Blog | Incognia

O PIX é seguro? Entenda os maiores riscos

Written by Denyson Messias | 7/out/2020 12:04:00

Marcado para estrear em 16 de novembro, o PIX já vem sendo promovido como a tecnologia que vai mudar a nossa relação com o dinheiro, pagamentos e transferëncias financeiras. Além de ampliar o acesso a pagamentos mobile e ajudar a formalizar a economia, o sistema promete uma série de benefícios para clientes e empresas. O Banco Central determinou que todas as instituições financeiras e de pagamentos com mais de 500 mil contas de clientes ativas são obrigadas a oferecer o PIX. No total, 935 instituições já estão no processo de adesão, indicando que a tecnologia tem grande potencial de sucesso no país. Mas, para que o PIX se torne o sistema de transferências e pagamentos preferido dos brasileiros, é preciso que seja seguro.

Então, o PIX é seguro? Entenda os maiores riscos associados a ele e quais as possíveis soluções.

Como o PIX funciona

O PIX é o novo sistema de pagamentos instantâneos do Brasil, desenvolvido pelo Banco Central. Os principais diferenciais da tecnologia em relação às soluções já existentes é o fato de a transferência entre contas ocorrer em até 10 segundos, estando disponível 24 horas por dia e sete dias por semana, além de ser de graça para usuários. Segundo o Bacen, os processadores de pagamento terão uma pequena taxa, de 0,01 centavo a cada 10 transações, e irão decidir se irão repassar isso de alguma forma ou não para os clientes.

As operações podem ser realizadas entre indivíduos (Pessoa Física) como empresas (Pessoa Jurídica) e até o governo, para o pagamento de tributos. 

Pagamentos para Pessoa Física

No caso de transferências para Pessoa Física utilizando o PIX, provavelmente não há cobrança de taxas (inclusive para contas em bancos diferentes), sendo necessário informar apenas a chave cadastrada pelo recebedor, que pode ser o CPF, endereço de  e-mail, número de telefone ou um número randômico. A transferência mobile também pode ser feita na modalidade da leitura de informações por um QR Code. Conforme estabelecido pelo Banco Central, cada pessoa poderá registrar até cinco chaves para uma mesma conta. Todos envolvidos no PIX podem ter mais de uma conta, porém uma chave já cadastrada em uma conta não poderá ser cadastrada para outra conta. As transferências também poderão ser agendadas, mas a operação só será concluída caso haja dinheiro na conta. 

Pagamentos de clientes para empresas

No caso dos pagamentos de clientes para empresas, como lojas físicas ou e-commerce, por exemplo, a operação será mais comumente realizada com a leitura de QR Code. Para receber o pagamento, o estabelecimento deve gerar um código que será escaneado pelo cliente e o dinheiro será transferido em apenas alguns segundos. O QR Code tem duas modalidades: o de uso múltiplo, que é estático e ao ser escaneado trará para o app do pagador informações do recebedor, como nome e conta, e poderá estar impresso no caixa de comércios, por exemplo; e o QR Code de uso único, gerado por um POS na hora, que terá também o valor a ser pago.

Sacar dinheiro com o PIX

Outra novidade que deve chegar em 2021 é a possibilidade de sacar dinheiro em estabelecimentos, em vez de caixas eletrônicos. Essa funcionalidade deve beneficiar principalmente aqueles que não possuem conta bancária. Caso uma pessoa tenha conta apenas em uma carteira digital, por exemplo, ela pode ir a um estabelecimento e pedir para que seja gerado um QR Code para pagamento. Assim, após realizar a transferência, o cliente recebe o valor correspondente em dinheiro do próprio estabelecimento. Isso beneficiará não só o usuário mas também o comerciante, pois terá menos custos associados ao transporte seguro de dinheiro em espécie, que normalmente é feito ao final do expediente após o fechamento de caixas de um supermercado, por exemplo.

Quais os principais riscos de fraude associados ao PIX

Os principais riscos de fraude no PIX são:

  • Phishing com QR Code
  • QR Codes fraudulentos
  • Roubo de conta

Phishing com QR Code

O PIX nem começou a funcionar e já existem relatos de golpes envolvendo o novo sistema de pagamentos. Em meio à corrida dos bancos e fintechs para promover o novo serviço, alguns fraudadores se aproveitaram dessa euforia para realizar golpes de phishing. Segundo a Kaspersky, empresa de segurança online, algumas pessoas têm recebido convites falsos para realizarem um pré-cadastro para utilizarem o PIX. 

Isso já sinaliza que, apesar de toda a conveniência oferecida pelo PIX, ele também traz uma série de preocupações envolvendo segurança. Ainda de acordo com a Kapersky, o Brasil é o quinto país com maior número de vítimas de ataques de phishing. De abril a junho deste ano, cerca de 13% dos internautas brasileiros acessaram um link que direcionava para páginas maliciosas, sendo que a média mundial foi de 8,26% no mesmo período. O phishing com QR Code poderá acontecer por diversas plataformas, como Whatsapp, SMS ou email.

