Como identificar um potencial agente infiltrado?

vladimir.jpeg*Por Vladimir Prestes
26/06/2018 - Roubo de informações por um funcionário ou outros tipos de vazamentos de informações pessoais e confidenciais estão entre os crimes cibernéticos com maior nível de ocultação e menor índice de detecção.

A expressão "agente infiltrado" refere-se ao funcionário que rouba informações de sua empresa e as vende para concorrentes. Há um bom tempo, esse conceito foi introduzido em nosso vocabulário e, sem dúvidas, veio para ficar.

Os ataques de agentes infiltrados - vazamentos de informações pessoais e confidenciais - entre outros crimes cibernéticos são os que possuem o maior nível de ocultação e o menor índice de detecção. Dependendo do grau de preparação anterior ao "vazamento", os ataques de agentes infiltrados podem ser divididos em:

Situacionais: Um novo funcionário recém-contratado tem a oportunidade de realizar um roubo, seus princípios morais o permitem fazê-lo e ele comete a fraude. Outra situação bem comum: o profissional trabalha há um bom tempo na empresa, mas não é devidamente reconhecido. Ou é reconhecido, mas não o quanto acredita merecer. Obviamente, o funcionário não está satisfeito. Ao roubar informações, ele tenta "compensar" o que, em sua opinião, lhe foi negado injustamente.

Como exemplo, podemos citar o caso de um dos clientes da SearchInform. O departamento de segurança de uma loja atacadista de materiais de construção detectou documentos estatutários em uma intercepção do sistema DLP. Descobriu-se que estes documentos foram usados pelo vice-diretor comercial que, sentindo-se desvalorizado, há dois meses se desentendia com a direção da empresa e, por fim, decidiu abrir o seu próprio negócio. A vigilância dos profissionais do departamento de segurança da informação impediu a retirada de informações valiosas, mas não conseguiu evitar outras perdas. O ex vice diretor conseguiu "persuadir" parte do quadro de funcionários e, ao demitir-se, levou os subordinados consigo.

Planejados: O exemplo mais simples é a espionagem industrial, que chega ao conhecimento público por meio de filmes, livros e, menos frequentemente, pela imprensa. Um exemplo comum é o do funcionário que "vaza informações" por motivo de vingança. Ele planeja minuciosamente suas ações, sabe como pode ser pego e está familiarizado com os protocolos internos de segurança.

Um caso assim ocorreu em uma empresa panificadora. Com o auxílio do sistema DLP, descobriu-se que o recém-contratado gerente de redes comerciais era, na verdade, um "agente infiltrado". Ele se estabeleceu na função para ter acesso aos programas da empresa e obter informações sobre as contrapartes. Se essas informações chegassem aos concorrentes, a empresa sofreria danos consideráveis – haveria perda de clientes e os prejuízos financeiros anuais totalizariam pelo menos US$ 5 milhões.

Como identificar funcionários com inclinação à prática de ataques internos?

Como observado por Christopher Barnes, a predisposição de uma pessoa para práticas fraudulentas, pode ser identificada através da análise de seus valores morais, particularidades durante a tomada de decisões morais, auto regulação, determinação de suas relações consigo mesmo, com outras pessoas, com o trabalho, com o dinheiro e com as normas legais.

As pessoas com inclinação para fraudes podem ser identificadas através:

- do predomínio de valores universais baseados no individualismo e pragmatismo

- atitude gananciosa em relação ao dinheiro

- desvalorização do trabalho honesto e produtivo

- descaso para com as normas morais tradicionais

- auto regulação moral sem escrúpulos

- cinismo destrutivo

- impulsividade e inclinação ao risco na tomada de decisões

- egoísmo

O alto desenvolvimento desses sinais indica a prontidão psicológica da pessoa para a fraude. Mas é importante lembrar, também, a atmosfera saudável dentro da empresa

De acordo com Roger Martin, "o mundo dos negócios exerce uma pressão terrível, nos forçando a agir contrariamente às regras de uma sociedade saudável e genuína e, gradualmente, a base moral do ser humano é corroída. Ele se acostuma a viver mentindo, acreditando em uma coisa, mas fazendo outra coisa. Ele entende a importância dos relacionamentos de longo prazo com o cliente, mas age como se o mundo inteiro só precisasse de uma coisa: um relatório trimestral".

