O PIX e a Segurança da Informação

Muito tem se falado pelo PIX e muitos usuários estão começando a se informar sobre como criar sua chave PIX. Como a chave é única e só pode ser habilitada em uma única instituição financeira, muitos bancos tradicionais estão perdendo essa corrida para fintechs como o Mercado Pago, o PagSeguro e o Nubank, por enquanto as três instituições com o maior volume de chaves registradas até agora.

Estas chaves habilitadas nas instituições financeiras podem ser de quatro tipos: e-mail, CPF, telefone ou uma chave aleatória criada pelo cliente.

É importante notar aqui que as três primeiras chaves são consideradas dados pessoais pela Lei Geral de Proteção de Dados (LGPD). Aqui nos deparamos com a primeira questão. Como o Banco Central delegou às instituições financeiras a validação desse cadastro, isso significa que o cliente deverá divulgar estas chaves em determinados momentos, podendo se tonar alvos de ataques nesses canais posteriormente.

Além disso, no momento do registro, a validação das chaves será de responsabilidade da instituição, o que também deve ser um ponto de atenção. Por exemplo, o CPF de um cliente só poderá ser registrado em uma instituição e, a cada transação, uma validação será realizada com aqueles dados. O risco aqui está em usuários mal intencionados, que poderão registrar chaves em diversas instituições (e-mail, telefone ou QR Code), se passando por outras empresas ou pessoas físicas para captar transações legítimas. Por tudo isso, o que tem sido recomendado para garantir a privacidade e a segurança destas transações é a criação de uma chave aleatória. Pode não ser tão prática, mas certamente será mais segura.

Outra característica esperada do PIX é que ele deve reduzir o custo das transações de pagamento – ele será gratuito para pessoas físicas. À medida que ele se popularize, ele deve ser mais um elemento a ampliar o processo de bancarização de grande parte da população, que não conseguia arcar com os custos dos modelos tradicionais. É bom por um lado, por outro, abre uma série de novas possibilidades para crimes digitais.

O Sistema PIX em sua concepção é relativamente seguro.

Todas as transações financeiras, incluindo o registro e as alterações (portabilidade) das chaves, são assinadas digitalmente pela instituição e enviadas em um canal criptografado, utilizando o Transport Layer Secutiry (TLS) com autenticação mútua, com certificados ICP-Brasil padrão SPB.

Além disso, toda a comunicação é realizada pelos PSP (Prestadores de Serviço de Pagamento) através da Rede do Sistema Financeiro Nacional (RSFN), uma rede segura dedicada que conta com um mecanismo adicional antifraude provido pelo DICT (Diretório de Identificadores de Contas Transacionais). Esse diretório informa ao PSP dados associados às chaves, como data de registro, contadores de transações realizadas e relatos de infrações. Essas informações deverão ser usadas pelo PSP, em adição aos seus controles internos de segurança, para validar ou negar as transações.

Como sabemos que as fraudes ocorrem sempre a partir do elo mais fraco da segurança, que são as pessoas, já é possível prever a realização de campanhas de phishing com o objetivo de roubar dados pessoais; divulgar chaves e QR Codes falsos, fazendo alusão a entidades ou empresas; alterar QR Codes, como acontece com boletos, e recentemente, foi visto em lives do Youtube. Tudo isso tendo como vítimas preferenciais usuários novos e inexperientes no sistema financeiro.

Há também o risco de sequestros relâmpagos ou roubo de dispositivos móveis no momento do pagamento, já que o PIX oferece a possibilidade de realizar pagamentos instantâneos 24 horas. Os usuários também poderão receber contas falsas, já que algumas empresas, como as de energia elétrica, já possuem parceria com o Banco Central e terão QR Codes em suas contas.

Por tudo isso, os usuários do novo sistema devem redobrar a atenção. Para mitigar fraudes, o pagador sempre deverá verificar se a chave de quem receberá a transação está correta e ter atenção especial aos QR Codes.

Para as empresas, uma boa prática nesse momento é ativar o PIX somente em um conta especifica para esse fim, possuindo chaves como por exemplo CPNJ e QR Codes específicos. Isso tornará mais fácil rastrear os recebimentos e mitigar eventuais fraudes. E, claro, é sempre importante conscientizar seus clientes/usuários sobre os riscos.

Mesmo sendo ainda uma novidade, o PIX já tem originado vários golpes. É importante, nesse momento, que pessoas e empresas se preparem para essa nova tecnologia. Ela será realmente disruptiva, mas também trará novos riscos sua operação.

Umberto Rosti

Mais artigos deste autor »

Administrador com MBA em Tecnologia pela FGV, possui mais de 20 anos de experiência atuando principalmente com Segurança da Informação, consultoria e auditoria através de empresas como EY e PwC. Também é certificado CISA e CRISC, além de participar de organizações como ISACA e CB21.


1 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!