O Banco Central (BC) deve anunciar, em breve, mudanças no funcionamento do Pix para fortalecer a segurança do sistema contra fraudes e vazamentos de dados. As medidas já foram debatidas pelo mercado e aprovadas pelo BC, que agora está trabalhando para promover as alterações, com chances de serem anunciadas algumas novidades ainda este ano.
Uma das mudanças visa a aumentar o nível de responsabilidade das instituições financeiras participantes em relação às regras de segurança, impondo mais uma “barreira” para tentar conter os episódios de vazamento de dados. O regulador também deve criar marcações específicas nas notificações de fraudes para suspeitas de uso de “conta laranja” e de falsidade ideológica com o objetivo de fortalecer os mecanismos antifraude dos bancos.
Embora o índice de fraudes no Pix seja considerado baixo, com uma média de ocorrências de 0,007% do total de transações, conforme o BC, a repercussão pública de casos de golpes e fraudes tem sido grande em meio ao sucesso absoluto de adesão e utilização da ferramenta.
As novas medidas constam na apresentação da última reunião do Fórum Pix, em 22 de setembro, quando o BC deu o sinal verde para as modificações. Nesse fórum, com a participação de diversos agentes do mercado, o regulador colhe subsídios sobre as regras de funcionamento do sistema de pagamentos instantâneos. A segurança, considerada um ponto de preocupação e aprimoramento constante, tem um grupo específico de trabalho.
A primeira proposta aceita pelo BC é a criação de um questionário de autoavaliação de aderência das instituições financeiras ao Manual de Segurança do Pix no momento de adesão ao ecossistema. A pesquisa, que será aplicada também aos atuais participantes, deverá ser respondida pela área de segurança da instituição, mas validada por uma segunda linha de defesa, que pode ser uma auditoria interna ou externa.
Hoje, ao entrar no Pix, a instituição financeira já se compromete automaticamente com o conjunto de regras, mas a nova camada de responsabilização pretende aumentar o grau de obediência dos participantes e, assim, as barreiras contra vazamento de dados.
Desde a criação do meio de pagamento, em novembro de 2020, houve quatro incidentes de vazamento de dados relacionados a chaves Pix, todos, segundo o BC, devido a falhas de segurança pontuais no sistema dos participantes, que não conseguiram bloquear ataques de varredura – quando o criminoso fica inserindo números no sistema do banco até acertar as chaves.
Outra mudança significativa é a permissão para que as instituições financeiras “marquem”, nas notificações obrigatórias de fraudes, os CPFs ou CNPJs em que haja “fundada suspeita” de uso indevido de contas com “etiquetas” específicas. Vão ser criados marcadores para conta “laranja” ou aluguel de conta – uso temporário pelo criminoso mediante pagamento – e para falsidade ideológica na abertura do cadastro com o banco.
“A sugestão é a abertura automática de eventos para casos de triangulação de valores utilizando o Pix”, diz o documento do Fórum Pix, explicando que o bloqueio seria até a quinta camada de ramificação.