Golpe do Pix agendado: o que os bancos podem fazer para impedi-lo?

    Insights » Americas » Golpe do Pix agendado: o que os bancos podem fazer para impedi-lo?

    O golpe do Pix agendado é um exemplo de como instituições financeiras de todos os tamanhos podem ajudar a evitar fraudes no sistema. Ao analisar onze bancos e fintechs, vimos que há uma solução bem simples.

    Golpes e fraudes com Pix

    Sulivan Rocha

    Sr. Analista – Pagamentos – Comércio Eletrônico – Brasil

    Entre em contato

    Lançado no fim de 2020, o Pix viu sua adoção crescer exponencialmente, atingindo quase 15 milhões de empresas e 150 milhões de pessoas físicas (85% dos adultos brasileiros). Funcionando 24 horas por dia, 7 dias por semana, com transações concluídas em segundos e totalmente gratuito para transferências entre pessoas físicas, o Pix tem sido fundamental para a maior inclusão financeira dos brasileiros1. Mas são também essas mesmas características que atraem fraudadores e golpistas.

    Embora o índice de fraudes do Pix seja baixo — com ocorrência média de apenas 0,007% do total de transações, segundo o Banco Central — o impacto dos golpes na percepção da população é considerável, dada a popularidade do sistema.

    De acordo com o próprio Banco Central, “a segurança é um elemento primordial do Pix e, para garanti-la, requisitos importantes devem ser estabelecidos e diversos controles devem ser colocados em prática, não só pelo Banco Central, mas por todos os participantes do ecossistema2. O assunto é tratado permanentemente por meio do Grupo Estratégico de Segurança (GE-Seg), que reúne o regulador e as entidades representativas de bancos e fintechs. Entre as melhorias já anunciadas nos mecanismos de segurança do sistema estão:

    • Permitir que usuários e instituições determinem tetos para as transações, limitando-as a valores menores à noite;

    • Permitir bloqueios preventivos, ou seja, que as instituições possam bloquear preventiva e temporariamente as transferências de fundos caso suspeitem de fraude;

    • Introduzir o chamado Mecanismo Especial de Retorno (MED), que agiliza os reembolsos para vítimas de fraudes ou falhas operacionais após denúncias;

    • Reforçar regras e mecanismos antifraude e de proteção de dados no Diretório de Identificadores de Contas Transacionais.

    • E começando neste ano, não só a a polícia e as autoridades passaram a ter acesso direto aos dados do sistema para investigações,3 como as instituições precisarão compartilhar entre si informações sobre golpes e fraudes.

    Atualmente um dos principais casos de fraude utilizando o Pix é o ‘Golpe do Pix Agendado’, que acontece quando o golpista realiza uma compra e compartilha com o lojista o suposto comprovante de pagamento da transação. O recibo, porém, é na verdade um comprovante de agendamento da transação, que é cancelado logo depois que o golpista retira o produto na loja. O pagamento nunca é realmente realizado.

    Pensando neste caso, que prejudica principalmente as pequenas e médias empresas, resolvi investigar como é a experiência em diversos bancos e fintechs na hora de agendar uma transação no Pix.

    Não existe melhor prevenção para esse golpe do que o lojista conferir em sua conta bancária se a transação realmente foi realizada e se o valor foi de fato recebido. Por outro lado,  nada impede que um fraudador detalhista crie um comprovante falso em programas de edição de imagem — quando falamos de prevenção à fraude, quanto mais camadas de proteção para dificultar a ação de criminosos, melhor.

    Ressalto que a regulação do Banco Central (Requisitos Mínimos para Experiência do Usuário) estabelece que “caso o usuário pagador agende o pagamento, o PSP (provedor de serviços de pagamento) deve disponibilizar o comprovante de agendamento, destacando expressamente que é referente a um agendamento de transação Pix.”

    Eu testei onze instituições, entre bancões, bancos digitais e carteiras digitais, e o resultado foi péssimo:

    O Will Bank é o único que possui uma diferenciação clara no design (cor) entre os comprovantes de agendamento e de transferência.

    Apenas BTG e Iti, o banco digital do Itaú, possuem um aviso no comprovante de agendamento dizendo que ele não é uma garantia de pagamento.

    Todos os outros players (veja o exemplo do Santander, abaixo) utilizam a mesma estrutura e design nos dois comprovantes, com diferenças apenas nos textos.

    Golpes do Pix agendado é facilitado por recibos bancários mal pensados.

    Não sou especialista em design/UX, mas está claro para mim o quão confusos esses recibos podem ser — convido, inclusive, os profissionais dessas áreas a pensarem em como fazer com que esses recibos não sejam mais mal interpretados ou falsificados.

    Além disso, “destacar expressamente” é algo subjetivo, não? Acredito que o Banco Central poderia melhorar esses requisitos de diferenciação para padronizar novos modelos de recibos, estabelecer diferenças de design mais claras para dificultar a falsificação desses recibos e criar modelos alternativos para validação de transações.

    Eu sei que mais camadas de segurança podem atrapalhar o que o Pix tem de melhor: a instantaneidade. No entanto, é possível encontrar um meio-termo para o bem dos usuários e do sistema.

    Próximos passos

    Quer saber mais sobre as peculiaridades do Pix e como os players brasileiros e internacionais podem enfrentar os desafios de segurança cibernética em tempos de ascensão dos pagamentos em tempo real? Fale com a gente.


    Keep up to date with our e-commerce, payments and crypto insights:


    Sources

    Sulivan Rocha
    Sulivan Rocha
    sulivan@paymentscmi.com

    Sulivan Rocha is an Analyst specializing in the Brazilian payment landscape, with expertise in payments acceptance, fintechs, digital banking, payment processing, cross-border transactions, real-time payments, and e-commerce acceptance.