CASE DE ESTUDO

O Pix muito além do envio de dinheiro

22/01/2021 10:15

Brasileiro resolveu fazer de tudo com o Pix. Existe um risco de segurança nisso?

O brasileiro precisa ser estudado.

Tamanho da fonte: -A+A

Parece que o brasileiro inventou uma nova funcionalidade para o Pix, novo sistema de pagamentos do Banco Central. Além das transferências em dinheiro, a plataforma também está sendo usada para o envio de mensagens pessoais.

Esse tipo de uso da plataforma começou a viralizar recentemente, com o caso de uma mulher que foi bloqueada pelo ex-namorado em todas as redes sociais e apelou para o Pix para abrir um canal de comunicação, enviando sucessivas transferências de R$ 0,01 com mensagens pedindo desculpas por uma traição.

Na tentativa de ajudar, um primo do homem postou o acontecido, perguntando se alguém sabia como bloquear as transferências indesejadas. 

tweet

Em busca da resposta, o Baguete procurou o Banco Central, onde mais se entende do assunto, que respondeu de forma categórica: “o meio de pagamento não funciona como uma rede social. Portanto, não é possível bloquear um usuário detentor de conta”, afirmou a instituição.

Para Waldo Gomes, especialista em segurança da NetSafe Corp, a alternativa mais viável seria a pessoa incomodada descadastrar a chave utilizada no Pix, como o CPF, por exemplo, e cadastrar uma outra sequência de caracteres, fora do alcance de terceiros.

Foi isso que o personagem da história fez, conforme disse Matheus Siqueira, autor da postagem, à Folha de São Paulo. No caso dele, a chave cadastrada era o número do celular.

O método, no entanto, não é 100% eficaz, já que é possível fazer um tipo de transferência sem a chave, apenas utilizando os dados da conta bancária. 

Gomes lembra que a nova plataforma do BC permite uma quantidade maior de caracteres do que as transferências por DOC ou TED — são 140, limite de uma mensagem de SMS — e, portanto, uma alternativa futura poderia ser a redução do número de caracteres, deixando espaço apenas para identificar a transação.

“Eu imagino que, se essa funcionalidade for utilizada de uma forma errada, muito provavelmente eles façam uma operação ao longo da rota e limitem a quantidade de caracteres. Realmente esse não é o intuito da ferramenta”, acredita Gomes.

Sobre permitir que os bancos desenvolvam o bloqueio no futuro, ou mesmo a possibilidade de diminuir o número de caracteres, o BC se limitou a dizer que “não há nada no momento sobre estes dois assuntos”.

Tão cedo, os bancos não devem colocar em prática algo do gênero, já que, via de regra, devem seguir o escopo definido pelo Banco Central e não têm autonomia para desenvolver o bloqueio ou novas funcionalidades para o Pix.

“Temos ali todo um roadmap de funcionalidades que foram pré-definidas, como exclusão de chaves, transferências, pagamentos e recebimento via QR code. Até os campos, informações e mensagens têm que ser como o Banco Central definiu e esse tipo de bloqueio não foi previsto inicialmente”, explica Alexandre Rezende, gerente de desenvolvimento de produto da DB1.

A empresa paranaense de desenvolvimento de software trabalha em projetos relacionados com o Pix, cujo sistema de transferência é oferecido hoje por mais de 700 instituições diferentes no segmento financeiro, indo desde os grandes bancos até players regionais e fintechs.

Rezende acredita que, para o mundo do software, tudo é possível e não se trata de algo complexo de se fazer, mas as empresas somente vão adotar esse tipo de bloqueio se o BC exigir. 

Segundo o Banco Central, o único bloqueio possível atualmente é em caso de fraude. Nessa situação, a conta pode ser bloqueada em todo o sistema, ou seja, para todos os usuários.

Outros brasileiros nem pensam em bloqueio: estão utilizando a ferramenta para paquerar e publicam suas chaves com cantadas do tipo “não me mande flores, me mande um Pix” ou "aqui é ruim de conversar, anota o número do meu Pix", conforme informa o Uol.

Para Daniel Barbosa, pesquisador de segurança da ESET, o ideal nesses casos seria escolher a opção “chave aleatória” e informar os números apenas quando realmente for necessário. Mesmo que ela não seja o celular, CPF ou e-mail, a exposição da chave nas redes sociais é arriscada.

