Fraudes corporativas no mundo pós-SPED

Fraudes
corporativas
no mundo
pós-SPED
prof. Roberto Dias Duarte

Melhor prevenir, que remediar!
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
sexta-feira, 6 de maio de 2011

Com licença, sou o
Roberto

“Conheço apenas
minha ignorância”



Big Brother Fiscal IV

Disponível em
maio/2011



Todo o conteúdo está
disponível em:
www.robertodiasduarte.com.br
http://www.robertodiasduarte.com.br/ﬁles/omaiorB2Gdoplaneta.pdf

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte



Quer tentar?



Fraude?



O que é fraude?

É um esquema
ilícito ou de má fé
criado para obter
ganhos pessoais.



Fatores primários
1 - Existência de golpistas
motivados.

• Ineﬁciência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca ﬁscalização.


Mas principalmente
porque...

o desrespeito às
leis é considerado
comportamento
“normal”.



Fatores primários
2 - Existência de vítimas vulneráveis

• Pouca informação e divulgação
preventivas;

• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é
considerado comportamento
“normal”.


Fatores primários
3 - Falta de controle ou ﬁscalização
• percepção do problema como
não prioritário;

• despreparo das autoridades;
• escassa coordenação de ações
contra fraudadores;

• falta de leis especíﬁcas e pouca
clareza em algumas das
existentes.


Vítima ou golpista?



Segurança da
Informação?



Ameaça?



Ameaça?

Causa potencial de um
incidente, que caso se
concretize pode
resultar em dano


Vulnerabilidade?



Vulnerabilidade?

Falha (ou conjunto)
que pode ser explorada
por ameaças


Incidente?

Evento que
comprometa a
operação do
negócio ou
cause dano aos
ativos da
organização



Impacto?

Resultados de
incidentes



Análise de risco

Impacto

Transfere Mitiga

Aceita Reduz

Probabilidades



Ativo digital?



Ativo? Intangível?

“Um ativo intangível é um
ativo não monetário
identiﬁcável sem
substância física ou,
então, o ágio pago por
expectativa de
rentabilidade futura
(goodwill)”
Fonte: http://www.cpc.org.br



Assinatura Digital



Assinatura Digital

É um método de autenticação
de informação digital

Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!



Como funciona?



Como funciona?
HASH é
gerado a
partir da
chave pública

O HASH é
Autor assina descriptografado
a com sua partir da chave
chave privada pública

Novo HASH
é gerado

HASH é
armazenado
na mensagem

Novo HASH é comparado
com o original



Documentos Digitais
MP 2.200-2 de Agosto/2001



Documentos Digitais
“As declarações constantes dos documentos em
forma eletrônica produzidos com a utilização de
processo de certiﬁcação disponibilizado pela

presumem-se
ICP-Brasil

verdadeiros em relação
aos signatários”
(Artigo 10o § 1o)



Documentos Digitais

“O disposto nesta Medida Provisória não obsta a
utilização de outro meio de comprovação da
autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certiﬁcados
não emitidos pela ICP-Brasil, desde que
admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)



Caso real



Caso real

Integridade
Autenticidade
Não repudio
Disponibilidade
Conﬁdencialidade
Auditabilidade



Carimbo do tempo



Carimbo do tempo

Certiﬁca a autenticidade temporal
(data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal
Brasileira”



Integridade



Integridade

Qualquer alteração
da mensagem faz
com que a
assinatura não
corresponda mais
ao documento



Autenticidade



Autenticidade

O receptor pode
conﬁrmar se a
assinatura foi
feita pelo
emissor



Não
repúdio



Não
repúdio

O emissor não
pode negar a
autenticidade da
mensagem



Conﬁdencialidade



Conﬁdencialidade

Passo 1: Alice envia sua
chave pública para Bob
Passo 2: Bob cifra a
mensagem com a
chave pública de Alice
e envia para Alice, que
recebe e decifra o
texto utilizando sua
chave privada


Disponibilidade



Disponibilidade

A informação
deve estar
disponível
apenas para seu
uso legítimo


Auditabilidade



Auditabilidade

Deve haver
informação
relativa às
ações de
alteração
ou consulta
de dados Quem?
Quando?
O que fez?


Por que preciso saber
disso?



Ecosistema Fiscal
NF-e
NFS-e EFD ICMS/IPI
CT-e
EFD/CIAP
Tem nota? CF-e Brasil-id
EFD PIS/COFINS
CC-e Siniav
Entregou? EFD/FOLHA

Fisco
NF-e SPED Contábil
Vendeu?
NFS-e EFD Contábil
CF-e
CC-e

Recebeu? Cliente

Produziu?
Contador

NF-e
Estoque? Pagou? NFS-e
CF-e
CC-e Fornecedor
Comprou?


Vamos entender as
principais
vulnerabilidades das
empresas no mundo do
pós-SPED?



O que é a Nota
Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica
como sendo um documento de existência
apenas digital, emitido e armazenado
eletronicamente, (...)

