Nota: Este artigo foi originalmente publicado no site da Entersekt, um fornecedor líder de autenticação móvel e software de segurança de aplicativos para proteger transações e bancos online e móveis. Você pode saber mais sobre as soluções inovadoras da Entersekt em seu site.
Desde seu lançamento, em 16 de novembro de 2020, os brasileiros estão se familiarizando com o Pix, o tão aguardado sistema de pagamentos instantâneos desenvolvido pelo Banco Central do Brasil. O Pix permite que os usuários façam transferências instantâneas 24 horas por dia, sete dias por semana, por meio do telefone celular – e sem nenhum custo. Para se cadastrar, os usuários finais (consumidores e comerciantes) devem fazer o registro em uma das 734 instituições cadastradas [1], que incluem bancos, fintechs, cooperativas financeiras, varejistas e outras empresas.
Além de transferências P2P instantâneas, os usuários podem fazer compras em lojas por QR Code (o comerciante recebe o valor instantaneamente), e outras funcionalidades com essa tecnologia estão previstas para serem incorporadas ao Pix, entre elas os saques em varejistas via QR Code.
Para que servem as chaves?
De acordo com o Banco Central, chaves são “apelidos” usados para identificar a conta bancária do usuário e facilitar a transferência. Elas podem ser o número de telefone, o e-mail ou o CPF/CNPJ do usuário ou um número aleatório. [2] Ao dispensar a necessidade de inserir o número completo da conta bancária, a agência e o CPF/CNPJ do destinatário, as chaves são o mecanismo que tornam o Pix tão simples e fácil de usar.
Qual o desempenho do Pix até o momento?
A adoção do Pix foi instantânea e impressionante. Até 30 de dezembro, mais de 133 milhões de chaves e mais de 55 milhões de usuários estavam registrados no sistema. Mais de 171 milhões de transações foram concluídas desde o lançamento, somando R$ 149 (US$ 28,5) bilhões, o que demonstra a ânsia dos brasileiros em testar o novo sistema. Até o momento, a grande maioria das transações foram pagamentos P2P realizados por meio de chaves.Os pagamentos em lojas via QR Code representam uma pequena fatia do bolo até agora, mas estão sendo fortemente promovidos por empresas influentes como a Uber e bancos e fintechs como Santander, Nubank e PicPay.
O Pix é seguro?
Sob os cuidados do Banco Central (BC), o Pix segue a mesma infraestrutura e protocolo de segurança do sistema financeiro nacional brasileiro e demais transações eletrônicas (TEDs/DOCs) [3]. O BC estabeleceu um manual de segurança para o Pix que define os requisitos mínimos a serem cumpridos pelas instituições participantes. Em suma, esse manual define que:
- As instituições são responsáveis por validar e autenticar a identidade de todos os usuários e chaves cadastrados
- Todos os dados enviados entre as instituições participantes do Pix devem ser criptografados
- Todas as mensagens enviadas pelas instituições pagadoras e pelo Banco Central devem conter a assinatura digital da instituição correspondente
Apesar dessas medidas de segurança, o Pix é uma plataforma completamente nova, o que a torna atraente para os fraudadores. Como indicado por Ivo Mósca, líder do grupo de trabalho de segurança do Pix no BC, já há evidências de fraudadores envolvidos em esquemas de phishing para capturar dados de usuários, gerar chaves fraudulentas e induzir usuários a enviar recursos para contas falsas. Mósca e outros especialistas em fraude locais explicam algumas das vulnerabilidades inerentes ao Pix e suas implicações:
[1] Instrumentos de transferência eletrônica comumente usados. Antes do Pix, as TEDs e DOCs eram os meios usados pelos brasileiros para realizar transferências bancárias, e a expectativa é que ambos diminuam rapidamente graças ao Pix.
