O que é o Pix?
O Pix é o novo serviço brasileiro de pagamentos instantâneos desenvolvido pelo Banco Central (BACEN), oferecido por bancos e fintechs desde novembro de 2020. Pelo Pix, é possível transferir dinheiro e fazer pagamentos em até dez segundos, 24 horas por dia, sete dias por semana, incluindo finais de semana e feriados. Para isso, é necessário cadastrar uma chave junto à instituição para poder utilizar o serviço, podendo ser realizado a partir de uma conta corrente, conta poupança ou conta de pagamento pré-paga.
Esse novo serviço oferecido, evidentemente, é um grande avanço tecnológico, tanto na estrutura econômica do país, quanto no aspecto ambiental, uma vez que a digitalização dos meios de pagamentos diminuem o uso de cédulas em circulação. Além de fornecer mais rapidez, segurança e baixo custo nos pagamentos.
Elaboramos este artigo, com o intuito de ampliar a já divulgação dos mecanismos de segurança e principais dúvidas desta nova modalidade. Além disso, ele possui como base nas informações do próprio site do BACEN e outros pontos relevantes da Segurança da Informação.
Dúvidas frequentes sobre a segurança e proteção de dados no Pix
O BACEN elaborou uma cartilha de segurança do Pix, na qual foram destacados abaixo os principais pontos:
1 – As informações pessoais disponibilizadas ao fazer um PIX estão protegidas?
Sim. As informações pessoais trafegadas nas transações Pix, assim como nas transações de TEDs e DOCs, estão protegidas pelo sigilo bancário, de que trata a Lei Complementar nº 105, e pelas disposições da Lei Geral de Proteção de Dados, que entrará em vigor.
2 – As informações disponibilizadas ao fazer um PIX estão seguras?
As mesmas medidas de segurança, tais como formas de autenticação e criptografia, adotadas na realização de outros meios de pagamento, como TEDs e DOCs, serão adotadas pelas instituições para o tratamento das transações via Pix.
3 – Em caso de fraude identificada, será feito o ressarcimento ao cliente? Se sim, por quem?
Caberá ao prestador de serviço de pagamento a análise do caso de fraude e o eventual ressarcimento, a exemplo do que ocorre hoje em fraudes bancárias.
No âmbito do Pix, a partir de 16/11/21, entrará em vigor o Mecanismo Especial de Devolução, que padroniza as regras e os procedimentos para viabilizar a devolução de valores nos casos de fraude pela instituição detentora da conta do usuário recebedor, por iniciativa própria ou por solicitação da instituição de relacionamento do usuário pagador. Com esse mecanismo o BACEN define como e os prazos para que as instituições possam bloquear os recursos, avaliar o caso suspeito de fraude e realizar a efetiva devolução, dando mais eficiência e celeridade ao processo, o que aumenta a possibilidade do usuário reaver os fundos.
Enquanto o mecanismo especial de devolução não entra em vigor, as instituições envolvidas utilizam-se de procedimentos operacionais bilaterais para tratar os casos.
Vale ressaltar que a responsabilidade da avaliação das situações de fraude é das instituições financeiras ou instituições de pagamentos envolvidas na transação. O BACEN cria as regras e os procedimentos operacionais que permitem a comunicação padronizada entre as duas instituições e pode penalizar as instituições que incorrerem em uso indevido do mecanismo.
4 – Quais são os mecanismos de segurança adotados pelo PIX?
O Pix conta com diversos mecanismos de segurança, alguns dos quais desenvolvidos com exclusividade para essa inovação:
A identidade do pagador é digitalmente autenticada, por senha, token, reconhecimento biométrico, ou outro método de segurança adotado pela instituição de relacionamento, antes qualquer pagamento ou transferência;
Os dados das transações do Pix transitam criptografados na Rede do Sistema Financeiro Nacional, que é uma rede de dados operada pelo Banco Central e considerada por eles como extremamente segura e resiliente;
Conta com “motores antifraude” operados pelas instituições que ofertam o serviço, que permitem identificar transações atípicas, fora de perfil do usuário, bloqueando para análise as transações suspeitas por até 30 minutos, durante o dia, ou 60 min a noite e rejeitando aquelas que não se confirmarem uma transação segura;
Possui, em sua base de dados DICT, mecanismos de proteção que impedem varreduras das informações pessoais e “marcadores de fraude”, em que uma transação (e o fraudador) é marcada como “fraude” na hipótese de suspeita de fraude ou fraude consumada e liga o alerta para todos as instituições participantes do sistema.
Assim como outros meios eletrônicos, o Pix tem transações integralmente rastreáveis, por serem operações de conta a conta. Ou seja, o destinatário de uma transferência financeira em situação de sequestro ou outro meio de coação ilícita é totalmente identificado.
O Pix apresenta segurança superior aos demais instrumentos de pagamento nos crimes “sem contato pessoal”, considerando as exigências de autenticação robusta utilizando senha, biometria ou reconhecimento facial.
Todos esses mecanismos em conjunto fazem o Pix um meio de pagamento tão ou mais seguro que os demais, a exemplo de transferências bancárias e cartões.
