Menos de um ano após começar a funcionar, o PIX já é o segundo meio de pagamento mais usado pelos brasileiros nas compras à vista, atrás apenas do dinheiro — as modalidades de pagamento mais utilizadas pelos brasileiros são dinheiro (71%), PIX (70%), cartão de débito (66%) e cartão de crédito (57%).
Esses bons resultados têm atraído, além de novos
adeptos para o sistema, a atenção de golpistas, que não param de criar formas
de enganar os usuários da ferramenta. Isso porque a agilidade do PIX é
"sopa no mel" para os criminosos, pois permite movimentações rápidas
e gratuitas a qualquer dia e horário. Com isso, a vítima tem menos tempo para
perceber a artimanha e pode não conseguir cancelar a operação. Diante disso, é
essencial ficar atento para evitar ser vítima de fraude, que podem ocorrer de
diversas maneiras.
O tipo de ataque mais comum é a clonagem do WhatsApp
— que, aliás, existe desde muito antes de o PIX ser lançado. Com a
nova tecnologia, a clonagem foi aprimorada. A primeira etapa do golpe é o
contato com a vítima: o criminoso finge ser representante de uma empresa e
solicita um código de segurança ao proprietário da conta como se ele fosse
necessário para atualização, manutenção ou confirmação de cadastro.
O problema é que esse código permite o sequestro do
perfil: se o usuário não tiver habilitado a autenticação em duas etapas,
basta essa informação para que a conta de WhatsApp seja instalada em um
dispositivo diferente. Com acesso ao perfil, o golpista aborda os contatos da
vítima e pede ajuda financeira, de preferência com transferência por PIX.
Depois que o dinheiro é transferido, recuperá-lo é pouco provável, já que a
transferência é feita por vontade própria (mesmo que seja motivada por um
golpe).
Uma variação desse ataque é a da falsa pesquisa sobre Covid.
O golpista se passa por representante do Ministério da Saúde, faz
perguntas sobre sintomas relacionados à doença e, ao final, solicita que o
usuário informe um código recebido por SMS, como se fosse um dado
necessário para confirmar a realização da pesquisa, mas a ideia é usá-lo para
clonar o WhatsApp da vítima.
Outra modalidade de fraude é relacionada à clonagem da
conta — é como se fosse um upgrade do método. Depois de sequestrar a conta da
vítima, o golpista passa a usar fotos suas, obtidas em redes sociais. Em
seguida, ele passa a procurar os contatos da vítima. Como o número de celular é
desconhecido, ele alega que teve de trocá-lo. Em seguida, diz que está em uma
emergência e pede uma transferência via PIX.
Por isso, é muito importante ter cuidado com a
exposição de dados em redes sociais. E mais: vale ficar atento quando receber
mensagens de contatos com números novos, especialmente se eles pedirem dinheiro
com urgência. Antes de atender o pedido feito pelo contato, confirme com a
pessoa por chamada telefônica ou email (pelo WhatsApp não vale, porque a
conta pode estar em posse de criminosos).
Pelo fato de a versão simples do ataque ser
inviabilizada pelo uso da autenticação em duas etapas, muitos fraudadores
incluíram vêm incluindo uma segunda fase à ação: depois de obter o código
enviado por SMS, o golpista entra em contato com a vítima e se apresenta
como integrante da equipe de suporte do WhatsApp. Ele informa ao usuário
que identificou uma suposta atividade maliciosa na conta e que enviou um e-mail
para que ele recadastre a dupla autenticação. A vítima, de fato, recebe
uma mensagem legítima do WhatsApp. Ela contém um link para a redefinição
da verificação em duas etapas. Ao clicar nele, o usuário desabilita a proteção,
e o golpista se aproveita do fato de que a conta está desprotegida para seguir
com o golpe.
Em outra técnica, o criminoso se vale do
desconhecimento sobre as formas de cadastro das chaves PIX. Ele se passa
por funcionário do banco em que a vítima tem conta e oferece ajuda para efetuar
o cadastro ou informa que é preciso fazer um teste com o sistema de pagamentos
para regularizar o registro. A vítima, então, é induzida a fazer uma
transferência via PIX e dá adeus ao dinheiro repassado ao golpista.