Implicações das vulnerabilidades inerentes ao Pix
1. Diferentes níveis e capacidades de validação de identidade e autenticação
Um dos pontos fracos diz respeito especialmente à capacidade das instituições de autenticar as identidades dos usuários quando eles se cadastram no Pix. As grandes instituições financeiras estão seguras, já que têm plataformas robustas para evitar fraudes, incluindo motores de risco para verificar a identidade dos clientes, com tecnologias como reconhecimento facial e ferramentas analíticas avançadas. O Itaú consegue monitorar até a velocidade de digitação de um usuário e a posição que ele segura o telefone celular para realizar a devida autenticação.
Mas isso só vale para uma minoria de casos. Players recém-chegados no sistema nacional de pagamentos não têm essa capacidade e muitas instituições estão lutando para cumprir os requisitos mínimos de segurança do Pix relacionados à validação e autenticação de identidade. Essa lacuna abre espaço para inúmeras oportunidades de atividades fraudulentas.
2. Fraudadores que se aproveitam de usuários pouco digitalizados
O processo estabelecido para o cadastramento de uma chave é totalmente digital e uma grande parcela da população brasileira ainda não está acostumada a fazer transações pela internet. Isso abre portas para ataques de phishing, permitindo que fraudadores capturem dados de consumidores ingênuos por meio de sites e e-mails falsos e os usem para criar chaves fraudulentas e roubar dinheiro da vítima.
Esse é exatamente o mesmo risco de phishing existente no processo de abertura de uma conta digital oferecido por neobancos e até bancos tradicionais por meio de seus aplicativos. Para Marcelo Martins, diretor executivo da Associação Brasileira de Fintechs (ABFintechs), esse é um risco endêmico a todo o sistema financeiro, não se limitando exclusivamente ao Pix.
3. Manipulação de chaves
Quando um fraudador consegue registrar a chave de alguém (como um número de telefone ou e-mail) em uma conta bancária ilegítima, o verdadeiro proprietário dessas informações deve abrir um processo de reclamação para recuperar essa chave e provar que é o proprietário legítimo. O inverso também pode acontecer: o fraudador pode abrir uma reclamação falsa na tentativa de recuperar a chave legítima de alguém ou tentar transferir indevidamente uma chave de uma conta para outra.
4. QR Codes
Os comerciantes devem ter cuidado especial ao colocar uma placa de QR Code no caixa, já que os fraudadores podem substituí-lo por QR Codes fraudulentos e desviar o dinheiro para a conta do fraudador. QR Codes dinâmicos [4] também podem ser modificados por fraudadores que tentam manipular o sistema.
Que medidas o Banco Central e as entidades participantes estão adotando para responder a essas vulnerabilidades?
O Pix conta com várias estratégias de mitigação integradas ao sistema que ajudam a prever e reduzir essas ameaças. O Banco Central e as entidades participantes também estão respondendo aos novos desafios que aparecem.
- De acordo com as regras do Pix, as instituições devem ter um processo de validação cruzada para as chaves. Isso significa que, quando um indivíduo cadastra um número de telefone ou e-mail, uma mensagem de confirmação é enviada para esse telefone ou e-mail para garantir a veracidade da informação. O mesmo vale para a portabilidade e a reinvindicação de chaves.
No entanto, o desafio da validação cruzada está nos números aleatórios gerados pelo sistema e nos números de identificação (CPF/CNPJ) usados como chaves, uma vez que não podem ser validados por mensagem de texto. O BC e seus parceiros estão trabalhando na definição de um protocolo específico para fazer frente a esse desafio.
- Fora do horário comercial, as transações no Pix têm limites reduzidos para desestimular a atividade dos criminosos durante horários em que poucos estão atentos. Essa medida ajuda a evitar sequestros e pagamentos de resgates que envolvem transações de altos valores e costumam ocorrer à noite.
- As transações no Pix levam cerca de 10 segundos para serem concluídas, mas se a instituição pagadora identificar algum sinal de alerta, ela poderá reter a transação por até 60 minutos para validá-la. O BC está trabalhando para também incluir esses tempos de espera para a instituição recebedora.
- As instituições vêm trabalhando juntas para garantir a rápida remoção de sites falsos para eliminar ataques de phishing. O BC está se envolvendo para prestar apoio nos casos em que o domínio legal do site seja registrado fora do Brasil, onde as instituições locais podem ter pouca autoridade.
