Segurança no PIX: inteligência artificial e nuvem previnem fraudes em tempo real

*Por Fabio Mittelstaedt

A disponibilidade do PIX, novo modelo de pagamento desenvolvido pelo Banco Central, no final do ano passado foi um marco para o sistema financeiro nacional. A expectativa com relação a volumetria e o ritmo de adoção que o modelo teria dentre a população foi confirmada pouco tempo depois do seu lançamento. Até janeiro deste ano, foram cadastradas mais de 159.4 milhões de chaves do PIX, com cerca de 378.2 milhões de transações, resultando em um valor de R$ 311,1 bilhões, de acordo com dados do Banco Central.

Atualmente, o número de transações diárias continua a crescer e deve se manter em uma curva ascendente nos próximos meses, devido à agilidade que o sistema de pagamentos instantâneos garante aos consumidores e à isenção de tarifas, se comparado com o uso de cartões de créditos ou dos meios de transferências como TED e DOC. Com essa revolução, devem aumentar também os debates estratégicos com relação à implementação de tecnologias inteligentes de antifraude na nuvem, a fim de proporcionar um modelo seguro tanto para o usuário, quanto para as instituições financeiras.

A segurança já é um assunto abordado em larga escala desde o início das operações do PIX no Brasil. De acordo com a cartilha publicada pelo Banco Central, o método de pagamento deve ser adotado pelas instituições financeiras com base em segurança de duas medidas, sendo elas: a criptografia e a autenticação.

Atualmente, existem camadas de segurança e criptografia durante o processo de correlação das contas correntes com as chaves do PIX, bem como na validação dos certificados digitais dos bancos – que são como a identidade digital de cada instituição junto ao Banco Central; há também um mecanismo antifraude provido pelo Diretório de Identificadores de Contas Transacionais (DICT); e uma lista digital de fraudadores, que visa identificar tentativas recorrentes de transações fraudulentas e os responsáveis a fim de alertar toda a rede de instituições participantes do PIX.

Porém, mesmo com a oferta de camadas de segurança adicionais pelos próprios bancos em seus sistemas de mobile banking, ainda há diversos desafios relacionados à prevenção de fraude e de crimes digitais com base no modelo de pagamentos PIX. Podemos destacar aqui a instantaneidade e a irrevogabilidade dele como um fator complicador para a análise antifraude, uma vez que a grande maioria dos sistemas de validação atuais trabalham com uma análise da atividade pós-transação, como acontece os cartões de crédito, DOCs e TEDs.

No entanto, no caso do PIX, o tempo total do processo de transação, desde a solicitação, validação da chave, processamento pelo módulo do SPI (Sistema de Pagamentos Instantâneos) e a efetivação, leva em média 10 segundos, sendo que a etapa crítica ocorre nos primeiros 3,5 segundos da transação. Ou seja, entre a solicitação, validação e envio do pacote de solicitação da instituição para o Banco Central. Isso significa que o módulo de antifraude do PIX deveria funcionar em menos de um segundo ou em milissegundos para evitar possíveis fraudes.

Dentre as principais ameaças estão: o roubo de identidade digital do correntista, do banco ou do certificado digital; roubo da chave do PIX do correntista; clonagem de celular que é utilizado como chave do PIX; sequestro da conta do WhatsApp para pedidos de transferências para a lista de contatos; captura de dados da conta e chaves do PIX por meio de engenharia social; vazamento de dados de cadastro do PIX por meio de sites ou aplicativos falsos; venda ilegal de dados pessoais; e o uso de QR Codes falsos para desvio de recursos.

A indústria financeira é uma das mais visadas por hackers e tentativas de fraudes. Apenas durante o ano passado, em decorrência da pandemia do COVID-19, os crimes financeiros digitais de invasão de conta corrente aumentaram 650% globalmente, e a fraude em online banking cresceu 250%, de acordo com o Relatório de Crimes Financeiros divulgado pela Feedzai, empresa de ciência de dados. Por isso, é tão importante desenvolvermos soluções de segurança que estejam em total conformidade com a regulamentação prevista pelo Banco Central eque acompanhe a evolução das tentativas de ataques cibernéticos que estão cada vez mais sofisticados com o passar do tempo.

