O novo sistema de pagamentos do Banco Central é seguro? Previsto para cadastro individual em outubro e para estrear em novembro, o chamado PIX vai encarar o desafio de aguentar milhares de transações por segundo, impedir golpes e preservar a segurança dos usuários.
Especialistas em segurança consultados pelo Portal do Bitcoin veem essas ameaças como algo inerente ao mercado, mas se dividem entre críticas a alguns pontos e a confiança no sistema.
“O BC enxerga que um vazamento das chave privada pode comprometer o sistema e arranhar a imagem do PIX”, diz Armando Santos, gerente comercial da Kryptus, empresa especializada em criptografia e segurança da informação.
Santos, no entanto, chama a atenção para o que considera um dos raros pontos fracos do PIX: a falta de uma diretriz definida por parte do BC sobre como evitar golpes, apesar da recomendação do cuidado com as chaves privadas.
Fernando Tasso, fundador da Prodist, que desenvolve soluções para o sistema, vê a situação de outra maneira: “Não vejo razão para supor que o PIX venha a se tornar um primeiro caso de negligência com a segurança”,
Ele lembra que a segurança da nova tecnologia tem como ponto de partida o SPB (Sistema de Pagamentos Brasileiro), que está em operação desde 2002 e é considerado de grande qualidade técnica.
Para o sistema de pagamentos instantâneos, o BC criou e disponibilizou um Manual de Segurança para orientar as instituições aderentes. E uma determinação salta aos olhos logo nas primeiras páginas do documento.
“É necessário implementar criptografia e autenticação mútua na comunicação entre os participantes e o PIX e as mensagens transmitidas no âmbito do sistema devem ser assinadas digitalmente”, diz o manual do BC.
Questionado pela reportagem sobre como está discussão sobre prevenção a fraudes em meio ao PIX, o BC não respondeu até o fechamento deste texto.
Investimentos necessários
Até o momento, cabe a cada integrante do PIX zelar ao máximo para garantir segurança à sua operação junto ao serviço. Santos indica duas frentes a serem trabalhadas:
“A primeira coisa é melhorar a proteção do certificado digital, e é o que temos trabalhado com nossos clientes. E também a cibersegurança, para encontrar dentro das soluções desenhadas junto ao BC as fragilidades a serem resolvidas”.
Para Marcelo Rosa, head de produtos Sinqia, que presta assessoria na na adesão ao PIX, outro investimento necessário é na mudança de cultura de segurança junto às instituições.
Leia Também
“Sempre vamos estar correndo atrás dos fraudadores. O segredo do ambiente não é ser infalível, mas ser capaz de identificar e corrigir falhas novas”.
Já Tasso chama a atenção para que cada empresa leve em conta o volume de transações que terá para buscar a solução mais adequada. Dessa forma, segundo ele, “evita-se comprar um canhão para matar uma formiga”.
Auditando o PIX
Auditores independentes, no entanto, já apresentam uma postura mais crítica em relação à segurança do PIX. É o caso do especialista em segurança Everton Melo, que escreveu no LinkedIn um artigo no qual critica a pouca abertura do BC a contribuições externas ao código do sistema.
Segundo ele, esse ambiente fechado dificulta a identificação de eventuais falhas.
“É o modus operandi dos bancos. Eles acham que escondendo a tecnologia ninguém vai poder invadi-los. E no mercado negro já tem gente se movimentando”, critica o analista de sistemas.
Melo diz que, a partir dos códigos disponíveis publicamente, vê o sistema ainda muito cru e que isso contradiz o discurso Open source usado pelo BC para se referir ao PIX
“Tenho um histórico aqui como auditor independente que, geralmente, quando você reporta um bug, as empresas ignoram”, diz.
Situação do PIX
O PIX encontra-se atualmente em sua fase de homologação, que vai até 16 de outubro — exatamente um mês antes do seu lançamento oficial ao público. Antes ainda, para 3 de novembro, está agendado um Soft Opening, uma espécie de pré-estreia do serviço, no qual serão demonstradas algumas das funcionalidades iniciais do PIX.
Ao todo, são 980 instituições que se habilitaram a integrar a ferramenta de pagamentos instantâneos desde seu começo. Uma nova rodada de adesões estará aberta a partir de dezembro, já com o serviço em atividade.
Vale lembrar que a adesão ao PIX era obrigatória a todas as instituições com mais de 500 mil contas ativas. A determinação partiu do BC se deu como forma de estabelecer o PIX como um padrão a ser seguido pelo mercado, além de assegurar sua rápida adoção pelos principais integrantes.
- Leia também: Sistema de pagamentos PIX será a morte da TED e do DOC? Entenda
- “Vão quebrar, mas é assim que se começa”, diz Henrique Bredda sobre novos investidores da Bolsa