Vai começar a era do PIX. Estamos seguros para esta novidade?
Previsto para entrar em funcionamento a partir de novembro próximo, o PIX é uma solução de pagamento instantâneo, criada e gerida pelo Banco Central do Brasil (Bacen), para a realização de transferências e pagamentos. Em linhas gerais, os principais benefícios oferecidos pelo PIX serão:
– disponibilidade 24 horas por dia, sete dias por semana;
– compatibilidade com transferências interbancárias e com compensação praticamente instantânea (cerca de dez segundos);
– menor complexidade para dados de destinatário: basta informar uma de suas chaves PIX, que podem ser nome, CPF, e-mail ou um identificador aleatório (QR code) gerado para aquele momento.
Grandes instituições financeiras já estão oferecendo o pré-cadastro para os clientes interessados e a partir de hoje inicia o processo para registro efetivo das chaves. A adoção do PIX é obrigatória para instituições bancárias com mais de 500 mil clientes, mas de uma maneira geral, fintechs, instituições de pagamentos e cooperativas também estão adotando o sistema que facilitará a conexão entre empresas, pessoas e o mercado financeiro.
O Bacen será o responsável por manter a estrutura capaz de reunir os participantes e registrar transações de forma rápida. O sistema está projetado para operar com 99,9% de disponibilidade com 2 mil transações por segundo. O tempo máximo de recuperação (RTO) esperado será de 15 minutos, com perda de dados máxima admitida (RPO) de ZERO.
E a segurança do PIX?
Como regulador do PIX, o Bacen estabeleceu requisitos técnicos de segurança que devem ser observados e adotados e disponibilizou um manual de segurança que apresenta de forma minuciosa todas as especificações necessárias para a implementação de segurança do PIX, envolvendo aspectos como criptografia e autenticação mútua na comunicação entre os participantes e o PIX, processos de assinatura digital, gestão de certificados digitais e aspectos de proteção para o uso de QR Codes (dinâmicos e estáticos).
De forma mais didática, os requisitos fundamentais de segurança estabelecidos pelo Bacen são:
– Uso de assinatura digital nas transações: todas as mensagens transmitidas no PIX deverão ser assinadas digitalmente pelo emissor; o receptor deve validar a assinatura digital de cada transação para garantir sua autoria, integridade e o não-repúdio;
– Aplicação e uso de certificados digitais nos processos de criptografia e autenticação: as instituições financeiras devem adotar certificados ICP-Brasil que suportem a utilização para autenticação e criptografia; para a assinatura digital deverão ser utilizados certificados ICP-Brasil no padrão SPB (Sistema de Pagamentos Brasileiros);
– Políticas de controle para gerenciamento de certificados digitais: as instituições financeiras devem ter processos adequados de gestão (geração, guarda, ativação e revogação) dos seus certificados digitais; a recomendação é utilizar dispositivos de criptografia baseados em hardware (HSMs) para armazenamento das chaves privadas dos certificados utilizados nas transações realizadas no pagamento instantâneo.
Ainda conforme as instruções de implementação do PIX estabelecidas pelo Bacen, toda comunicação entre cada Prestador de Serviços de Pagamentos-PSP (como são definidas as instituições financeiras no sistema) e o PIX deve ser feita por meio da RSFN – Rede do Sistema Financeiro Nacional, rede dedicada segura de alta disponibilidade, já utilizada no SPB (Sistema de Pagamento Brasileiro).
Camadas adicionais de segurança no uso do PIX?
Visando oferecer camadas adicionais de segurança não diretamente relacionadas com os requisitos técnicos estabelecidos pelo Bacen, algumas ações estão sendo adotadas pelas instituições financeiras com objetivo de reduzir o risco de operações fraudulentas via sistema PIX.
– Atraso de Transferências em até 1 hora em caso de suspeita de fraude: recurso que permite que os bancos, instituições financeiras e o Bacen possam segurar transferências por 30 minutos durante o dia e até 1 hora durante a noite, em caso de suspeita de fraude, procedendo a liberação ou a rejeição da transferência; participam nesse processo a instituição de origem da transação, a instituição de destino e o próprio Bacen.
– Histórico da Chave PIX: mecanismos que ajudarão a definir se uma chave PIX é ou não segura; informações como data de criação da chave, número de transações com sucesso, número de transações contestadas, histórico de transações; quanto maior o número de transações bem sucedidas determinada chave tiver, maior será a segurança para quem está recebendo os valores.
– Estorno de transações fraudulentas: caso uma fraude fique comprovada pelo PIX a instituição financeira poderá agir rapidamente, bloqueando o valor transferido ou até mesmo devolvendo o valor para o emissor da transação.
– Limite de transferências pelo PIX: estratégia que vem sendo adotada pelas instituições financeiras, semelhante ao que já existe hoje em relação aos limites possíveis de serem utilizados nas transações via Internet Banking ou aplicativos bancários.
– Uso de mecanismos adicionais de validação de identidade: para tornar as transações mais seguras, as instituições financeiras poderão adotar mecanismos tecnológicos para validar a identidade de um determinado cliente no uso do PIX, tais como biometria facial (selfie), impressão digital, segundo código de autenticação.
Muitos especialistas concordam que a incorporação do PIX ainda exigirá esses e outros requisitos a serem implementados para garantir a segurança e a proteção de dados dos usuários, assim como a velocidade, a disponibilidade e a estabilidade prometidas por este novo sistema de pagamentos instantâneos.
Fontes:
https://www.bcb.gov.br/estabilidadefinanceira/pagamentosinstantaneos
https://thehack.com.br/pix-especialistas-comentam-sobre-a-seguranca-do-novo-sistema-do-bcb/
https://www.conta-corrente.com/transferencia/pix/pix-do-banco-central-tera-camadas-de-seguranca