Se por um lado o Pix já faz parte do dia a dia de milhões de brasileiros e se tornou o meio de pagamento mais usado no país, com cerca de 160 milhões de usuários ativos e mais de R$ 2,415 trilhões movimentados, por outro, ele também é muito explorado por golpistas.
Diante desse cenário, o Banco Central publicou a Resolução BCB nº 403/2024. Ela ajusta o Regulamento do Pix e traz aperfeiçoamentos nos mecanismos de segurança do sistema de pagamentos instantâneos.
As novas regras têm implicações diretas para todos os grandes players do mercado, especialmente aqueles que lidam com grandes volumes de transações financeiras, como bancos, fintechs e varejistas, que precisam garantir a segurança das operações, a confiança de seus clientes e a conformidade com as regulamentações.
Quer saber mais sobre o assunto? Então, continue sua leitura conosco. Neste artigo, vamos te explicar as novas regras do Pix trazidas pela Resolução BCB nº 403/2024 (inclusive os novos limites do Pix) e pela Instrução Normativa 491, as medidas antifraude e de segurança, e como a primeira e maior Datatech do Brasil pode ajudar sua empresa a se adequar às diretrizes. Aproveite!
Neste conteúdo você vai ver
- Qual a importância das novas regras do Pix 2024?
- Quais são as novas regras trazidas pela Resolução 403/2024?
- Quais os tipos de fraudes no Pix?
- Conheça mais sobre soluções antifraude Pix e o papel das instituições
- Qual a importância do monitoramento contínuo da segurança do Pix?
- Qual é a importância da educação e da conscientização dos usuários?
Qual a importância das novas regras do Pix 2024?
A Resolução BCB 403/2024 introduziu mudanças importantes no arranjo de pagamento instantâneo Pix, com foco específico no aprimoramento da segurança das transações e no controle mais rígido contra fraudes.
As medidas mais recentes estabelecem regras a serem aplicadas aos dispositivos de acesso (smartphones, computadores, tablets etc.) usados para iniciar transações via Pix nas instituições financeiras participantes, a partir do mês de novembro de 2024.
Numa sociedade cada vez mais digitalizada, os dispositivos são tão importantes na vida e na rotina das pessoas que se tornaram um ativo na prevenção à fraude. E na segurança do Pix não é diferente – como comprova a nova resolução do Banco Central.
A partir da análise do comportamento do dispositivo e do contexto do usuário, é possível avaliar múltiplas variáveis para indicar o risco de fraude de uma transação. Tudo isso sem exigir qualquer tipo de interação, o que não impacta a experiência do cliente.
Com essas mudanças, o Banco Central espera minimizar a probabilidade de fraudadores usarem dispositivos diferentes daqueles utilizados pelo cliente das instituições para gerenciar chaves e iniciar transações Pix. Isso dificultará fraudes em que o agente malicioso, por meio de roubo ou de engenharia social, consegue as credenciais, como login e senha, das pessoas.
Assista também o nosso terceiro episódio do 'Falando em Fraude', recebemos Lívia Soares, diretora de vendas especializadas ID&F da Serasa Experian, Walter Reis, head de prevenção a fraudes da Genial Investimentos, e Armando Junior, diretor de riscos da Dock, para abordarmos as novas regras de segurança do Pix.
Quais são as novas regras trazidas pela Resolução 403/2024?
Confira abaixo algumas das principais alterações trazidas pela Resolução BCB 403 sobre as novas regras do Pix 2024:
- A partir de agora, é obrigatório o cadastro prévio de dispositivos (celulares, computadores) para a realização de transações Pix acima de certos valores;
- Para dispositivos não cadastrados, foram estabelecidos limites menores por transação e por dia, visando reduzir o risco de fraudes: R$ 200 por transação e R$ 1.000 diários;
- Necessidade de utilizar mecanismos de autenticação forte e multifatorial, como biometria ou tokens, para garantir a identidade do usuário;
- As instituições financeiras estão obrigadas a implementar sistemas de monitoramento que analisem o comportamento dos usuários e identifiquem transações atípicas;
- Os sistemas de monitoramento devem ser capazes de detectar e bloquear transações suspeitas em tempo real;
- As empresas devem enviar alertas aos usuários sobre transações suspeitas e fornecer canais de atendimento para que eles possam reportar qualquer irregularidade;
- Ter planos de contingência para lidar com incidentes de segurança e preservar a continuidade do serviço;
- Implementar mecanismos de governança de riscos para identificar, avaliar e tratar os riscos relacionados ao Pix;
- Assegurar a confidencialidade, a integridade e a disponibilidade dos dados dos usuários;
- Os usuários devem ser informados sobre a coleta e o uso de seus dados e dar seu consentimento de forma clara e inequívoca;
- As instituições devem disponibilizar informações claras e objetivas sobre os riscos e benefícios do Pix, bem como dicas de segurança para os usuários;
- Promover campanhas de conscientização sobre as principais ameaças e como se proteger de fraudes.
