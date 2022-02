Geral Imediatismo de pagamentos instantâneos é desafio à segurança em todo mundo

8 de fevereiro de 2022

Sistemas similares ao Pix já estão presentes em cerca de 60 países, como China, Índia, EUA, Reino Unido e México. (Foto: Reprodução)

Os sistemas de pagamentos instantâneos como o Pix já estão presentes em cerca de 60 países e representam um desafio a mais em termos de segurança justamente pelo imediatismo das transações. Os modelos, contudo, diferem entre si em diversos aspectos, trazendo preocupações também variadas em cada iniciativa.

Esse ponto já foi levantado, inclusive, pelo Federal Reserve (Fed, banco central dos EUA), que prevê lançar um sistema parecido com o Pix em 2023, o FedNow. Hoje, os sistemas de pagamentos instantâneos nos EUA são privados.

O Fed reconheceu as dificuldades “únicas” no combate à fraude em pagamentos instantâneos por serem “imediatos e irrevogáveis”, e defendeu que as medidas de prevenção devem ser ajustadas de acordo com as características de cada sistema de pagamentos instantâneos.

No Brasil, onde os vazamentos de dados vinculados a chaves Pix estão no centro do debate, especialistas fazem repetidas defesas sobre a robustez dos mecanismos de segurança do Banco Central, mas avaliam que as peculiaridades da ferramenta também trazem seus próprios desafios, inclusive de segurança.

Um dos desafios deve-se justamente à liquidação imediata das operações. Segundo levantamento do Banco de Compensações Internacionais (BIS) com 31 modelos de sistemas de pagamentos rápidos ou instantâneos (FSP, na sigla em inglês), 19 têm liquidação em tempo real e outros 12, diferida.

A pesquisa também mostra que a maioria dos sistemas de pagamentos instantâneos tem um limite financeiro para as transações, embora varie bastante – de US$ 400 por operação no México a US$ 300 mil no Reino Unido. Aqui, o BC só estabeleceu limites para o período noturno, após aumento de crimes, como sequestros relâmpagos, envolvendo a ferramenta. O BIS ainda afirma que, na minoria das iniciativas, o Banco Central atua tanto como regulador e operador direto do sistema, como é o caso do Brasil.

Segundo Rodrigoh Henriques, líder de inovações financeiras da Federação Nacional de Associações dos Servidores do Banco Central, a configuração exata do Pix não existe em nenhum lugar, já que sistemas financeiros são muito particulares aos seus próprios países.

“Essas camadas tecnológicas que nunca enxergamos garantem velocidade, confiança, autenticação ao sistema, mas todas as configurações abrem mais ou menos brechas. No nosso sistema, descobrimos que a brecha acabou ficando com as instituições financeiras, na requisição que tem que fazer ao BC [para seguir com a operação].”

Henriques destaca que o Brasil deve ser o terceiro maior país em transações instantâneas (o número supera 1 bilhão por mês), atrás da Índia e da China, e com uma das adoções mais rápidas da história – o que atrai inevitavelmente “malfeitores”. Segundo o BC, no primeiro ano, o volume de operações per capita foi maior do que iniciativas similares no mesmo período.

“Relativamente ao volume de transações, a brecha ainda é de vulnerabilidade conciliável. De novo, não estamos falando de brechas no sistema central do BC ou de transações não autorizadas [e sim de compartilhamento de dados cadastrais]. Não é minimizar o que está acontecendo, mas contextualizar.”

Como tudo indica que os criminosos estão se aproveitando de falhas de segurança das instituições financeiras para “sequestrar” a parte do sistema que faz a comunicação com o BC no Diretório de Identificadores de Contas Transacionais (DICT), base de dados com informações dos usuários recebedores do Pix, Henriques vê duas soluções possíveis.

A primeira seria a revisão do padrão de segurança de instituições financeiras, em especial em relação ao Pix. Mas não é um processo rápido. A depender de sua avaliação, o BC poderia promover mudanças no desenho do Pix para dificultar o uso “das brechas” nos sistemas de segurança das instituições. Isso poderia, contudo, “atrasar” os pagamentos ou torná-los mais custosos.

“Se o BC tivesse que fazer a validação dupla [recebendo a requisição do cliente e do banco], talvez não tivéssemos pagamentos em 10 segundos. Talvez em 30, 60, 90 segundos. E aí você começa a se perguntar se é instantâneo. Alguns países fazem isso. Dizem que a transação ocorreu, mas a liquidação só acontecerá à noite.”

