As camadas de segurança do Pix; entenda como o sistema é protegido

Proteção avançada em diversos níveis; entenda como o sistema Pix é protegido para garantir a segurança das transações

Leandro Kovacs
Por

As transferências e pagamentos instantâneos sem taxas através de contas bancárias já se tornou o método mais procurado pelos usuários. Veja abaixo, como o sistema Pix é protegido através das numerosas camadas de segurança, o sistema brasileiro é um dos mais avançados em questões de segurança mesmo sendo um dos mais recentes a serem implantados com a tutela do Banco Central.

Como funcionam as camadas de segurança do Pix? (Imagem: BCB/Divulgação)
Como funcionam as camadas de segurança do Pix? (Imagem: BCB/Divulgação)

É seguro mesmo?

Desde sua concepção, o Banco Central em sua responsabilidade pela criação do Pix priorizou a segurança como fundamento base. No alvo estão as próprias transações, proteção de dados individuais, combate a fraudes e lavagem de dinheiro.

Todas as transações através do Pix ocorrem por meio de mensagens assinadas digitalmente e que trafegam de forma criptografada, em uma rede protegida e apartada da Internet. 

Além disso, no Diretório de Identificadores de Contas Transacionais (DICT), componente que armazena as informações das chaves Pix, as informações dos usuários também são criptografadas e existem mecanismos de proteção que impedem varreduras das informações pessoais.

Exemplo de transferência via Pix pelo app da Caixa (Imagem: Caixa/Reprodução)
Exemplo de transferência via Pix pelo app da Caixa (Imagem: Caixa/Reprodução)

Camadas de segurança Pix

Como iniciativa do Banco Central do Brasil, algumas camadas de proteção foram criadas exclusivamente para o sistema nacional de transferências instantâneas. Quando observamos exemplos internacionais como o RTP (EUA), Faster Payments (Grã-Bretanha), NPP (Austrália), percebemos que estamos muito bem quanto a eficiência e segurança.

Motores antifraude

Observando padrões, as instituições que oferecem o Pix operam os tais motores que identificam, se ocorrerem, transações atípicas e que não condizem com o perfil do usuário.

Esses motores bloqueiam as transações suspeitas feitas durante o dia por até 30 minutos e, no caso das transações feitas à noite, por 60 minutos; as transações que não se mostrarem seguras são rejeitadas.

Marcadores de fraude

O tráfego das informações das transações é feito de forma criptografada na Rede do Sistema Financeiro Nacional (RSFN), que é uma rede totalmente apartada da internet e na qual cursam as transações do Sistema de Pagamentos Brasileiro (SPB).

Todos os participantes do Pix têm que emitir certificados de segurança para conseguir transacionar nessa rede. Além disso, todas as informações das transações e os dados pessoais vinculados às chaves Pix são armazenados de maneira criptografada em sistemas internos do BCB

O Banco Central afirma que esses marcadores identificam transações e o fraudador, usuário que a realizou, e as marcam como “fraude” — suspeita ou na fraude já consumada. Em seguida, toda a rede de instituições que oferecem o Pix e participam do sistema recebe um alerta.

Desse modo, todos ficam a par dessa tentativa e podem acionar seus próprios mecanismos de defesa para as transações e usuários que tenham essa marcação de fraudadores.

Autenticação

Uma manutenção da segurança anterior dos métodos de pagamentos e transferências. O pagador deve, obrigatoriamente, autenticar sua identidade ao fazer uma transação usando o Pix.

Seja por senha, token, reconhecimento biométrico ou outros meios que a instituição desejar adotar, isso deverá ser feito. Somente o pagador pode autorizar e realizar pagamentos ou transferências — do mesmo modo com TEDs, por exemplo.

Limites de transação

Não é definido diretamente pelo BCB, cada instituição participante do sistema pode determinar os valores mínimos e máximos de transações através de suas ferramentas, uma possibilidade a mais para cada banco evitar fraudes ou reduzir os danos caso aconteçam.

A segurança da chave Pix

Funciona simplesmente como um apelido que se dá a uma conta vinculada a pessoa. A chave Pix não substitui a senha ou biometria que a instituição do usuário utiliza para identificação. Mesmo tendo a chave cadastrada, todas as camadas internas de segurança do banco ainda são utilizadas.

A proteção vem do fato de não ser mais necessário repassar ao pagador todos os seus dados bancários. Que pode ser seu CPF, CNPJ, e-mail, telefone ou chave aleatória criada pelo sistema da instituição bancária.

A pessoa que irá fazer a transferência de dinheiro precisa apenas inserir o CPF no campo “destinatário” – não é necessário colocar todos os dados da conta porque o usuário, ao fazer o cadastro, já atrelou sua chave (nesse caso, o CPF) àquela conta específica.

O processo de criação do Pix pelo BCB foi focado em segurança (Imagem: Gov.br/Divulgação)
O processo de criação do Pix pelo BCB foi focado em segurança (Imagem: Gov.br/Divulgação)

Regras de funcionamento do Pix pelo BCB

  • A previsão de que os participantes do Pix (instituições financeiras e de pagamentos que ofertam o Pix a seus clientes) devem se responsabilizar por fraudes no âmbito do Pix decorrentes de falhas nos seus mecanismos de gerenciamento de riscos;
  • Mecanismos de proteção, pelo BC e pelas instituições, que impedem varreduras de informações pessoais relacionadas a chave Pix;
  • A possibilidade de colocação de limites máximos de valor, com base no perfil de risco de seus clientes, por parte das instituições, tais limites podem se diferenciar pelo período que ocorre a transação, titularidade da conta, canal de atendimento e forma de autenticação do usuário, entre outros;
  • A possibilidade dos próprios usuários, por meio dos aplicativos, ajustarem os limites de valor estabelecidos pelas instituições, sendo que pedidos de redução tem efeitos imediatos e os pedidos de aumento, não são imediatos e carecem de uma análise pelas instituições para verificar a compatibilidade ao perfil do cliente;
  • Tempo máximo diferenciado para autorização da transação, pelas instituições participantes, nos casos de transações não usuais iniciadas por seus clientes com elevada probabilidade de serem uma fraude;
  • Centro de informações, compartilhadas com todos os participantes, sobre chaves Pix, números de conta e CPF / CNPJ que se envolveram em alguma transação fraudulenta;
  • Geração de QR Code dinâmico permitida apenas para os participantes que enviam certificados de segurança específicos para o BCB;
  • Mecanismos que facilitam o bloqueio e eventual devolução dos recursos em caso de fraude, como o bloqueio cautelar e o mecanismo especial de devolução.

Com informação: BCB, Nubank, Payments Journal.

Leandro Kovacs

Ex-autor

Leandro Kovacs é jornalista e radialista. Trabalhou com edição audiovisual e foi gestor de programação em emissoras como TV Brasil e RPC, afiliada da Rede Globo no Paraná. Atuou como redator no Tecnoblog entre 2020 e 2022, escrevendo artigos explicativos sobre softwares, cibersegurança e jogos.

Relacionados

Relacionados