O PIX já é uma realidade! O novo modelo para realização de pagamentos e transferências foi desenvolvido pelo Banco Central e já passou pela fase de cadastramento dos clientes e ficou disponível de forma restrita para alguns clientes até o dia 15 de novembro. No dia 16, o PIX começou a operar para o público em geral, para todos os participantes que cumpriram a fase de testes no período anterior. Na fase de pré-cadastro o mecanismo levantou discussões sobre a segurança dos usuários e das transações bancárias.

Não que o PIX deixe de ser uma inovação, muito pelo contrário, o Sistema Financeiro Nacional precisava de uma revolução como essa, pagamentos a qualquer hora e em qualquer dia da semana, mesmo aos finais de semana e feriados, são um grande avanço em termos econômicos, já que as transações não precisarão aguardar determinado horário ou dia para serem compensadas. No entanto, apesar de oferecer mais facilidade para os clientes bancários e empresas, o PIX também pode propiciar facilidades para os fraudadores, caso o assunto segurança não seja tratado com a atenção que merece.

Fraudadores se aproveitam do período de cadastro do PIX para roubar dados de usuários.

Alertamos sobre a necessidade da sociedade como um todo e, principalmente dos bancos, fintechs, carteiras digitais e outras instituições financeiras para aumentarem a atenção quanto a segurança da informação, pois o que facilita para o consumidor, pode também facilitar para os fraudadores. Já não é novidade ouvirmos falar de diversas notícias sobre as tentativas de fraudes envolvendo o PIX.

Antes mesmo de entrar em funcionamento, o PIX já era alvo de campanhas de phishing, para quem não está familiarizado com o termo, phishing é uma técnica utilizada por fraudadores que, através de mensagens falsas, mas que parecem legítimas, cujo objetivo é coletar dados bancários e pessoais de clientes bancários, como senhas, número de CPF e celular.

O roubo de tais informações é um grande risco para a segurança do sistema bancário e, principalmente, para os seus consumidores, visto que existe a possibilidade que essas informações sejam utilizadas para fraudes no futuro.

Por mais que as instituições financeiras invistam em campanhas educativas e mecanismos de segurança, sabemos que a criatividade dos fraudadores e a maturidade de uma parcela da população (elo mais fraco dos processos de segurança) colocam em risco senhas e dados pessoais, reacendendo a necessidade por novos métodos de autenticação e validação destes consumidores legítimos.

Será mesmo a senha, um mecanismo eficiente para autenticação dos consumidores?

Já está mais do que comprovado que não. Com o avanço da tecnologia e da criatividade dos fraudadores novas soluções precisam ser apresentadas.

A princípio as empresas passaram a exigir de seus clientes a adoção de senhas complexas, porém, o que aparentemente seria uma solução, já se mostrou vulnerável. Afinal, mesmo uma senha complexa perde totalmente o sentido quando algum dos erros muito comuns acontecem por parte do consumidor:

  • Utilização da mesma senha em outros sites menos seguros;
  • Armazenamento da senha em arquivos de computador, aparelhos celulares ou papéis;
  • Ataques aos bancos de dados onde as senhas são armazenadas;
  • Infecção por vírus e programas maliciosos do tipo KeyLogger (programas especializados em capturar as informações digitadas pelo consumidor);
  • Empréstimo da senha para terceiros;
  • Ataques de engenharia social.

Com tantos pontos fracos, o método tradicional de autenticação de usuários, por meio das senhas, começa a perder força no mercado. Além do alto custo e investimentos em segurança para manter bancos de dados protegidos contra ataques criminosos, os usuários serão sempre o elo mais fraco da segurança.

Passwordless, a solução de segurança do futuro!

Se as senhas são um grande problema de segurança para bancos, fintechs e todos os tipos de empresas, a solução está em não utilizar senhas. Pode não parecer lógico, afinal se com as senhas já não temos a segurança desejada pior ainda seria ficar sem elas.

Em virtude do avanço tecnológico, mecanismos mais eficientes de autenticação de usuários podem ser empregados. Mecanismos esses, que dispensam o uso de senhas e se apresentam como solução para evitar fraudes de segurança, como vimos nas notícias com a chegada do PIX.

É preciso ir muito além do antigo e simplório padrão de segurança com base em senhas, precisamos adotar padrões de autenticação adaptativa e avaliação de risco contínua e estar prontos para responder perguntas do tipo:

  • Conheço esse indivíduo?
  • Conheço este dispositivo?
  • Este indivíduo já realizou alguma transação por este dispositivo?
  • Essa transação está sendo realizada de uma localização geográfica conhecida e frequentada pelo usuário?
  • Dentre outras combinações de regras de segurança.

Dado a evolução das tecnologias e recursos como Inteligência Artificial, hoje já estamos prontos para este novo salto.

A solução de segurança que não utiliza senhas.

Um sistema de segurança e análise de riscos, realiza a análise de comportamento dos consumidores, avaliando o DNA do dispositivo (“DeviceDNA“), Geolocalização, horário de acesso, entre outros fatores (incluindo Machine Learning), sendo capaz de entender o comportamento e validar se é um consumidor legítimo ou um fraudador e oferecer maior segurança aos consumidores e as instituições, evitando assim, fraudes e proporcionando a estratégia passwordless* aos clientes.

Essas soluções são capazes de reduzir a ocorrência de fraudes e proteger os consumidores contra ataques em diversos tipos de canais. Além disso, fornece às empresas a capacidade de aplicar diferentes níveis de autenticação, dependendo da transação e pontuação de risco calculada. Possibilitando o ajuste de conjuntos de regras e pontuações (“score“) para que correspondam a tolerância à riscos e executem o gerenciamento de casos em atividades suspeitas.

*A estratégia Passwordless une a as melhores práticas de segurança com a melhor experiência para o consumidor, permitindo um acesso sem fricção (“frictionless”) quando o cliente tem baixo risco de segurança, ao mesmo tempo em que fatores fortes de controle são acionados automaticamente quando identificado algum tipo de risco ou um comportamento inesperado. Isso é o que chamamos de autenticação adaptativa e avaliação de risco contínua, não podemos esquecer que as fraudes evoluem dia após dia.

Outros benefícios oferecidos por soluções de análise de riscos e comportamento: 

  • Fornece uma experiência ao consumidor sem atrito por meio de análise de risco transparente;
  • Reduz a exposição a violações de dados, acesso inadequado e roubo de identidade;
  • Reduz o custo das operações, diminuindo a fraude online;
  • Ajuda a cumprir os regulamentos governamentais e as diretrizes do setor para uma autenticação mais forte;
  • Simplifica a autenticação, possibilitando que os usuários acessem facilmente o sistema sem precisar memorizar senhas e sem se expor ao risco de fraudes;
  • Evita danos causados por fraudes. A autenticação forte integra dispositivos móveis no processo de conexão do usuário, usando um método multi-fatores de autenticação.

As recentes notícias que alertam sobre o aproveitamento do PIX por fraudadores para roubar senhas e dados de clientes, comprovam sobre a necessidade de novas tecnologias de autenticação, proteção e a substituição das senhas por métodos mais eficazes. Isso mostra que segurança não é uma barreira e sim, inovação.

Fernando Oliveira

Head de Inovação na IDEssentials