Pix com Open Banking é seguro? veja 11 respostas sobre a proteção de seus dados (e do seu dinheiro)

Saiba, a partir da análise de especialistas, o que fazer para não cair em golpes e fraudes com as transações instantâneas mais facilitadas

Giovanna Sutto

Publicidade

SÃO PAULO – Com a chegada da fase 3 do Open Banking ao Brasil, o consumidor poderá fazer transações por meio de diversas plataformas utilizando o Pix, sistema de pagamentos instantâneos criado pelo Banco Central em novembro do ano passado.

O Pix, que nada mais é do que uma maneira rápida de fazer um pagamento ou transferência, caiu no gosto do brasileiro: são mais de 1,04 bilhão de transações até o mês de setembro. O número de chaves passa dos 330,7 milhões e já são 109,7 milhões de usuários, considerando pessoas físicas e jurídicas, de acordo com dados do Banco Central.

Cerca de R$ 554,4 milhões já foram enviados via Pix no país desde a criação do sistema. Segundo a empresa de software ACI Worldwide, o Brasil registra mais transferências instantâneas do que os Estados Unidos.

Continua depois da publicidade

Atualmente, o Pix está disponível para as instituições financeiras que aderiram à infraestrutura conforme as regras definidas pelo BC e implementadas no ano passado —quando o serviço começou a funcionar. Para usar o Pix, o usuário precisa acessar o app ou a internet banking do seu banco ou da instituição na qual possui uma conta transacional.

A novidade é positiva de um lado, mas preocupa de outro: nos últimos meses, sucessivos golpes e fraudes envolvendo o Pix foram registrados. De acordo com um estudo do Serasa Experian, a cada 8 segundos, um brasileiro é vítima de golpes ou fraudes virtuais —as que envolvem o Pix são as mais frequentes.

“A maioria dos golpes e fraudes não têm relação com a plataforma do Banco Central que opera o Pix em si, mas sim com informações associadas a ele, como os dados pessoais e as chaves e também ao comportamento do usuário em relação ao smartphone e aos dados dele”, diz Marco Zanini, CEO da Dinamo Networks, empresa especializada em segurança de identidade digital e criptografia.

Continua depois da publicidade

O InfoMoney já fez uma reportagem que mostra os golpes mais comuns relacionados ao Pix.

“A verdade é que não tem como garantir a segurança a fundo de todas as milhares de transações que acontecem ao mesmo tempo no âmbito do Pix, mas o BC tenta mitigar o máximo possível. Todos os participantes cumprem os requisitos básicos, mas o desafio é que nem todos estão no mesmo patamar no que diz respeito à proteção de dados de seus clientes, são muitas empresas com níveis de maturidade diferentes”, complementa Fabio Assolini, analista sênior de segurança da Kaspersky.

Vale lembrar que, em setembro, o Banco Central informou que foi registrado um vazamento de dados de chaves Pix que estavam sob a guarda e a responsabilidade do Banco do Estado de Sergipe (Banese).

Continua depois da publicidade

Diante do universo de funcionalidades, mas também de dúvidas sobre o funcionamento do Pix, a reportagem do InfoMoney procurou experts sobre o assunto para, em 11 perguntas e respostas, esclarecer tudo sobre a fase 3 do Open Banking, que inclui o uso do Pix. Confira:

1. A iniciação de pagamentos é segura?

A iniciação de pagamentos é a possibilidade de fazer um Pix por plataformas e apps que não são o internet banking e ambientes do seu banco. Na prática, o consumidor poderá fazer um Pix usando um app de mensagens, um app de entrega de alimentos, agregadores de contas, entre outros —que farão o papel do iniciador de transação de pagamentos, ou ITP. A ideia é ampliar o uso do Pix conectando o cliente ao serviço de diversas formas.

As instituições participantes do Open Banking devem cumprir uma série de requisitos para garantir a autenticidade, a segurança e o sigilo das informações compartilhadas.

