Read, hack, repeat

Pix: especialistas comentam sobre a segurança do novo sistema do BCB

Ramon de Souza 0 min

Venhamos e convenhamos: enviar e receber dinheiro não é lá uma tarefa muito simples. Com o avanço do internet banking, nós felizmente não precisamos mais nos deslocar até uma agência para transferir valores para terceiros; ainda assim, a forma mais rápida de despachar uma grana virtualmente é pelo sistema TED, que possui horários restritos de funcionamento. Isso, é claro, sem citar as taxas envolvidas no procedimento.

Pois bem — esse cenário está prestes a mudar. Percebendo uma mudança de paradigmas impulsionada pelas fintechs e iniciativas como o WhatsApp Pay, o Banco Central do Brasil (BCB) desenvolveu o Pix, um sistema de pagamentos totalmente digital e com disponibilidade 24 horas por dia, sete dias por semana, compatível com transferências interbancárias e com compensação praticamente instantânea (cerca de dez segundos).

Você mora em São Paulo e seu primo de Manaus lhe pediu uma grana emprestada emergencialmente às 2h45 da madrugada de um domingo? Sem problemas: basta mandar um Pix. Não é necessário ter dados complexos do destinatário de uma transação (como agência e conta): basta informar uma de suas chaves Pix, que podem ser um nome, um CPF, um endereço de email ou um identificador aleatório gerado para aquele momento.

O sistema foi instituído pelo BCB em agosto e a previsão é que ele comece a operar no dia 16 de novembro, sendo que a maioria das instituições financeiras de grande porte já estão com pré-cadastros abertos para quem pretende testar a novidade o mais rápido possível. O Pix será obrigatório para bancos com mais de 500 mil clientes; porém, é óbvio que fintechs menores não vão querer ficar de fora dessa corrida.

Várias blindagens

Na teoria, tudo parece muito bonito e agradável; porém, como um veículo especializado em segurança da informação, era óbvio que a The Hack se preocuparia com tal aspecto do novo sistema. Por conta disso, conversamos com Daniel Almendra, analista do Departamento de Tecnologia da Informação do Banco Central e responsável pela questão de segurança do Pix.

“Todas as transações financeiras no âmbito do Pix, bem como as operações de registro e alteração de chaves Pix, são realizadas por mensagens assinadas digitalmente pela instituição emissora, enviadas em um canal criptografado por meio de TLS com autenticação mútua. Para tanto, são utilizados certificados digitais ICP-Brasil no padrão SPB”, explica Daniel.

O executivo garante que, como toda a comunicação entre as instituições financeiras (designadas no ecossistema como Prestadores de Serviços de Pagamento ou PSP) e o BCB se dá por meio de uma rede dedicada segura de alta disponibilidade, é praticamente impossível que um atacante consiga causar disrupções através de, por exemplo, ataques de negação de serviço (DDoS).

“Outro controle importante, e cuja implementação foi amplamente discutida com o mercado, é o mecanismo antifraude provido pelo DICT (Diretório de Identificadores de Contas Transacionais), que informa ao PSP dados adicionais associados às chaves, como a data de registro e contadores de transações realizadas e de relatos de infrações. Tais informações podem ser utilizadas pelo PSP, em complemento a seus próprios mecanismos antifraude, para negar transações, alertar os usuários, dentre outras ações”, comenta.

Questionado sobre a possibilidade de um agente malicioso fraudar uma chave Pix para se passar por terceiros e interceptar pagamentos, Daniel confessa que “não existe um sistema 100% seguro”, mas garante que foi realizado um levantamento sobre as potenciais ameaças ao DICT e formas de mitigá-la.

Primeiramente, no caso de chaves via CPF ou CNPJ (para pessoas jurídicas), a validação só será possível de acordo com os dados cadastrais da conta bancária previamente conferidos pelo envio de documentação à instituição bancária. Para chaves de email ou número de celular, os PSPs ficam responsáveis por cruzar dados de cadastro e fazer a validação ativa.

“Ou seja, o PSP deve enviar um código de confirmação para o celular/e-mail que o usuário deseja registrar e, após recebimento do código, o usuário deve acessar o canal de atendimento do PSP e inserir o código recebido para fazer o vínculo da chave à sua conta transacional”, esclarece. Não fica claro, porém, se o problema estrutural de reciclagem de linhas telefônicas, prática comum no Brasil, pode afetar tal processo.

Como ficam as fraudes?

Levando todas essas questões em consideração, podemos concluir que o Pix é, de fato, minimamente seguro para se tornar o meio primário de pagamentos no Brasil. Porém, temos outro problema que tecnologia alguma pode resolver: o fator humano. Uma das formas de receber valores pelo Pix é através de códigos QR gerados aleatoriamente, e é natural imaginar que golpistas vão abusar desse recurso para desviar pagamentos (especialmente ao personificar marcas e ecommerces).

