E-mail, número de telefone e CPF. Essas são as principais informações pessoais que já podem ser utilizadas como atalho para agilizar pagamentos e transferências instantâneas no país. Usados como chaves Pix, esses dados se tornam endereço de uma conta bancária dentro do sistema criado pelo Banco Central: é só informar essa chave e pronto, o dinheiro já pode ser enviado.
A facilidade é comemorada por entusiastas, mas também causa temor. Afinal, não seria esse um prato cheio para golpistas? A pergunta parece inevitável após o brasileiro ser "escaldado" por incontáveis fraudes no pagamento do auxílio emergencial e no saque do FGTS. Nesses casos recentes, fraudadores se valeram de dados facilmente localizáveis, como o CPF de beneficiários, para acessar indevidamente o dinheiro.
Chave Pix versus aplicativo Caixa Tem
Comparando as duas situações, o advogado especialista em crimes cibernéticos José Antonio Milagre destaca que o Pix tem uma grande vantagem: só funciona em ambiente logado – diferente do cadastro para o auxílio, que era feito diretamente em um aplicativo bastante simples e que dispensava checagens, o Caixa Tem.
"Isso já é um dificultador para o criminoso digital. Para CPF existe a conferência, para e-mail e telefone, você vai receber um código [de confirmação]", pondera.
Milagre afirma que o sistema criado para o Pix é seguro, com mecanismos de autenticação, conferência e possibilidades de contestação. "Não é tão simples assim como a gente tem visto pessoas falarem. Com um CPF que encontra no Google o camarada vai criar uma chave Pix e vai se passar por mim? Não. No banco, para que ele faça isso, ele efetivamente precisa estar logado e o banco vai conferir que aquele CPF ou já está associado a outra conta, ou não pertence ao titular."
O mais importante desse processo, afirma Milagre, não é quem faz primeiro uma determinada chave, mas efetivamente deter o controle dela. "Se alguém tenta usar o meu telefone como chave do Pix, eu vou receber um código e ele será barrado; o mesmo para o e-mail. Não consigo enxergar qual é a fundamentação de “crie correndo, crie primeiro [uma chave com os seus dados]”.
Recebeu uma notificação de um cadastro de chave Pix ter solicitado? A orientação é para que o usuário rejeite imediatamente a solicitação, preserve o aviso e faça contato com a instituição bancária. Esses passos evitam o uso indevido de dados, mas só podem ser tomados se houver cuidado.
"Nós sabemos que os criminosos são criativos. Eles podem simplesmente solicitar uma chave Pix com um e-mail ou telefone e se passar pelo banco. A instituição banco vai mandar um código de confirmação, se eles usarem de engenharia social e a vítima fornecer o código pode acontecer o dano", diz Milagre.
Mas podem ocorrer golpes no Pix?
Jorge Patrinicola, sales engineering da Quest Software – um fornecedor global de software e segurança de sistemas – reforça que o Pix conta com os protocolos de segurança do Sistema Financeiro Nacional (já utilizado também para TEDs e DOCs) e pontua que "o Brasil possui um dos sistemas antifraudes bancárias mais avançados do mundo".
Segundo ele, o BC projetou a plataforma Pix e criou protocolos de segurança a serem adotados pelas instituições financeiras e reforça que "a infraestrutura foi exaustivamente testada, tanto para possíveis falhas, quanto em fragilidades na ponta, ou seja, nos usuários".
Isso não significa que não haverá golpes. Segundo o especialista em crimes cibernéticos José Antonio Milagre, ataques de phishing – que direcionam o usuário para uma área não bancária simulando o ambiente verdadeiro – devem continuar.
Em geral são essas tentativas que, quando bem sucedidas, permitem aos falsários o acesso à conta de vítimas. Esse risco coloca no rol de orientações dos especialistas a recomendação de sempre utilizar diretamente o site ou aplicativo das instituições financeiras.
Também demandam atenção possíveis QR Codes fraudados, que podem direcionar um pagamento para contas que não correspondam ao recebedor. Para evitar perder dinheiro, a recomendação é conferir sempre os dados que aparecem no app da instituição bancária antes de dar o ok na transação.
O ABC da vida online
Patrinicola avalia que os principais riscos do Pix são inerentes ao comportamento do usuário. "Regras básicas como não clicar em links desconhecidos ou suspeitos, ter um bom antivírus, evitar a utilização de senhas fracas ou repetidas também se aplicam e servem para reforçar a postura de segurança digital dos usuários", enumera.
Milagre estende a lista de conselhos e recomenda que números de telefone e e-mails sejam efetivamente protegidos, com acesso restrito apenas ao titular, autenticações de duplo fator e, no caso dos e-mails, usar um endereço criado especificamente para servir de chave.
"Evita problemas maiores em um eventual comprometimento da informação", resume. Segundo o advogado, é preciso ter a consciência de que, mais do que um número de telefone ou um e-mail, essas informações se tornaram critério de autenticação.
Como última recomendação, fica o cuidado para manter sempre o acesso às informações usadas como chave Pix. "Trocou, perdeu, roubaram o seu número, imediatamente você pode desassociá-lo como chave, porque ele pode ser ativado futuramente para um terceiro. Não tem mais acesso a um e-mail, vale o mesmo", recomenda o advogado.
FONTE: GAZETA DO POVO - CRISTINA SECIUK
