Preencha os campos abaixo para submeter seu pedido de música:
BC definiu requisitos mínimos, mas ainda há muitas questões em aberto; especialistas explicam o que já sabemos sobre a segurança do Pix até aqui
SÃO PAULO – Em apenas cinco dias, 24,8 milhões de chaves foram cadastradas no Pix, o novo sistema de pagamentos instantâneos do Banco Central (BC).
O Pix vai permitir fazer transferências instantâneas, 24 horas por dia, todos os dias do ano, incluindo finais de semana e feriados, entre outros serviços – tudo isso usando apenas o smartphone e de graça para pessoas físicas. Não à toa, a novidade empolgou muita gente.
Mas, se por um lado os custos baixos e a praticidade do novo sistema geraram, logo de cara, um interesse maior do que os próprios bancos previam – o que gerou instabilidades no primeiro dia de cadastro -, por outro também despertaram questionamentos em relação à segurança. Milhares de comentários em redes sociais e em notícias sobre o Pix evidenciaram o receio do brasileiro de usar uma nova ferramenta totalmente digital para movimentar seu dinheiro.
O BC divulgou um manual de segurança, com os requisitos básicos que os bancos e demais instituições financeiras participantes precisam seguir.
“O Pix conta com os mesmos protocolos de segurança do Sistema Financeiro Nacional que já usamos hoje, e que também servem para TEDs e DOCs”, explicou o BC em nota, acrescentando que as transações contam ainda com as camadas de segurança oferecidas pelas próprias instituições financeiras por meio dos celulares, como biometria, reconhecimento facial e outras.
Na prática, as transações e os dados dos usuários devem ser protegidos por duas medidas de segurança principais: a criptografia e a autenticação, que obrigatoriamente devem fazer parte dos procedimentos adotados pelos agentes financeiros participantes do Pix para evitar fraudes e prejuízos financeiros aos usuários. “São medidas já amplamente usadas para outros meios de pagamentos”, diz Marcelo Martins, representante da ABFintechs, que faz parte do grupo de trabalho do Pix no BC.
A criptografia pode ser definida como a construção de protocolos que impedem terceiros de lerem mensagens privadas. No caso do Pix, especificamente, impede que cibercriminosos consigam absorver ou interceptar informações de uma transferência enquanto ela está sendo enviada de uma ponta à outra, conforme explica Marcos Zanini, CEO da Dinamo Networks, empresa especializada em segurança de identidade digital e criptografia.
Já a autenticação serve para confirmar se as identidades do cliente e do agente financeiro são verdadeiras. No caso do cliente, a maneira mais comum de fazer isso é por meio da autenticação de dois fatores, processo já utilizado pela grande maioria dos agentes financeiros participantes do Pix, segundo Martins.
“É assim que a confirmação do celular como chave Pix acontece, por exemplo. Ao selecionar o número do celular, o usuário recebe uma mensagem que chega via SMS com um código que deve ser informado dentro do app do banco”, diz o representante da ABFintechs.
Além disso, ele explica que toda transação do Pix vai exigir uma senha antes de ser efetuada. “Pode ser a senha do cartão, a biometria ou o reconhecimento facial, mas terá uma camada a mais para garantir a identidade do usuário, de acordo com as recomendações do BC”, diz Martins.
Já no caso dos bancos, essa confirmação de identidade é feita por meio do chamado certificado digital. “Quando o cliente faz uma transação, o agente financeiro, como o banco, informa ao BC que há a intenção de realizar a transação. O BC, por sua vez, confirma se o banco tem uma identidade verdadeira e aprova a transferência ou o pagamento. Essa confirmação que o BC faz acontece por meio do certificado digital. É uma espécie de assinatura que comprova a veracidade de transação”, explica Zanini.
Todo esse processo acontece de maneira invisível para o usuário e dentro do período máximo de dez segundos, de acordo com as regras do BC (saiba mais aqui).
Apesar dos requisitos, Fabio Assolini, especialista sênior de segurança da empresa de segurança digital Kaspersky no Brasil, lembra que ainda há muitas definições em aberto.
