A partir do dia (1º) de novembro, o Pix terá regras de segurança mais rígidas e novas formas de transferência. Entre as mudanças, o Banco Central estabeleceu um limite para transações feitas a partir de aparelhos não cadastrados junto à instituição financeira do usuário e a obrigatoriedade de sistemas de monitoramento de fraudes.

As mudanças valem para todas as cerca de 900 instituições participantes do Pix (entre bancos e instituições de pagamento). Quem for usar o Pix em um novo celular ou computador precisa ficar atento. Se o aparelho não estiver cadastrado no banco, o limite é de R$ 200 por transação e de R$ 1.000 por dia. Se instituição detectar que se trata de um novo dispositivo, que ainda não está cadastrado e que o cliente não utiliza normalmente em suas operações, a transação será limitada automaticamente.

O objetivo é minimizar a probabilidade de criminosos usarem dispositivos diferentes dos utilizados pelo usuário para gerenciar chaves e movimentar valores. Ao comprar um novo celular e instalar o aplicativo do banco, o usuário deve seguir as orientações da instituição financeira para cadastrar o aparelho e elevar o limite de transferência.

E como ter segurança nas novas formas de transferência?

Com a inserção das novas funcionalidades, a proteção contra fraudes e ataques cibernéticos é essencial para evitar prejuízos tanto para indivíduos quanto para empresas. Como é possível garantir a proteção ao usuário frente a um dos meios de pagamento mais importantes da atualidade no Brasil e que, recentemente, vem ganhando novos recursos – entre eles, o pagamento agendado e, posteriormente, pagamento por aproximação?

Somente em 2024, foram registrados dez casos de possível exposição de dados sensíveis relacionados ao sistema de pagamento instantâneo – um crescimento significativo em comparação a 2023, em que foi constatado apenas uma ocorrência de exposição de informações pessoais.

De acordo com Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Proteção de Dados, ao introduzir novas funcionalidades, como o agendamento de pagamentos e a opção por aproximação, o PIX amplia sua conveniência, mas também precisa redobrar os cuidados com segurança e proteção de dados.

“O agendamento de pagamentos, por exemplo, requer que informações do usuário fiquem armazenadas por mais tempo, o que exige um fortalecimento das medidas de segurança para evitar acesso indevido. Se não houver proteção adequada, o armazenamento prolongado desses dados aumenta o risco de que informações sejam capturadas em vazamentos ou acessadas por terceiros mal-intencionados”, explica.

No caso do pagamento por aproximação, a segurança depende de uma implementação cuidadosa do sistema de autenticação, especialmente por meio de dispositivos móveis. “A autenticação em dois fatores e a utilização de chaves dinâmicas e criptografia robusta são essenciais para proteger o usuário em transações que possam ser realizadas inadvertidamente ou em proximidade com outros dispositivos”, afirma Coelho.

Alexander ressalta que o pagamento por aproximação exige que o usuário esteja atento a notificações e bloqueios automáticos em caso de movimentações suspeitas, uma vez que o uso físico pode aumentar o risco de transações fraudulentas em áreas de grande circulação.

“Essas inovações, ainda que tragam praticidade, também ressaltam a importância de práticas de segurança robustas e da educação dos usuários sobre medidas de proteção. Novos recursos também representam novas superfícies de ataque para fraudadores, e é crucial que tanto os provedores quanto os usuários estejam vigilantes e preparados para proteger esses dados”, defende o especialista.

Já para Rafael Federici, sócio do CNF Advogados e especialista em Direito Digital e Proteção de Dados, o Pix tem uma estrutura central gerenciada pelo Banco Central do Brasil e é considerado um sistema altamente seguro, especialmente porque as informações das transações trafegam de forma criptografada na Rede do Sistema Financeiro Nacional, que é uma rede totalmente apartada da internet.

No entanto, o advogado explica que qualquer transação via PIX começa na autenticação dos usuários, que é feita por bancos, instituições de pagamento e fintechs. Para que isto ocorra, estes participantes necessitam guardar as chaves PIX dos usuários e os dados cadastrais básicos a elas associados.

“Normalmente os vazamentos de dados não ocorrem por falhas no sistema central de transações gerenciado pelo Banco Central, mas sim nas pontas da operação, ou seja, nas instituições que realizam a autenticação de usuários. Os vazamentos ocorrem invariavelmente por falhas de segurança da informação nas instituições participantes, ou seja, vulnerabilidades provocadas por configurações inadequadas, softwares desatualizados, erro humano ou ataques cibernéticos”, pontua.