BPC Desafia BNA
O Banco de Poupança e Crédito (BPC) prepara-se para migrar, em Outubro próximo, todos os dados dos seus clientes, assim como todas as operações bancárias, de particulares, empresas e contas do Estado para um serviço de computação na nuvem (cloud) na África do Sul. Esta nuvem terá redundância (backup) em Inglaterra.
Trata-se do Programa de Modernização dos Sistemas Informáticos (PMSI) da referida instituição, integralmente detida pelo Estado angolano, e com 2,7 milhões de clientes. Estima-se que o PMSI, lançado em 2017, já tenha consumido mais de 30 milhões de dólares, 10 dos quais pagos à consultora Deloitte, no início do projecto. Em seis anos, o referido programa já passou pelas mãos de quatro presidentes do Conselho de Administração do BPC.
Segundo fontes do Maka Angola, o sistema bancário Fusion Essence, usado pelo BPC, deverá ser gerido integralmente pela empresa Finastra, na África do Sul, sem qualquer participação ou intervenção de um técnico angolano. O processo envolve a intermediação da multinacional de consultoria KPMG.
“Caso o processo de migração não seja interrompido, o BPC será apenas um ‘hóspede’ da empresa sul-africana. Até o fecho de contas do banco será efectuado no país de Mandela”, desabafa fonte do regulador.
Essa medida contraria, à partida, o parecer da Direcção de Supervisão do Banco Nacional de Angola (BNA), segundo o qual os dados sensíveis dos clientes e as operações bancárias devem estar alojados em território angolano.
A 27 de Agosto passado, em reunião com o BPC, a Direcção de Supervisão do BNA reiterou o seu parecer contra a migração da base de dados do core bancário do requerente para um país estrangeiro. E reafirmou a necessidade de observar as normas existentes e de respeitar a soberania do país.
O Aviso n. 8/20 do BNA exige “a adequação de políticas, estratégias e estruturas para a gestão de riscos inerentes à terceirização dos referidos serviços” de computação na nuvem. Conforme as instruções, o BNA orienta a “avaliação da relevância do serviço a ser disponibilizado na nuvem”, tendo em conta a “criticidade e a sensibilidade dos dados e das informações suportadas pelo referido serviço, de acordo com a sua classificação, bem como o risco associado em caso de acesso indevido”.
Na mesma reunião, conforme dados cruzados pelo Maka Angola, o BNA manifestou preocupação relativamente à falta de cibersegurança das tecnologias de informação do BPC para a protecção dos seus dados.
Quem actualmente cuida da segurança cibernética do banco e de toda a sua infra-estrutura tecnológica é a empresa portuguesa Bravantic, que detém cinco contratos diferentes para o efeito.
Tem havido denúncias referentes ao centro de dados do BPC, devido ao facto de, alegadamente, estar em nome da Bravantic, a qual, por sua vez, subcontrata a empresa angolana ITA para alojar os dados. No entanto, o sistema de recuperação de desastre do banco – a reserva de segurança de dados do banco (backup) – está alojado nas instalações da Bravantic.
Ainda de acordo com as fontes do Maka Angola, o BPC não acatou as recomendações do BNA e continua, por via da KPMG, a organizar a migração dos dados. A Finastra (anteriormente Mysis) presta serviços ao BPC e fornece o sistema de tesouraria do BNA.
Vários especialistas consideram que a migração dos dados levanta riscos de ameaça à soberania, até porque o BPC é um banco sistémico, que realiza operações do Orçamento Geral do Estado, operações da Presidência da República, dos serviços de defesa e segurança, assim como de grande parte das pessoas politicamente expostas (PEP):
“Toda essa informação fica nas mãos dos estrangeiros. Isso poderá causar grandes stresses para o país, porque esta empresa [Finastra] pode bloquear todas as operações do banco em caso de atrasos nos pagamentos, por razões geopolíticas ou de chantagem financeira”, alerta um dos analistas, que, como os restantes, prefere manter o anonimato para falar à vontade.
As mesmas fontes alegam que os técnicos especialistas do BNA estão a ser pressionados para alterarem o seu parecer – tornando-o favorável à migração dos dados – por membros do Conselho de Administração do BPC, que já exerceram cargos de direcção no BNA. Trata-se, alegadamente, de Ana Cristina Seita, ex-directora do Gabinete Jurídico, e Jerónimo João Lara, ex-consultor do Gabinete do Governador do BNA.
“Há receios de que uma inspecção do BNA, da Inspecção-Geral da Administração do Estado (IGAE) ou do Tribunal de Contas possa instar o Conselho de Administração a devolver os montantes investidos após o parecer negativo do BNA sobre a migração do core bancário para a África do Sul”, revela a fonte.
O presidente do Conselho de Administração do BPC, Cláudio Pinheiro, tem estado a supervisionar o processo de migração de dados. Os membros do Conselho de Administração do banco, Áurea Alexandre e Valter Salgueiro, respectivamente responsáveis pelos pelouros das Tecnologias de Informação e Área de Risco, co-lideram a passagem para a “nuvem”, na África do Sul.
A instabilidade crónica na gestão do BPC levou à perda de cerca de 300 mil clientes em dois anos, de 2021 a 2023, segundo o último relatório e contas da instituição. Ao longo dos anos, o Maka Angola tem reportado sobre o BPC, e as suas investigações apontam para a perda de dados de um número expressivo de clientes nos ataques cibernéticos de que foi alvo.