“O sistema bancário brasileiro tem um dos sistemas antifraudes mais avançados do mundo e isso é um reflexo da qualidade e do volume do cibercrime nacional. Acredito que o sistema de pagamento do BC será seguro, mas não temos informações sobre como os procedimentos de segurança funcionarão na prática, e precisaremos esperar o lançamento para ver como as instituições financeiras vão atuar”, afirma.
Gustavo Cunha, economista e especialista em inovação no mercado financeiro, avalia que, considerando a estrutura que o BC criou, o usuário pode ter tranquilidade em participar do Pix. O desafio de implementação, no entanto, está no elo mais fraco da cadeia: o consumidor.
Ou seja, as vulnerabilidades do sistema são encontradas nas pontas da operação, complementa Zanini. “O risco está em um criminoso assumir a identidade do consumidor – e receber os valores que seriam da vítima ou fazer uma transferência em nome dela, por exemplo -, ou em assumir a identidade do agente financeiro, clonando o certificado digital – se passando pelo banco e desviando os valores que os clientes transacionariam por lá”, explica Cunha.
Zanini comenta que um eventual roubo da identidade do banco seria mais grave porque afetaria milhares de pessoas, mas é um golpe mais difícil de ser executado. “Na prática, os bancos guardam esse certificado digital muito bem, por meio de cofres digitais, criptografia e outros recursos de segurança. É improvável que algo nesse sentido aconteça”, diz.
Ivo Mósca, coordenador da Subcomissão de Pagamentos Instantâneos e porta-voz do grupo de Segurança da Febraban, entidade que representa os bancos, garante que as instituições estão preparadas para evitar um problema dessa proporção. “Os bancos estão usando toda a expertise que acumularam nas últimas décadas. Não temos interesse em oferecer um serviço que deve ser amplamente usado com algum risco de falha”, diz.
Assim, é na captura da identidade das pessoas físicas que os cibercriminosos devem atuar para aplicar golpes: se aproveitando das chaves Pix e da instantaneidade da operação, segundo Zanini.
As chaves são a forma de identificar a conta dentro do ecossistema Pix. Elas funcionam como o endereço da conta e podem ser: o e-mail, CPF/CNPJ, celular ou uma chave aleatória (veja mais no vídeo acima). Com a chave, não será mais preciso digitar todos os dados da conta bancária para fazer uma transferência, informando apenas o celular do destinatário, por exemplo, será possível concluir a transação.
Porém, ao mesmo tempo que a chave pode substituir várias informações e dar rapidez à transação, ela é um dado facilmente acessado, afinal a grande maioria das pessoas já informou o CPF ou e-mail em algum cadastro, ou o celular ao comprar uma roupa em uma loja, por exemplo.
Por isso, os cibercriminosos podem se aproveitar dessa facilidade para enganar as pessoas e é preciso tomar cuidado ao compartilhar a chave Pix, como celular, e-mail e CPF, bem como os dados bancários.
“Dito isso, é preciso entender que se o Pix for expor as pessoas a novos tipos de riscos, novas medidas de combate precisarão ser criadas. E para isso precisaremos esperar o sistema funcionar”, comenta Martins.
Nesse caso será necessário fazer uma portabilidade de chave. “Na prática, a pessoa precisaria acessar o app ou internet banking, excluir o número de celular antigo e cadastrar o novo. Se o novo não estava sendo usado por ninguém, a chave passa a valer imediatamente. Mas se o novo número era usado por outra pessoa até então, ela precisará confirmar que o número agora passou para você. Ao fazer isso, são sete dias para que a chave comece a valer”, explica Mósca.
Na prática, uma mensagem dentro do app do banco vai solicitar ao antigo dono do número uma confirmação, com uma mensagem que deve ser parecida com esta: “Confirmar, vou abrir mão dessa chave Pix”.
Segundo Mósca, essa dupla checagem previne o roubo de chaves. “Imagine a situação contrária: você recebe a mensagem pedindo para confirmar que seu celular vai ser cadastrado em outra conta. Se você não trocou de número, provavelmente é um golpe. E o cibercriminoso passaria a receber todas as transações nas quais você usasse o seu celular como chave. Nesse caso, basta negar a confirmação e não haverá prejuízo. A lógica vale para qualquer chave”, afirma Mósca.
