Será que o Pix falhou? Como funciona a Segurança do Pix.

Será que algo falhou no Pix? Entenda porque a Segurança do Pix está sendo agora tão questionada e o que deve ser feito

O Pix é um imã poderoso que atrai todos…

 

O Pix é uma sensação. Segue batendo rapidamente todos os recordes de uso em função da conveniência, benefícios e simplicidade. Desde que foi lançado, em novembro de 2020, o Pix vem ganhando popularidade e crescimento exponencial.

 

Em apenas 10 meses de implantação, os números deste novo meio de pagamentos são impressionantes: 100 milhões de clientes, cerca de 1 bilhão de transações por mês, mais de R$ 500 milhões transacionadas por mês, com adesão crescendo sucessivamente, atendendo com sucesso os mais diferentes tipos de necessidade e de usuários.

 

Parte do sucesso rápido do ecossistema foi por ter sido desenhado com regras claras, bem discutidas com o mercado e tecnicamente bem definidas aos Provedores do Sistema de Pagamentos (PSPs), que garantem um padrão elevado de interoperabilidade e uniformização da experiência do cliente e até dos procedimento operacionais e definição dos limites, etc.

 

 

 

O Pix é um sucesso (quase) unânime!

 

Porém, recentemente tem havido reclamações de clientes que se sentiram prejudicados, assim como pressões de órgãos de defesa do consumidor e de segurança pública para limitar o acesso e os valores financeiros envolvidos na utilização do Pix, face alguns casos de sequestros relâmpagos e coações que se aproveitaram de clientes mais desprevenidos.

 

Em função disso, ressurgem preocupações com a fortaleza da segurança do Pix e a capacidade do ecossistema de proteger os seus usuários.

 

Infelizmente tanto a reação (populista) de alguns políticos, quanto o posicionamento das instituições financeiras tem sido distante de colocarem foco no real problema, pois ora permanecem tentando impor regras e limitações rígidas, ora preferem invocar o problema como de exclusividade da segurança pública.

 

 

 

Uma infraestrutura extremamente segura

 

Para garantir todo este enorme fluxo financeiro, evidentemente foi estruturado um arcabouço de segurança completo que proteja os ambientes envolvidos, e acima de tudo forneça tranquilidade para os participantes.

 

O projeto foi cercado de diversos cuidados, abrangendo vários níveis e camadas envolvendo toda infraestrutura da solução Pix.

 

Para garantir a inviolabilidade das transações via Pix, todas as camadas do processo foram estruturadas com os cuidados adequados:

– Uso da Rede do Sistema Financeiro Nacional (RSFN), utilizada pelo SPB para toda movimentação e liquidação dos pagamentos do sistema financeiro, protegida e operada pelo próprio Banco Central

– Criptografia dos Dados para proteção da comunicação e transito das transações entre as plataformas impedindo a interpretação dos dados caso haja algum acesso aos ambientes

– Mecanismo de Autenticação do Pagador e Validação do Recebedor, que tem seus dados validados no momento de cada transferência, permitindo assegurar o pagamento tenha a origem e destino corretos

– Plataformas seguras de Smartphone dos PSPs são de forma geral bem protegidas, possuindo uma infraestrutura protege contra acessos indevidos.

 

Dessa forma, todos os componentes e o percurso da transação são validados e seus dados protegidos garantindo a integridade do processo – do dispositivo do cliente até a efetivação da transferência até o recebedor.

 

 

 

Mas e a segurança do próprio usuário?

 

Como em qualquer outro meio de pagamento, existem também riscos relevantes à segurança dos usuários provocados por fraudadores e aproveitadores, mas que são externos a infraestrutura do Pix.

 

Eles focam o ponto mais vulnerável do ecossistema para obter o acesso ao dispositivo celular do cliente, ou seja atuam diretamente no próprio cliente para acesso direto a plataforma do Pix.

