Uma das mudanças pretende aumentar o nível de responsabilidade das próprias instituições financeiras em relação às regras de segurança, impondo mais uma “barreira” para tentar conter os episódios de vazamento de dados. O BC também deve criar marcações específicas nas notificações de fraudes para suspeitas de uso de “conta laranja” e de falsidade ideológica (leia mais abaixo).
Embora o índice de fraudes no Pix seja considerado baixo, com uma média de ocorrências de 0,007% em relação ao total de transações, conforme o BC, a repercussão pública de casos de golpes e fraudes tem sido grande em meio ao sucesso na adesão e na utilização da ferramenta pelos brasileiros.
As novas medidas constam da apresentação da mais recente reunião do Fórum Pix, em 22 de setembro, quando o BC deu o sinal verde para as modificações. Nesse fórum, com a participação de diversos agentes do mercado, o regulador colhe subsídios sobre as regras de funcionamento do sistema de pagamentos instantâneos A segurança, considerada um ponto de preocupação e aprimoramento constante, tem um grupo específico de trabalho.
O BC ainda deve debater outras medidas para aumentar a robustez das regras de segurança do meio de pagamento. Já estão na pauta discussões sobre mudanças no chamado Mecanismo Especial de Devolução (MED), que acelera o ressarcimento de valores às vítimas de golpes ou falhas operacionais das instituições após comunicação pelo usuário.
Para reforçar o Pix, a primeira proposta aceita pelo Banco Central (BC) é a criação de um questionário de autoavaliação de aderência dos bancos ao manual de segurança, que será aplicado também aos atuais participantes. O documento deverá ser respondido pela área de segurança da instituição, mas validado por uma “segunda linha de defesa”, que pode ser uma auditoria interna ou externa.
Hoje, ao aderir ao Pix, a instituição financeira já se compromete automaticamente com o conjunto de regras, mas a nova camada de responsabilização pretende aumentar o grau de obediência dos participantes e, assim, as barreiras contra vazamento de dados.
Desde a criação do meio de pagamento, em novembro de 2020, houve quatro incidentes de vazamento de dados relacionados a chaves Pix, todos, segundo o BC, devido a falhas de segurança pontuais no sistema dos participantes – que não conseguiram bloquear os chamados ataques de varredura, quando o criminoso fica inserindo números no sistema do banco até acertar as chaves.
Outra mudança a ser adotada é a permissão para que as instituições financeiras “marquem”, nas notificações obrigatórias de fraudes, os CPFs ou CNPJs em que haja “fundada suspeita” de uso indevido de contas com “etiquetas” específicas. Vão ser criados marcadores para “conta laranja” ou aluguel de conta – uso temporário pelo criminoso mediante pagamento – e para falsidade ideológica na abertura do cadastro com o banco.