Sua validade jurídica é garantida pela
assinatura digital do remetente (garantia de
autoria e de integridade) e pela recepção, pelo
Fisco, do documento eletrônico, antes da
ocorrência do fato gerador.”



Documento Fiscal Digital



Livro Contábil Digital



Livro Fiscal Digital
(ICMS/IPI)



Mas, nada muda na
minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1
Te n h o q u e
ver iﬁcar o
arquivo XML
Cláusula décima

§ 1º O destinatário
deverá v e r i ﬁ c ar a
vali dade e
autenticidade da NF-e
e a exis tênci a de
Autorização de Uso da
NF-e.
Ajuste SINIEF 07/2005


Vulnerabilidade #2



Vulnerabilidade #2

Nota autorizada não me
livra do "passivo ﬁscal"

Vulnerabilidade #2
Cláusula quarta

Ainda que formalmente regular,
não será considerado
documento ﬁscal idôneo a NF-e
que tiver si do emiti da o u
utilizada co m do lo, f rau de,
s i m u la ç ã o o u e r r o, q u e
possibilite, mesmo que a terceiro,
o não-pagamento do imposto ou
q u al q u er o ut r a va ntag e m
indevida. Ajuste SINIEF 07/2005



Vulnerabilidade #3



Vulnerabilidade #3

Só posso cancelar
NF-e se a
mercadoria não
circulou....



Vulnerabilidade #3
ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento
da NF-e, em prazo não superior a 24 horas, contado
do momento em que foi concedida a respectiva
Autorização de Uso da NF-e, desde que não tenha
ocorrido a circulação da mercadoria ou a prestação
de serviço e observadas às demais normas constantes
do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.



Vulnerabilidade #4



Vulnerabilidade #4

Tenho que enviar o
arquivo XML ao
destinatário e ao
transportador

Vulnerabilidade #4
Cláusula Sétima

§ 7º O emitente da NF-e deverá,
obr ig ato r i am e nte, e ncam inhar o u
disponibilizar download do arquivo
da NF-e e seu respectivo Protocolo de
Autorização de Uso ao destinatário e
a o t r a n s p o r t a d o r c o n t r at a d o,
imediatamente após o recebimento da
autorização de uso da NF-e.




Vulnerabilidade #5



Vulnerabilidade #5

Tenho que guardar
o arquivo XML


Vulnerabilidade #5
Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo
d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo
estabelecido na legislação tributária, mesmo que fora da empresa,
devendo ser disponibilizado para a Administração Tributária
quando solicitado. (...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a
emissão de NF-e, alternativamente ao disposto no “caput”, o
destinatário deverá manter em arquivo o DANFE relativo a NF-e
da operação, devendo ser apresentado à administração tributária,
quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido
na legislação tributária o DANFE que acompanhou o retorno de
mercadoria não recebida pelo destinatário e que contenha o
motivo da recusa em seu verso.



Vulnerabilidade #6



Vulnerabilidade #6
Troca de identidade



Vulnerabilidade #6
“ E m p ré s t i m o ” d e s e n h a e
ar mazenam ento de
certiﬁcados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM



O que causa
vulnerabilidade?



Causas das
vulnerabilidades



Causas das
vulnerabilidades

Tecnologia precária

Falta de conhecimento
Ganância: preços abaixo do
mercado
Desrespeito as leis encarado
como comportamento comum



Consequências



Consequências

Mercadorias sem documento
idôneo
Mercadorias de origem ilícita
Problemas ﬁscais: documentos
inidôneos
Sigilo ﬁscal e comercial violados
Assinatura de contratos e
outros documentos



Tenho como evitar?



Solução: Paradigma do
século XXI

Conhecimento
Comportamento
Tecnologia



Ação preventivas básicas



O dono da bola
Quem é o responsável pela gestão da informação?

Deﬁnições:

políticas de segurança

políticas de backup

políticas de contingência



Termo de compromisso
Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual
Identiﬁca as pessoas:

Senha;

Cartão ou token;

Biometria;

Certiﬁcado Digital.



“Empréstimo” de senha



Cópias de segurança
Qual a política deﬁnida?

Qual a cópia mais antiga?

Os arquivos das estações
têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologado
Itens de veriﬁcação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências


Uso de antivírus
Prevenção além do software:

Anexos

Executável? No way!

Download? Só de sites conﬁáveis

Backup, sempre

Educação



Correio eletrônico
Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...


Informações pessoais
Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Engenharia social
Procedimentos para obtenção de informações
através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire conﬁança

presta “favor”


Mensagem ﬁnal sobre o
segurança e SPED



Todo o conteúdo está
disponível em:
www.robertodiasduarte.com.br
Estudo “O Maior B2G do Planeta” em:
http://www.robertodiasduarte.com.br/ﬁles/omaiorB2Gdoplaneta.pdf

http://www.slideshare.net/robertodiasduarte

http://www.youtube.com/user/robertodiasduarte



Fraudes corporativas no mundo pós-SPED

Recomendados

Recomendados

Más contenido relacionado

Más de Roberto Dias Duarte

Más de Roberto Dias Duarte (20)

Fraudes corporativas no mundo pós-SPED