Segundo Martins, nos dois casos o criminoso só vai conseguir movimentar dinheiro, ou seja, tirar algum valor da conta da vítima e enviar para sua própria conta, por exemplo, se tiver em mãos: a senha do aplicativo do banco e a senha de confirmação para efetuar a transação.
Mas, com a chave Pix em mãos, o criminoso poderia receber os valores que seriam depositados na conta por meio dessa chave em específico, porque ele cadastraria o celular roubado como a chave Pix de uma conta dele, por exemplo.
“Ainda não existe um mecanismo de bloqueio de chave definido, como acontece com o bloqueio de cartão. Precisaremos esperar um posicionamento do BC e das instituições sobre como o cliente poderia proceder. Em um primeiro momento, o protocolo seria alertar as pessoas que poderiam transferir valores para você sobre a situação”, explica Martins.
Uma das principais características do Pix, se não a mais importante, é o caráter instantâneo que o sistema vai trazer para as transações financeiras. Se hoje a TED e o DOC podem demorar horas ou até dias para serem efetivados, com o Pix uma transferência será feita em até 10 segundos – bem como os pagamentos feitos por meio dos QR Codes na hora da compra em um supermercado ou um e-commerce, por exemplo.
Mas, assim como as chaves, esse também pode ser um ponto de atenção, já que não há a possibilidade de reverter a transação.
“Sobre a reversibilidade da transação, você poderá alterar o valor a ser pago ou cancelar a transação apenas antes da confirmação do pagamento. Após a confirmação, como a liquidação do Pix ocorre em tempo real, a transação não poderá ser cancelada. No entanto, caso a transferência tenha sido um engano, você poderá negociar com o recebedor a devolução do valor pago. A devolução é uma funcionalidade disponível no Pix e é sempre iniciada pelo próprio recebedor”, explicou o BC em nota.
No entanto, em caso de fraude, dada a confirmação, o dinheiro pode cair na conta do criminoso em segundos, ou mesmo se uma transação for feita por engano e o recebedor não quiser devolver o valor, o usuário ficaria no prejuízo.
Segundo Martins, se a fraude for comprovada deve haver algum processo de estorno para o cliente. “Ninguém bateu o martelo sobre isso ainda, mas não faz sentido as instituições financeiras minarem sua credibilidade. Cada banco vai poder atuar da maneira que achar melhor. Acredito que boa parte deles ofertará essa possibilidade”, diz.
Ele afirmou ainda que também não se sabe se haverá reembolso em caso de assaltos ou sequestros-relâmpagos. “De qualquer forma, vale lembrar que esse tipo de situação não vai piorar devido ao Pix, é algo que pode acontecer hoje com outros meios de pagamentos ou saque no caixa eletrônico”, diz Martins.
Mosca afirma que esse é um tipo de golpe bem comum no Brasil. “Hoje mais de 70% das fraudes do país acontecem por meio da chamada engenharia social, que consiste em persuadir a vítima a compartilhar dados pessoais, como as chaves Pix, e informações bancárias”, explica. Inclusive, a Kaspesrky já identificou alguns golpes relacionados ao Pix (saiba mais aqui).
Nesse caso, também há desencontro de informações, por enquanto, porque não está claro quem deveria se responsabilizar: o agente financeiro direto que está em contato com o BC, como o banco; o indireto, que participa do Pix por meio da infraestrutura de um participante direto, como uma varejista; ou o próprio BC.
Por meio de nota enviada por e-mail, o BC disse que: “A transação Pix somente é autorizada após o prestador de serviço de pagamento realizar as devidas verificações de segurança […] E as instituições financeiras devem se responsabilizar por fraudes decorrentes de falhas nos seus mecanismos de gerenciamento de riscos”.
Mas a grande discussão é se isso significa que os bancos devem se responsabilizar apenas diante de falhas operacionais no seu sistema, por exemplo, ou se essa responsabilidade se estenderia também aos casos em que a fraude fosse motivada por golpe, como, por exemplo, se o próprio cliente ceder os dados porque foi enganado (veja mais no final da matéria).
