Em desenvolvimento desde 2018, o sistema de pagamentos instantâneos do Banco Central, entra em operação a partir de novembro, mas ganhou visibilidade no início deste mês, com a abertura do cadastramento da chamada chave Pix, que dará mais agilidade aos pagamentos e demais operações monetárias. A novidade atraiu futuros usuários, mas também oportunistas, com a multiplicação de tentativas de fraudes no Pix no ambiente virtual.
Na fase atual de envolvimento do brasileiro com o Pix, que ainda se resume ao registro de acesso, o risco é de captura dos dados bancários. Para isso, o golpe mais comum é o "phishing", prática na qual criminosos se utilizam de links fraudados enviados por meio de emails, SMS e mensagens em redes sociais para a coleta de informações confidenciais.
No caso do Pix, o fraudador procura se passar pelo operador de pagamento (um banco ou uma fintech, por exemplo) e envia um link que é apresentado como acesso ao cadastro. Se o usuário clicar no endereço oferecido e digitar seus dados, todas as informações serão, na verdade, entregues ao fraudador.
Essa coleta de dados também pode ser feita a partir da clonagem da página da instituição (por meio da qual os criminosos podem conseguir acesso à conta e a cartões da vítima) e pela instalação de ferramentas de acesso remoto (ou RAT) no dispositivo utilizado para acessar o endereço malicioso.
Todas essas modalidades de ataque se valem da principal fragilidade de quaisquer sistemas digitais: a possibilidade de falha humana.
Segundo Henrique Lopes, gerente comercial e especialista em Segurança da Informação da NetSecurity, empresa especializada em serviços gerenciados de segurança da informação, "as pessoas acabam caindo em engenharia social". "Hoje o atacante não vai [agir] para "derrubar" o banco. Ele está explorando uma vulnerabilidade que é o ser humano, o [o elo] mais fraco, que não é treinado", destaca.
Para fortalecer esse ponto e evitar fraudes no Pix, podem ser adotados cuidados simples e que se aplicam não apenas ao novo sistema, mas para todas as modalidades eletrônicas de pagamentos ou transações, destaca o especialista. Entre as dicas básicas para o emprego das ferramentas digitais estão:
- evitar redes públicas ou conexões de wi-fi desconhecidas. Nesses casos, um fraudador pode se valer de fragilidades adicionais de segurança para interceptar o tráfego de dados e utilizá-los ilegalmente;
- ter senhas reforçadas no aparelho utilizado. Na prática, o smartphone se tornará uma carteira digital e deve ser cercado de cuidados para evitar invasões e dificultar a ação de fraudadores;
- manter os aplicativos sempre atualizados. A medida é essencial para ter certeza de que as atualizações de segurança também estão em dia; e
- certifique-se sempre da origem do boleto, código de barras, QR Code. Vale para qualquer modo de pagamento, inclusive o Pix. Esse cuidado evitará cair em golpes que fraudam esses elementos para enganar pagadores.
Outro problema percebido desde o início do cadastramento das chaves junto às instituições participantes é o registro indevido, sem a solicitação do cliente. Não se trata de fraude, mas de possível comportamento de má-fé por parte de empresas que estariam se valendo de táticas agressivas para sair na frente da concorrência garantindo esse relacionamento junto ao consumidor.
De acordo com o jornal "Valor Econômico", queixas têm sido numerosas nas redes sociais e apontam para o cadastramento não solicitado especialmente por parte das fintechs, que negam a prática.
Dados do Banco Central apontam que são justamente as fintechs as campeãs de cadastramentos de chaves até o momento, mas, levando em consideração os relatos de atribuição indevida dos "apelidos de contas", os números podem estar distorcidos.
Podem ocorrer fraudes dentro do sistema Pix?
O Banco Central garante que o Pix é um sistema seguro, que roda dentro da Rede do Sistema Financeiro Nacional a partir de transações autenticadas, criptografadas e protegidas pelo sigilo bancário (assim como os tradicionais TED e DOC).
A resolução que instituiu o arranjo de pagamentos Pix inclui uma seção sobre o gerenciamento do risco de fraude, com previsão de "mecanismos robustos para garantir a segurança". O BC, entretanto, admite que ilegalidades podem ocorrer e prevê o ressarcimento, "a exemplo do que ocorre hoje em fraudes bancárias".
Segundo Marco Zanini, especialista que fez a estrutura de segurança do Banco Central para a implementação do Pix e CEO da Dinamo Networks, especializada em segurança de identidade digital e criptografia, uma preocupação nesse cenário está relacionada à política de proteção aplicada pelas empresas entrantes no segmento. "Ele vai democratizar bastante o sistema financeiro. Hoje há quase mil empresas cadastradas contra 30, 50 bancos que faziam esse trabalho antes, mas traz preocupação, pois elas podem não estar acostumadas com a robustez de segurança necessária", afirma.
