O Banco Central (BC) deve anunciar ainda neste ano uma série de mudanças no funcionamento do Pix, a fim de fortalecer a segurança contra fraudes e vazamentos de dados no sistema de transferência de valores. As medidas já foram debatidas pelo mercado e aprovadas pela instituição, que trabalha para promover as alterações.
Uma das mudanças tem por objetivo aumentar o nível de responsabilidade das instituições financeiras participantes em relação às regras de segurança, impondo mais uma “barreira” para tentar conter obtenção indevida de dados. Também devem ser criadas marcações específicas para suspeitas de uso de contas por “laranjas” ou falsidade ideológica.
Apesar de o índice de fraudes no Pix seja considerado baixo, com uma média de ocorrências de 0,007% do total de transações, conforme o BC, a repercussão pública de casos de golpes e fraudes tem sido grande em meio ao sucesso da adesão à ferramenta pelos brasileiros. Nesse contexto, o regulador vem aprimorando desde o ano passado as regras de segurança, inclusive para amparar os cidadãos afetados.
As novas medidas constam na apresentação da última reunião do Fórum Pix, em 22 de setembro, quando o BC deu o sinal verde para as modificações. Nesse fórum, com a participação de diversos agentes do mercado, o regulador colhe subsídios sobre as regras de funcionamento do sistema de pagamentos instantâneos. A segurança, considerada um ponto de preocupação e aprimoramento constante, tem um grupo específico de trabalho.
Questionário
A primeira proposta aceita pelo Banco Central é a criação de um questionário de autoavaliação sobre aderência das instituições financeiras ao Manual de Segurança do Pix no momento de adesão ao ecossistema.
Essa pesquisa – que será aplicada também aos atuais participantes – deverá ser respondida pela área de segurança da instituição, mas validada por uma segunda linha de defesa, que pode ser uma auditoria interna ou externa.
Atualmente, a instituição financeira que ingressa no Pix já se compromete de forma automática com o conjunto de regras. Entretanto, a nova camada de responsabilização tem por finalidade um maior grau de obediência dos participantes e, com isso, as barreiras contra vazamento de dados.
Incidentes
Desde a criação do meio de pagamento, em novembro de 2020, são conhecidos ao menos quatro incidentes de vazamento de dados relacionados a chaves Pix.
O BC garante que todos esses casos foram motivados por falhas de segurança pontuais no sistema dos participantes, que não conseguiram bloquear ataques de varredura – quando o criminoso fica inserindo números no sistema do banco até acertar as chaves.
Outra mudança significativa é a permissão para que as instituições financeiras “marquem”, nas notificações obrigatórias de fraudes, os CPFs ou CNPJs em que haja “fundada suspeita” de uso indevido de contas com “etiquetas” específicas.
Serão criados marcadores para conta “laranja” ou aluguel de conta – uso temporário pelo criminoso mediante pagamento – e para falsidade ideológica na abertura do cadastro com o banco.
A medida aumentará o leque de informações disponíveis para a consulta dos sistemas antifraude das instituições financeiras, dando mais subsídios para definirem a aprovação de uma transferência ou da abertura de uma nova conta. Hoje as marcações da notificação são focadas nas transações, com registro do usuário, conta e chave Pix, por exemplo, sem marcadores específicos.
Limites
O regulador ainda vai alterar a gestão de limites em transferências, medida anunciada no ano passado justamente como forma de dificultar a ação de criminosos.
Em agosto de 2021, o BC estabeleceu um limite de R$ 1 mil para transferências noturnas, mas permitiu que os usuários alterassem o horário de início desse período, assim como diminuíssem o valor total permitido por operação durante todo o dia.
Mas essa flexibilidade foi considerada pouco demandada pelos usuários, com baixa efetividade para limitar os crimes e bastante complexidade operacional para as instituições financeiras. Agora, os limites de transação serão padronizados por período e os bancos não serão mais obrigados a trocar o início do horário noturno a pedido do cliente.
As mudanças já aprovadas pelo BC exigem alterações em normativos regulatórios e também, em alguns casos, de modificações tecnológicas no ecossistema do Pix para serem implementadas, explicam participantes do mercado. E a greve dos servidores do BC, que ocorreu de abril a julho, acabou atrasando o cronograma.