Na interpretação de Mósca, se o cliente for induzido a fornecer dados ou efetuar transferências e, conscientemente, compartilhar dados ou efetivar o pagamento passando por todas as etapas do aplicativo do banco, por exemplo, a instituição financeira não deve se responsabilizar por um eventual reembolso. Essa é a visão do banco Itaú, por exemplo, que defendeu ponto de vista parecido ao apresentar o Pix à imprensa.
Essa é mais uma dúvida que ainda está em aberto, mas integrantes do BC já sinalizaram em conversas informais com bancos e em entrevistas que esse tipo de questionamento será definido conforme o sistema estiver em uso e as eventuais fraudes surgirem.
“Ainda assim, os bancos estão em contato com o BC para achar a melhor forma de endereçar esse tipo de problema. A ideia é que haja um processo de devolução de recursos padrão. É provável que isso não esteja disponível já no lançamento, mas está nos planos”, explica Mósca.
O que vai ser possível assim que o sistema estrear, segundo o BC, é a possibilidade de a instituição segurar o pagamento por 30 minutos (durante o dia) ou uma hora (à noite) caso observe alguma suspeita de fraude ou falha. “Na prática, se uma transação anormal para o perfil do cliente acontecer, o banco pode suspender a transação por esse breve período para analisar. Se entender que é fraude, a transação não acontece”, explica Martins.
Sim. Considerando o exemplo de um sequestro-relâmpago: hoje o assaltante precisa forçar a vítima a ir a um caixa eletrônico e sacar a quantia, uma vez que uma transferência por TED, por exemplo, não cairia na conta imediatamente, dependendo do horário, e poderia ser cancelada.
O fato de o Pix funcionar 24 horas por dia, em tempo real, portanto, gerou questionamentos sobre a maior facilidade que um assaltante teria em conseguir valores da vítima e quais seriam os limites das transações.
Para mitigar riscos, o BC definiu limites de valor para as transferências e pagamentos via Pix, que serão mais rigorosos em um primeiro momento, já que que o sistema estará começando a funcionar e será preciso tempo para analisar as falhas que podem vir a acontecer.
Na etapa A, entre 3 de novembro (início dos testes do sistema) e 28 de fevereiro, transferências e pagamentos via QR Code para contas de mesma titularidade, em dias úteis, entre 6h e 20h, terão um limite equivalente a 50% do disponibilizado para a TED do usuário em seu banco. Já em fins de semana e feriados, na mesma janela de horários, o limite será o mesmo disponibilizado para o cartão de débito – e não metade.
No caso de titularidades diferentes, como seria o caso de um sequestro-relâmpago, por exemplo, há duas situações: para transferências o limite também será de 50% do disponibilizado para a TED, mas no caso de pagamentos via QR Code o limite será o mesmo disponibilizado para o cartão de débito do usuário. Em ambos os casos considerando dias úteis entre 6h e 20h.
Em finais de semana e feriados, entre 6h e 20h, o limite será sempre o mesmo disponibilizado para o cartão de débito do usuário independentemente do formato da transação.
Já na etapa B, que tem início em 1 de março, o BC permitirá transacionar valores maiores. Portanto, em transferências e pagamentos via QR Code, para contas de mesma titularidade, todos os dias da semana, inclusive feriados, entre 6h e 20h, o limite do Pix será o mesmo disponibilizado para a TED.
Para titularidades diferentes em todos os dias da semana, inclusive feriados, entre 06h e 20h: em transferências, o limite também será o mesmo do disponibilizado para a TED, e no caso de pagamentos via QR Code a regra se mantém, sendo o limite o mesmo do cartão de débito do usuário.
Agora, nas duas fases, para todos os casos em todos os dias da semana, inclusive feriados, quando uma transação Pix for feita à noite ou de madrugada, entre 20h e 6h, o limite será o mesmo disponibilizado para o cartão de débito.
Na instrução normativa (n°20/20) sobre o tema, o BC detalha em uma tabela os limites em todos os casos de uso do Pix por dia, horário, formato da transação e canal de atendimento (veja aqui).
