O PIX, novo sistema de pagamentos instantâneos do Banco Central (BC), começou a dar seus primeiros passos no Brasil. No entanto, alguns usuários ainda questionam a segurança da plataforma. Segundo especialistas, o maior risco não está na tecnologia em si, e sim no usuário. É o fator humano.
A etapa de testes do PIX vai até o próximo dia 15. A partir do dia 16 de novembro, o sistema já entrará em funcionamento completo. Alternativa ao DOC e TED, o PIX é um sistema de pagamentos instantâneo, que funcionará todos os dias do ano e 24 horas por dia. Quem deseja utilizar a plataforma pode cadastrar e-mail, CPF ou número de celular como chave. Também é possível usar um identificador numérico único ou dados de agência e conta. Até o início de novembro, o sistema já tinha 60,6 milhões de chaves cadastradas, sendo 2,4 milhões para pessoas jurídicas e 58,2 milhões para pessoas físicas, segundo levantamento do BC.
Especialistas em cibersegurança da BugHunt, plataforma brasileira de Bug Bounty (programa de recompensa por identificação de erros) e da Compugraf, provedora de soluções de segurança da informação e privacidade de dados, afirmam que, por ser uma forma simplificada de identificação, o PIX conta com as mesmas soluções de segurança do Sistema Financeiro Nacional (que servem também para DOC e TED). Além disso, as transações contam com camadas de segurança para autenticação oferecidas pelos próprios bancos dos dispositivos móveis, como reconhecimento facial e biometria.
O elo mais fraco a ser explorado por criminosos é o lado do usuário, segundo especialistas. Imagem: Nattakorn Maneerat/Shutterstock
“Essas transações atuais, assim como o PIX, possuem controles rigorosos de cibersegurança, porém, isso não impede golpes e fraudes, visto que ainda resta o fator humano”, explica Caio Telles, engenheiro de Software e CEO da BugHunt. “Então, a tendência é que ocorram tentativas de golpes e fraudes explorando as pessoas, e, por ser um serviço novo para todos, existe um risco direto associado”.
O chefe de Cibersegurança da Compugraf, Denis Riviello, concorda com essa visão, e afirma que a principal vulnerabilidade do PIX está no elo mais fraco – o usuário. Isso envolve desde fraudes no cadastro das credenciais até roubo dos dados após o sistema estar em funcionamento. “Os bancos têm investido muito na nova plataforma, em termos de segurança, uma vez que possuem anos de experiência nesse setor e sabem como a criatividade dos fraudadores é grande”, diz Riviello. “Porém, os cibercriminosos podem se aproveitar dos dados desta chave (CPF, e-mail e celular) para ludibriar os usuários”.
Usuários devem se atentar ao QR Code para não cair em golpes. Imagem: Divina Epiphania/ Shutterstock
Em outras palavras, as falhas do PIX podem atingir clientes e instituições da mesma forma que outros serviços atingem atualmente. Segundo os especialistas, a maior parte dos golpes explora o lado do usuário, como invadir o computador e coletar informações da conta de alguém, por exemplo. “Os sistemas das instituições financeiras seguem rígidas regras de segurança, que são testadas e aprimoradas constantemente, o que torna muito improvável uma invasão ou dano diretamente no ambiente tecnológico da instituição, aumentando a vulnerabilidade no lado do usuário”, resume Telles.
Com tantos mecanismos de segurança, os ataques partem para o usuário, que pode ser enganado e levado a um site fraudulento, com um QR Code de pagamento falso via PIX. “O QR Code é um atalho para a chave que identifica o dono da conta que irá receber o valor. Caso seja alterado por um QR Code de outra conta, o valor será disponibilizado em conta diferente”, explica Telles. “É preciso estar atento às confirmações das informações e, sempre que perceber qualquer inconsistência, o usuário não deverá efetivar e confirmar qualquer pagamento”.
Outro tipo de fraude pode acontecer durante o cadastro das chaves por meio de emails falsos e da captura da identidade das pessoas por meio de golpes, aproveitando-se do fator instantâneo da negociação. É o que acontece com os golpes de engenharia social aplicados atualmente.
Para Telles, os bancos devem cuidar de seu ambiente tecnológico para evitar ataques e manter sua reputação e a privacidade de seus clientes. Riviello, por sua vez, recomenda aos usuários finais muita atenção ao compartilhar sua chave PIX e seus dados bancários. “Vale lembrar que as transações por meio do Pix são protegidas pela Lei n° 105/2001, do Sigilo Bancário, e também a Lei Geral de Proteção de Dados (n° 13.709/2018)”, conclui ele.