Pix automático deixa usuários vulneráveis a golpes?

Sistema que substituiu o dinheiro vivo ganhou uma nova modalidade: o Pix automático. Para especialistas, principal fragilidade é a possibilidade de vazamento de dados para o uso em golpes.O principal meio de pagamento dos brasileiros ganhou recentemente uma nova funcionalidade, o Pix automático, cuja implementação completou um mês nesta quarta-feira (16/07). A inovação no sistema de transações do Banco Central (BC) veio para bater de frente com o débito automático, permitindo programar pagamentos com mais agilidade e de forma mais personalizada.

Por meio do Pix automático, já é possível cadastrar pagamentos com periodicidade definida – por exemplo, para quitar mensalidades com serviços como a conta de celular ou a escola dos filhos. Diferentemente do débito automático, cuja exigência de uma parceria entre bancos e empresas específicas acabava deixando de fora os empreendedores de menor porte, a mais recente funcionalidade do Pix é ampla e permite, pelo usuário, o controle de um limite de valor e da periodicidade. Tudo isso, com um simples comando no celular.

Introduzido em outubro de 2020, o Pix praticamente substituiu o uso de dinheiro físico no Brasil. De acordo com uma pesquisa do Google, divulgada nessa terça (15/07), o uso de papel-moeda caiu para 6% em 2024. Para os entrevistados do estudo, entre as vantagens do sistema digital, que representa 47% das transações no país, a mais citada foi a segurança (37%).

No entanto, o Pix ainda não é um sistema totalmente blindado – e possibilita algumas brechas, principalmente no que diz respeito aos dados do usuário. De acordo com especialistas em direito digital consultados pela DW, a maior fragilidade tem a ver com as informações privadas que ficam armazenadas no sistema do BC e podem ser acessadas por instituições financeiras. Se sofrerem vazamentos ou caírem nas mãos erradas, esses dados podem virar a base para tentativas de golpe e fraudes por meio de terceiros.

Mas qual é o nível de segurança do Pix?

No começo deste mês, a Polícia Civil de São Paulo prendeu um suspeito de envolvimento em uma fraude no sistema Pix, que teria causado um prejuízo de cerca de R$ 1 bilhão a oito instituições financeiras. De acordo com as investigações, porém, uma organização criminosa teria subornado o suspeito, que é funcionário de uma empresa que faz integração de segurança entre o sistema do Pix do BC e as vítimas, que eram bancos e fintechs de pequeno porte. Utilizando credenciais de segurança, ele teria atuado para desviar esses valores.

O caso está longe de ser um "ataque hacker" propriamente dito, pois não envolveu a invasão remota a um servidor a partir de falhas de tecnologia do próprio sistema. De acordo com a polícia, o esquema utilizou do aliciamento de uma pessoa, que liberou o acesso para os criminosos depois de enganar colegas na empresa em que trabalhava para que elas compartilhassem credenciais de segurança. O crime está sendo investigado como furto mediante fraude.

Como explica Rafael Guazelli, advogado especialista em direito bancário e sócio da Guazelli Advocacia, atualmente há bastante segurança nas transações bancárias no Brasil, inclusive no Pix. "O que ocorre, na maioria das vezes, são fraudes por vazamentos de dados, por alguém da própria instituição financeira ou por descuido do usuário. Essas são as maiores causas", afirma.

A facilidade de utilização do Pix, inclusive de maneira remota, tem implicado no surgimento de outras ferramentas, como o uso de QR Codes, além da própria profusão de chaves para o pagamento pelo Pix, lembra ele. "No mesmo passo, os golpes vão se aperfeiçoando", completa.

As estatísticas confirmam a tendência. De acordo com um levantamento do Serasa Experian, em janeiro foram registradas 1,2 milhão de tentativas de golpe no país, 41,6% a mais que no mesmo período do ano passado. E o foco principal é o setor financeiro, que responde por 52% dessas tentativas de fraude.

Onde ficam esses dados do usuário?

Via de regra, os dados dos clientes de instituições financeiras, como chaves Pix, nome, dados de contas e agência e CPF ficam armazenados em um diretório de contas do Banco Central. Essas informações podem ser acessadas pelas instituições bancárias para que as transações sejam concluídas.

