Logo E-Commerce Brasil
7 min

Pix e o cuidado com a segurança para evitar fraudes

Foto Fernando Oliveira
Por: Fernando Oliveira

É Fundador e CTO da IDEssentials, unidade de negócios SEC4YOU, com foco em identidade, prevenção de fraudes e privacidade!

Ver página do autor
O Pix já é uma realidade! O novo modelo para realização de pagamentos e transferências foi desenvolvido pelo Banco Central e já passou pela fase de cadastramento dos clientes e ficou disponível de forma restrita para alguns clientes até o dia 15 de novembro. No dia 16, o Pix começou a operar para o público em geral, para todos os participantes que cumpriram a fase de testes no período anterior. Na fase de pré-cadastro, o mecanismo levantou discussões sobre a segurança dos usuários e das transações bancárias. Não que o Pix deixe de ser uma inovação, muito pelo contrário. O Sistema Financeiro Nacional precisava de uma revolução como essa. Pagamentos à qualquer hora e em qualquer dia da semana, mesmo aos finais de semana e feriados. Trata-se de um grande avanço em termos econômicos, já que as transações não precisarão aguardar determinado horário ou dia para serem compensadas. No entanto, apesar de oferecer mais facilidade para os clientes bancários e empresas, o Pix também pode propiciar facilidades para os fraudadores, caso o assunto segurança não seja tratado com a atenção que merece.

Fraudadores se aproveitam do período de cadastro do Pix para roubar dados de usuários

Alertei sobre a necessidade da sociedade como um todo — e, principalmente dos bancos, fintechs, carteiras digitais e outras instituições financeiras — para aumentarem a atenção quanto à segurança da informação. Afinal, o que facilita para o consumidor pode também facilitar para os fraudadores. Já não é novidade ouvirmos falar de diversas notícias sobre as tentativas de fraudes envolvendo o Pix. Antes mesmo de entrar em funcionamento, o Pix já era alvo de campanhas de phishing. Para quem não está familiarizado com o termo, phishing é uma técnica utilizada por fraudadores que, por meio de mensagens falsas — mas que parecem legítimas —, tem o objetivo de coletar dados bancários e pessoais de clientes bancários, como senhas, número de CPF e celular.  O roubo de tais informações é um grande risco para a segurança do sistema bancário e, principalmente, para os seus consumidores. Isso porque existe a possibilidade de essas informações serem utilizadas para fraudes no futuro. Por mais que as instituições financeiras invistam em campanhas educativas e mecanismos de segurança, sabemos que a criatividade dos fraudadores e a maturidade de uma parcela da população (elo mais fraco dos processos de segurança) colocam em risco senhas e dados pessoais, reacendendo a necessidade por novos métodos de autenticação e validação destes consumidores legítimos.

Será mesmo a senha um mecanismo eficiente para autenticação dos consumidores?

Já está mais do que comprovado que não. Com o avanço da tecnologia e da criatividade dos fraudadores, novas soluções precisam ser apresentadas. A princípio, as empresas passaram a exigir de seus clientes a adoção de senhas complexas. Porém, o que aparentemente seria uma solução, já se mostrou vulnerável. Afinal, mesmo uma senha complexa perde totalmente o sentido quando algum dos erros muito comuns acontecem por parte do consumidor:
  • Utilização da mesma senha em outros sites menos seguros;
  • Armazenamento da senha em arquivos de computador, aparelhos celulares ou papéis;
  • Ataques aos bancos de dados onde as senhas são armazenadas;
  • Infecção por vírus e programas maliciosos do tipo KeyLogger (programas especializados em capturar as informações digitadas pelo consumidor);
  • Empréstimo da senha para terceiros;
  • Ataques de engenharia social.
Com tantos pontos fracos, o método tradicional de autenticação de usuários por meio das senhas começa a perder força no mercado. Além do alto custo e investimentos em segurança para manter bancos de dados protegidos contra ataques criminosos, os usuários serão sempre o elo mais fraco da segurança.

Passwordless: a solução de segurança do futuro!

Se as senhas são um grande problema de segurança para bancos, fintechs e todos os tipos de empresas, a solução está em não utilizar senhas. Pode não parecer lógico, afinal, se com as senhas já não temos a segurança desejada, pior ainda seria ficar sem elas. Em virtude do avanço tecnológico, mecanismos mais eficientes de autenticação de usuários podem ser empregados. Mecanismos esses que dispensam o uso de senhas e se apresentam como solução para evitar fraudes de segurança, como vimos nas notícias com a chegada do Pix. É preciso ir muito além do antigo e simplório padrão de segurança com base em senhas. Precisamos adotar padrões de autenticação adaptativa e avaliação de risco contínua e estar prontos para responder perguntas do tipo:
  • Conheço esse indivíduo?
  • Conheço este dispositivo?
  • Este indivíduo já realizou alguma transação por este dispositivo?
  • Essa transação está sendo realizada de uma localização geográfica conhecida e frequentada pelo usuário?
  • Dentre outras combinações de regras de segurança.
Dado a evolução das tecnologias e recursos como Inteligência Artificial, hoje já estamos prontos para este novo salto.

A solução de segurança que não utiliza senhas

Um sistema de segurança e análise de riscos realiza a análise de comportamento dos consumidores. Avalia, por exemplo, o DNA do dispositivo ("DeviceDNA"), Geolocalização, horário de acesso, entre outros fatores (incluindo Machine Learning). É capaz de entender o comportamento e validar se é um consumidor legítimo ou um fraudador e oferecer maior segurança aos consumidores e às instituições — evitando fraudes e proporcionando a estratégia passwordless* aos clientes. Essas soluções são capazes de reduzir a ocorrência de fraudes e proteger os consumidores contra ataques em diversos tipos de canais. Além disso, fornece às empresas a capacidade de aplicar diferentes níveis de autenticação, dependendo da transação e pontuação de risco calculada. Possibilita o ajuste de conjuntos de regras e pontuações ("score") para que correspondam à tolerância a riscos e executem o gerenciamento de casos em atividades suspeitas.

Outros benefícios oferecidos por soluções de análise de riscos e comportamento: 

  • Fornece uma experiência ao consumidor sem atrito por meio de análise de risco transparente;
  • Reduz a exposição a violações de dados, acesso inadequado e roubo de identidade;
  • Reduz o custo das operações, diminuindo a fraude online;
  • Ajuda a cumprir os regulamentos governamentais e as diretrizes do setor para uma autenticação mais forte;
  • Simplifica a autenticação, possibilitando que os usuários acessem facilmente o sistema sem precisar memorizar senhas e sem se expor ao risco de fraudes;
  • Evita danos causados por fraudes. A autenticação forte integra dispositivos móveis no processo de conexão do usuário, usando um método multi-fatores de autenticação. 
As recentes notícias que alertam sobre o aproveitamento do Pix por fraudadores — para roubar senhas e dados de clientes — comprovam a necessidade de novas tecnologias de autenticação, proteção e a substituição das senhas por métodos mais eficazes. Isso mostra que segurança não é uma barreira, e sim inovação. *A estratégia Passwordless une a as melhores práticas de segurança com a melhor experiência para o consumidor. Permite um acesso sem fricção ("frictionless") quando o cliente tem baixo risco de segurança. Isso, ao mesmo tempo em que fatores fortes de controle são acionados automaticamente quando identificado algum tipo de risco ou um comportamento inesperado. Isso é o que chamamos de autenticação adaptativa e avaliação de risco contínua. Afinal, não podemos esquecer que as fraudes evoluem dia após dia.