"Infelizmente, a suposição de que o comportamento antiético no local de trabalho é o produto de algumas maçãs podres cegou muitas organizações para o fato de que todos nós podemos ser influenciados negativamente por forças situacionais, mesmo quando nos importamos muito com a honestidade. No entanto, as abordagens para afastar o problema deste campo escorregadio não precisam ser drásticas" - observa Francesca Gino em sua pesquisa.

O que é necessário para evitar fraudes e ataques internos no trabalho?

Ao realizar testes, os departamentos de RH utilizam programas especializados que analisam e interpretam dados automaticamente, o que simplifica bastante o processo de diagnóstico. Em geral, o trabalho pode ser feito de acordo com o seguinte algoritmo:

- o departamento de RH realiza testes para a admissão no trabalho ou processo de certificação regular;

- os resultados do teste são repassados para o serviço de segurança da informação;

- o funcionário do departamento de SI identifica os funcionários propensos a cometer ataques internos;

- caso o funcionário seja detentor de algum tipo acentuado, enquadrando-se no "grupo de risco", é assegurado o controle primário de suas atividades.

E o que deve ser feito?

1. Determine claramente as funções atribuídas ao grupo de risco: quem trabalha com informações confidenciais, dados pessoais, documentos com segredos comerciais, etc.

2. Desenvolva documentos normativos que expliquem como os funcionários dessas funções devem trabalhar com os dados confidenciais.

3. Defina o perfil do cargo: que competências o departamento de RH gostaria ou não de encontrar no profissional para a função determinada.

4. Selecione métodos para a identificação de qualidades morais e psicológicas.

5. Tome medidas preventivas: use soluções para evitar vazamentos de dados, como sistemas DLP.

6. Implemente uma política de proteção de dados, monitorando o uso não autorizado de informações confidenciais. Informe os funcionários sobre violações, pois isso ajuda a aumentar a conscientização da equipe, impedindo o roubo de dados.

7. Realize um trabalho informativo constante: apenas a existência de uma política, sem sua compreensão e aplicação efetiva por parte dos funcionários, não produzirá resultados.

8. Lembre-se de que o roubo é precedido por algumas condições fundamentais: os principais problemas associados à motivação do agente infiltrado surgem antes mesmo que ele cometa o roubo.

9. Tenha em mente que o funcionário pode "induzir a ação" de outros trabalhadores. Isso geralmente acontece em caso de rebaixamento de cargo ou quando as expectativas sobre a carreira não são correspondidas.

10. Informe à gerência, ao departamento de RH e ao pessoal responsável pela segurança da informação, todos os casos em que um funcionário, durante o desempenho de sua função ou após sua demissão, acessa dados críticos importantes, realizando o seu carregamento de maneira atípica e assim por diante.

Seguindo essas regras sua empresa poderá proteger-se da transformação de pessoas potencialmente inclinadas a prática de ataques internos, agindo como verdadeiros agentes infiltrados. Afinal, é melhor prevenir o incidente do que lidar com suas consequências. Um manual de proteção contra ameaças internas pode ajudar a identificar riscos e a planejar o trabalho com antecipação.

*Vladimir Prestes é Diretor Geral da SearchInform no Brasil

Comentário (0) Hits: 977

Fortinet inclui machine learning no software WAF

fortinet_firewall.jpg11/06/2018 - A Fortinet anunciou nessa segunda-feira, (11) a versão mais recente do seu software FortiWeb Web Application Firewall (WAF), versão 6.0, tornando-se o único fornecedor de segurança WAF a usar aprendizado de máquina para detectar ameaças baseadas em comportamento nos aplicativos da web.

Os aplicativos da web desprotegidos se tornaram alvos de cibercriminosos que buscam pontos de entrada fáceis em redes corporativas. As vulnerabilidades de aplicativos da web podem levar a violações de dados ou desligar sistemas indispensáveis; por isso muitas organizações decidem usar os firewalls de aplicativos da web (WAFs) para proteger suas redes. Antes, os WAFs contavam com aprendizado de aplicativos (AL) para detectar anomalias e ameaças, mas no cenário atual de ameaças dinâmicas, o AL mostrou ter limitações que levam a detecções de ataques falsos positivos e exigem muito tempo das equipes de segurança já muito ocupadas.