- O grupo de trabalho de segurança do Pix recentemente selecionou a Quod, uma das maiores empresas de inteligência de dados do Brasil, para criar uma base de dados unificada de riscos na qual as instituições participantes relatarão incidentes de fraude. Dessa forma, todas as entidades terão uma visão completa das fraudes existentes e melhorarão a prevenção dentro do sistema.
Apesar desses riscos, especialistas locais acreditam que o Pix é tão seguro quanto qualquer método de pagamento eletrônico. Conforme afirma Marcelo Martins: “Na minha opinião, o Pix é mais seguro que as TEDs, pois o usuário tem a oportunidade de confirmar todas as informações do beneficiário antes de aprovar a transação. Ao fazer uma TED, o remetente insere os dados bancários do beneficiário e conclui a transferência diretamente. Isso causa erros e problemas frequentes.”
Começou bem, mas melhorias são necessárias
Essencialmente, e para tornar o Pix o mais seguro possível, as entidades participantes devem contar com sistemas de segurança robustos. Instituições recém-chegadas no mundo dos pagamentos digitais não devem tentar fazer isso sozinhas, mas sim buscar parcerias para desenvolver os recursos necessários, como: validação de identidade, autenticação do usuário e das transações e mecanismos de detecção de transações fraudulentas. Como mencionado por Mósca, “é aqui que as empresas que fornecem soluções de segurança têm uma grande oportunidade, já que os novos atores precisam do apoio de especialistas para desenvolver e melhorar seus sistemas.”
A segurança digital das instituições participantes também melhorará com o tempo. Martins afirmou que, até agora, as instituições priorizaram a integração bem-sucedida com o Pix. Agora que o sistema está em operação, o foco será aumentar a segurança e a eficiência.
Apesar das vulnerabilidades iniciais do Pix, os brasileiros mostraram estar dispostos a adotar o novo sistema. Para a maioria, os benefícios superam os riscos. O Pix tem um enorme potencial de promover a inclusão financeira digital, reduzir o uso de dinheiro e eliminar tarifas abusivas de transferência bancárias, razão pela qual prevemos um crescimento nos volumes de transações do Pix ao longo de 2021. Antes de mais nada, no entanto, o sistema deve ser seguro e confiável – ou todo o resto cairá por terra. Para garantir sucesso, é fundamental a realização de investimentos críticos e contínuos na infraestrutura de segurança do sistema.
Notas
[1] Neste artigo, o termo instituições refere-se a bancos, fintechs, empresas de crédito, cooperativas, varejistas e outras empresas que se inscreveram no Pix para oferecer a plataforma a seus clientes. No total, mais de 900 instituições solicitaram adesão ao Pix, 734 das quais foram aprovadas e já oferecem o serviço. Elas são divididas em participantes diretos e indiretos. Os participantes diretos estão conectados ao SPI (nome formal do sistema Pix) e possuem uma Conta de Pagamentos Instantâneos (“PI”) no Banco Central, o que significa que liquidam e compensam diretamente as transações do Pix. Os participantes indiretos não têm uma Conta PI, de modo que dependem de um participante direto para liquidar as transações do Pix, mas são responsáveis por oferecer o serviço e monitorar as contas transacionais de seus clientes.
[2] Apenas uma chave pode ser cadastrada por conta bancária e cada pessoa física pode cadastrar até cinco chaves, ao passo que pessoas jurídicas podem cadastrar até 20. [3] Instrumentos de transferência eletrônica comumente usados. Antes do Pix, as TEDs e DOCs eram os meios usados pelos brasileiros para realizar transferências bancárias, e a expectativa é que ambos diminuam rapidamente graças ao Pix. [4] Os QR Codes dinâmicos têm uma URL/URI que contêm códigos para identificar o destinatário, como o nome e o número do titular da conta. Se forem capturados por um fraudador, esses detalhes podem ser alterados para desviar o dinheiro para outra conta.