Zanini explica que o principal risco associado à falta de segurança é o acesso indevido às chaves criptografadas do Pix – que são instrumentos de proteção dos operadores do Pix, e não aquelas cadastradas pelo usuário. "Quando você é correntista, você tem a sua chave; da mesmo forma, perante o Banco Central, cada participante tem a sua chave. Em geral é o certificado digital, que criptografa e assina todas as transações realizadas. Só que esse certificado é um arquivo e o risco está em alguém conseguir fazer uma cópia desse dado", o que permitiria "fazer operações em nome do operador".
Com relação à possibilidade de acesso aos dados dos usuários, o especialista da NetSecurity Henrique Lopes avalia que o sistema do Pix será uma ilha de segurança cercada de fragilidades em potencial.
As plataformas digitais do Banco Central, dos próprios bancos e de fintechs tendem a contar com ferramentas de segurança reforçadas, mas outros elos da cadeia podem ser menos resistentes a ataques. Ou seja, eventuais criminosos teriam como alvo preferencial esses players, caso a intenção seja buscar maneiras de acessar informações confidenciais e utilizá-las para o desvio de valores e demais transações fraudulentas.
"O Pix é muito seguro, mas não temos nenhum sistema operacional 100% seguro. Ele será utilizado em várias outras plataformas nas quais um atacante pode conseguir explorar vulnerabilidades, pode ter acesso a chaves do Pix. Pode acontecer em um aplicativo, em sites de terceiros, de clube de benefícios, os participantes com menos investimentos [em segurança]", elenca.
Cuidados desde a ponta: o usuário
Na avaliação de Raphael Saraiva, diretor de inovação da Netbr, a plataforma de pagamentos instantâneos oferece segurança, com normativas bem estabelecidas e mecanismos para evitar o comprometimento do sistema, entre os quais "motores de risco com análises em tempo real por trás das transações". "O que ainda pode ocorrer, mas aí é igual para todo o sistema bancário, é o fator humano", pondera. A opinião é similar à de Henrique Lopes, da NetSecurity: "a tecnologia, sim, foi muito bem estruturada e é segura", mas há armadilhas que não podem ser ignoradas pelos usuários que aderirem ao Pix.
Nas palavras do próprio Banco Central, "o objetivo é construir soluções que permitam que a realização de um pagamento instantâneo seja tão fácil, simples, intuitiva e rápida quanto realizar um pagamento com dinheiro em espécie", e é justamente essa característica que transformará a atenção constante do usuário em um pré-requisito fundamental para evitar prejuízos.
Com a necessidade da simples leitura de um QR Code para fazer um pagamento, por exemplo, Lopes destaca que o consumidor deve sempre estar atento e certificar-se de que aquele código corresponde, de fato, à chave que vai direcionar o seu dinheiro à conta do estabelecimento.
"Indo um pouco mais adiante: teremos QR Code estático e dinâmico. No caso do estático, assim como acontecem golpes no comércio de troca da maquininhas, usar uma que não é do estabelecimento, imagine um QR Code que é um código numa plaquinha. Se a pessoa trocar e o consumidor não tomar o cuidado de conferir ele vai ser fraudado, infelizmente", acredita.
A validação da qual fala o especialista é uma confirmação simples. "Fiz a leitura do QR Code no estabelecimento para o qual eu estou mandando o pagamento, apareceu ali Doceria ABC, é desse modo mesmo que está cadastrado? A pessoa pode perguntar ao atendente, ao proprietário. É um modo simples de garantir que o valor chegue ao destino correto."
Nesse sentido, o especialista em segurança digital defende ainda que os comerciantes, prestadores de serviços e estabelecimentos assumam, nesse momento, uma postura de educar o consumidor para a novidade, auxiliando na prevenção contra golpes.
CEO da Dinamo e criador da segurança do Banco Central para o Pix, Marco Zanini aponta ainda que "o sistema de pagamentos instantâneos vai incluir um monte de gente que não estava no sistema financeiro, que não está habituada com processos de segurança no dia a dia. Quem está chegado agora está menos preparado e mais suscetível a fraude", avalia.
Para o usuário final, portanto, as recomendações dele passam pela verificação das ferramentas usadas pela empresa por meio da qual ele usará o sistema de pagamento instantâneo e a proteção efetiva do aplicativo que será usado para as operações. Aqui, a opção pode ser a autenticação em duas etapas, uso da biometria se o smartphone permitir, uso de tokens ou mecanismos de senha dinâmica oferecidos pelo operador - tudo o que impeça ou dificulte a autenticação por terceiros.
Reforma tributária promete simplificar impostos, mas Congresso tem nós a desatar
Índia cresce mais que a China: será a nova locomotiva do mundo?
Lula quer resgatar velha Petrobras para tocar projetos de interesse do governo
O que esperar do futuro da Petrobras nas mãos da nova presidente; ouça o podcast