Além disso, a Resolução 403 do BCB incluiu uma nova modalidade de participação no Pix, visando atender a diferentes perfis de instituições. Também foram atualizadas as regras mínimas para participantes sem autorização de funcionamento concedida pelo Banco Central, além da inclusão novos campos para identificação de pagamentos, como o motivo da transação.
Limites de transações e novas medidas de segurança
Uma das principais novas regras do Pix 2024, trazidas pela Resolução 403, envolve a implementação de limites de transações para dispositivos não cadastrados.
A partir de 1º de novembro de 2024, os participantes do Pix terão que observar um limite de R$ 200 por transação e um limite diário de R$ 1.000 para aparelhos que não estejam registrados no sistema do banco ou instituição de pagamento do cliente. Conforme mencionado no artigo 89, inciso III da Resolução, a regra prevê que:
"As transações realizadas a partir de dispositivos não cadastrados junto ao prestador de serviços de pagamento devem obedecer ao limite máximo de R$ 200 por transação, com um valor máximo diário de R$ 1.000, salvo quando estabelecido de outra forma pelo prestador de serviços, desde que haja uma justificação documental de maior segurança."
Essa limitação, junto a outras medidas de segurança, busca restringir o uso de dispositivos sem o cadastro prévio, dificultando o trabalho dos criminosos que exploram vulnerabilidades em dispositivos temporários ou não reconhecidos.
Além disso, a resolução impõe que as instituições participantes utilizem mecanismos de verificação mais robustos, como a autenticação em dois fatores e a consulta periódica à base do DICT (Diretório de Identificadores de Contas Transacionais) para identificar sinais de fraude de seus clientes.
O DICT, como parte da infraestrutura do Pix, permitirá que os participantes realizem verificações semestrais sobre a presença de marcações de fraude em relação aos seus usuários.
Segundo o Banco Central, as novas regras também exigem a implementação de políticas de gerenciamento de riscos mais rigorosas, o que inclui a verificação de compatibilidade entre as transações realizadas e o perfil de risco dos clientes.
Ao identificar qualquer atividade suspeita ou transação atípica, os bancos terão a capacidade de rejeitar ou demorar a aprovar uma transação com base em uma "fundada suspeita de fraude".
Cadastramento de dispositivos e medidas preventivas
Outro ponto importante da Resolução 403/2024 é o processo de cadastramento de dispositivos. A Instrução Normativa BCB 491/2024 detalha que, para cada novo dispositivo de acesso ao Pix, os participantes deverão verificar os dados do usuário.
CPF, nome, telefone, e-mail, além da utilização de sistemas de verificação, como códigos enviados por SMS ou autenticação em dois fatores, estão entre os meios requisitados nas novas regras do Pix 2024 para garantir que o dispositivo é legítimo. Isso está descrito no artigo 3º, parágrafo 1º da normativa:
"Os dispositivos de acesso vinculados a uma conta de transação devem ser cadastrados mediante verificação de dados pessoais do usuário, incluindo nome, CPF, e-mail, telefone e agência vinculada à conta. A autenticação deverá ser feita via códigos de verificação enviados por meios de comunicação seguros, como SMS ou aplicativos de autenticação em dois fatores."
Além disso, as instituições podem remover o registro de dispositivos cadastrados em casos de roubo, perda ou suspeita de uso fraudulento, conforme o artigo 4º da Instrução Normativa 491:
"Os participantes do arranjo Pix deverão remover os dispositivos cadastrados em casos de roubo, perda ou suspeita de uso fraudulento, mesmo sem o consentimento do usuário, para garantir a segurança das transações e proteger os dados dos usuários."
O cadastramento correto dos dispositivos é uma medida fundamental para evitar fraudes, certificando que apenas os autorizados pelo cliente possam realizar transações financeiras.
Com essa prática, espera-se que os dados pessoais e financeiros, dos clientes das instituições participantes do Pix, fiquem mais protegidos, além de garantir que o sistema de pagamentos do Pix continue sendo rápido, mas também seguro.
Monitoramento contínuo e prevenção
As novas regras do Pix 2024 também exigem que os participantes verifiquem regularmente se há marcações de fraude no DICT para garantir a segurança contínua dos usuários. De acordo com o artigo 89, parágrafo 2º, as instituições devem:
"Realizar consultas ao DICT em intervalos não superiores a seis meses, verificando a presença de marcações de fraude ativas associadas aos clientes. Essas verificações periódicas devem ser utilizadas para revisar os registros de chaves Pix e rejeitar solicitações provenientes de usuários com registros de fraude."