De acordo com a empresa, os recursos recentemente introduzidos no FortiWeb Web Application Firewall abordam esses problemas, introduzindo recursos de aprendizado de máquina para melhorar a detecção de ameaças, reduzir os tempos de resposta e facilitar o gerenciamento. Ao contrário do AL, que usa abordagem de uma camada para detectar anomalias correlacionando informações com as observações e considerando as variações como ameaças, o FortiWeb agora usa uma abordagem de duas camadas de aprendizado de máquina baseado em IA e probabilidades estatísticas para detectar anomalias e ameaças separadamente. A primeira camada cria o modelo matemático para cada parâmetro aprendido e, em seguida, aciona anomalias no caso de solicitações anormais. A segunda verifica se a anomalia é uma ameaça real ou se é uma variação benigna (falso positivo). Essas inovações permitem que o FortiWeb forneça precisão de detecção de ameaças de aplicativos de quase 100% e, ao mesmo tempo, não requer a instalação de recursos nem ajuste de configurações.

Para aumentar ainda mais a robustez da solução WAF da Fortinet, o FortiWeb usa seu conhecimento de IA e aprendizado de máquina do FortiGuard Labs, que opera há quase seis anos, em seus serviços de detecção de ameaças, integrando essa inteligência ao Fortinet Security Fabric para proteção contra ameaças sofisticadas que não são detectadas por outras tecnologias ou que passam por falhas nas soluções baseadas em pontos. O FortiWeb está disponível em quatro fatores de forma convenientes, incluindo itens de hardware, máquinas virtuais para todas as principais plataformas de hipervisor, opções de nuvem pública para AWS e Azure e uma solução baseada na nuvem.

"Com impressionantes 48% de violações de dados causadas pela exploração de vulnerabilidades de aplicativos da web, está claro que os cibercriminosos estão cada vez mais direcionados aos aplicativos da web públicos e internos. As tecnologias atuais, como os sistemas de prevenção de invasão e as atuais soluções de segurança de aplicativos da web, fornecem apenas proteção básica contra essas ameaças. A Fortinet inseriu recursos avançados de aprendizado de máquina baseados em IA no FortiWeb WAF para proteger aplicativos apoiados na web contra os ataques direcionados a explorações conhecidas e desconhecidas, com precisão de detecção de ameaça de quase 100%. Além disso, oferece gerenciamento automatizado e integração perfeita com o Fortinet Security Fabric,” de acordo com John Maddison, vice-presidente sênior de produtos e soluções da Fortinet.

Comentário (0) Hits: 1313

No Brasil, 46% dos software usados não são licenciados

bsa_pesquisa.jpg06/06/2018 - Pesquisa global da BSA | The Software Alliance indica que 46% dos softwares instalados em computadores brasileiros não estão devidamente licenciados, o que representa um valor comercial de 1,7 bilhões de dólares. O número é um ponto percentual mais baixo do que o registrado na edição de 2016 do estudo.

Ao longo de 2017, a “Pesquisa Global de Software de 2018: Gerenciamento de Software: Imperativo para a Segurança, Oportunidade de Negócios” quantificou o volume e o valor do software não licenciado instalado em mais de 110 países e mercados, e consultou mais de 23 mil consumidores, colaboradores e CIOs. O estudo é feito a cada dois anos.

“O Brasil progrediu e registrou a menor taxa da América Latina, contudo a queda do índice, em um ponto percentual, foi mais baixa do que a registrada em 2015, de 3 pontos, em comparação com 2013”, explica o country manager da BSA para o Brasil, Antonio Eduardo Mendes da Silva, conhecido no mercado como Pitanga. “O resultado é positivo, mas ainda há muito a ser feito”, completa.

Para Pitanga, contribuiu para o resultado brasileiro campanhas de conscientização promovidas por parcerias entre entidades como a própria BSA e a ABES (Associação Brasileira de Empresas de Software), além da existência de leis específicas sobre propriedade intelectual e sobre software. “Contudo, a redução no índice poderia ter sido maior se tivéssemos mais medidas de repressão”, conta Pitanga.
Na América Latina, o país é seguido por Colômbia e México, que registraram taxas de uso de software não licenciados de 48% e 49%, respectivamente. Os países com os percentuais mais altos foram Venezuela, com 89%, e Paraguai, com 83%. A taxa global aponta 37% de uso de softwares que não estão devidamente licenciados. O índice mais baixo é dos Estados Unidos, 15%, e o mais alto é o da Líbia, com 90% de softwares irregulares.

Um dos principais riscos ligados ao uso de softwares irregulares são os ataques cibernéticos. A cada segundo, surgem oito novas ameaças de malware. As empresas podem demorar até 243 dias para identificar um ataque e outros 50 para resolvê-lo. Esses ataques custam em média 2,4 milhões de dólares para a empresa, o que se traduz em uma baixa de 0,8% no PIB global.

