Sócrates Suares explica os principais pontos do novo manual de segurança do Pix – publicação que prioriza a segurança dos dados dos usuários e aponta boas práticas para as instituições financeiras, sobretudo para as áreas de cibersegurança dos bancos
Para marcar a comemoração dos dois anos de implementação do Pix, o Banco Central divulgou o lançamento da versão 3.5 do manual de segurança da ferramenta, que se transformou no meio de pagamento mais utilizado pelos brasileiros. De acordo com levantamento da Federação Brasileira de Bancos (Febraban), já foram realizadas 26 bilhões de transações via Pix – cerca de R$ 12,9 trilhões movimentados.
O problema é que, ao lado da intensificação do uso do instrumento, sobreveio o incremento no número de delitos. Entre janeiro e junho de 2022, o Banco Central registrou algo em torno de 739 mil indícios de crimes relacionados ao Pix. Em igual período de 2021, o montante foi de 25 mil – o que configura um salto superior a 2.800% entre um ano e outro. Os números são do Poder 360, que obteve as estatísticas por meio da Lei de Acesso à Informação (LAI).
Tendo em vista o quadro atual favorável à expansão da criminalidade, o advogado Sócrates Suares, sócio do escritório Campos e Antonioli Advogados Associados, especializado em Direito Penal Econômico, em artigo publicado pela ConJur, enfatiza que a atualização do manual de segurança prioriza a proteção de dados.
O texto, que teve a sua versão inicial apresentada em janeiro de 2020, estabelece os requisitos técnicos de segurança do sistema de transferência instantânea: a forma de implantação e autenticação da criptografia da comunicação e os processos de assinaturas e de gestão de certificados digitais. O material também elenca as premissas para a utilização segura de aplicativos e de interfaces de programação de aplicações (APIs) e para a manutenção de logs de auditoria.
No entendimento de Sócrates Suares, que atua no segmento de segurança bancária, “proteção e gestão de dados segura são elementos essenciais para o avanço contínuo do Pix”. Nesse contexto, ele avalia que o manual de segurança se coloca como “uma ferramenta primordial para garantir o funcionamento do sistema”.
O advogado sustenta que, para assegurar a segurança e a confiabilidade do Pix, é fundamental a fixação de premissas e mecanismos de controle que possam ser realizados por todos os integrantes do processo de movimentação financeira.
“Suas atualizações são essenciais, e os requisitos de controle e segurança devem ser colocados em prática não somente pelo Banco Central, mas por todos os participantes do sistema, inclusive os clientes bancários, que devem seguir à risca as orientações de segurança recomendadas pelas instituições financeiras para a garantia, a segurança e eficácia do sistema”, escreveu o criminalista.
Manual de Segurança Pix V3.5
Por meio da Instrução Normativa DECEM Nº 323/22, o chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), Angelo José Mont Alverne Duarte, instituiu a edição 3.5 do manual de segurança do Pix. O documento está previsto no Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020.
A publicação descreve as principais premissas técnicas de segurança do mecanismo de pagamentos instantâneos e contempla, ainda, questões relacionadas à iniciação de pagamentos por QR Codes dinâmicos.
“O manual também aponta o que entende como ‘Boas Práticas’ que as instituições participantes devem adotar como processos adequados de gestão dos seus certificados digitais, utilização de certificados distintos e exclusivos para cada finalidade e uso de dispositivos de criptografia baseados em hardware (HSMs) para armazenamento das chaves privadas dos certificados”, complementa Sócrates Suares.
Ele destaca uma novidade inserida no item 7 da seção 6 do documento – que determina que a realização de consulta de chaves nas transações de Pix por meio do site web do participante só deve ser permitida a usuários devidamente logados, estando sujeita a mecanismos de segurança que impeçam o uso de robôs e a automatização de consultas e transações, tais como autenticação do usuário por dois fatores, captcha e token, em dispositivo cadastrado previamente.
Para finalizar, Suares lembra que, desde o início do emprego dessa modalidade de pagamento, o Bacen confirmou quatro vazamentos de dados, sendo que a última ocorrência registrou o vazamento de informações vinculadas a aproximadamente 130 mil chaves em setembro de 2022 – daí, segundo o advogado, a importância das atualizações, que podem mitigar fraudes e vazamentos de dados dos clientes das instituições participantes do sistema.
Proliferação de chaves
O quantitativo de chaves cadastradas no Banco Central dá a dimensão da popularidade do Pix. A maioria se constitui de sequências aleatórias: mais de 222 milhões. Há 115 milhões de chaves atreladas a CPFs. No caso de números de celular, são 110 milhões. Já os e-mails estão presentes em 79 milhões de chaves.
As pessoas físicas respondem por 512 milhões de chaves. As pessoas jurídicas, por sua vez, contabilizam 24 milhões.
A região sudeste concentra 43% das transações via Pix. O nordeste aparece em segundo lugar, com 26%. Na sequência vem o Sul, com 12%, seguido por norte e centro-oeste, com 9% e 8%, respectivamente.
A responsabilidade dos bancos em delitos e fraudes com Pix
O Enunciado 14 da Seção de Direito Privado do Tribunal de Justiça de São Paulo (TJ-SP), aprovado recentemente, uniformizou entendimentos jurisprudenciais e estabeleceu critérios para configurar a responsabilidade das instituições financeiras por perdas decorrentes de golpes vinculados ao Pix.
Diz o texto do enunciado: “na utilização do Pix, havendo prática de delito ou fraude por terceiros, em caso de fortuito interno, a instituição financeira responde pelas indenizações por danos materiais e morais quando evidenciada a falha na prestação de serviços, falhas na segurança, bem como desrespeito ao perfil do correntista aplicáveis as Súmulas 297 e 479, bem como a tese relativa ao tema repetitivo 466, todas do STJ”.
#manualdesegurança #pix #bancos #instituiçõesfinanceiras #proteçãodedados
Leia também: Criptoreal? O que é e como vai funcionar o Real Digital
Siga nosso Instagram: @campos.antonioliadv