Segurança no Pix: proteger o usuário é atribuição de todos-Carlos Augusto Oliveira

Carlos Augusto Oliveira, CEO da Certdox

 

Por Carlos Augusto Oliveira*

O Pix é uma sensação que segue batendo recordes de experiência de uso em função de sua conveniência, benefícios e simplicidade. Desde que foi lançado, em novembro de 2020, o novo sistema de pagamento instantâneo do Banco Central (BC) vem ganhando popularidade e crescimento exponencial.

Em menos de um ano, o Pix já foi usado por mais de 100 milhões de pessoas, alcançado um patamar de mais de 1 bilhão de transações por mês, atraindo cada vez mais todos os segmentos de mercado e casos de uso.

Para viabilizar esse novo ecossistema e dar oportunidade a todos de participarem, o BC impôs, no desenho do projeto, regras tecnicamente rígidas e bem definidas que foram além dos padrões mínimos necessários para a operação da interoperabilidade do novo arranjo de pagamentos.

Esses padrões contribuíram para facilitar seu uso e simplificar a adesão de participantes, assim como a localização do serviço pelos clientes (mas não somente por eles). Além de resultar no crescimento exponencial de transações circulando instantaneamente pelas infraestruturas envolvidas, atendeu com sucesso os mais diferentes tipos de necessidade e de usuários.

Para garantir todo este fluxo financeiro, evidentemente torna-se essencial um arcabouço de segurança capaz de proteger os ambientes envolvidos, e acima de tudo fornecer tranquilidade para os participantes.

Uma infraestrutura extremamente segura

Tal proteção para ser efetiva abrange vários níveis e camadas, que envolvem todos os componentes da solução.

As respectivas medidas e cuidados assumidos no projeto tornaram o Pix estruturalmente seguro, dotado de vários recursos e proteções para garantir a segurança.

Podemos listar alguns dos procedimentos adotados pelo regulador para garantir a inviolabilidade das transações via Pix como:

Rede de Pagamentos do Sistema Financeiro 

Assim como as transferências TED, o Pix conta com as mesmas camadas de proteção disponíveis na rede dedicada de segurança do sistema financeiro (RSFN), na qual transita toda movimentação também do Sistema de Pagamentos Instantâneos (SPI), operada pelo próprio Banco Central.

Criptografia dos Dados

O Pix usa criptografia para codificar as informações das transações. Isso impede que pessoas mal intencionadas tenham acesso a dados confidenciais. Mesmo que alguém entre na RSFN e intercepte a mensagem, apenas verá códigos indecifráveis embaralhados.

Autenticação do Pagador

Outro mecanismo de segurança usado pelo Pix é a autenticação do pagador, que no momento da transferência tem a sua identidade comprovadamente validada. Toda autenticação é homologada, garantindo que a instituição tenha os parâmetros necessários de segurança requeridos pelo BC.

DICT

Os Provedores de Serviço de Pagamentos (PSPs) podem, entre outras coisas, confirmar os dados bancários de identificação do recebedor por meio da confirmação no Diretório de Identificadores de Contas Transacionais (DICT), assegurando que o pagamento tenha de fato o destino correto, de forma inclusive transparente para confirmação do pagador.

Plataformas dos PSPs

O Pix funciona necessariamente por meio dos aplicativos dos PSPs – instituição bancária ou de pagamento que o usuário é cliente. Os aplicativos são bem protegidos, possuindo uma infraestrutura que evita e, em geral, protege contra os acessos indevidos.

E a segurança do próprio usuário?

Como em qualquer outro meio de pagamento, existem também riscos relevantes à segurança dos usuários provocados por fraudadores, mas que são externos à infraestrutura do Pix.

Eles focam o ponto mais vulnerável do ecossistema, que corresponde ao meio de acesso ao dispositivo do cliente, ou seja, o próprio cliente e o acesso a seu celular.

E os motores e algoritmos de prevenção a fraude?

Existe previsão de uso de motores antifraude on-line operados pelos PSPs para detecção de transações que fugiriam do perfil padrão do usuário, ou seja, que naquele momento poderiam estar sendo realizadas por terceiros.

Tais transações consideradas suspeitas podem ser retidas por até 30 minutos durante o dia, ou até uma hora durante a noite, para análise e eventual rejeição.

