O Pix já é uma realidade! O novo modelo para realização de pagamentos e transferências foi desenvolvido pelo Banco Central e já passou pela fase de cadastramento dos clientes e ficou disponível de forma restrita para alguns clientes até o dia 15 de novembro. No dia 16, o Pix começou a operar para o público em geral, para todos os participantes que cumpriram a fase de testes no período anterior. Na fase de pré-cadastro, o mecanismo levantou discussões sobre a segurança dos usuários e das transações bancárias.
Não que o Pix deixe de ser uma inovação, muito pelo contrário. O Sistema Financeiro Nacional precisava de uma revolução como essa. Pagamentos à qualquer hora e em qualquer dia da semana, mesmo aos finais de semana e feriados. Trata-se de um grande avanço em termos econômicos, já que as transações não precisarão aguardar determinado horário ou dia para serem compensadas. No entanto, apesar de oferecer mais facilidade para os clientes bancários e empresas, o Pix também pode propiciar facilidades para os fraudadores, caso o assunto segurança não seja tratado com a atenção que merece.
Fraudadores se aproveitam do período de cadastro do Pix para roubar dados de usuários
Alertei sobre a necessidade da sociedade como um todo — e, principalmente dos bancos, fintechs, carteiras digitais e outras instituições financeiras — para aumentarem a atenção quanto à segurança da informação. Afinal, o que facilita para o consumidor pode também facilitar para os fraudadores. Já não é novidade ouvirmos falar de diversas notícias sobre as tentativas de fraudes envolvendo o Pix.
Antes mesmo de entrar em funcionamento, o Pix já era alvo de campanhas de phishing. Para quem não está familiarizado com o termo, phishing é uma técnica utilizada por fraudadores que, por meio de mensagens falsas — mas que parecem legítimas —, tem o objetivo de coletar dados bancários e pessoais de clientes bancários, como senhas, número de CPF e celular.
O roubo de tais informações é um grande risco para a segurança do sistema bancário e, principalmente, para os seus consumidores. Isso porque existe a possibilidade de essas informações serem utilizadas para fraudes no futuro.
Por mais que as instituições financeiras invistam em campanhas educativas e mecanismos de segurança, sabemos que a criatividade dos fraudadores e a maturidade de uma parcela da população (elo mais fraco dos processos de segurança) colocam em risco senhas e dados pessoais, reacendendo a necessidade por novos métodos de autenticação e validação destes consumidores legítimos.
Será mesmo a senha um mecanismo eficiente para autenticação dos consumidores?
Já está mais do que comprovado que não. Com o avanço da tecnologia e da criatividade dos fraudadores, novas soluções precisam ser apresentadas.
A princípio, as empresas passaram a exigir de seus clientes a adoção de senhas complexas. Porém, o que aparentemente seria uma solução, já se mostrou vulnerável. Afinal, mesmo uma senha complexa perde totalmente o sentido quando algum dos erros muito comuns acontecem por parte do consumidor:
- Utilização da mesma senha em outros sites menos seguros;
- Armazenamento da senha em arquivos de computador, aparelhos celulares ou papéis;
- Ataques aos bancos de dados onde as senhas são armazenadas;
- Infecção por vírus e programas maliciosos do tipo KeyLogger (programas especializados em capturar as informações digitadas pelo consumidor);
- Empréstimo da senha para terceiros;
- Ataques de engenharia social.
Com tantos pontos fracos, o método tradicional de autenticação de usuários por meio das senhas começa a perder força no mercado. Além do alto custo e investimentos em segurança para manter bancos de dados protegidos contra ataques criminosos, os usuários serão sempre o elo mais fraco da segurança.
Passwordless: a solução de segurança do futuro!
Se as senhas são um grande problema de segurança para bancos, fintechs e todos os tipos de empresas, a solução está em não utilizar senhas. Pode não parecer lógico, afinal, se com as senhas já não temos a segurança desejada, pior ainda seria ficar sem elas.
Em virtude do avanço tecnológico, mecanismos mais eficientes de autenticação de usuários podem ser empregados. Mecanismos esses que dispensam o uso de senhas e se apresentam como solução para evitar fraudes de segurança, como vimos nas notícias com a chegada do Pix.
É preciso ir muito além do antigo e simplório padrão de segurança com base em senhas. Precisamos adotar padrões de autenticação adaptativa e avaliação de risco contínua e estar prontos para responder perguntas do tipo:
- Conheço esse indivíduo?
- Conheço este dispositivo?
- Este indivíduo já realizou alguma transação por este dispositivo?
- Essa transação está sendo realizada de uma localização geográfica conhecida e frequentada pelo usuário?
- Dentre outras combinações de regras de segurança.
Dado a evolução das tecnologias e recursos como Inteligência Artificial, hoje já estamos prontos para este novo salto.
A solução de segurança que não utiliza senhas
Um sistema de segurança e análise de riscos realiza a análise de comportamento dos consumidores. Avalia, por exemplo, o DNA do dispositivo (“DeviceDNA“), Geolocalização, horário de acesso, entre outros fatores (incluindo Machine Learning). É capaz de entender o comportamento e validar se é um consumidor legítimo ou um fraudador e oferecer maior segurança aos consumidores e às instituições — evitando fraudes e proporcionando a estratégia passwordless* aos clientes.
Essas soluções são capazes de reduzir a ocorrência de fraudes e proteger os consumidores contra ataques em diversos tipos de canais. Além disso, fornece às empresas a capacidade de aplicar diferentes níveis de autenticação, dependendo da transação e pontuação de risco calculada. Possibilita o ajuste de conjuntos de regras e pontuações (“score“) para que correspondam à tolerância a riscos e executem o gerenciamento de casos em atividades suspeitas.
Outros benefícios oferecidos por soluções de análise de riscos e comportamento:
- Fornece uma experiência ao consumidor sem atrito por meio de análise de risco transparente;
- Reduz a exposição a violações de dados, acesso inadequado e roubo de identidade;
- Reduz o custo das operações, diminuindo a fraude online;
- Ajuda a cumprir os regulamentos governamentais e as diretrizes do setor para uma autenticação mais forte;
- Simplifica a autenticação, possibilitando que os usuários acessem facilmente o sistema sem precisar memorizar senhas e sem se expor ao risco de fraudes;
- Evita danos causados por fraudes. A autenticação forte integra dispositivos móveis no processo de conexão do usuário, usando um método multi-fatores de autenticação.
As recentes notícias que alertam sobre o aproveitamento do Pix por fraudadores — para roubar senhas e dados de clientes — comprovam a necessidade de novas tecnologias de autenticação, proteção e a substituição das senhas por métodos mais eficazes. Isso mostra que segurança não é uma barreira, e sim inovação.
*A estratégia Passwordless une a as melhores práticas de segurança com a melhor experiência para o consumidor. Permite um acesso sem fricção (“frictionless”) quando o cliente tem baixo risco de segurança. Isso, ao mesmo tempo em que fatores fortes de controle são acionados automaticamente quando identificado algum tipo de risco ou um comportamento inesperado. Isso é o que chamamos de autenticação adaptativa e avaliação de risco contínua. Afinal, não podemos esquecer que as fraudes evoluem dia após dia.