Continua depois da publicidade

Os participantes de Pix e Open Banking devem atuar em conformidade com a Lei Complementar n° 105/2001, do Sigilo Bancário, e também da Lei Geral de Proteção de Dados (n° 13.709/2018) –esta abarca diversas áreas, além da financeira.

Na prática, estar sob a proteção dessas leis significa basicamente que nem o BC e nem as instituições financeiras participantes poderão compartilhar ou vender os dados dos usuários do sistema para terceiros para que sejam oferecidos produtos aos clientes, de acordo com Bernardo Lima, advogado especialista em direito bancário do Stocche Forbes Advogados.

Para que uma empresa que hoje não é regulada pelo BC se torne uma iniciadora de transação de pagamento (ITP) tem que seguir regras específicas, como não interferir no fluxo do dinheiro que será movimentado, só agir a partir de um comando e consentimento de um usuário e integralizar e manter capital mínimo de R$ 1 milhão.

Continua depois da publicidade

Mesmo as empresas que hoje já são reguladas pelo BC em algum nível, como instituições de pagamentos (carteiras digitais, por exemplo) e instituições financeiras (grandes bancos) também precisam pedir a autorização do BC para atuar como iniciadoras de pagamento.

Além disso, sempre vale lembrar que todas as empresas que vão atuar no âmbito do Open Banking serão fiscalizadas pelo Banco Central e punidas, caso necessário.

2. A integração entre Pix e Open Banking pode aumentar as fraudes?

A fase 3 vai incorporar as praticidades do Pix ao conceito de compartilhamento de dados do Open Banking.

“Uma integração desse patamar traz desafios. Impossível dizer que não teremos incidentes. Com um novo escopo de tecnologia funcionando vamos ver mais e novas fraudes. Se serão muito graves, ainda não temos como saber. Vai depender da reação dos participantes diante dos problemas. Precisamos esperar para ver como as instituições se prepararam para lidar com eventuais falhas, golpes e outros problemas envolvendo os clientes”, diz Assolini.

Esse é um processo natural: um novo conjunto de sistemas operando ao mesmo tempo pode gerar vulnerabilidades que antes não tinham sido identificadas.

“Se há benefício e facilidade para o consumidor, devemos sempre esperar que terão criminosos se beneficiando também. Fraudes e golpes devem se tornar mais organizados e sofisticados ao conseguirem acesso à conta de um consumidor por meio de engenharia social, phishing, e até sequestro relâmpago. Criminosos não só vão tentar usar o Pix para transferir o que puderem, mas também o acesso ao Open Banking para causar ainda mais danos na sequência”, avalia Cleber Martins, líder de pagamentos e risco da ACI Worldwide.

É verdade que não tem como controlar as tentativas de fraudes que devem surgir, mas a ideia do Open Banking é justamente construir protocolos e um ambiente seguro para que esse compartilhamento de informações aconteça de maneira unificada.

“Se você parar para pensar, hoje já compartilhamos essas informações de maneiras nada práticas, por exemplo compartilhando o CPF em cadastros, o extrato bancário ou preenchendo formulários super burocráticos e pouco rastreáveis ao fazer uma compra”, diz Letícia Becker, DPO da plataforma de APIs Quanto e integrante do grupo técnico de segurança do Open Banking no Brasil.

“Agora, o consumidor vai ter controle total não só para compartilhar seus dados, mas também sobre quem tem acesso a eles. O consumidor tem direitos resguardados por normas do Banco Central (como a permissão de bloqueio, limites de saque e de transferência, entre outros), mas também em leis mais amplas, como o Código de Proteção ao Consumidor, além do Sigilo Bancário e LGPD”, complementa.

3. Devo evitar usar o Pix e o Open Banking?

O consenso dos especialistas é de que a integração entre Pix e Open Banking deve trazer valor para os clientes à medida que os processos evoluam, com a possibilidade de acessar melhores produtos de forma mais simples e prática.