A prática descrita fortalece os mecanismos de segurança e faz com que as instituições mantenham um monitoramento constante sobre o comportamento de seus clientes, ajudando a evitar fraudes de identidade e roubo de dados.
Vale mencionar que todas essas disposições das novas regras do Pix 2024 são essenciais para manter a conformidade com a Lei Geral de Proteção de Dados (LGPD). A necessidade de proteger informações pessoais, especialmente em um contexto digital, reforça a importância de mecanismos rigorosos de autenticação e monitoramento constante.
Afinal, o uso inadequado de dados pessoais ou a falha em protegê-los pode resultar em graves penalidades, tanto financeiras quanto à reputação da empresa no mercado.
Os criminosos estão cada vez mais sofisticados, explorando vulnerabilidades em sistemas, redes e aplicativos. Por isso, é fundamental que as empresas se tornem mais conscientes sobre fraudes, sigam as diretrizes estabelecidas e compreendam a importância da proteção em camadas como forma de mitigar os riscos.
Quais os tipos de fraudes no Pix?
As fraudes no Pix podem ocorrer de diversas formas, das mais simples às mais elaboradas. O tema preocupa cada vez mais, sendo pauta e foco de investimentos para a sua prevenção.
Compreender essas práticas é um processo fundamental para identificar brechas de segurança e implementar medidas preventivas. Por isso, trouxemos aqui alguns dos métodos mais recorrentes de fraudes no Pix utilizados pelos cibercriminosos. Confira!
1. Fraudes de Engenharia Social
Uma das formas mais adotadas pelos golpistas é o uso de engenharia social, representando 70% dos casos, segundo a Forbes Brasil. Esse tipo de violação acontece quando os fraudadores induzem a vítima a fornecer dados pessoais ou a realizar transferências sob falsos pretextos, manipulação ou uma história mentirosa.
Um exemplo clássico é o golpe do WhatsApp. Nele, os criminosos se passam por conhecidos ou familiares da vítima e solicitam transferências rápidas por meio do Pix. Segundo a pesquisa da fintech Silverguard, publicada na revista Forbes, 2,5 milhões de “golpes do Pix” foram aplicados no Brasil em 2023.
2. Phishing e roubo de dados sensíveis
Outra forma frequente de fraude é o phishing. Aqui, os criminosos enviam mensagens fraudulentas por e-mail ou SMS, se passando por uma instituição financeira para capturar dados bancários e realizar transações não autorizadas.
Para se ter uma ideia, o Centro de Operações de Segurança (SOC) da Appgate publicou um estudo indicando o phishing como líder do ranking global dos ciberataques em 2024. A pesquisa demonstrou que esse impacto se deve à recorrente utilização de inteligência artificial para finalidades que vão contra a legislação, o que impulsiona golpes cada vez mais sofisticados.
3. Fraudes com dispositivos não cadastrados
Fraudes com dispositivos não cadastrados também são comuns. Os golpistas utilizam celulares ou computadores temporários para acessar contas de terceiros e transferir grandes somas de dinheiro.
O limite da nova resolução do BC vem justamente para coibir esse tipo de prática, dificultando que criminosos realizem transações de valores significativos sem o devido registro do dispositivo.
4. Fraudes de identidade e uso de dados roubados
Por fim, as fraudes de identidade e o uso de dados roubados continuam a representar uma ameaça séria. Em muitos casos, os fraudadores conseguem acessar dados pessoais de vítimas por meio de vazamentos de dados ou redes de vendas de informações na Dark Web.
Com essas informações, eles conseguem criar contas falsas, realizar transações ou registrar novas chaves PIX em nome de terceiros. A Resolução 403/2024 visa mitigar esse tipo de fraude ao exigir verificações periódicas de marcações de fraude no DICT, como explicamos em parágrafos anteriores.
Conheça mais sobre soluções antifraude Pix e o papel das instituições
As novas regras do Pix 2024 trazidas pela Resolução BCB 403/2024, mostram não apenas diretrizes claras sobre os limites e mecanismos de segurança do Pix, mas também destacam a importância de soluções tecnológicas robustas para a proteção dos dados e a prevenção de fraudes, como a autenticação multifatorial.
Nesse contexto, as instituições financeiras e empresas de todos os setores de comércio que lidam diariamente com crédito e transações via PIX devem adaptar suas soluções antifraude e afins para atender a essas exigências e proteger usuários, clientes e demais parceiros de negócios.
O artigo 89 da normativa, por exemplo, determina que os participantes do arranjo Pix implementem mecanismos eficientes de gerenciamento de riscos de fraudes, incluindo a verificação periódica da base de dados do DICT para detectar eventuais marcações de fraude.
