Estima-se que o WhatsApp seja utilizado por 1,5 bilhões de pessoas no mundo e um dos mercados mais importantes para o aplicativo é o Brasil, uma vez que é utilizado por 99% da população. A recente notícia de que o aplicativo ofereceria um recurso de transferência de dinheiro peer-to-peer no Brasil poderia ser, inquestionavelmente, revolucionária. Especialmente porque o Brasil ainda é um país com 45 milhões de pessoas economicamente ativas sem uma conta bancária, um terço dessa população. No entanto, o aplicativo é conhecido por inúmeros casos de golpes e fraudes, variando de engenharia social a SIM swaps. A notícia teve vida curta, pois recentemente o Banco Central do Brasil suspendeu o WhatsApp como forma de pagamento através de uma nota. Os usuários certamente poderiam se beneficiar do pagamento com o WhatsApp, mas é importante que eles se sintam seguros, e fricção adicional na experiência de uso também não deve fazer parte na utilização.
O aspecto inovador do lançamento que morreu na praia e o serviço para as pessoas é positivo. E ainda foi anunciado no Brasil, onde o Banco Central está atualmente a caminho do lançamento do PIX, um sistema universal de pagamentos instantâneos. No entanto, através de uma nota recente, o Banco Central do Brasil comunicou a determinação da Visa e da Mastercard em suspender quaisquer atividades de pagamento e transferência de dinheiro com o WhatsApp. O motivo da decisão é que o Banco Central quer que qualquer sistema de transferência de dinheiro P2P seja "interoperável, rápido, seguro, transparente, aberto e barato". Possivelmente um dos principais riscos e preocupações com a WhatsApp é o seu fator de segurança. O WhatsApp é seguro o suficiente para fazer parte de transferência e processamento de pagamentos?
Nos últimos anos temos acompanhado inúmeros golpes pelo WhatsApp, de roubo de conta a engenharia social, que perturbaram as pessoas principalmente nos níveis social e privado, sendo que a principal ameaça seria de um fraudador falar com os contatos de um usuário e acessar suas conversas. As ameaças às finanças eram antes, de certa forma, apenas indiretas, com os fraudadores procurando encontrar maneiras de lucrar, por exemplo, usando as informações pessoais do usuário para criar uma identidade sintética.
Entre outros, a fraude mais difundida é o roubo de conta, ou account takeover (ATO), onde os golpistas encontram números de telefone em anúncios classificados para direcionar ataques. Com posse do nome, telefone de contato e objeto à venda, eles ligam ou enviam mensagens de texto para as vítimas, apresentando-se como a empresa de anúncios, como OLX ou Mercado Livre, e dizem que o anúncio apresenta problemas. Para divulgá-lo, as vítimas, desprevenidas, devem digitar um código recebido por mensagem de texto. Este código, porém, não é do o site de classificados, mas para instalar o WhatsApp em outro telefone.
Outro golpe comum é o phishing mobile, onde mensagens de texto em massa são divulgadas com temas variados, e os usuários são levados a pensar que o remetente é a companhia telefônica, seu banco ou uma empresa que oferece descontos em produtos ou ofertas especiais. Ofertas de crédito pré-aprovadas e fake news com links clicáveis também são outras formas comuns de click-baits. Quando o usuário clica, sua informação é roubada. O SIM Swap também é um esquema frequente, onde os fraudadores assumem não só a conta de WhatsApp, mas também o número de telefone da vítima.
Entretanto, com as finanças das pessoas envolvidas, a ameaça do phishing mobile e outros golpes, aumenta tremendamente. No anúncio do Facebook, ficou claro que para completar as transações, as pessoas terão que digitar um código PIN ou fornecer uma leitura de impressão digital. Além disso, para aumentar a segurança contra o roubo de conta, os usuários são incentivados a ativar dois fatores de autenticação (2FA), mas na prática a fraude ainda está acontecendo porque muitas pessoas não ativaram este recurso. É muito comum as pessoas não ativarem o 2FA nem para as mídias sociais nem para o e-mail. Uma das principais razões para não optarem por usar esse recurso de segurança é por não quererem mais fricção ao usar o aplicativo.
De preferência, para proteger as pessoas, os apps mobile deve adotar uma forma de autenticação que mantenha as pessoas seguras, mas que não acrescente fricção no uso. Uma pesquisa da IDology de 2019 mostrou que mais de um terço das pessoas abandonou o processo de abertura de contas digitais porque o processo era muito difícil ou demorado. A redução da fricção ajudaria no aumento da taxa de adoção de aplicativos para determinadas operações, pois a autenticação não exigiria nenhuma ação do usuário. As mensagens de texto ou e-mail como segundo fator de autenticação, embora comumente utilizadas, não só adicionam fricção como não são à prova de falhas.
A biometria é uma tecnologia mais segura que o 2FA, e certamente pode adicionar menos, mas nem sempre é o caso. Por exemplo, o uso da tecnologia de reconhecimento facial vem crescendo constantemente, mas ainda acrescenta uma camada (menor) de fricção, além de introduzir questões relacionadas à privacidade e viés muito fortes. Inclusive já estamos vendo empresas como a IBM e a Microsoft se depararem com o problema e descontinuarem investimentos no reconhecimento facial. A biometria comportamental, por outro lado, é uma tecnologia de fricção mínima, a zero, que faz uso do comportamento para a autenticação e não requer nenhuma ação adicional por parte do usuário.
A biometria comportamental baseada em localização é um exemplo de autenticação segura e com zero fricção. A forma como as pessoas se movimentam e os lugares que visitam enquanto têm seus dispositivos formam um tipo de identidade digital. Ninguém se comporta exatamente como outra pessoa, então o aspecto "singular" dos dados para formar esta nova identidade digital é garantido, e torna impossível para fraudadores imitarem. Isto é feito sem a necessidade de qualquer informação adicional ou ação do usuário final, oferecendo mais segurança e privacidade, mas também, com fricção zero adicionada, tornando a tecnologia perfeita para os usuários e sua experiência no app. Isto garante a proteção do usuário e bloqueia os fraudadores para sempre.
Inovações em pagamentos são bem-vindas, especialmente em momentos em que pagamentos mobile contactless, ou sem a presença do cartão, farão parte do novo normal e podem ajudar a manter as pessoas mais saudáveis durante o novo normal. Mas a segurança e uma boa experiência do usuário devem ser bem pensadas, para que estas inovações respondam a uma necessidade real ao entregarem uma experiência para o usuário final. Estes 45 milhões de brasileiros, que atualmente não lidam com bancos e pagamentos sem dinheiro, merecem mais. Talvez essa seja a principal razão trás da decisão do Banco Central.
Para mais informações sobre como a biometria comportamental por localização está criando uma nova forma de identidade privada para combater a fraude.