Blockchain – Integridade ou Autenticidade
Eduardo Salles
Após décadas de esforços no mundo todo, parece que consumidores, empresas, agências reguladoras e governos começam a perceber a importância do uso da tecnologia para o combate às fraudes e suas mais terríveis consequências (tais como os riscos à saúde pública e à economia formal).
Contudo, é crescente a preocupação daqueles que conhecem à fundo o “modus operandi” de criminosos e fraudadores no mundo todo ao verem os debates sendo liderados por pessoas que, à despeito do enorme conhecimento de TI, desconhecem os diferentes tipos de fraude, dimensões da segurança, níveis de segurança anti-fraude, etc.
Tal preocupação se justifica quando nos deparamos com sucessivas declarações e artigos apresentando tecnologias como o Blockchain para “assegurar a autenticidade de produtos e evitar a comercialização de produtos falsificados”.
Sem dúvida, esta ferramenta pode ajudar muito na construção de uma solução efetiva, mas ela não é capaz de cumprir tal promessa sozinha. Ainda pior: as empresas e governos que a adotarem acreditando nesta abordagem estarão premiando os criminosos com, talvez, as maiores oportunidades de sucesso da história.
A abordagem especializada em soluções anti-fraude devem compor 4 dimensões de segurança, a saber: autenticidade, rastreabilidade, inviolabilidade e controle.
Neste contexto, o Blockchain poderia ser enquadrado como uma espetacular solução de inviolabilidade de uma cadeia de eventos registrada em um sistema de rastreabilidade (veja que já se apresenta a necessidade de uma segunda solução – Blockchain não faz rastreabilidade sozinho).
Assim, dentro de um sistema de rastreabilidade (poderíamos analisar, por exemplo, o projeto de rastreabilidade de medicamentos da ANVISA), seria altamente recomendável o uso do Blockchain para assegurar a integridade dos dados de eventos registrados ao longo da cadeia (desde a fabricação do medicamento, passando por distribuidores e revendedores, até chegar ao consumidor final ou leito do hospital).
Blockchain é a ferramenta perfeita para isso, pois “amarra” cada evento registrado ao evento anterior, em uma verdadeira cadeia (chain) criptográfica de tal modo que qualquer evento “falso”, torna a cadeia inválida, evidenciando a violação da integridade dos dados.
Deste modo, uma solução razoável abrangeria tecnologias de rastreabilidade (registro dos eventos), inviolabilidade (proteção da integridade dos dados – Blockchain) e controle (análise de dados em tempo real para aferição de sua integridade, geração de alertas,
registro de logs, geolocalização, etc).
Mas, para que tenhamos uma estrutura realmente eficiente na prevenção e combate às fraudes, ainda falta algo: autenticidade.
É importante alertar que, nas tecnologias citadas, não há qualquer elemento que assegure a veracidade dos dados em sua origem.
Significa dizer que, se alguém for capaz de invadir um dos sistemas envolvidos (por exemplo, na indústria) e inserir um item falso (o identificador único de medicamento ou outro ID de qualquer sistema), poderá atribuí-lo a um produto falsificado, adulterado, contrabandeado ou roubado e, a seguir, colocá-lo no mercado sem grandes chances de ser descoberto (eventos parecidos com isso já estão surgindo na Europa, disparando os radares das agências governamentais).
Observem que o “invasor” não precisa ser um super-hacker. Pode ser um funcionário da empresa, devidamente qualificado e autorizado para isso. Há estudos que afirmam que 80% das fraudes nascem dentro das empresas e organizações, envolvendo pessoas internas.
Para completarmos a estrutura da solução anti-fraude é necessário utilizarmos tecnologias de autenticidade nos produtos, embalagens e documentos alvo da proteção desejada.
Há muitas ferramentas para isso. Algumas antigas (hologramas, elementos oticamente variáveis – ovds, tintas especiais, impressões numismáticas, calcografia, marcas d’água, etc) e outras mais modernas, tais como elementos de criptografia gráfica, que permitem a impressão “simples” (no mesmo processo que imprime códigos Datamatrix, QRCode e outros), mas altamente sofisticada que pode autenticar os dados presentes.
Outra ferramenta poderosa utiliza algoritmos de processamento digital de imagens para comprovar que aquela não é uma cópia do original (assim como a ausência de adulterações deste).
Evidentemente, não é possível detalhar todas as possibilidades (tanto fragilidades quanto de soluções) em um único artigo. Precisamos trazer os especialistas (em segurança anti-fraude) para o debate.
Isso precisa ser rápido, pois o tema está “na moda” e muitas empresas estão seguindo um rumo bastante perigoso sem ter a menor ideia do risco assumido.