Além disso, a obrigatoriedade de verificar fraudes a cada seis meses no DICT reforça o papel central que as instituições desempenham na identificação de comportamentos atípicos e na proteção do sistema contra fraudes. Resumindo, o processo exige não só sistemas robustos, mas também soluções tecnológicas capazes de processar grandes volumes de dados em tempo real.
Como a Serasa Experian ajuda sua empresa a se adequar às novas regras do Pix?
Na Serasa Experian, a primeira e maior Datatech do Brasil, oferecemos uma solução completa que identifica e reidentifica dispositivos com alta precisão, sendo constantemente atualizada para enfrentar novas ameaças cibernéticas e mudanças nas lojas de aplicativos.
Nossa expertise no mercado financeiro garante conformidade eficiente e segura com a Resolução BCB n° 403, sem impactar a experiência do usuário. Acesse nossa página de soluções antifraude e entre em contato com um de nossos especialistas para saber mais.
Qual a importância do monitoramento contínuo da segurança do Pix?
A Resolução BCB 403/2024 impõe a obrigatoriedade de um monitoramento contínuo e rigoroso dos sistemas de transações via Pix. O monitoramento é crucial, pois garante que as instituições identifiquem comportamentos anômalos ou atividades fraudulentas em tempo real, agindo rapidamente para minimizar riscos.
De acordo com o artigo 89, inciso V, é exigido que as instituições participantes realizem verificações semestrais no DICT para garantir que os clientes não estejam vinculados às marcações de fraude. Essas verificações permitem às instituições revisarem periodicamente suas bases de dados e rejeitar tentativas de transações ou registros de chaves Pix de usuários com histórico de fraude.
Mas a importância do monitoramento vai muito além da conformidade com a regulamentação. O processo fortalece o ecossistema financeiro, garantindo que as transações realizadas por meio do sistema Pix sejam seguras e evitando prejuízos financeiros tanto para as instituições quanto para os usuários.
Qual é a importância da educação e da conscientização dos usuários?
O Relatório de Identidade Digital e Fraude da Serasa Experian traz dados significativos sobre a necessidade de educação e conscientização dos usuários quanto a ataques maliciosos na internet. Entenda:
"49% dos indivíduos informaram que armazenam fotos de documentos pessoais no celular. A maioria é jovem entre 18 e 29 anos (62%). O índice cai para 47% na faixa entre 30 e 49 anos e para 33% na faixa de 50 anos ou mais [...]
Além de armazenar documentos digitalmente, os jovens são maioria em outra atividade mais propensa à fraude: emprestar dados para outras pessoas fazerem transações [...]
Também questionamos quais foram os motivos que levaram as pessoas cederem seus dados:
- 74%: fazer uma compra online;
- 21%: abrir uma conta no banco;
- 15%: conseguir empréstimo;
- 6%: outros.
Caio Rocha, Diretor de Autenticação e Prevenção à Fraude da empresa, afirma que os dados acima mostram que uma parte significativa da população desconhece o perigo da prática de fornecer e emprestar dados sensíveis sem a cautela necessária. Ele também destaca que essa prática pode ir muito além, estendendo-se para âmbitos mais complexos:
"Existe também o risco de ser considerado um laranja e/ou estar associado a crimes como estelionato e falsidade ideológica. Nesse contexto, identificar comportamentos anômalos e suspeitos de um cliente já cadastrado ou mesmo de um novo usuário, cujos dados são, de fato, legítimos, tem se mostrado um enorme desafio para essas empresas.”
Agora, com as novas regras do Pix 2024, as empresas são obrigadas a educar seus usuários sobre as melhores práticas de segurança digital no uso do Pix e em transações online em geral. Afinal, o mesmo cliente que se preocupa com segurança ainda normaliza práticas que tornam a jornada insegura e delega a responsabilidade de eventuais fraudes às instituições.
Portanto, impõe-se a obrigatoriedade de iniciativas como alertas de segurança, envio de informações preventivas por e-mail ou SMS, bem como tutoriais sobre como proteger dispositivos. A educação dos usuários também deve incluir desde boas práticas de autenticação multifatorial até cuidados com phishing e outras formas de ataque cibernético.
Incentivar os usuários a não armazenar dados sensíveis em dispositivos móveis, a monitorar suas contas regularmente e a nunca fornecer dados a terceiros sem segurança adequada também são medidas recomendadas para fortalecer a proteção, ajudando ainda mais a mitigar os riscos.
Gostou de conhecer as alterações trazidas pela Resolução BCB 403 e as novas regras do Pix 2024? Esperamos que sim. E lembre-se: nosso time está à disposição para tirar suas dúvidas e ajudar sua empresa a se adequar às mudanças!