“Não há motivo para se preocupar com falha de segurança na tecnologia do Open Banking. A recomendação para os consumidores é manter a atenção às táticas que buscam conseguir informações para acessar suas contas e informações pessoais, como evitar abrir anexos em e-mails que não reconhece, prover informações pessoais ou de acesso ao receber chamadas telefônicas”, explica Martins, ACI Worldwide.

Além disso, na jornada de experiência do usuário, toda autenticação, confirmação e verificação de dados são feitas pela instituição em que o cliente tem a conta transacional (corrente, poupança ou de pagamento) e o consentimento só vale para uma operação.

“O cliente precisa consentir os dados e confirmar a transação toda vez que fizer uma operação de pagamento usando o Pix no âmbito do Open Banking. O controle de segurança fica por conta das instituições que detêm a conta corrente, de poupança ou de pagamento [conta transacional]. As iniciadoras, que possuem uma regulação menos rígida tem pouco poder de ação, apenas devem obedecer o comando do usuário”, explica Alexandre Siqueira, líder de segurança da informação do Mercado Pago e integrante do grupo técnico de segurança do Open Banking no Brasil.

4. Já é possível antecipar algum golpe envolvendo Pix e Open Banking?

É difícil cravar o que vem pela frente, especialmente porque a integração entre Pix e Open Banking no Brasil é nova.

“Sempre estamos atrás dos criminosos. Vem a nova tecnologia, eles descobrem fragilidades. Os times de segurança das instituições identificam, entendem e bloqueiam. E de novo, de novo. Sempre vai ter alguém tentando burlar e não tem como prever os novos caminhos, por enquanto. O crime vai se adaptar”, avalia Wanderson Castilho, integrante da Rede de Defesa Cibernética de Michigan, da Universidade de Michigan, nos EUA.

Bruno Diniz, professor de finanças digitais e soluções financeiras na USP e na Fundação Dom Cabral, afirma que podemos ter pistas da experiência internacional. “O que podemos ver crescer com essa integração são, principalmente, golpes envolvendo phishing. No Reino Unido, inclusive, tivemos um grande caso neste sentido que aconteceu com o banco Barclays”, comenta.

Neste caso, milhões de libras foram roubadas das contas do banco Barclays em uma série de ataques cibernéticos coordenados por um fraudador usando contas verdadeiras roubadas e um iniciador de pagamentos.

“Mas não há nada de novo ou diferente na abordagem de um fraudador para esse caso de uso envolvendo o iniciador. Tudo aconteceu por meio de engenharia social e phishing: as vítimas foram enganadas e compartilharam suas senhas e códigos de acesso ao banco. A partir disso, foram usados acessos verdadeiros para fraudar clientes”, explicou um porta-voz do banco ao site Telegraph.

Em 2020, o Brasil foi o país mais atingido por tentativas de roubo de dados pessoais ou financeiros de pessoas na internet, prática denominada em inglês de phishing. Com essas informações, golpistas prejudicam a vítima de diversas formas, seja acessando recursos ou enganando pessoas se fazendo passar por ela.

5. O que o BC já faz para prevenir as fraudes e problemas?

A promessa do BC é ter cautela em relação à privacidade dos dados e segurança, inclusive a implementação da fase 3 vai ocorrer de forma gradual, com limitação de transações, valores e número de pessoas a fim de tornar todo o processo mais seguro e evitar qualquer tipo de ruído (saiba mais sobre o calendário aqui).

“Há muita preocupação com os dados que vão circular. O Open Banking no Brasil é o maior do mundo em termos de escopo, e o BC tem uma credibilidade a zelar. Por isso, há tantos protocolos a serem seguidos, o que inclusive já adiou o início da fase 1 e 2”, diz Assolini, da Kaspersky.

Castilho, da Universidade de Michigan, acrescenta que a melhor forma de mitigar os riscos é fazer testes. “Uma nova tecnologia precisa ser exaustivamente testada para procurar vulnerabilidades e fechar as portas abertas”.