 

 

 

O combate eficaz a fraude ocorre somente com uso de tecnologia  

 

Existe no projeto do Pix a previsão de uso de motores antifraude on-line operados pelos PSPs para detecção de transações que fugiriam do perfil padrão do usuário, ou seja, que naquele momento poderiam estar sendo realizadas por terceiros.

 

Tais transações consideradas suspeitas podem ser retidas por até 30 minutos durante o dia ou até uma hora durante a noite para análise e eventual rejeição.

 

Ou seja, caso o usuário seja roubado e o criminoso tenha acesso à sua senha, realizando transações que fogem do habitual, como valores muito altos, alta frequência de operações, para beneficiário desconhecido, etc. o PSP teria capacidade de identificar essas transações, e a conta do usuário poderia ser bloqueada até o contato e regularização pelo cliente.

 

No entanto, tais plataformas – importantíssimas para completar a proteção dos usuários – como não são de funcionamento obrigatório, em muitos casos não estão sendo de fato usadas plenamente ou até em alguns casos não foram sequer implantadas.

 

 

 

Temos um potencial problema de exposição e vulnerabilidade

 

Ou seja, neste ponto crucial, o mercado não evoluiu muito e existe ainda muito para ser feito, ficando o cliente exposto mais que o recomendado à violência urbana.

Existes motivos são claros para isso.

 

1 – o desafio técnico de implantação foi muito grande com uma janela apertada e em crescimento exponencial que os players tiveram que fazer escolhas e reduzir o foco de atuação, focando na entrega e sustentação do serviço.

 

2 – muitas instituições participantes não possuíam até então serviços digitais de movimentação financeira na mão do cliente, ou seja transacional disponível no smartphone, e portanto sem histórico e cultura para entender a criticidade e expertise para atacar o assunto com assertividade.

 

3 – mesmo os PSPs que já possuíam experiência no tema, existiu um certo temor de ser muito ativo na prevenção e impedir a evolução de transações suspeitas com receio de serem “falso positivo” e incomodar desnecessariamente o cliente.

 

Além disso, para piorar, tradicionalmente não existe uma colaboração significativa estabelecida neste mercado para uma troca de informações e experiências consistentes que ajude no entendimento rápido através do compartilhamento de dados de fraudes e fraudadores, assim como de melhores práticas, prejudicando a capacidade de reação e de evolução do aprendizado coletivo da prevenção.

 

 

 

“Uma corrente é tão forte quanto o seu elo mais fraco”

 

Embora a estrutura do Pix  e das instituições tenha um fortíssimo padrão de segurança que protegem as instituições de hackers e consequentemente fornece segurança na efetivação das transferências, o usuário pagador está exposto de ser ludibriado por engenharia social e várias modalidades de coação pelo qual os golpistas podem com sua habilidade, furtar o dispositivo do cliente ou obrigar o pagador a realizar transações indesejáveis sem que haja hoje necessariamente algum alerta dos sistemas, ainda que seja em um padrão absolutamente incompatível com o perfil e habitualidade do cliente !

 

 

“Temos milhões de clientes neo-digitalizados com uma plataforma poderosa, alvo fácil para fraudadoras e experientes golpistas”

 

Realmente poderíamos dizer que esta responsabilidade é da segurança pública (de fato, o é) porém o fato da indústria ter entregue algo tão poderoso em um ambiente social sabidamente com risco elevado – e nas mãos de muitos clientes não totalmente educados e preparados para utilizar todas as técnicas e cuidados de proteção individual – faz com que tenhamos que refletir sobre nossa responsabilidade e de como atuar coletivamente.

 

Como proteger estes clientes? Deixamos para eles irem se educando com o uso e enquanto isso ficam ao sabor de sua inexperiência?

 

Na medida que o Pix cresce e se populariza, apresenta neste contexto um potencial risco de críticas, face a inevitáveis problemas de exposição e perdas dos clientes. Ainda que os percentuais sejam bem baixos as repercussões negativas de incidentes são tremendamente amplificadas gerando desconfortos e desconfiança quanto a segurança do sistema como um todo.