Outras conclusões da pesquisa:

O uso de softwares não licenciados, embora tenha tido uma leve queda, ainda é muito abrangente. Os softwares não licenciados ainda são usados em todo o mundo a taxas alarmantes, representando 37% dos softwares instalados em computadores pessoais - uma queda de apenas 2% em relação a 2015.

CIOs relatam que softwares não licenciados são cada vez mais arriscados e caros. Os malwares de softwares não licenciados custam às empresas em todo o mundo quase US$ 359 bilhões por ano. Os CIOs relatam que evitar furto de dados e outras ameaças de segurança oriundas dos malwares é a principal razão para garantir que suas redes sejam totalmente licenciadas.
Melhorar a conformidade com os softwares é agora um facilitador econômico, além de um imperativo para a segurança. Quando as empresas tomam medidas pragmáticas para melhorar o gerenciamento de softwares, os lucros podem aumentar em até 11%.

As organizações podem tomar medidas significativas hoje mesmo para melhorar o gerenciamento de softwares. Estudos mostram que as organizações podem usufruir de até 30% de economia nos custos anuais com softwares ao implementarem um robusto programa de otimização de licenças de software e SAM.

Através de uma análise aprofundada, a pesquisa mostra que as empresas podem implementar medidas fortes, incluindo programas de SAM, para melhorar a maneira como gerenciam softwares, aumentando os lucros, diminuindo os riscos de segurança e ampliando as oportunidades.

O estudo completo está disponível aqui: https://we.tl/JzbNRCVDN4

 

Comentário (0) Hits: 1123

A inteligência de ameaças é necessária?

threat_research.jpg*Por Derek Manky
02/05/2018 - O compartilhamento de informações é um dos elementos mais importantes de qualquer estratégia de segurança. A possibilidade de comparar e analisar o dispositivo ou a rede que você está tentando proteger levando-se em conta as ameaças atualmente ativas é um recurso inestimável para implementar os recursos e as medidas apropriados para eliminar o alvo.

A meta é ir além do bloqueio de um ataque antes de atingir a rede e impedir que chegue ao objetivo final. Isso significa que sua estratégia de segurança também deve incluir a visualização e a interrupção de um ataque em qualquer momento da estrutura do ataque, desde a exploração inicial do sistema, passando pela penetração na rede, até a extração final dos dados. A inteligência também deve fornecer informações e contexto sobre as metodologias de ataque, como as ferramentas usadas para encobrir uma invasão, como um ataque se esconde no tráfego da rede ou evita a detecção, os tipos de dados que estão sendo roubados ou malware implementado e como um ataque se comunica com seu controlador. Por fim, a inteligência de ameaças precisa ser utilizada para responder a um ataque, seja para fornecer análise de investigações para uma recuperação completa ou para atribuir e processar os invasores.

Tipos de inteligência de ameaça

Para usar este tipo de inteligência, as organizações devem acessar várias fontes de inteligência de ameaças, que incluem:

1. Inteligência viabilizada compartilhada pelos fabricantes: Este é o tipo mais comum de inteligência de ameaças, na maioria das vezes obtida nas atualizações de segurança periódicas dos fabricantes, geralmente na forma de assinatura que pode detectar uma ameaça conhecida. Por exemplo, o Fortinet FortiGuard fornece análise e detecção de inteligência de ameaças para ficar à frente do cenário de ataque em rápida expansão.

2. Inteligência coletada de dispositivos e sistemas locais: Estabelecer uma linha básica do que seria o comportamento normal da rede permite determinar se alguma parte da rede está se comportando de maneira inadequada. Picos de dados, um dispositivo tentando entrar em contato com dispositivos com os quais não se comunica normalmente, aplicativos desconhecidos ou não reconhecidos em execução na rede ou dados coletados e armazenados em um local improvável são formas de inteligência local que podem ser usadas para identificar um ataque e quais dispositivos foram afetados.

3. Inteligência coletada de dispositivos e sistemas distribuídos: Esse tipo de inteligência pode ser coletado de outras partes da rede. Com a expansão das redes, novas oportunidades são criadas para a infiltração de ameaças na rede. Porém, como ambientes de rede diferentes, como redes virtuais ou ambientes de nuvem pública, geralmente executam ferramentas de segurança e rede separadas e geralmente isoladas, é essencial configurar um processo para a coleta centralizada e a correlação desses diferentes segmentos de inteligência.