Siqueira, do Mercado Pago, conta que todas as instituições são obrigadas a serem aprovadas pelos testes da Open ID Foundation, uma organização internacional sem fins lucrativos, cuja missão é padronizar, habilitar, promover e proteger as tecnologias de open data ao redor do mundo.

“Essa entidade desenvolveu testes para o modelo de Open Banking brasileiro e todas as instituições que querem entrar no escopo do Open Banking, incluindo as participantes de Pix e as iniciadoras, precisam fazer os testes e serem aprovadas para poderem operar. São requisitos mínimos para garantir a segurança do ecossistema”, explica.

Letícia, da Quanto, pontua que a estrutura de autorregulação ainda está definindo muitos dos padrões a serem adotados, mas cada instituição participante tem sua responsabilidade nas normas e “é obrigada a estabelecer um plano de ação e de resposta a incidentes em sua política de segurança cibernética” —e ambos devem ser aprovados pelo Banco Central.

Além das obrigações padrão de segurança para todos os participantes, as instituições devem estabelecer regras de segurança que sejam compatíveis com seu porte, perfil de risco e o modelo de negócio da instituição, a sensibilidade dos dados e a complexidade dos serviços oferecidos.

“Isso para possibilitar a entrada no mercado de instituições menores e fomentar a competitividade, um dos objetivos do Open Banking e do Banco Central”, diz Letícia.

6. Eu preciso compartilhar meus dados para usar o Pix na fase 3?

Sim. Para fazer um pagamento usando um iniciador, ou seja, por meio de uma plataforma que não seja o seu banco, são necessárias, no mínimo, as seguintes informações relativas ao usuário recebedor: nome do recebedor; CPF ou CNPJ do recebedor mascarado; instituição financeira e/ou de pagamento; agência sem dígito; conta com dígito; mensagem Pix (preenchimento opcional).

Já o consentimento que o usuário deverá dar vai contemplar: forma de pagamento; valor da transação; informações referentes ao recebedor da transação (conforme acima); data de pagamento.

7. Os dados armazenados no OB correm risco de vazamento?

Não existe uma central de dados que guarda as informações compartilhadas no Open Banking.

As instituições detentoras de contas armazenam e processam os dados compartilhados na etapa do consentimento, de acordo com a finalidade para a qual foram compartilhados.

“As instituições participantes devem seguir a Política de Segurança Cibernética, que dispõe sobre a contratação de serviços em nuvem. E devem estabelecer mecanismos de acompanhamento e de controle, com definição de processos, testes e trilhas de auditoria, e identificar e corrigir eventuais deficiências. Isso engloba o armazenamento dos registros de consentimento, de autenticação, de confirmação e de revogação, informações a respeito dos dados e serviços compartilhados”, explica Letícia, da Quanto.

Siqueira, do Mercado Pago, pontua que também há o chamado diretório de participantes, no qual há o certificado oficial  que mostra que a instituição está em conformidade com as regras do Open Banking e funciona como uma espécie de identidade digital.

“É como se cada certificado fosse uma chave na mão do BC que tem autoridade para desabilitar esse certificado a qualquer momento, se necessário”, explica Siqueira.

8. Quem terá acesso aos dados compartilhados na fase 3 do Open Banking?

Considere o seguinte exemplo: Maria e Pedro compartilharam uma pizza e Pedro pagou. Maria, então, decide fazer um Pix com a sua metade através de um app de mensagens. Ela tem conta corrente no Banco A, e Pedro tem conta corrente no Banco X.

Ao iniciar o pagamento pelo app de mensagens, as informações dela são compartilhadas com o iniciador de pagamentos, para dar início à operação e com o seu Banco B —detentor do dinheiro e cuja identidade do usuário será confirmada. O Banco X recebe apenas o CPF ou CNPJ mascarado e o banco que enviou a transação.

9. É possível clonar o Pix ou o OB?

