Autor
Finanças • Dec 19, 2025
5
Banca USSD: Uma Perspetiva Baseada no Risco Alinhada com a ISO/IEC 27001:2022
Em muitos mercados, as soluções de mobile banking baseadas em USSD são adotadas como um meio de promover a inclusão financeira, permitindo o acesso a serviços bancários básicos sem necessidade de ligação à internet ou de smartphones.
Embora estas soluções sejam inegavelmente simples e economicamente eficientes, a sua conformidade com normas reconhecidas de gestão da segurança da informação exige uma avaliação cuidadosa e objetiva, particularmente em ambientes financeiros regulados.
O modelo típico de autenticação USSD assenta em dois elementos principais:
Principais Riscos de Segurança num Contexto USSD
Em cenários de SIM swap, os mecanismos de confirmação de transações que dependem do mesmo canal de comunicação, como SMS, OTPs baseados em USSD ou chamadas de voz, não constituem controlos independentes.
Do ponto de vista da ISO/IEC 27001:2022, isto cria dependências entre controlos que reduzem significativamente a sua eficácia global.
Para utilizadores limitados a feature phones, os tokens físicos de hardware continuam a ser o único segundo fator verdadeiramente independente capaz de mitigar este risco. Contudo, introduzem custos operacionais adicionais, desafios de distribuição e complexidade na gestão do ciclo de vida, frequentemente em conflito com os objetivos de inclusão financeira.
A experiência de implementações em larga escala, incluindo M-Pesa, confirma que a fraude associada a SIM swap é um risco material e recorrente, com implicações financeiras, operacionais e de proteção do consumidor mensuráveis.
À medida que a adoção de smartphones aumenta, incluindo em mercados emergentes, tornam-se viáveis enquadramentos de controlos de segurança mais robustos, auditáveis e proporcionais.
A Plataforma de Banca Digital da NEARSOFT é desenvolvida e operada pela NEARSOFT, uma organização certificada segundo a ISO/IEC 27001:2022, suportada por um Sistema de Gestão da Segurança da Informação (ISMS) formalmente implementado e auditado externamente.
Neste enquadramento, a plataforma é concebida com:
A inclusão financeira continua a ser uma prioridade estratégica. No entanto, no âmbito da ISO/IEC 27001:2022, os mecanismos de inclusão devem ser suportados por uma avaliação de risco documentada, pela seleção adequada de controlos e por um processo de melhoria contínua.
À medida que a conectividade melhora e a penetração de smartphones continua a crescer, reguladores e instituições financeiras têm uma oportunidade clara de transitar progressivamente de modelos centrados no SIM para canais digitais baseados em dispositivos de confiança e protegidos criptograficamente, sem excluir populações subatendidas.
A Plataforma de Banca Digital da NEARSOFT demonstra que:
Embora estas soluções sejam inegavelmente simples e economicamente eficientes, a sua conformidade com normas reconhecidas de gestão da segurança da informação exige uma avaliação cuidadosa e objetiva, particularmente em ambientes financeiros regulados.
O Modelo de Autenticação USSD
O modelo típico de autenticação USSD assenta em dois elementos principais:
- um número de telemóvel registado junto do operador de telecomunicações;
- um PIN numérico introduzido pelo utilizador.
Principais Riscos de Segurança num Contexto USSD
- Confidencialidade da informação de autenticação: os PINs são introduzidos em texto simples e podem ser observados, o que entra em conflito com o princípio de proteção de informação sensível.
- Dependência da posse do SIM: ataques de SIM swap e clonagem de SIMs comprometem a garantia de identidade e os mecanismos de controlo de acesso.
- Registo de Dispositivo Seguro: a inexistência de confiança ao nível do dispositivo enfraquece os controlos de acesso lógico.
- Dependência de um único fator de confirmação/validação (MFA): o comprometimento de um único fator de confirmação/validação pode resultar na total tomada de controlo da conta, aumentando o risco residual.
- Ausência de encriptação ponta-a-ponta: a exposição de dados em infraestruturas de telecomunicações de terceiros coloca em causa os requisitos de confidencialidade e integridade.
Autorização de Transações e Eficácia dos Controlos
Em cenários de SIM swap, os mecanismos de confirmação de transações que dependem do mesmo canal de comunicação, como SMS, OTPs baseados em USSD ou chamadas de voz, não constituem controlos independentes.
Do ponto de vista da ISO/IEC 27001:2022, isto cria dependências entre controlos que reduzem significativamente a sua eficácia global.
Para utilizadores limitados a feature phones, os tokens físicos de hardware continuam a ser o único segundo fator verdadeiramente independente capaz de mitigar este risco. Contudo, introduzem custos operacionais adicionais, desafios de distribuição e complexidade na gestão do ciclo de vida, frequentemente em conflito com os objetivos de inclusão financeira.
A experiência de implementações em larga escala, incluindo M-Pesa, confirma que a fraude associada a SIM swap é um risco material e recorrente, com implicações financeiras, operacionais e de proteção do consumidor mensuráveis.
A Abordagem da Plataforma de Banca Digital da NEARSOFT
À medida que a adoção de smartphones aumenta, incluindo em mercados emergentes, tornam-se viáveis enquadramentos de controlos de segurança mais robustos, auditáveis e proporcionais.
A Plataforma de Banca Digital da NEARSOFT é desenvolvida e operada pela NEARSOFT, uma organização certificada segundo a ISO/IEC 27001:2022, suportada por um Sistema de Gestão da Segurança da Informação (ISMS) formalmente implementado e auditado externamente.
Neste enquadramento, a plataforma é concebida com:
- Associação do dispositivo como ativo de confiança: o acesso lógico é restringido a dispositivos registados e validados, reforçando o controlo de acesso e mitigando ataques baseados em SIM.
- Autenticação em camadas e baseada no risco: múltiplos fatores de autenticação são orquestrados de acordo com o risco da transação.
- Autorização independente para operações sensíveis: transações críticas exigem controlos que não dependem da posse do SIM.
- Encriptação ponta-a-ponta: assegurando a confidencialidade e a integridade desde o dispositivo do cliente até ao core bancário.
Um Caminho Baseado no Risco para uma Inclusão Sustentável
A inclusão financeira continua a ser uma prioridade estratégica. No entanto, no âmbito da ISO/IEC 27001:2022, os mecanismos de inclusão devem ser suportados por uma avaliação de risco documentada, pela seleção adequada de controlos e por um processo de melhoria contínua.
À medida que a conectividade melhora e a penetração de smartphones continua a crescer, reguladores e instituições financeiras têm uma oportunidade clara de transitar progressivamente de modelos centrados no SIM para canais digitais baseados em dispositivos de confiança e protegidos criptograficamente, sem excluir populações subatendidas.
A Plataforma de Banca Digital da NEARSOFT demonstra que: