O pagamento instantâneo PIX é um serviço lançado pelo Banco Central do Brasil que permite a transferência de valores entre diferentes bancos, que surgiu com o intuito de ser uma forma mais rápida e prática de realizar transferências interbancárias no Brasil. Com o PIX é esperado que as transações sejam realizadas em menos de 30 segundos, utilizando como parâmetro apenas a chave PIX, a qualquer hora e em qualquer dia, sem precisar inserir os dados do destinatário, como banco, CPF, número da conta, entre outros. Isso traz uma facilidade muito maior aos usuários substituindo meios de pagamento como cheque, TED, DOC, cartão de débito e até mesmo o cartão de crédito, que demoram para serem compensados e, em alguns casos, tem restrições de horários. O PIX já está em fase de cadastro de clientes e sua previsão para entrar efetivamente em operação neste mês (novembro de 2020).
Apesar dos avanços tecnológicos, a chegada do PIX não deve alterar o cenário de golpes que usam nomes de bancos ou instituições financeiras para roubar dados e movimentar dinheiro. Como profissional de Segurança da Informação, vejo que é preciso estar atento as necessidades em relação a segurança que surgem com o PIX, sobretudo por estar sendo implantado quase ao mesmo tempo que o Open Banking, exigindo que as empresas criem canais de comunicação adequados e seguros, além de reforçar os mecanismos para prevenção à fraudes.
O processo de transferência em si é considerado seguro do ponto de vista da tecnologia, desta forma, o maior risco aparentemente está em fraudadores que se utilizam desse mecanismo para ludibriar pessoas e se aproveitar de clientes menos atentos. Neste caso, as instituições financeiras precisarão tomar providências para protegerem seus clientes dessas possíveis fraudes, levando em consideração um outro fator que a tecnologia ainda não consegue resolver: o fator humano, que é uma das principais fragilidades no campo da segurança da informação.
Um dos maiores benefícios que este novo método oferece é a possibilidade de pagamento com QR Code, que pode ser dinâmico ou estático. Se não aplicado da maneira certa, o QR Code pode ser ao mesmo tempo uma desvantagem, onde os cibercriminosos podem abusar desse recurso para desviar pagamentos.
Isso acontece pois o fraudador consegue quebrar as camadas de segurança de um site ou aplicativo, fazendo com que a vítima revele dados confidenciais, podendo ser senhas, número de cartão, e-mail etc. Assim, eles conseguem acessar à conta e se passar pelo usuário, entrando em seu e-mail ou fazendo compras online, por exemplo.
Para isso, as instituições financeiras e fintechs precisam garantir que seus aplicativos atendam aos requisitos de segurança definidos pelo Banco Central do Brasil, que incluem os processos de criptografia, verificação de identidade, assinatura digital e gestão de certificados digitais utilizados, além do cumprimento às normas da Lei Geral de Proteção de Dados (LGPD).
Neste ponto as empresas especializadas em Segurança da Informação assumem um papel fundamental para as estratégias das instituições financeiras e fintechs, e ao mercado como um todo, pois apoiam a criação e desenvolvimento de políticas de cibersegurança, além de prover ferramentas de prevenção à fraude com recursos de inteligência artificial. Como resultado, estas empresas entram nessa nova fase dos pagamentos digitais com o pé direito, promovendo segurança digital e apoiando os negócios.
 Leandro Turbino é CMSO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos. |