Existem mecanismos de segurança para prevenir isso. Dentre os tipos de chaves aceitas no Pix, há a opção da chave aleatória, além do CPF ou CNPJ no caso da empresa, o número celular, ou e-mail. Essa chave é um código de 32 caracteres gerado especificamente para o Pix.

“Essa chave aleatória gerada pelo sistema do Pix mantém a privacidade do usuário ao criar um QR code estático. Com a chave, não há necessidade de identificação e validação dos dados pessoais do usuário. Ela o identifica de forma automática. Isso vai de encontro à proposta do Banco Central na minimização dos dados, como também garante a privacidade e segurança maior do usuário financeiro”, explica Letícia, da Quanto.

Além disso, a norma permite que, caso haja um usuário com a chave duplicada em dois celulares, uma disputa seja aberta sobre esses dados e o atual dono da chave deve provar que tem direito a ela (saiba mais aqui). 

“No processo de reivindicação, o dono da chave tem um prazo de sete dias corridos para validar e comprovar a posse da sua chave. Se fizer isso dentro do prazo, o processo de reivindicação será encerrado e a pessoa continuará utilizando sua chave normalmente. Caso não prove, a chave é transferida para quem a reivindicou”, complementa Letícia.

10. Alguém pode usar minha chave Pix para fazer compras?

Vale lembrar que a chave Pix é a forma de identificar o usuário dentro do ecossistema Pix. Elas funcionam como o endereço da sua conta. Ao informar a chave, o sistema já vai saber para qual conta deve enviar o dinheiro.

Dessa maneira, há mecanismos de autenticação para confirmar a identidade do usuário. Se alguém usar sua chave Pix e ela estiver vinculada à sua conta, o dinheiro vai diretamente para sua conta e não para a do fraudador.
O Banco Central definiu que cada instituição participante do Pix tem que ser responsável pela validação da identidade dos usuários e ela tem que adotar procedimentos que entender necessários para essa validação, como, por exemplo, a autenticação por múltiplos fatores ou biometria. São utilizadas diferentes formas de autenticação como biometria, token e senha, o que possibilita à pessoa cadastrada mais de uma maneira de comprovar que é ela mesma.
“Os participantes tanto do Pix quanto do Open Banking devem adotar os critérios de segurança mínimos equivalentes aos já adotados ao acesso e a realização de outras operações bancárias disponibilizadas no aplicativo”, diz Letícia.
“É importante ressaltar que a instituição que presta o serviço de iniciação não deve seguir com a transação, se houver suspeita de fraude. Nesse caso, o usuário será notificado. Caso a transação seja iniciada, a instituição detentora da conta do pagador tem a responsabilidade de analisar as ocorrências atípicas podendo usar um tempo adicional para tal análise. A instituição iniciadora deverá ser comunicada para que possa notificar o usuário, dando a ele a opção de cancelar a transação”, complementa.

11. Para quem faço a denúncia em caso de fraude?

De acordo com o BC, caso você seja vítima de uma fraude ou tenha suspeita, deve procurar uma delegacia de polícia e registrar uma ocorrência e contatar a instituição com a qual você tem vínculo o mais rápido possível, para que as devidas providências sejam realizadas.

Você também pode abrir uma reclamação contra a instituição recebedora dos valores indevidos, ou seja, a instituição onde o suposto golpista possui conta.

“Na prática, sempre contate primeiro a instituição que detém sua conta corrente, poupança ou de pagamento. São essas instituições as responsáveis por validar a operação e lidar com eventuais problemas”, explica Siqueira.

“”

gratuito

Planilha de Gastos

Baixe gratuitamente a planilha de gastos do InfoMoney e sinta o alívio de ter a sua vida financeira sob controle.

Giovanna Sutto

Jornalista com mais de 6 anos de experiência na cobertura de finanças pessoais, meios de pagamentos, economia e carreira. Formada pela Cásper Líbero com pós-graduação pelo Ibmec.