“Ao iniciar um processo de transferência de valores através do Pix, o sistema exibe o nome completo do titular vinculado à chave e um fragmento do CPF, ou seja, isso pode fazer com que criminosos tenham mais facilidade de encontrar informações sobre possíveis vítimas e entrem em contato com elas posteriormente”, alerta Barbosa.

Seja para “somente” fazer transferências bancárias, conversar ou paquerar, o que parece ser unanimidade entre os especialistas é a confiança de que a plataforma Pix é segura.

“A segurança é muito forte, pois existem redes privadas de conexão com o próprio Banco Central, então é impossível fazer qualquer tipo de violação das informações. Foi tudo bem pensado”, avalia Rezende.

Para Waldo Gomes, quando se fala sobre fraude ou vulnerabilidades, não se trata do sistema e sim da forma de divulgação. 

Um lojista pode, por exemplo, colocar um cartaz com o QR Code no balcão e alguém trocar a imagem, fazendo com que os pagamentos sejam direcionados para a conta de um terceiro — algo parecido com o que acontece com as maquininhas de cartão, que frequentemente são trocadas com esse intuito.

Outra possibilidade seria o envio de links de alguém se passando pela instituição financeira em busca de informações cadastrais do usuário.

“O ideal é não clicar no link, sempre acessar a plataforma bancária e fazer o cadastro diretamente na plataforma, evitando ao máximo fazer esse acesso via rede social, e-mail ou SMS, porque esses são os caminhos mais típicos de fraude”, aconselha o diretor da Netsafe Corp.

Já o uso do CPF de terceiros para cadastramento da chave não é considerado uma fraude, pois trata-se apenas de uma sequência numérica. Segundo Gomes, se alguém tentar se cadastrar e o seu número já estiver sendo usado, basta criar outra chave.

“Na hora que você faz a transferência, o sistema faz uma menção ao nome e conta de quem irá receber. Algum dado dali você tem que saber, então é muito improvável que você não saiba nem o nome da pessoa para quem está enviando dinheiro”, opina Gomes.

Para 2021, já existem outros recursos a serem disponibilizados pelo Banco Central, como o saque em comércios credenciados, a compra parcelada e o pagamento por aproximação de NFS-e.

“É um trabalho contínuo, tanto com manutenção quanto de evolução de novas funcionalidades que estão por vir. Tem bastante coisa interessante que vai atender melhor a população, então acredito que esses recursos de bloqueio vão ficar em segundo ou terceiro plano”, aposta Rezende.

Veja também

PAGAMENTOS
O Pix não é a morte das maquininhas

Máquinas de cartão têm funcionalidades, e, principalmente, pagamento parcelado.

VAREJO
Americanas agora aceita pagamento com Pix

A tecnologia já está no e-commerce e deve ir para todas lojas físicas nas próximas semanas.

SALTO
Itaú vai para a nuvem da AWS

Contrato é uma grande mudança de rumos para um dos maiores bancos do país.

OPEN BANKING
O que nos espera além do PIX?

A evolução digital do sistema bancário brasileiro deve trazer ganhos para todos os envolvidos.

FINTECH
AL5 Bank cadastra chaves Pix com DB1

Aplicação foi necessária para atender todos os requisitos mínimos do Banco Central.

CONTRATAÇÃO
Ypê tem novo head de segurança da informação

Paulo Yukio Watanabe Junior já atuou em empresas como Boa Vista SCPC, Ambev e Braskem.

REPAGINADA
Soprano investe R$ 4 milhões em infra e segurança

Projetos realizados em 2020 incluíram soluções da Pure Storage, Dell e Veeam.

SEGURANÇA
Oito passos para os CISOs se alinharem ao negócio

Profissionais se focam no significado técnico das métricas de risco, o que é um problema na conversa.

CONTROLE
XMobots: segurança na TI com BluePex

Companhia brasileira de drones monitora rede e controla ativos com solução.

COMPRAS
Tivit compra startup de segurança

Privally foi a primeira aquisição do Tivit Ventures. Outras 10 ainda devem vir em breve.

COMPLIANCE
Stara: reforço na segurança com Netfive

Empresa de implementos agrícolas contratou “CSO virtual” da Netfive.