Segundo a FEBRABAN, as instituições financeiras
não solicitam dados pessoais de seus clientes ativamente e seus funcionários
não ligam para fazer testes com o PIX. Jamais passe informações por
telefone; em caso de dúvida, procure os canais oficiais da instituição bancária
para confirmar a necessidade de atualização de dados.
Outra fraude começa em mensagens e vídeos divulgados em
redes sociais. Trata-se de fake news que afirmam que um bug no PIX
permite que o usuário receba de volta um prêmio em dinheiro quando transfere
valores para determinadas chaves. A vítima acredita e envia dinheiro
diretamente para o golpista (o dono da chave supostamente contemplada).
Dinheiro fácil, anunciado em mensagens em redes sociais, deve ser um sinal de
alerta para todos os usuários. E lembre-se: o sistema criado pelo Bacen é
robusto, seguro e sem bugs.
Pagamentos pelo PIX podem ser feitos a partir de
códigos QR. Em meio à pandemia, tornaram-se comuns lives em
benefício de organizações não governamentais e recebam doações, muitas delas via
QR Code. Alguns criminosos fazem o download dessas apresentações e criam
uma transmissão nova em que colocam seu próprio código QR. Assim,
recebem as doações de quem não tem muita experiência com a tecnologia.
Portanto:
- Sempre verifique a identidade de
quem está solicitando o PIX;
- Na hora de efetivar a transação,
fique atento: os aplicativos estão cada vez mais fáceis de utilizar e o
usuário, muitas vezes, seleciona ‘Confirmar’ sem nem perceber que
está transferindo recursos para um nome que não conhece;
- Alguns sites já estão adotando
pagamento por PIX. Nesse caso, se o usuário estiver em um ambiente
falso, o dinheiro vai para a conta do golpista;
- É fundamental confirmar o limite
disponível para transferência por PIX com a instituição financeira.
Às vezes, o próprio usuário comete um erro de digitação e atribui a perda
a um golpe;
- Usuários que não têm familiaridade
com o PIX podem treinar o uso do recurso. Uma boa ideia é fazer uma
transferência de R$ 1 para um conhecido, de modo a testar a
funcionalidade. E pedir o dinheiro de volta, se quiser, já que o processo
é gratuito.
O BACEN também tem uma lista de sugestões
importantes. Acompanhe:
- Confira os remetentes de emails e
não acesse páginas suspeitas, com endereços curtos ou com erros de
digitação;
- Não clique em links recebidos por email,
WhatsApp, redes sociais ou mensagens de SMS que direcionam a
cadastros de chaves do PIX;
- Cadastre chaves do PIX apenas
em canais oficiais de bancos ou fintechs;
- Em caso de suspeita, entre em
contato com o banco pelos canais oficiais;
- Após o cadastro, o BACEN envia o
código por SMS (se a chave cadastrada for um celular) ou email (se
ela for um email). Essa confirmação não vem por ligação telefônica nem
por link;
- Não compartilhe esse código;
- Não faça transferências para
conhecidos sem confirmar por chamada telefônica ou pessoalmente. O WhatsApp
não é uma boa opção, já que pode estar clonado.
Na última sexta-feira BACEN anunciou uma
série de mudanças para o uso do PIX. A proposta é melhorar a segurança
desse sistema. Entre as ações estão o bloqueio de horários para transferências,
limitação de valores e até a escolha dos destinatários. Ainda não se sabe
quando as regras começarão a valer efetivamente. Segundo o presidente do
BC, Roberto Campos Neto, com o anúncio das mudanças as instituições
financeiras poderão se preparar para as novas regras, que "serão
efetivas em algumas semanas”.