De acordo com Fabrício Polido, professor associado da Faculdade de Direito da Universidade Federal de Minas Gerais (UFMG) e advogado especialista em direito internacional digital, um dos problemas pode ocorrer quando há portabilidade: quando um usuário muda de banco e leva para essa nova instituição o mesmo identificador Pix que era utilizado na anterior.

"Toda vez que tem portabilidade, compartilhamento de dados, pode haver risco de intercepção, acesso não autorizado, compartilhamento indevido – ou seja, violação de dados pessoais dos clientes", diz ele.

Ele pontua que o Banco Central tem exigido dos bancos e fintechs um maior nível de segurança na cadeia de prestadores de serviço, funcionários e ex-funcionários, que podem, em tese, acessar esses dados, vazá-los ou até mesmo vendê-los para empresas que praticam golpes digitais.

E as fraudes são quase sempre baseadas em engenharia social. É o caso, por exemplo, das ligações falsas que manipulam alguém a fazer um Pix para deixar de ser negativado; dos boletos de pagamento falsos que chegam no endereço com o nome e o endereço do cliente; das contas de WhatsApp clonadas que tentam se passar por um parente em apuros financeiros. Em casos mais refinados, golpistas podem levar os usuários a instalar softwares "espiões" nos dispositivos e, a partir disso, assumir o controle inclusive dos aplicativos bancários das vítimas.

"Da mesma forma que está na vanguarda com o Pix, que possibilitou uma enorme inclusão da população no sistema bancário, o Brasil também virou exportador de golpes em serviços digitais", pontua Polido.

O que pode ser feito para proteger o usuário?

No caso do Pix automático, o usuário precisará seguir o mesmo procedimento para as outras modalidades, se perceber que caiu em um golpe. O pedido de estorno deve ser feito diretamente ao banco, que terá até sete dias para analisar o que aconteceu. Se for confirmada a fraude, o valor é devolvido da conta do golpista.

Contudo, há um porém: o valor deve estar disponível na conta utilizada pelo criminoso para receber os valores. Como parte deles utiliza chaves Pix de laranjas para realizar essas transferências, o cliente afetado pode acabar não conseguindo recuperar o dinheiro. A partir daí, ele pode reclamar no próprio Banco Central ou entrar na Justiça. Segundo Fabrício Polido, da UFMG, já há jurisprudência consolidada no país que estabelece a responsabilidade das instituições bancárias nesses casos. Os processos, no entanto, demoram meses e até anos.

"É a instituição financeira quem tem que zelar pela segurança dos sistemas informáticos e também pelo seus serviços e proteção dos aplicativos", diz ele. "Sempre existirá [fragilidade]. Por isso que os sistemas devem estar adequados às leis de proteção de dados. A legislação bancaria, as diretrizes do BC já estabelecem o grau de dados de clientes e o sigilo dessas operações."

No começo do mês, o Banco Central impôs novas regras de segurança para a criação de chaves Pix. Agora, os bancos são obrigados a verificar nome, CPF e CNPJ dos clientes antes de criar os identificadores – e a chave só pode ser cadastrada se os dados da conta forem iguais ao registro na Receita Federal. O objetivo é impedir o uso de CPFs irregulares, como o de pessoas mortas, ou de CNPJs de empresas suspeitas.

Para Polido, ainda é preciso reforçar o sistema de comunicação entre bancos e fintechs nos casos de fraude. "A pessoa lesada tem que se valer de um mecanismo mais célere para contestar e reverter. Deve haver um melhor mecanismo de controle e reversão dos prejuízos aos clientes. Esse é o ponto que tem dado mais discussão pela falta ou ausência do que tem sido feito nesse caso", comenta o professor de Direito da UFMG.

Segundo ele, órgãos como a Agência Nacional de Telecomunicações (Anatel) também devem ser acionados, para barrar a enxurrada de telefonemas de golpistas que têm ocorrido no país.

Já o advogado Rafael Guazelli ressalta que as instituições financeiras precisam informar melhor os clientes para que não caiam em golpe. "Uma pessoa ligando se dizendo do banco e pedindo uma informação sua é um grande indício de fraude, porque o banco não entra em contato dessa forma – salvo que seja um gerente da sua conta, alguém que você conheça bem", finaliza o especialista em direito bancário.