O PIX, sistema de pagamentos instantâneos do Banco Central (Bacen), promete acabar com transações DOC e TED e revolucionar o sistema financeiro do Brasil.
Mas o novo sistema de pagamentos também lança luz para questões de segurança das transações.
Dentre elas, destacam-se eventuais ataques à rede, fraudes nas chaves PIX e nos QR Codes.
Segurança do PIX
Nesse sentido, o veículo The Hack conversou com Daniel Almendra. Ele é analista do Departamento de Tecnologia da Informação do Bacen e responsável pela segurança do PIX.
Ele explicou que as transações do PIX e as operações de registro e alteração de chaves são realizadas por mensagens assinadas digitalmente pela instituição emissora.
Confira nossas sugestões de Pre-Sales para investir agora
Essas mensagens são enviadas em um canal criptografado por meio do protocolo de segurança TLS, com autenticação mútua.
Para isso, são utilizados certificados digitais ICP-Brasil no padrão SPB (Sistema de Pagamentos Brasileiro).
Almendra explicou também que a comunicação entre as instituições e o Bacen se dá através de uma rede dedicada segura de alta disponibilidade.
Portanto, é praticamente impossível que um atacante consiga causar disrupções como ataques de negação de serviço (DDoS).
O analista ainda comentou que haverá um mecanismo antifraude provido pelo DICT (Diretório de Identificadores de Contas Transacionais).
Essa ferramenta informa ao Prestador de Serviço de Pagamento (PSP) os dados adicionais associados às chaves. Como data de registro, contadores de transações realizadas e relatos de infrações:
“Tais informações podem ser utilizadas pelo PSP, em complemento a seus próprios mecanismos antifraude, para negar transações, alertar os usuários, dentre outras ações.”
Fraudes na chave PIX
Sobre a possibilidade de um agente malicioso fraudar uma chave PIX para interceptar pagamentos, o executivo admitiu que “não existe um sistema 100% seguro”.
Entretanto, ele disse que foi realizado um levantamento sobre potenciais ameaças ao DICT e formas de mitigá-las.
Ele observou que para chaves via CPF/CNPJ, a validação é feita de acordo com os dados cadastrais enviados ao banco.
Por outro lado, para chaves via e-mail ou número de celular, os PSP ficam responsáveis pela validação.
“Ou seja, o PSP deve enviar um código de confirmação para o celular/e-mail que o usuário deseja registrar. E, após recebimento do código, o usuário deve acessar o canal de atendimento do PSP e inserir o código recebido para fazer o vínculo da chave à sua conta”, esclarece.
Fraudes com QR Code
Uma das formas de receber um PIX é através de códigos QR gerados aleatoriamente. Portanto, é possível que golpistas abusem do recurso para desviar pagamentos. Sobre isso, Almendra destacou:
“No caso do QR Code do PIX, há vários mecanismos de segurança. Como por exemplo o cadastramento prévio dos sites e certificados associados a QR Codes dinâmicos e a assinatura digital dos dados desses QR Codes. Além das diversas validações a serem feitas pelos aplicativos dos PSPs.”
Ainda assim, ele reconhece que o usuário precisará ficar atento à tela de confirmação das informações sobre o recebedor.
Leia também: Antigo crítico do Bitcoin muda de ideia: “você vai precisar de pelo menos 1 BTC”
Leia também: Veja as criptomoedas que valorizaram 1.000% em 2020