- Das 20h às 6h fica estabelecido um
limite de R$ 1.000 para transferências para mesmo banco, PIX e TED
- Se quiser aumentar esse limite, o
cliente pode fazer a solicitação, mas haverá prazo mínimo de 24 horas e
máximo de 48 horas para a efetivação do pedido feito por canal digital,
impedindo o aumento imediato em situação de risco;
- Clientes passam a poder estabelecer
limites transacionais diferentes no PIX para os períodos diurno e noturno,
permitindo limites menores durante a noite;
- Instituições poderão permitir que
usuários cadastrem com antecedência contas que poderão receber PIX
acima dos limites estabelecidos;
- Haverá prazo mínimo de 24h para que
o cadastramento prévio de contas por canal digital produza efeitos;
- É possível que uma transação fique
retida por 30 minutos durante o dia ou por 60 minutos durante a noite para
a análise de risco da operação.
- Passa a ser obrigatório o mecanismo,
já existente e hoje facultativo, de marcação no Diretório de
Identificadores de Contas Transacionais (DICT) de contas em
relação às quais existem indícios de utilização em fraudes no PIX,
inclusive no caso de transações realizadas entre contas mantidas no mesmo
participante;
- Passam a ser permitidas consultas ao
DICT para alimentar os sistemas de prevenção à fraude das
instituições;
- Usuários do PIX poderão
adotar controles adicionais em relação a transações envolvendo contas
marcadas no DICT;
- Usuários de arranjos de pagamentos
eletrônicos poderão compartilhar com autoridades de segurança pública as
informações sobre transações suspeitas de envolvimento com atividades
criminosas;
Ainda não há consenso sobre quem deve arcar com o
prejuízo em golpes aplicados utilizando o PIX. Desde que a solução de
pagamento instantâneo foi implementada, em novembro de 2020, a Justiça
brasileira já tomou decisões tanto a favor de instituições financeiras quanto
de clientes que foram lesados por crimes envolvendo o PIX. Especialistas
ressaltam que, por mais que envolvam a mesma solução, os crimes podem ter
diferentes perfis, o que acaba sendo determinante para as decisões.
Via de regra, o banco não tem responsabilidade
quando há um crime cometido utilizando o PIX, porque, no caso de um
sequestro relâmpago, por exemplo — crime que cresceu 39% no Estado de São Paulo
—, a própria vítima coloca o login no aplicativo de banco e faz a transferência,
de modo que o banco não contribui em nada com essa fraude. Por outro lado,
algumas decisões judiciais atribuíram a responsabilidade aos bancos quando as
vítimas entraram em contato com a instituição financeira logo após o crime,
requerendo o bloqueio dos valores na conta de destino, mas não foram atendidas,
ou quando há suspeita de invasão do aplicativo.
De acordo com a súmula 479 do STJ, "as
instituições financeiras respondem objetivamente pelos danos gerados por
fortuito interno relativo a fraudes e delitos praticados por terceiros no
âmbito de operações bancárias". Em tese, isso significa que os bancos
acabam arcando com o prejuízo em casos de invasão de hackers, fraude nos
sistemas, entre outros problemas internos. Por outro lado, em sequestros
relâmpagos há o que se chama de "fortuito externo" — ou seja,
elementos que fogem das margens de controle que as instituições financeiras
colocam nos aplicativos. Nesses casos, a responsabilização das instituições
costuma ser mais rara.
Em julho, a Justiça de Goiás condenou parcialmente o Banco
Itaú a restituir o valor de R$ 20 mil a duas vítimas de um golpe sofrido
após um criminoso ter alegado ser funcionário do banco e realizar movimentações
por PIX. A vítimas fizeram um boletim de ocorrência e tentaram resolver
a situação de forma administrativa, mas houve "recusa do banco".
Com isso, o juiz responsável pelo caso refutou o argumento da instituição
financeira — de que a culpa é exclusiva do autor da ação — e ainda condenou o
banco a pagar uma indenização de R$ 5 mil por danos morais.
Por outro lado, uma decisão recente do TJ-SP em
ação ajuizada contra o Banco Itaú entendeu pela improcedência do pedido
feito por uma vítima que teve o celular furtado e R$ 8 mil retirados de sua
conta. De acordo com a magistrada que jugou o caso, a responsabilidade é
exclusiva do cliente, pois a transação foi realizada pelo aplicativo no
celular.
Com informações de O Estado de S. Paulo
