O sistema de pagamentos instantâneos do Banco Central, o Pix, já cadastrou 25 milhões de chaves únicas desde a última segunda-feira, quando começou a registrar as pessoas físicas e jurídicas no sistema.

Apesar do Pix só entrar no ar em novembro, especialistas já debatem sobre a segurança e limites do sistema, que funcionará 24 horas por dia, 7 dias por semana.

No primeiro dia de cadastro, o registro massivo de chaves gerou instabilidades, o que aumentou também as dúvidas sobre sua efetividade e segurança. Antes mesmo do começo do cadastro, hackers e golpistas já atraíam vítimas para roubar dados com sites de phishing.

O Banco Central divulgou um manual de segurança do Pix, dando diretrizes para as instituições financeiras se protegerem e garantirem a segurança dos clientes.

Segundo o BC, "o Pix conta com os mesmos protocolos de segurança do Sistema Financeiro Nacional que já usamos hoje, e que também servem para TEDs e DOCs”, além de camadas de segurança das próprias instituições, como biometria, autenticações de dois fatores, reconhecimento facial, e outros.

Segundo matéria do InfoMoney, as duas principais medidas de segurança do Pix são criptografia e autenticação, "medidas já amplamente usadas para outros meios de pagamento", segundo Marcelo Martins, representante da ABFintechs no grupo de trabalho do Pix no BC.

A criptografia "impede que cibercriminosos consigam absorver ou interceptar informações de uma transferência enquanto ela está sendo enviada de uma ponta à outra", segundo Marcos Zanini, CEO da empresa de segurança digital Dinamo Networks. 

Do outro lado, a autenticação confirma as identidades do cliente e da instituição financeira. A ideia é oferecer mais uma camada de segurança, com duas etapas de verificação, seja usando SMS ou e-mail para confirmar a identidade e a transação:

Marcelo Martins explica:

“É assim que a confirmação do celular como chave Pix acontece, por exemplo. Ao selecionar o número do celular, o usuário recebe uma mensagem que chega via SMS com um código que deve ser informado dentro do app do banco."

Segundo Zanini, os bancos também certificarão a identidade através dos chamados "certificados digitais":

“Quando o cliente faz uma transação, o agente financeiro, como o banco, informa ao BC que há a intenção de realizar a transação. O BC, por sua vez, confirma se o banco tem uma identidade verdadeira e aprova a transferência ou o pagamento. Essa confirmação que o BC faz acontece por meio do certificado digital. É uma espécie de assinatura que comprova a veracidade de transação”

A experiência de segurança para o usuário, segundo as regras do próprio Banco Central, deve ser com o mínimo atrito, com todo o procedimento duranto no máximo dez segundos.

O especialista sênior da empresa de segurança digital Kapersky, Fabio Assolini, porém, diz que o sistema ainda possui muitas questões em aberto:

“O sistema bancário brasileiro tem um dos sistemas antifraudes mais avançados do mundo e isso é um reflexo da qualidade e do volume do cibercrime nacional. Acredito que o sistema de pagamento do BC será seguro, mas não temos informações sobre como os procedimentos de segurança funcionarão na prática, e precisaremos esperar o lançamento para ver como as instituições financeiras vão atuar”

Para o economista Gustavo Cunha, diz que o elo mais fraco da cadeia é o consumidor e que há problemas que só poderão ser identificados com o sistema no ar:

“O sistema foi testado muitas vezes, já pensando na segurança e na prevenção de fraudes, mas é a interação do usuário que pode criar problemas. E só vamos ter clareza dos problemas que podem surgir nesse relacionamento entre cliente e Pix quando o sistema estiver funcionando”

Segundo os especialistas, a facilidade para transações também pode fazer com que criminosos se aproveitem dos clientes das instituições para assumir suas identidades e fazer transações, ou até mesmo fraudando os certificados das próprias instituições. Zanini diz, porém, que é improvável que criminosos consigam acessar os certificados das instituições:

 “Na prática, os bancos guardam esse certificado digital muito bem, por meio de cofres digitais, criptografia e outros recursos de segurança. É improvável que algo nesse sentido aconteça."

Para o porta-voz do grupo de segurança da Febraban, Ivo Mósca, os bancos já possuem a expertise para se proteger nesses casos. O problema, portanto, será a segurança dos clientes, que podem ser vítimas de cibercriminosos que buscam brechas para explorar as vulnerabilidades dos dispositivos digitais.

A facilidade das chaves também é apontada como um potencial problema. Marcelo Martins diz que a facilidade traz novos riscos ao consumidor:

“Dito isso, é preciso entender que se o Pix for expor as pessoas a novos tipos de riscos, novas medidas de combate precisarão ser criadas. E para isso precisaremos esperar o sistema funcionar”.

Em um país em que golpes por celular e WhatsApp crescem em alta velocidade, o cuidado ao cadastrar o número de celular - uma das chaves mais concorridas do sistema - também deve ser redobrado. O cliente que trocar de celular deve avisar à instituição responsável pelo cadastro no Pix e cancelar o acesso através do número antigo, para só então cadastrar um novo. O consumidor deve estar atento a pedidos de mudanças indevidos:

“Imagine a situação contrária: você recebe a mensagem pedindo para confirmar que seu celular vai ser cadastrado em outra conta. Se você não trocou de número, provavelmente é um golpe. E o cibercriminoso passaria a receber todas as transações nas quais você usasse o seu celular como chave. Nesse caso, basta negar a confirmação e não haverá prejuízo. A lógica vale para qualquer chave”, explica Mósca.

Em caso de roubo do dispositivo, ainda não há um mecanismo definido para o bloqueio das chaves. Martins diz que o BC precisa se posicionar para orientar as instituições nestes casos:

“Ainda não existe um mecanismo de bloqueio de chave definido, como acontece com o bloqueio de cartão. Precisaremos esperar um posicionamento do BC e das instituições sobre como o cliente poderia proceder. Em um primeiro momento, o protocolo seria alertar as pessoas que poderiam transferir valores para você sobre a situação”

Como noticiou o Cointelegraph Brasil, o Banco Central poderá reverter transações se houver suspeita de fraude e as instituições podem identificar transações suspeitas e suspendê-las até que a transação seja investicada. Porém, o BC explica que uma vez confirmada a transação, ela não poderá ser cancelada:

“Sobre a reversibilidade da transação, você poderá alterar o valor a ser pago ou cancelar a transação apenas antes da confirmação do pagamento. Após a confirmação, como a liquidação do Pix ocorre em tempo real, a transação não poderá ser cancelada. No entanto, caso a transferência tenha sido um engano, você poderá negociar com o recebedor a devolução do valor pago. A devolução é uma funcionalidade disponível no Pix e é sempre iniciada pelo próprio recebedor”

O BC também diz que as instituições devem se responsabilizar por fraudes decorrentes de falhas nos seus mecanismos de gerenciamento de riscos". O advogado Bernardo Lima explica:

“As instituições financeiras participantes têm que responder por eventuais fraudes, afinal, não deixa de ser um dano ao cliente. E o prestador de serviço precisa tomar alguma atitude, caso contrário seria penalizar a vítima. De qualquer maneira, o cliente sempre pode partir para uma ação judicial contra a instituição.”

 

LEIA MAIS