“No Pix, assim como já ocorre em outros arranjos de pagamento, certamente ocorrerão fraudes que se aproveitam do elo tipicamente mais fraco da segurança: o usuário final, que muitas vezes é pego desprevenido e se torna mais uma vítima dos fraudadores”, confessa Daniel, citando, como exemplo, o fenômeno das lives falsas, nas quais códigos QR falsos sobrepõem os legítimos para desviar doações dos internautas.

“No caso do QR Code do Pix, há vários mecanismos de segurança, como por exemplo o cadastramento prévio dos sites e certificados associados a QR Codes dinâmicos e a assinatura digital dos dados desses QR Codes, além das diversas validações a serem feitas pelos aplicativos dos PSPs. Ainda assim, caso um usuário seja ludibriado e levado a acessar um site falso contendo QR code para pagamento via Pix, ele precisará estar atento à tela de confirmação das informações sobre o recebedor e, ao perceber qualquer inconsistência, não deverá realizar o pagamento”, revela.

Daniel também garante que, embora as transações do Pix sejam irrevogáveis, as PSPs sempre deverão se manter abertas para reclamações dos usuários e serão obrigadas a adotar medidas cabíveis para reverter prejuízos. “A resolução de problemas de tal natureza deve variar a cada caso, mas as fraudes já fazem parte do dia a dia das instituições financeiras, que acabam ao final considerando os riscos de fraudes e calculam seus custos e tarifas de acordo com eles, sabendo que precisarão ressarcir seus clientes em determinadas situações”, observa o especialista.

Desafios na implementação

É difícil não encontrar um banco ou uma fintech que não esteja correndo contra o tempo para implementar o Pix. Afinal, mesmo para quem não é legalmente obrigado a adotar o sistema, ele é um tanto sedutor do ponto de vista operacional: dez transações custam ao PSP o equivalente a R$ 0,01 — um valor muito mais acessível do que os retrógrados DOCs e TEDs.

“Não há requisitos específicos de segurança que requeiram a aquisição de equipamentos avançados ou softwares proprietários de segurança que, de fato, poderiam tornar bastante cara a entrada de uma empresa pequena no ecossistema do Pix”, garante Daniel. Uma abordagem possível é a contratação de um PSTI (Prestador de Serviços de TI), que fornece conexão à RSFN e, eventualmente, serviços adicionais relacionados ao Pix”, explica.

Uma instituição pioneira na implementação do Pix é o Banco Original. A marca começou seus testes em junho e já oferece o “registro de intenção” para seus correntistas.

De acordo com Geremias Santiago, gerente de segurança da informação do Banco Original, “o desafio da segurança contra fraudes e indisponibilidade [durante a implementação do Pix] são enormes, mas também trazem uma grande melhoria para o mercado com controles definidos e avaliados por diversos profissionais do mercado”. O executivo diz que as normas técnicas exigidas são importantes para tirar as empresas da zona de conforto.

“Com as grandes mudanças que o Pix vai trazer ao mercado, é fato que teremos um trabalho muito grande contra golpistas, onde avalio a necessidade de reforçarmos as nossas bases de inteligência de segurança e fraudes com todas as fontes possíveis de informações para que possam ser utilizadas em nossos processos transacionais, compartilhando informações entre as organizações e educando cada vez mais nossos clientes em relação ao tema de forma simples e objetiva”, explica Geremias.

Questionado sobre as diferenças e similaridades do Pix com outros sistemas de pagamentos instantâneos, como o WhatsApp Pay e até mesmo criptomoedas descentralizadas, o analista afirma que o sistema do BCB usufrui da credibilidade de instituições financeiras do mercado, que são reguladas e monitoradas por normativas rígidas de qualidade.

“Quando comparo esta visão com o nível de credibilidade das corretoras de moedas digital e ao serviço do WhatsApp Pay vejo uma grande diferença na responsabilidade e compromisso com os clientes em relação a segurança”, finaliza.

Quer saber mais?

Se você quer saber mais sobre os aspectos de segurança e de implementação do sistema Pix, não deixe de participar do Mind The Sec São Paulo 2020! A maior conferência corporativa sobre segurança da informação da América Latina ocorrerá entre os dias 15 e 17 de setembro, de forma 100% online, reunindo mais de 140 palestrantes e painelistas em três dias de conteúdo.

Geremias e outros especialistas do setor bancário discutirão sobre o Pix e estarão à disposição para tirar dúvidas a respeito da adoção desse novo sistema. Mas seja rápido: as inscrições se encerram hoje (11)! Acesse este link para conferir as opções de ingresso e usufruir de um desconto exclusivo para leitores da The Hack!


Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.