Mosca acrescenta que haverá uma espécie de botão, que ainda precisa ser padronizado pelo BC, que vai permitir ao usuário reduzir ainda mais seu limite. “Hoje o BC já calibrou os limites e todos terão que segui-los. Mas caso o cliente queira, poderá reduzir ainda mais o valor. O recurso não deve ser lançado junto com o sistema, mas há a intenção de incluir esse serviço”.
Bernardo Lima, advogado especialista em direito bancário do Stocche Forbes Advogados, explica que todas as transações do sistema Pix estarão protegidas pela Lei Complementar n° 105/2001, do Sigilo Bancário, e também sob o guarda-chuva da Lei Geral de Proteção de Dados (n° 13.709/2018) – que entrou em vigor recentemente e que abarca diversas áreas, além da financeira.
“A confidencialidade dos dados é um dos temas mais sensíveis para o consumidor quando se trata de dinheiro. Ninguém deseja expor quanto ganha por mês, ou dados bancários que podem ser úteis em fraudes. Estar sob a proteção dessas leis significa basicamente que nem o BC, nem as instituições financeiras participantes do Pix poderão compartilhar ou vender os dados dos usuários do sistema para terceiros para que sejam oferecidos produtos aos clientes”, explica o advogado.
Segundo ele, a LGPD muda a perspectiva sobre a posse de dados não só no mercado financeiro. “Com a LGPD se passa a entender que o dono dos dados é o próprio cliente. Por isso, via de regra, os dados não poderão ser compartilhados, mas se o cliente desejar que o seu histórico de crédito no banco A seja compartilhado com o banco B, por exemplo, o banco A não pode se opor a passar a informação”, diz.
Esse é um dos princípios do Open Banking, que também vai se basear nessa lei para funcionar no país (saiba mais aqui).
Assim, as leis de proteção de dados são parte do arcabouço no qual o Pix foi constituído. “Essas leis estão acima das regulamentações do BC. As regras da autoridade monetária foram baseadas nelas, então não tem por que se preocupar do ponto de vista de uso ilegal dos dados. Se as instituições não cumprirem as leis, o BC pode aplicar sanções, como excluí-las do Pix, e no limite, o Poder Judiciário pode atuar para punir as empresas que não seguirem as regras”, explica o advogado.
Considerando o cenário, hoje o usuário ainda está sem resposta para muitas perguntas, mas Mósca explica que uma resolução do BC deve ser publicada em breve para padronizar como e quem os usuários devem contatar em casos de suspeita ou comprovação de fraude ou diante de qualquer outro problema relacionado às transações via Pix.
Lima explica que nada impede que fraudes ocorram, principalmente se forem fruto de engenharia social. “As instituições financeiras participantes têm que responder por eventuais fraudes, afinal, não deixa de ser um dano ao cliente. E o prestador de serviço precisa tomar alguma atitude, caso contrário seria penalizar a vítima. De qualquer maneira, o cliente sempre pode partir para uma ação judicial contra a instituição”, diz o advogado.
Segundo ele, a partir do momento em que uma transação ocorre dentro do sistema financeiro ela está protegida pela lei do Sigilo Bancário, e, de forma mais ampla, pela LGPD, “então se for comprovado fraude no uso de dados é possível basear uma defesa em cima dessas leis, por exemplo”.
Apesar disso, o advogado entende que há insegurança jurídica em torno do tema. “Considerando o Pix e os novos problemas que podem surgir, ainda é preciso entender onde e como se dará a fraude. Como é um tema novo, não sabemos como a jurisprudência vai funcionar. Há muitas variáveis”, pondera.
Por fim, enquanto mais definições não são divulgadas, a recomendação de Assolini, da Kaspersky no Brasil, é acessar os canais oficiais da instituição financeira para realizar qualquer tipo de atividade relacionada ao Pix. “E nunca compartilhar dados pessoais e a chave Pix por e-mail, SMS, sites suspeitos ou por telefone”, diz (veja mais detalhes sobre como se proteger aqui).
