O Pix entrou em funcionamento nesta segunda e, para se valer da praticidade de transferência e pagamento em dez segundos, é necessário cadastrar uma chave no sistema. Especialistas aconselham que dados como número de celular e CPF sejam cadastrados o quanto antes, mesmo que não sejam utilizados para fazer alguma transação.
A recomendação ocorre porque celular e CPF são números que costumam ser informados com frequência, estando disponíveis com facilidade em vários canais, sejam físicos ou on-line. Com os dados do cliente em mãos, cibercrimonosos podem tentar burlar o sistema do novo meio de pagamento.
— Números de telefone e CPF estão disponíveis com muita facilidade. Caso algum criminoso tenha acesso a esses dados, é possível que ele tente fraudar o sistema e informar os dados de terceiros para aplicar um golpe — alerta Carlos Netto, presidente-executivo da Matera, empresa que desenvolve tecnologia para o mercado financeiro.
Netto sublinha que o sistema financeiro, incluindo o Pix, é bastante seguro. Entretanto, há golpes sofisticados que podem prejudicar o consumidor. Ele cita o exemplo da clonagem de aplicativos de mensagem e até mesmo o chamado hacking social (roubo de dados por meio de manipulação do criminoso sobre a vítima):
— Ao cadastrar o celular, o cliente recebe um SMS para confirmar a operação. É possível que o criminoso arquitete um hacking social para conseguir o número informado. Num exemplo, ele liga, se identifica como do banco ou alguma outra instituição e pede para que seja informado o código que chegou no SMS. Se a pessoa falar, acaba permitindo a sequência do golpe.
Ao transferir dinheiro pelo Pix, aparece o nome de quem está recebendo o recurso. Porém, em casos de distração, a pessoa pode fazer a operação e nem notar que o nome não bate com a pessoa de fato dona daquele número.
No cadastro do CPF não é feita qualquer confirmação, relembra Netto. Ele explica que isso ocorre porque o banco ou fintech deve seguir o Know York Customer (conheça seu cliente, em tradução livre). Assim, é obrigação da instituição verificar, automaticamente e por meios próprios, se aquele CPF bate com os dados do titular da conta.
— As instituições devem verificar instantaneamente se o CPF confere com o titular. Porém, o golpe pode ser feito caso um cibercriminoso use a informação para abrir uma outra conta. Por isso, é recomendado atrelar as informações pessoas ao Pix, mesmo que o cliente não use esse sistema. Ele é gratuito e não cobra para cadastrar chaves. Então é melhor prevenir e não abrir margem para golpes — aconselha Netto.
Mensagens maliciosas
As pessoas físicas têm até três informações disponíveis para que sejam cadastradas no Pix: celular, CPF e e-mail.
O correntista pode incluir todas as informações (chaves) em uma única conta ou distribuí-las entre as instituições onde tem conta.
Cada informação fica atrelada a uma conta específica, não a toda a vida financeira do cliente. Se o celular for cadastrado na conta corrente do banco A, esta chave só servirá para transações sobre esta conta específica. Se houve conta no Banco B e em uma fintech, será necessário cadastrar outras chaves neste casos.
Humberto Sandmann, professor do curso Tech da ESPM-SP, explica que também é preciso ponderar que e-mail e celular são meios de comunicação, enquanto CPF é um documento.
Embora os dados dos meios de comunicação sejam menos sensíveis, eles abrem caminho para golpes por meio de mensagens. O CPF, embora seja documento, não permite uma comunicação entre as partes.
— Embora seja documento, o CPF se tornou uma informação pública, ele é informado em vários casos, como nota de supermercado. Além disso, a Lei Geral de Proteção de Dados também pune usos irregulares desse dado, então, o CPF pode ser considerado uma chave segura — diz Sandmann.
No caso de celular ou e-mail, o risco é que a pessoa receba uma mensagem maliciosa:
— Alguns golpes mais sofisticados podem ligar ou mandar mensagem para confirmar uma compra hipotética quando, na verdade, se trata de um golpe. Vale ressaltar que o sistema do Pix é seguro, mas os crimes virtuais existem. Então vale a máxima de desconfiar de textos ou ligações solicitando muitos dados ou sobre compras ou situações que a pessoa não faz — acrescenta o professor.