Em um cenário de grande automação comercial, onde muitas vezes as pessoas são substituídas por máquinas, um ambiente que tem sido alvo desta transformação é o de gestão de ligações telefônicas nas empresas. Como sabemos, o PABX é largamente utilizado, respondendo pelo controle e distribuição das ligações internas (entre ramais) e externas (entrada e saída de chamadas), bem como outras funcionalidades, cada vez mais inteligentes, para que a pessoa que liga consiga, sozinha, resolver sua necessidade, sem intervenção ou apoio humano. 

No entanto, esta ferramenta vem sendo alvo dos bandidos. Será que o PABX da empresa é seguro? Até que ponto a empresa pode a qualquer momento ser surpreendida com cobranças vultosas, por chamadas que desconhece? Tem sido corrente ocorrência de fraudes de PABX, com golpes que se aproveitam de vulnerabildades presentes nos equipamentos ou na programação para dar o golpe. Como evitar que isso ocorra e o que fazer em situação de incidente?

De fato, em razão do desenvolvimento tecnológico, as fraudes de PABX tem se tornado uma constante, apanhando de surpresa as empresas mais vulneráveis. Os casos mais comuns são relatados por falhas que permitem a um terceiro realizar uma chamada para o correio de voz de um dos números do PABX da empresa e a partir daí obter linha para realizar outra chamada como se fosse originada do PABX. O procedimento acarreta a cobrança dessa outra chamada na conta da empresa. Além disso, é possível também, por falha em programação da URA, entrar com uma chamada gratuita e sair fazendo uma ligação para fora, que será paga pela empresa.

Infelizmente, como essas brechas são amplamente divulgadas em curto espaço de tempo, o resultado é o recebimento de conta telefônica ao final do período com valores superiores aos de costume. Em casos já ocorridos no Brasil, tal valor supera dez vezes os valores rotineiros e as chamadas são, em regra, realizadas por criminosos para a prática de diversos ilícitos. É comum quadrilhas criminosas atacarem o PABX de empresas conhecidas para golpes como ligações de dentro do presídio para sequestros falsos, entre outras.

A dificuldade está em averiguar de quem é a responsabilidade e se é possível a empresa livrar-se da cobrança a maior, bem como aumentar a proteção para coibir este tipo de prática. Não dá para localizar todos os usuários fraudulentos e cobrar de cada um o valor da ligação. Para a empresa de telefonia, a princípio, não se trata de cobrança indevida, já que as chamadas foram efetivamente realizadas e completadas. E para o fornecedor do PABX a possibilidade de se obter linha por meio da chamada ao correio de voz é uma mera funcionalidade do produto. Quem paga a conta afinal? Pode-se aplicar o Código de Defesa do Consumidor?

Nossa jurisprudência ainda não se posicionou sobre a questão da cobrança; no entanto, vem aplicando o código de defesa do consumidor.

Enquanto nosso judiciário não consolida seu entendimento, as empresas devem tomar cuidado redobrado com a segurança de seus equipamentos de PABX, fabricantes e terceirizados que prestam os serviços de configuração. Com a nova lei do SAC, aumenta o pedido para linha 0800 e as mesmas são as primeiras a serem atacadas. Muitas empresas de telecomunicações já informam nos sites quais são os golpes mais comuns para que o cliente possa se precaver.

Além disso, é fundamental exigir que o fornecedor que implementa este tipo de serviço, bem como o fabricante do hardware e software, façam a programação segura do PABX, aplicando boas práticas para evitar os golpes. O cliente também deve ter um medidor local para o consumo e não depender apenas da fatura do prestador de serviço de voz e dados.

Para evitar riscos, é essencial observar as melhores práticas: ter ciência das especificações do PABX e suas configurações que possam apontar vulnerabilidades; elaborar plano de configurações mais seguras ou, caso a empresa não possua tal conhecimento técnico, buscar no mercado o modelo de configuração mais seguro; ter cuidado com a contratação de terceiros e evitar a troca constante de fornecedores, sob pena de dificultar a responsabilização no caso de configurações equivocadas; desenvolver e implementar políticas e procedimentos para proteger as informações associadas com a interconexão de sistemas de informações do negócio; monitorar regularmente os serviços, relatórios e registros e analisá-los criticamente; realizar o gerenciamento de mudanças, identificação de vulnerabilidades e relatório/resposta de incidentes de segurança da informação através de um processo de notificação, formatação e estruturação claramente definido.