4. Inteligência coletada de feeds de ameaças: A assinatura de feeds de ameaças públicos ou comerciais permite que as organizações aprimorem os dados coletados de seu próprio ambiente com informações em tempo real recebidas de uma atividade regional ou global. Muitos desses feeds podem fornecer inteligência específica desenvolvida para uma infraestrutura de segurança em particular. O Threat Intelligence Service (TIS) da Fortinet, por exemplo, adiciona informações de segurança personalizadas no Security Fabric, que fornece informações sobre o atual cenário global de ameaças e conecta essa inteligência ao ambiente de segurança específico de uma organização para determinar melhor como priorizar os recursos de segurança para enfrentar essas ameaças.

5. Inteligência compartilhada entre organizações do setor: Existem vários grupos que compartilham inteligência de ameaças, incluindo os ISACs (Centros de Compartilhamento e Análise de Informações) e os ISAOs (Organizações de Compartilhamento e Análise de Informações), que compartilham inteligência de ameaças entre organizações do mesmo setor, mercado vertical ou região geográfica. Essa inteligência é muito útil para analisar tendências e ameaças que afetam organizações do mesmo setor e que podem afetar a sua organização também.

6. Transferência de inteligência: Para que a inteligência de segurança seja eficaz, as organizações precisam de ferramentas que operem com os protocolos STIX e TAXII, que são a parte central do fornecimento desses feeds. O protocolo STIX pode ser usado com feeds brutos e personalizados e o protocolo TAXII atua como a camada de transporte.

7. Inteligência compartilhada entre fornecedores de soluções de segurança: O público nunca vê os compartilhamentos mais importantes de inteligência de ameaças. Como membro fundador da Cyber Threat Alliance (CTA), a Fortinet e outras organizações compartilham sua inteligência, seu conhecimento humano e suas estratégias para aumentar o nível de segurança. Embora não pareça intuitivo, esse esforço cooperativo é um testemunho da importância de compartilhar inteligência de ameaças. Essas organizações entendem que a oportunidade de reduzir o número de ameaças que colocam todos em risco é mais valiosa do que qualquer vantagem de manter esses dados somente para uso próprio.

A adoção de um processo eficaz de coleta e compartilhamento de inteligência de ameaças é um componente essencial de uma estratégia de cibersegurança; é tão importante quanto o firewall que você instalou na borda da rede ou a solução de segurança de dispositivos de usuários que você instalou nos computadores da sua empresa. Embora a inteligência seja importante, assim como o compartilhamento de ameaças, o acesso à inteligência viabilizada em tempo real ainda é essencial, aumentando o nível da inteligência de ameaças dessa maneira e compreendendo as ameaças tanto da sua rede distribuída quanto das fontes e pontos de vista de inteligência global. Porque compartilhar sua própria inteligência de ameaças com os outros aumenta a segurança de todos.

*Por Derek Manky é estrategista de segurança global da Fortinet

Comentário (0) Hits: 1704

PGR defende que ICMS sobre software é legal

contas.jpgLuís Osvaldo Grossmann, Convergência Digital
26/03/2018 - A Procuradoria Geral da República alinhou-se aos estados e defende como legal e constitucional a cobrança de ICMS na venda de programas de computador, inclusive as realizadas "por meio de transferência eletrônica de dados". A manifestação se deu em uma das três ações diretas de inconstitucionalidade, no caso contra Minas Gerais, que abordam o ICMS sobre o software no Supremo Tribunal Federal.

Para a procuradora Raquel Dodge, "se o software é posto para venda no comércio (seja por meio físico ou digital), incide ICMS. Se for desenvolvido por encomenda do adquirente, incide o ISS. A legislação mineira questionada, ao tratar de ICMS em operações com software não afasta essa conclusão".

No processo, a Confederação Nacional de Serviços alega que ao "exigir o ICMS sobre operações com software, sejam as realizadas por meio de transferência eletrônica de dados ou não, o estado de Minas Gerais, além de incorrer em nítida bitributação, criou nova hipótese de incidência do imposto".

O governo mineiro rebate e defende a constitucionalidade da incidência do ICMS sobre o "software de prateleira", seja por meio físico ou por transferência digital. A PGR replicou o mesmo argumento. "Operações envolvendo aquisição de softwares disponibilizados a consumidores em geral (por meio físico ou por transferência eletrônica de dados) se faz por ICMS e não por ISS. Logo, não há invasão de competência municipal por parte do estado de Minas Gerais. É, por conseguinte, infundada a alegação de bitributação do mesmo fato gerador por ISS e ICMS".