Caso o usuário seja roubado e o criminoso tenha acesso a sua senha, realizando transações fora do habitual, como valores muito altos, muitas operações, beneficiário desconhecido, etc., o PSP identificaria essas transações e a conta do usuário poderia ser bloqueada até o contato e regularização pelo cliente.

Como, no entanto, não são de funcionamento obrigatório, tais plataformas – importantíssimas para completar a proteção dos usuários – em muitos casos não estão sendo usadas plenamente e em alguns casos sequer foram implantadas.

Temos um potencial problema de exposição e vulnerabilidade.

Neste ponto crucial, o mercado não evoluiu muito e existe ainda muito a ser feito, expondo o cliente muitas vezes à violência urbana. Dentre os motivos podemos mencionar:

– Como o desafio técnico de implantação foi grande, com prazos apertados e crescimento exponencial, os players tiveram que optar por reduzir seu foco de atuação, limitando-se à entrega e sustentação do serviço.

– Muitas instituições participantes não ofereciam aos clientes serviços digitais de movimentação financeira, como operações transacionais disponíveis no smartphone, em função disso não tinham histórico e cultura para entender a criticidade e expertise para atacar o assunto com assertividade.

– Mesmo os PSPs, que já possuíam experiência no tema, enfrentaram um certo receio de, por excesso das iniciativas de prevenção, impedirem a evolução de transações suspeitas e dessa forma correrem o risco de incomodar desnecessariamente o cliente.

Tradicionalmente, também não existe no mercado financeiro práticas colaborativas que promovam a troca de informações e experiências que ajudem o entendimento rápido por meio do compartilhamento de dados de fraudes e de fraudadores, assim como de melhores práticas, prejudicando a capacidade de reação e de evolução do aprendizado coletivo da prevenção.

“Uma corrente é tão forte quanto o seu elo mais fraco”

Embora a estrutura do Pix e das instituições financeiras contem com um elevado padrão de segurança, o usuário pagador está exposto na ponta. Dessa forma, corre o risco de ser ludibriado por golpes de engenharia social e outras modalidades de coação em que golpistas podem furtar o dispositivo do cliente, ou obrigar o pagador a realizar transações indesejáveis, sem qualquer alerta dos sistemas.

“Temos milhões de cliente neo-digitalizados experimentando em suas mãos uma plataforma extraordinária, alvo fácil para fraudadores e experientes golpistas”

Trata-se de responsabilidade da segurança pública (de fato é). Mas o fato de a indústria ter entregue algo tão poderoso em um ambiente de risco elevado – e nas mãos de muitos clientes ainda despreparados quanto as técnicas e cuidados de proteção individual – torna-se necessário refletir sobre nossa responsabilidade e como atuar coletivamente.

Na medida que o Pix cresce e se populariza, as repercussões negativas de incidentes são tremendamente amplificadas, o que gera desconfortos e desconfiança quanto a segurança do sistema como um todo.

Diante desse quadro, não restou ao BC intervir de forma relutante no mercado e impor um conjunto de restrições e limites de uso para mitigar os riscos.

A principal medida do BC foi limitar o valor da transação em R$ 1 mil no período noturno (o que até então sempre foi evitado pela autarquia), uma vez que as demais providências comunicadas de forma geral eram previstas, ainda que não cumpridas por boa parte da indústria.

Embora bem vinda e absorvida positivamente, essa atuação (publicada de forma tão emergencial, sem prazo definido para as instituições se adequarem), nem de longe resolve o problema, mas foi o limite possível de impor de forma “top-down”.

O mercado carece agora de foco na implantação acelerada pelos PSPs com soluções flexíveis e modernas, ajustadas às necessidades e comportamento de cada usuário. É algo que cada instituição pode calibrar, monitorando individualmente a dinâmica de uso de seus clientes.

Quem conseguir se comunicar bem e assumir compromissos mínimos de proteção do seu cliente, com certeza provocará uma mudança de expectativa e reconhecimento do mercado. Lembrando que cedo ou tarde, a sociedade, os órgãos de defesa dos consumidores vão exigir isso, e seus clientes também!

 

* Carlos Augusto de Oliveira é CEO da fintech Certdox.