Descoberta e escopo
A Comissão Federal de Comunicações (FCC) dos Estados Unidos propôs uma multa de 4,5 milhões de dólares contra o provedor de serviços de voz Voxbeam. A ação regulatória é motivada por alegações de que a empresa hospedou tráfego de chamadas "suspensas" de origem estrangeira, que foram utilizadas para realizar robocalls de "impersonação financeira" contra consumidores americanos.
O relatório da FCC destaca que as ações da Voxbeam levaram ao uso de contas não conformes e antigas para facilitar essas chamadas fraudulentas. Isso representa um caso significativo de falha na verificação de identidade e conformidade regulatória no setor de telecomunicações.
Impacto e alcance
Este caso ilustra os riscos crescentes de fraudes de telecomunicações que exploram vulnerabilidades na infraestrutura de voz global. Para as empresas de telecomunicações e provedores de serviços de voz, a conformidade com as regras de autenticação e verificação de chamadas (STIR/SHAKEN) tornou-se crítica.
A multa proposta serve como um aviso para o setor de que a negligência na verificação de tráfego de chamadas pode resultar em consequências financeiras severas. Além disso, a reputação da empresa pode ser severamente afetada, levando à perda de clientes e parcerias comerciais.
Medidas de mitigação recomendadas
Para provedores de serviços de voz e empresas que utilizam esses serviços, é essencial implementar mecanismos robustos de autenticação de chamadas. Isso inclui a adoção de padrões como STIR/SHAKEN, que ajudam a verificar a legitimidade das chamadas e prevenir a spoofing de números.
Além disso, as organizações devem realizar auditorias regulares de seus provedores de serviços de voz para garantir que eles estejam em conformidade com as regulamentações locais e internacionais. A monitorização contínua do tráfego de chamadas também é fundamental para identificar padrões suspeitos e agir rapidamente.
Implicações regulatórias (LGPD)
No Brasil, a LGPD exige que as empresas protejam os dados pessoais de seus clientes, incluindo informações de comunicação. A falha em prevenir fraudes de telecomunicações pode ser vista como uma violação da segurança dos dados, especialmente se os dados dos clientes forem utilizados para fins fraudulentos.
Empresas que operam no Brasil devem estar atentas às regulamentações locais sobre telecomunicações e fraudes. A ANPD pode considerar a falta de medidas de segurança adequadas como uma violação da LGPD, resultando em multas e sanções administrativas.
O que os CISOs devem fazer imediatamente
- Auditar provedores: Revisar os contratos e práticas de segurança dos provedores de serviços de voz utilizados pela organização.
- Implementar STIR/SHAKEN: Adotar padrões de autenticação de chamadas para prevenir spoofing e fraudes.
- Monitorar tráfego: Implementar soluções de monitoramento de tráfego de voz para identificar chamadas suspeitas.
- Conscientização: Treinar os funcionários sobre os riscos de fraudes de telecomunicações e como identificar chamadas suspeitas.
Perguntas frequentes
Isso afeta apenas os Estados Unidos? Não. As práticas de fraude de telecomunicações são globais e afetam consumidores em todo o mundo.
Como saber se minhas chamadas estão sendo usadas para fraudes? Não há uma maneira direta de saber, mas o monitoramento de tráfego e a auditoria de provedores podem ajudar.
Devo mudar de provedor de voz? Depende da avaliação de risco. Se o provedor atual não estiver em conformidade, é recomendável considerar alternativas.