A robustez do sistema brasileiro, o conhecimento de experiências ao redor do mundo e o diálogo entre regulador e mercado ajudaram no escopo de segurança do Pix. O grupo de trabalho de segurança (GT-SEG), coordenado pelo BC, foi responsável por propor soluções para aumentar a resiliência a fraudes e a garantia de privacidade dos dados dos usuários.

A análise de potenciais fontes de fraudes deu base a um ecossistema com novos elementos, como autenticação digital para iniciação e gerenciamento de chaves Pix. As transações só podem ocorrer em ambiente seguro, após login por senha pessoal ou mecanismo de autenticação como biometria. Todas ocorrem por mensagens assinadas digitalmente e trafegam de forma criptografada em rede protegida e apartada da internet.

Transações fora do perfil do usuário podem ganhar até 30 minutos, das 6h às 20h, ou 60 minutos, nos demais horários, para verificações mais robustas. Os participantes podem impor limites máximos e variáveis de transação, apenas eles podem emitir QR Codes e seus aplicativos só reconhecem aqueles com certificados de segurança enviados para o BC. Além de funcionalidade de notificação de fraude, 100% das chaves, CPFs, CNPJs, contas fraudulentas e transações são rastreáveis.

Segundo Breno Lobo, chefe da subunidade do departamento de competição e de estrutura do mercado financeiro do BC, bancos e instituições não bancárias participantes do Pix devem ter motores internos de risco. O processo de adesão requer teste de capacidade técnica e operacional para operar com os sistemas do BC e as instituições indiretas, homologadas pelas diretas, ficam sujeitas ao processo de supervisão do regulador.

O sistema nasceu com 735 integrantes, cerca de 90 diretos, e já sustentou pico de R$ 5 bilhões transacionados em um dia. “O aplicativo do banco é a âncora da segurança”, diz o diretor executivo de inovação, produtos e serviços bancários da Febraban, Leandro Vilain. O setor vem reforçando suas áreas de prevenção a fraude, camadas de infraestrutura do sistema e capacidade analítica, com uso de inteligência artificial (IA), aprendizado de máquina (ML) e tecnologias de administração de grandes massas de dados para automatizar a operação.

A decisão de adotar plataforma única favoreceu a segurança do Pix, explica o diretor da EY, Ivan Habe. Mas em relação ao usuário é o oposto. Antes mesmo de entrar em operação o sistema era tema de golpes de phishing, com média de 13% de brasileiros que clicaram em links fraudulentos este ano, em comparação a 8% da média global.

Além das várias camadas para garantia de operações e transações seguras, a instantaneidade fez as instituições automatizarem mecanismos de validação, 24 x 7, diz o líder de prevenção a fraude do Agibank, Eli Enrico Carnette. Entender o comportamento dos usuários e monitorar informações é fundamental e, segundo ele, está em discussão o compartilhamento de sinais de segurança no ecossistema, como indicadores de risco e habitualidade.

Exigências de segurança ajudaram a afastar alguns interessados na primeira fase do Pix, inclusive fintechs. Na lista dos primeiros participantes indiretos, 80% são cooperativas, 375 delas do Sicoob. Uma das facilidades é que todas usam a mesma solução tecnológica desenvolvida pela marca, com condições como criptografia moderna, investimentos em ML e IA e uso dos mesmos controles empregados no aplicativo móvel, sem esforços adicionais.


Fonte: Valor Econômico - Suplementos, por Martha Funke — Para o Valor, de São Paulo, 23/12/2020