Por Edilma Rodrigues
Ao todo, 576.785 mil chaves Pix vazaram, em três ocasiões: agosto de 2021, 414.526 chaves sob a posse do Banco do Estado de Sergipe (Banese); 160.147, em dezembro do mesmo ano, da Acesso Soluções de Pagamento e, em janeiro, 2.112 do Logbank Soluções em Pagamentos. Mas qual o perigo da exposição dessas chaves Pix?
De acordo com a Federação Brasileira de Bancos – Febraban, o vazamento das chaves Pix se deu a partir da utilização destas chaves para obtenção do número da conta que está associada a ela. “A transação do Pix continua segura e não há risco de o fraudador se apropriar daquela chave Pix em nome do cliente”, analisa a entidade. Isso porque as chaves Pix são utilizadas para identificação do destino dos recursos no caso de uma transferência, portanto a utilização das chaves PIX, olhadas de forma isolada, não trazem risco para os clientes.
O especialista em cibersegurança e CEO da CLM, Francisco Camargo, explica que o real perigo é o phishing: envio de e-mails ou mensagens com links maliciosos, que, por meio da engenharia social, atraem e enganam pessoas para roubar dados verdadeiramente críticos, como senhas, número de cartão, código de segurança.
“A maioria das pessoas usa como chave Pix o e-mail, número do celular ou CPF. As duas primeiras informações são de larga difusão, para fins práticos são públicas, já estão disponíveis. O CPF, no entanto, deveria ser tratado com mais cuidado por todos. É fácil encontrá-lo na internet. A conclusão lógica é que a chave PIX não é secreta. A única chave mais ou menos confidencial é a chave aleatória e é a única que garante uma certa privacidade ao usuário”, descreve.
A Febraban complementa que, além do risco de armadilhas por e-mail ou mensagem, há o perigo de ligações ilegítimas. “Na medida que o fraudador toma conhecimento do banco, agência e número da conta de um determinado cliente, ele pode ligar para o cliente, usando estes dados para convencê-lo a fornecer informações confidenciais, como senhas e números de cartões, ou para que faça transações em favor de bandidos”.
Camargo completa: “Todos esses golpes exploram emoções humanas, principalmente medo e ambição. Medo – seu Pix será bloqueado em uma hora. Atualize os dados no internet banking. E aí, um link conduz a uma cópia da página do seu banco, e a vítima inocentemente digita seu número de conta, sua senha, seu CPF, seu número de cartão, seu código do cartão, e assim, entrega tudo para os bandidos. Ambição – Ganhe 200 mil pontos inscrevendo agora seu cartão no super compra premiada. Promoção válida por seis horas (urgência). Digite número do cartão, data de vencimento, código de 3 dígitos, nome completo, CPF e endereço”.
É necessário trocar as chaves Pix?
A Febraban tranquiliza os clientes: não há necessidade de troca das chaves Pix porque a exposição dos dados bancários se limita ao nome do banco, número da agência e número da conta.
“O que realmente é um ponto importante é ficar atento a qualquer tipo de ligação telefônica pedindo senhas ou transferências bancárias, entrega de cartões de crédito ou débito e jamais clicar em nenhum link que tenha recebido em seu celular. Sempre utilize o aplicativo ou a internet banking do seu banco para realizar quaisquer movimentações ou atualizações cadastrais”.
Dicas da Febraban para evitar golpes:
– O banco nunca liga para o cliente pedindo senha nem o número do cartão e nunca liga para pedir para realizar uma transferência ou qualquer tipo de pagamento
– Os bancos nunca pedem o cartão de volta nem mandam portadores até a sua casa para buscá-lo
– Desconfie de pessoas pedindo dinheiro ou seus dados por aplicativos de mensagem
– Nunca divulgue informações pessoais nas redes sociais
– Nunca clique em links desconhecidos para fazer suas compras e nem em links recebidos por WhatsApp e SMS. E nunca clique em links que peçam sincronização, atualização, manutenção de token, app ou cadastro do banco.
Vazamentos x instituições financeiras
Para o executivo da CLM, o vazamento de chaves PIX mostra que a instituição financeira que as controlava não tomou os cuidados necessários para protegê-las, e isto é muito grave. As chaves PIX e todos os dados dos clientes da instituição financeira deveriam estar protegidos com criptografia e a rede da organização deveria ter no mínimo a proteção padrão para rede, servidores e desktops.
“Os golpes de sequestro para fazer transferências via PIX só existem porque os criminosos conseguem abrir contas ‘laranja’ em bancos ‘descuidados’. O que deveria ser muito difícil pois existem regulamentos do Banco Central a respeito: o princípio KYC – Conheça o seu cliente – é obrigação de todos os bancos”, assinala Camargo.
www.bcb.gov.br/pre/normativos/res/1993/pdf/res_2025_v5_L.pdf
“Art. 1º Para abertura de conta de depósitos é obrigatória a completa identificação do depositante, mediante preenchimento de ficha-proposta contendo, no mínimo, as seguintes informações, que deverão ser mantidas atualizadas.”
Para o CEO, uma forma de se reduzir drasticamente esse tipo de crime, é exigir que os bancos receptores, isto é, aqueles que abriram contas ‘laranja’ indenizem as vítimas, além de receberem multas punitivas crescentes do Banco Central”, finaliza.