 

De fato, constatamos todos que diante desse quadro, não restou ao BC de forma relutante intervir no mercado e impor um conjunto de restrições e limites de uso para mitigar os riscos.

 

De prático, apenas a principal medida foi criar uma limitação de valor no período noturno em R$ 1mil reais (o que até então sempre foi evitado pelo regulador), uma vez que as demais providencias comunicadas, de forma geral já eram previstas ainda que não cumpridas por boa parte da indústria.

 

Esta atuação – embora bem vinda e absorvida positivamente (publicadas de forma tão emergencial que estranhamente nem prazo foi ainda definido para as instituições se adequarem) – nem de longe resolve o problema, mas foi o limite possível para impor uma régua única ao mercado de forma “top-down”.

 

 

 

A proteção ao usuário é uma atribuição de todos

 

“Em assuntos de Segurança, assim como em temas como ESG ou desigualdade social, as Instituições tem que assumir também a sua própria responsabilidade ao invés de ficar esperando a solução do governo ou da segurança pública”.

 

Somente com uma atuação integrada em que todos assumam a responsabilidade de prevenir de forma inteligente tais incidentes é que poderemos caminhar na real segurança do cliente.

 

Na verdade, o mercado carece agora de foco na implantação acelerada com uso inteligente de tecnologia, ajustando de forma flexível os parâmetros referente as necessidades e comportamento de cada usuário, o que somente cada instituição pode calibrar com monitoramento da dinâmica de uso de cada um dos seus clientes, e acima de tudo coragem para enfrentar o problema, assumindo o risco de se expor para proteger o seu cliente.

 

Quem conseguir se comunicar bem e assumir compromissos mínimos e reais de proteção do seu cliente, com certeza provocará uma mudança de expectativa e reconhecimento do mercado.

 

 

 

Compartilhar:

WhatsApp
LinkedIn
Twitter
Facebook

Mais artigos

TEMPO CERTO, LUGAR CERTO

Em minhas discussões com Higor sobre a captação de startups para a incubadora sempre deparamos com o tema sobre vantagens e desvantagens que temos a oferecer por estarmos em Portugal e principalmente como melhor utilizamos nossas expertizes para concretizar e impulsionar os processos das startups.

SPRINT 039 – DA SALA DE AULA AO PALCO DA INOVAÇÃO: REFLEXÕES SOBRE Web3, BLOCKCHAIN E IMPACTO SOCIAL

Nos últimos meses, tive a oportunidade de me envolver em uma série de eventos que refletiram a transformação e o dinamismo do ecossistema de inovação, sustentabilidade e Web3. Cada um trouxe novos insights, desde as discussões de vanguarda sobre ativos digitais e o papel da IA na Sociedade Brasileira de Inovação, até a rica troca de ideias sobre ESG e impacto social no setor financeiro, explorada no Fórum de Ativos Digitais e no 3F — Futuro, Finanças e Floresta.

PAGAR COM DREX

Na semana passada, explorei o potencial do Drex para otimizar processos e reduzir custos nas empresas. Mas como o Drex pode impactar o dia a dia das pessoas? Foi a pergunta que deixei para hoje.
Imagine que você possa adquirir ativos digitais, reservar quartos de hoteis  e até mesmo comprar ingressos para shows de forma rápida e segura – sem complicações.

IMÓVEIS E BLOCKCHAIN: CONHEÇA O ENORME POTENCIAL TRANSFORMADOR

É um erro presumir que a tecnologia Blockchain só é adequada para vender criptomoedas, embora tenha sido assim que tudo começou. Na verdade, o blockchain é um banco de dados distribuído em milhares de computadores de diferentes usuários. Cada bloco de informação é criptografado com uma chave, o que significa que é quase impossível hackear, falsificar ou alterar os dados.

Idioma »