De acordo com dados do IDC, até 2025 teremos 41,6 bilhões de dispositivos conectados no mundo inteiro processando pagamentos em tempo real, o que evidencia o tamanho do mercado que as empresas de tecnologia, junto às instituições bancárias e órgãos, irão lidar e a necessidade de assegurar que os dados e a privacidade dos cidadãos estejam seguros, bem como garantir que seus próprios negócios não sejam impactados pelos crimes digitais.

Com base nestes desafios, a Inteligência Artificial (IA) e a computação em nuvem têm um papel fundamental para a confirmação da identidade do correntista, bem como na detecção de comportamentos suspeitos durante as transações financeiras, uma vez que a IA analisa padrões de comportamento não usuais e anomalias, desde como a pessoa segura o celular, até lojas preferidas para transações, ticket médio de despesas e categorização.

Além das soluções identificarem tentativas de crimes digitais financeiros em apenas milissegundos, fazendo com que os bancos e fintechs possam ficar em conformidade com o requerimento de agilidade estipulado pelo Banco Central do Brasil; a tecnologia de Inteligência Artificial aprende continuamente conforme novas nuances de fraudadores digitais aparecem, tornando a solução de segurança das instituições financeiras mais resilientes aos avanços do cibercrime.

Para a Microsoft, o desenvolvimento das soluções se deu com o auxílio de 125 cientistas e engenheiros de dados globais, resultando em um conjunto de IA, análise de dados e serviços cognitivos inteligentes do Azure para responder às transações do PIX com maior responsividade. A tecnologia permite a prevenção à lavagem de dinheiro com o PIX, uma vez que pode acontecer o uso indevido de chaves registradas em nome de terceiros; e redução do risco regulatório de lavagem de dinheiro através do PIX para Bancos e demais instituições de pagamentos.

A biometria é outro fator essencial na autenticação no mobile banking antes e durante o processo de transação do PIX. Com isso, há um trabalho de evolução dos modelos de digital onboarding e autenticação com biometria de reconhecimento facial, que compara a foto do documento com a selfie do cliente no momento da solicitação. Assim, a IA consegue analisar o movimento da face e comprovar que é a mesma pessoa. E ainda existem estudos avançados da área de pesquisa global da Microsoft para combinar fatores de biometria facial e de voz para criar a melhor blindagem de crime financeiro através da inovação.

Como expectativa para o futuro do sistema de pagamentos, está o uso de QR Codes estáticos e dinâmicos, previsto para a segunda fase do PIX a se iniciar ainda este ano. Com eles, poderemos evoluir na agenda de uma moeda digital no Brasil e criar sinergias do PIX com Open Banking e Open Finance, dando origem aos primeiros genuínos Super Apps Brasileiros. Porém, em paralelo a isso, há também uma preocupação com o aumento no número de tentativas de fraudes dependendo de como o modelo será aplicado no País.

Recentemente, o Banco Central anunciou uma parceria com a Brazil Quantum, que conta com apoio da Microsoft, para realizar estudos sobre como mudar a criptografia do PIX e aumentar o nível de segurança do QR Code, que contém informações chave do usuário e da transação, e que em cenários de fraude poderia ser modificado para uso duplicado em pagamentos ou recebimentos, ou ainda para alterar o valor a ser debitado na conta do correntista.

Concluindo, fica evidente o papel da tecnologia para o trabalho de segurança contínua de todo o mercado financeiro, seja na computação quântica para aceleração da otimização dos modelos de criptografia e do QR Code, seja da Inteligência Artificial e da nuvem para análise e detecção de comportamentos suspeitos.

Segundo o Banco Central, mais de 70% da população ainda utiliza de forma frequente o dinheiro em espécie para despesas do dia a dia, em contraponto ao uso de meios de transações digitais. Neste contexto, as companhias de tecnologia em parceria com as instituições possuem uma missão que consiste em permitir a inovação do setor e a melhoria da experiência do consumidor de forma segura e responsável, estimulando o aumento da confiança no PIX.

*Fabio Mittelstaedt é head da indústria de serviços financeiros da Microsoft no Brasil e na América Latina