Comentário (0) Hits: 1887

ASSESPRO-SP: ”novo ICMS" sobre software é negativo

contas.jpgPor redação
28/02/2018 - A partir de abril de 2018, o governo de São Paulo pretende começar a cobrar ICMS sobre softwares produzidos por empresas do estado. A medida, que é decorrência de um decreto de inciativa do governador, promulgado sem a participação do legislativo estadual, poderá entrar em vigor, caso a proposta não seja revertida junto ao STF (Supremo Tribunal Federal). A ASSESPRO-SP (Associação Das Empresas Brasileiras de Tecnologia da Informação – regional São Paulo) tem se mobilizado juntamente com outras associações do setor para promoverem uma ação coletiva para apoiar no STF as duas ADIN’s (Ação Direta de Inconstitucionalidade), que a Confederação Nacional de Serviços (CNS) já está patrocinando junto ao Supremo contra a cobrança do ICMS sobre a comercialização de software.

A ASSESPRO-SP e das demais empresas unidas pela causa têm se mobilizado para provar que a cobrança do chamado “novo ICMS” sobre o software é inconstitucional, já que seu vigor acarretaria em uma bitributação, uma vez que a arrecadação executada sobre a produção de software é conduzida pelo ISS (imposto sobre serviços).

As pricipal alegaçação é a de que as empresas que pagam o ISS (imposto municipal) não devem recolher ICMS (tributo estadual). Com ambos impostos incidindo sobre o mesmo fato gerador, a bitributação é inconstitucional”, comenta Jeovani Ferreira Salomão, presidente da ASSESPRO NACIONAL.

Inconstitucionalidade

De acordo com o advogado Adriano Mendes, especializado em Direito Digital, Tecnologia e Empresarial, desde o ano passado o governo do estado de São Paulo começou a ressuscitar teses jurídicas e argumentos de que podem existir diferenças entre os programas de computador que são vendidos em larga escala e os que são feitos sob encomenda ou que necessitam de instalação e customização para o seu correto funcionamento. Embora em seu discurso, o foco do governo de São Paulo seja os aplicativos que estão disponíveis para download nas plataformas da Google Play e Apple Store, não é possível admitir mais de um imposto incidindo sobre o mesmo fato gerador.

Segundo Mendes, até 2.004 havia muita discussão jurídica se alguns tipos de software, chamados de “prateleira”, deveriam pagar ICMS ou ISS. Toda essa discussão caiu por terra com a edição da Lei Complementar 116, que está no mesmo nível da Constituição Federal.

De acordo com o adbogado, a única forma das empresas de software passarem a pagar ICMS por suas vendas é através da modificação da Lei Complementar 116/2004, que inclui expressamente que o licenciamento, cessão de direitos e outras atividades de TI são sempre classificadas como serviços e não mercadorias. “Enquanto a Lei Complementar não for modificada, as empresas de software continuam obrigadas às declarações para a prefeitura e pagamento do ISS. A cobrança adicional de outro imposto pelo mesmo fato gerador é considerada uma bitributação, proibida pelas nossas leis”, afirma Mendes.

Consequências para o setor

“Infelizmente, pelo que temos acompanhado, o governo de São Paulo pretende mesmo iniciar a cobrança, mesmo sem o correto amparo legal. Isto deve gerar uma enxurrada de ações judiciais aonde as empresas terão que depositar os valores em juízo para que seja analisado para qual ente e qual imposto deve ser pago”, explica o advogado Adriano Mendes.

Outra consequência possível é que o Estado pode começar a gerar fiscalizações e autuações, incluindo empresas de software no CADIN (Cadastro Informativo de créditos não quitados) e iniciando execuções fiscais que deverão ser defendidas por entender – de forma errada – que os impostos que criou não foram recolhidos.

“Entretanto, nenhuma empresa deve pagar o ICMS sobre o licenciamento de programas de computador para que não sofra autuações das respectivas prefeituras. A recomendação é que não se deve deixar de pagar o ISS. As empresas deverão verificar se as ações das associações e entidades de classe já propostas também servem para lhes proteger ou se será necessário entrar com algum pedido ou ação individual”, explica Mendes.


Comentário (0) Hits: 1962

newsletter buton