Parece que o brasileiro inventou uma nova funcionalidade para o Pix, novo sistema de pagamentos do Banco Central. Além das transferências em dinheiro, a plataforma também está sendo usada para o envio de mensagens pessoais.

Esse tipo de uso da plataforma começou a viralizar recentemente, com o caso de uma mulher que foi bloqueada pelo ex-namorado em todas as redes sociais e apelou para o Pix para abrir um canal de comunicação, enviando sucessivas transferências de R$ 0,01 com mensagens pedindo desculpas por uma traição.

Na tentativa de ajudar, um primo do homem postou o acontecido, perguntando se alguém sabia como bloquear as transferências indesejadas. 

Em busca da resposta, o Baguete procurou o Banco Central, onde mais se entende do assunto, que respondeu de forma categórica: “o meio de pagamento não funciona como uma rede social. Portanto, não é possível bloquear um usuário detentor de conta”, afirmou a instituição.

Para Waldo Gomes, especialista em segurança da NetSafe Corp, a alternativa mais viável seria a pessoa incomodada descadastrar a chave utilizada no Pix, como o CPF, por exemplo, e cadastrar uma outra sequência de caracteres, fora do alcance de terceiros.

Foi isso que o personagem da história fez, conforme disse Matheus Siqueira, autor da postagem, à Folha de São Paulo. No caso dele, a chave cadastrada era o número do celular.

O método, no entanto, não é 100% eficaz, já que é possível fazer um tipo de transferência sem a chave, apenas utilizando os dados da conta bancária. 

Gomes lembra que a nova plataforma do BC permite uma quantidade maior de caracteres do que as transferências por DOC ou TED — são 140, limite de uma mensagem de SMS — e, portanto, uma alternativa futura poderia ser a redução do número de caracteres, deixando espaço apenas para identificar a transação.

“Eu imagino que, se essa funcionalidade for utilizada de uma forma errada, muito provavelmente eles façam uma operação ao longo da rota e limitem a quantidade de caracteres. Realmente esse não é o intuito da ferramenta”, acredita Gomes.

Sobre permitir que os bancos desenvolvam o bloqueio no futuro, ou mesmo a possibilidade de diminuir o número de caracteres, o BC se limitou a dizer que “não há nada no momento sobre estes dois assuntos”.

Tão cedo, os bancos não devem colocar em prática algo do gênero, já que, via de regra, devem seguir o escopo definido pelo Banco Central e não têm autonomia para desenvolver o bloqueio ou novas funcionalidades para o Pix.

“Temos ali todo um roadmap de funcionalidades que foram pré-definidas, como exclusão de chaves, transferências, pagamentos e recebimento via QR code. Até os campos, informações e mensagens têm que ser como o Banco Central definiu e esse tipo de bloqueio não foi previsto inicialmente”, explica Alexandre Rezende, gerente de desenvolvimento de produto da DB1.

A empresa paranaense de desenvolvimento de software trabalha em projetos relacionados com o Pix, cujo sistema de transferência é oferecido hoje por mais de 700 instituições diferentes no segmento financeiro, indo desde os grandes bancos até players regionais e fintechs.

Rezende acredita que, para o mundo do software, tudo é possível e não se trata de algo complexo de se fazer, mas as empresas somente vão adotar esse tipo de bloqueio se o BC exigir. 

Segundo o Banco Central, o único bloqueio possível atualmente é em caso de fraude. Nessa situação, a conta pode ser bloqueada em todo o sistema, ou seja, para todos os usuários.

Outros brasileiros nem pensam em bloqueio: estão utilizando a ferramenta para paquerar e publicam suas chaves com cantadas do tipo “não me mande flores, me mande um Pix” ou "aqui é ruim de conversar, anota o número do meu Pix", conforme informa o Uol.

Para Daniel Barbosa, pesquisador de segurança da ESET, o ideal nesses casos seria escolher a opção “chave aleatória” e informar os números apenas quando realmente for necessário. Mesmo que ela não seja o celular, CPF ou e-mail, a exposição da chave nas redes sociais é arriscada.

“Ao iniciar um processo de transferência de valores através do Pix, o sistema exibe o nome completo do titular vinculado à chave e um fragmento do CPF, ou seja, isso pode fazer com que criminosos tenham mais facilidade de encontrar informações sobre possíveis vítimas e entrem em contato com elas posteriormente”, alerta Barbosa.

Seja para “somente” fazer transferências bancárias, conversar ou paquerar, o que parece ser unanimidade entre os especialistas é a confiança de que a plataforma Pix é segura.

“A segurança é muito forte, pois existem redes privadas de conexão com o próprio Banco Central, então é impossível fazer qualquer tipo de violação das informações. Foi tudo bem pensado”, avalia Rezende.

Para Waldo Gomes, quando se fala sobre fraude ou vulnerabilidades, não se trata do sistema e sim da forma de divulgação. 

Um lojista pode, por exemplo, colocar um cartaz com o QR Code no balcão e alguém trocar a imagem, fazendo com que os pagamentos sejam direcionados para a conta de um terceiro — algo parecido com o que acontece com as maquininhas de cartão, que frequentemente são trocadas com esse intuito.

Outra possibilidade seria o envio de links de alguém se passando pela instituição financeira em busca de informações cadastrais do usuário.

“O ideal é não clicar no link, sempre acessar a plataforma bancária e fazer o cadastro diretamente na plataforma, evitando ao máximo fazer esse acesso via rede social, e-mail ou SMS, porque esses são os caminhos mais típicos de fraude”, aconselha o diretor da Netsafe Corp.

Já o uso do CPF de terceiros para cadastramento da chave não é considerado uma fraude, pois trata-se apenas de uma sequência numérica. Segundo Gomes, se alguém tentar se cadastrar e o seu número já estiver sendo usado, basta criar outra chave.

“Na hora que você faz a transferência, o sistema faz uma menção ao nome e conta de quem irá receber. Algum dado dali você tem que saber, então é muito improvável que você não saiba nem o nome da pessoa para quem está enviando dinheiro”, opina Gomes.

Para 2021, já existem outros recursos a serem disponibilizados pelo Banco Central, como o saque em comércios credenciados, a compra parcelada e o pagamento por aproximação de NFS-e.

“É um trabalho contínuo, tanto com manutenção quanto de evolução de novas funcionalidades que estão por vir. Tem bastante coisa interessante que vai atender melhor a população, então acredito que esses recursos de bloqueio vão ficar em segundo ou terceiro plano”, aposta Rezende.