5. Se o celular for clonado, furtado ou roubado, outra pessoa poderá roubar minhas chaves?
Não, a alteração ou exclusão das chaves por meio do aplicativo de celular ou internet banking é precedida pela autenticação do usuário da conta por meio de senha, token, reconhecimento biométrico ou facial, ou outro método que assegure que a pessoa que está acessando a conta e alterando ou excluindo as chaves é de fato o seu titular. Clique aqui e confira nosso post sobre roubo de celular e fraude bancária.
6. Alguém pode utilizar minha chave para sacar dinheiro da minha conta ou praticar outro tipo de golpe?
Não, a chave serve exclusivamente para facilitar a identificação do recebedor, ou seja, do destinatário da transação, facilitando a experiência do pagamento, dado que reduz a quantidade de informações que têm que ser inseridas pelo pagador para identificar o beneficiário da operação.
Atenção: Só realize transações em ambientes logados. Para usar o Pix o usuário deve ter os mesmos cuidados de outros meios eletrônicos, ou seja, não compartilhe senha ou dados pessoais e tenha cuidado com links não solicitados que chegam por e-mail.
7. Quais as orientações gerais do BACEN para transferir valores ou fazer pagamentos via Pix com segurança e evitar golpes?
Na tela de confirmação da transação, seja o pagamento por QR Code ou Chave Pix, certifique-se de que o beneficiário do recurso é realmente a quem você quer transferir.
Além disso, nunca transfira dinheiro a pedido de amigos ou parentes em função de mensagens suspeitas em aplicativos de mensagens (como whatsapp e telegram), principalmente para conta de outras pessoas. O ideal é telefonar antes para a pessoa para confirmar se ela realmente fez o pedido.
Para mais informações sobre as principais tentativas de golpe envolvendo bancos e outras instituições financeiras, acesse aqui.
8. O que devo fazer caso eu suspeite ou tenha sido vítima de um golpe?
Se você foi vítima de um golpe ou fraude, registre uma ocorrência na Polícia, que é responsável por investigar crimes. O Ministério Público pode instaurar eventuais ações penais. O Banco Central não tem competência para resolver o seu caso.
Registre também uma reclamação no banco no qual o golpista tem conta. Informe os dados da conta que recebeu o dinheiro: número da agência, número da conta e nome do beneficiário. Esses dados aparecem no comprovante da transação. Se a transferência foi feita via Pix, informe também a chave. Com esses dados, o Banco pode impedir a realização de novos golpes.
Se você fez a transação pelo Pix, informe o fato também para a sua instituição. Sua instituição poderá efetuar uma marcação da chave Pix, da conta e do usuário de destino do dinheiro e será possível evitar novos casos de golpes, reduzindo o risco para todos os usuários.
O registro das reclamações junto a ambas as instituições são importantes para que o caso seja analisado tempestivamente, tanto a instituição em que o fraudador tem conta, quanto a sua instituição poderá abrir uma notificação de infração no âmbito do Pix, e assim a instituição do fraudador fará o bloqueio dos recursos. Aberta a notificação de infração, ambas as instituições tem um prazo para analisar o caso e se configurada situação de fraude, será feita a devolução dos recursos. O usuário recebedor da transação original será notificado tanto no bloqueio dos recursos, quanto na efetivação da devolução.
Clique aqui e confira a cartilha completa de segurança do Pix, elaborada pelo Banco Central.
Para conhecer os detalhes técnicos associados aos requisitos de segurança a serem adotados nas diferentes APIs e tecnologias que compõem o Pix consulte o Manual de Segurança do Pix, que se encontra nesta data em sua versão 3.3. Nele, você encontrará informações detalhadas sobre os certificados digitais; assinatura digital; segurança dos QR CODES Dinâmicos; Implementação Segura de Aplicativos, APIs e outros Sistemas; bem como dados de como é realizada a manutenção de logs de auditoria. O documento elaborado pelo BACEN pode receber sugestões, críticas ou pedidos de esclarecimento de dúvidas por meio do e-mail pix@bcb.gov.br.
Orientações Finais
Para os profissionais de Segurança da Informação nem precisamos lembrar que é recomendável que estejam a par das principais orientações e detalhes técnicos para melhor auxiliarem na proteção dos dados e informações de suas empresas, amigos e familiares.
No caso de estar atuando diretamente ou indiretamente no setor financeiro, fique atento às demais recomendações específicas emanadas pelo BACEN para a Segurança Cibernética das empresas dessa área, dentre elas a Resolução BACEN CMN 4.893. Caso necessite de apoio para estar em compliance com esta normatização de segurança da BACEN, pode contar com os serviços da CLAVIS, clique aqui e confira o serviço de GAP Analysis CLAVIS.
Para todos os leitores, a orientação é para que reconheçam a importância de seguir as orientações citadas anteriormente, a fim de manter a segurança de suas transferências e de seus dispositivos móveis.
Compartilhe este post com seus familiares e amigos e continue acompanhando o Portal SegInfo para se manter atualizado no universo da segurança da informação. Fique por dentro das notícias e publicações que trazem as melhores dicas para você.
Fonte: www.bcb.gov.br
Posts relacionados: Cuidado com novos golpes utilizando o PIX / Roubo de celulares e fraude bancária tem ocorrido com muita frequência no Brasil e Como proceder em caso de vazamento de dados – dicas para os agentes e titulares de dados pessoais