QR Codes fraudulentos

Roubos com QR Codes fraudulentos já começaram a acontecer durante a quarentena. Por exemplo, golpistas se aproveitam da popularidade das lives realizadas por artistas para desviar dinheiro de doações. Os criminosos transmitiam vídeos das apresentações de cantores sertanejos, substituindo o QR Code utilizado para arrecadar doações por um código adulterado que direcionava o dinheiro para a conta do fraudador. 

Em outros países, onde o pagamento com QR Code já é mais comum, os golpes podem tomar outra proporção. Na Holanda, QR Codes foram colados em máquinas para o pagamento de estacionamentos, com um aviso de que as máquinas não estavam aceitando dinheiro. Os indivíduos simplesmente, ao escanear o QR Code, transferiram a quantia para a conta do fraudador, e deixaram de pagar seu estacionamento.

Roubo de Conta

Com a chegada do PIX, é de se esperar que golpes similares sejam comuns, da mesma forma que ocorre com sistemas de pagamentos instantâneos de outros países. Apesar de o Banco Central afirmar que as transações via PIX poderão ser reembolsadas caso haja comprovação de fraude, o processo pode ser demorado, exaustivo e nem sempre garantido. Além disso, as instituições que apresentarem altos índices de irregularidade, poderão ser multadas e até mesmo impedidas de continuar a oferecer o serviço. 

Técnicas de engenharia social tendem a ser cada vez mais comuns quando o PIX começar a funcionar em novembro, assim como o phishing, já comentado. Ambas as técnicas, assim como outras, como o SIM Swap, poderão ser usadas para roubar as contas de usuários participantes do PIX. Um indivíduo com a conta roubada poderá ter problemas graves, já que, diferente de transferências ou compras que levam horas ou até dias para serem aprovadas, no PIX, os fundos serão transferidos instantaneamente. Se ficar provado que o usuário passou seus próprios dados ou clicou em algo que não deveria, será quase impossível recuperar o valor furtado.

Como a fricção para o usuário e os riscos de fraudes podem ser reduzidos no PIX

Checagem da chave do PIX

A primeira verificação de segurança será feita pelo Banco Central. Ao confirmar a chave do destinatário, o pagador receberá as informações referentes ao recebedor e, caso haja alguma inconsistência nos dados, a operação poderá ser cancelada. Já no caso de o cliente confirmar as informações, a transação será analisada pelo processador do pagamento. Se o processador de pagamento identificar algum problema suspeito, a transferência poderá ser retida por até 30 minutos durante o dia, ou até uma hora durante à noite.

Considerando que os processadores de pagamento serão os responsáveis por garantir a segurança das operações, o que devem buscar é uma forma de proteger o usuário sem comprometer a boa experiência dele com o serviço. No caso de falsos positivos, por exemplo, a retenção do dinheiro por uma hora pode causar um grande descontentamento. Em um sistema que promete ser instantâneo, será que o usuário terá paciência para esperar? Mas, então, qual seria a melhor solução para melhorar a experiência do usuário e ainda assim evitar fraudes?

Embora haja um esforço constante de conscientização do usuário por parte de empresas, instituições e serviços de segurança, existem formas mais eficazes de evitar possíveis golpes envolvendo o PIX. A tecnologia de biometria comportamental por localização de Incognia, por exemplo, é capaz de reduzir tanto as fraudes envolvendo roubo de contas como o de QR Codes falsos e phishing com QR Code, uma solução que mantém o Pix seguro.

Detectando o Roubo de Conta

Quando uma conta é acessada via aplicativo, por exemplo, é possível comparar a localização atual e o histórico de localização do dispositivo, para uma análise de quão comum é o comportamento para determinar se é um comportamento confiável. Se a conta estiver sendo acessada de um local pouco ou nunca visitado pelo usuário anteriormente, o sistema pode enviar um alerta para a instituição pedir mais uma camada de autenticação.

Detectando QR Codes Fraudulentos

Já no caso dos QR Codes fraudulentos, a biometria comportamental por localização é capaz de confirmar se o pagamento está ocorrendo no local onde o usuário se encontra e se o código escaneado foi, de fato, gerado pelo estabelecimento em que a pessoa está no momento. Este tipo de checagem pode trazer segurança tanto para os pagadores quanto recebedores no sistema do PIX.

Com a chegada do PIX, bancos, fintechs e até varejos enxergaram a oportunidade de utilizar o serviço como atrativo para reter clientes e conquistar novos. Já são mais de 900 instituições cadastradas para oferecer a novidade, e ninguém quer ficar para trás nessa disputa. Porém, a experiência do usuário e segurança devem ser prioridade para qualquer instituição que deseja prosperar nesse cenário do futuro dos pagamentos.

 

Conheça a solução de Incognia, que detecta fraudes instantaneamente, mantendo o Pix seguro.