura Digitalizada!

Não é Assinatura Eletrônica!



Como funciona?



Como funciona?HASH é gerado a partir da chave pública

HASH é armazenado na mensagem

Autor assina a com sua chave privada

Novo HASH é gerado

O HASH é descriptografado partir da chave pública

Novo HASH é comparado com o original



MP 2.200-2 de Agosto/2001

Documentos Digitais



MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela

I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”

(Artigo 10o § 1o)

Documentos Digitais




Documentos Digitais




“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)

Documentos Digitais



Caso real



IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade

Caso real



Carimbo do tempo



Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal Brasileira”

Carimbo do tempo



Integridade



Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento

Integridade



Autenticidade



Autenticidade

O receptor pode confirmar se a assinatura foi feita pelo emissor



Não repúdio



O emissor não pode negar a autenticidade da mensagem

Não repúdio



Confidencialidade



Confidencialidade

Passo 1: Alice envia sua chave pública para Bob

Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada



Disponibilidade



Disponibilidade

A informação deve estar disponível apenas para seu uso legítimo



Auditabilidade



Auditabilidade

Deve haver informação relativa às ações de alteração ou consulta de dados Quem?

Quando?O que fez?



Por que preciso saber disso?



Ecosistema Fiscal

Vendeu?

Comprou?

Produziu?

Entregou?

Cliente

Fornecedor

Recebeu?

Pagou?

Contador

Fisco

Tem nota?

EFD ICMS/IPIEFD/CIAP

EFD PIS/COFINSEFD/FOLHA

Estoque?

SPED ContábilEFD Contábil

NF-eNFS-eCF-eCC-e

CT-eBrasil-id

Siniav

NF-eNFS-eCF-eCC-e

NF-eNFS-eCF-eCC-e



Vamos entender as principais

vulnerabilidades das empresas no mundo do

pós-SPED?



“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)

Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”

O que é a Nota Eletrônica?



Documento Fiscal Digital



Livro Contábil Digital



Livro Fiscal Digital (ICMS/IPI)



Mas, nada muda na minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1

Tenho que verificar o arquivo XML

Ajuste SINIEF 07/2005

Cláusula décima

§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.



Vulnerabilidade #2



Vulnerabilidade #2

Nota autorizada não me livra do "passivo fiscal"



Vulnerabilidade #2



Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.

Vulnerabilidade #2


Cláusula quarta



Vulnerabilidade #3



Vulnerabilidade #3

Só posso cancelar NF-e se a mercadoria não circulou....



Vulnerabilidade #3



Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.



Vulnerabilidade #4



Vulnerabilidade #4

Tenho que enviar o arquivo XML ao destinatário e ao transportador



Vulnerabilidade #4



Vulnerabilidade #4Cláusula Sétima

§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.




Vulnerabilidade #5



Vulnerabilidade #5

Tenho que guardar o arquivo XML



Vulnerabilidade #5



Vulnerabilidade #5


Cláusula décima

O emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.



Vulnerabilidade #6



Vulnerabilidade #6Troca de identidade



Vulnerabilidade #6



Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM



O que causa vulnerabilidade?



Causas das vulnerabilidades



Causas das vulnerabilidades

Falta de conhecimento Ganância: preços abaixo do

mercado Desrespeito as leis encarado

como comportamento comum

Tecnologia precária



Consequências



Consequências

Mercadorias sem documento idôneo

Mercadorias de origem ilícita Problemas fiscais: documentos

inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e

outros documentos



Tenho como evitar?



Solução: Paradigma do século XXI

Conhecimento

Comportamento

Tecnologia



Ação preventivas básicas



O dono da bola Quem é o responsável pela gestão da informação?

Definições:

políticas de segurança

políticas de backup

políticas de contingência



Termo de compromisso

Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual

Identifica as pessoas:

Senha;

Cartão ou token;

Biometria;

Certificado Digital.



“Empréstimo” de senha



Cópias de segurançaQual a política definida?

Qual a cópia mais antiga?

Os arquivos das estações têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologadoItens de verificação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências



Uso de antivírusPrevenção além do software:

Anexos

Executável? No way!

Download? Só de sites confiáveis

Backup, sempre

Educação



Correio eletrônico Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...



Informações pessoais Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Engenharia socialProcedimentos para obtenção de informações

através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire confiança

presta “favor”



Mensagem final sobre o segurança e SPED



Todo o conteúdo está disponível em:

www.robertodiasduarte.com.br

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte

Estudo “O Maior B2G do Planeta” em:http://www.robertodiasduarte.com.br/files/omaiorB2Gdoplaneta.pdf










fraudes corporativas no mundo pós-sped

Business