O Pix, sistema de pagamentos instantâneos lançado pelo Banco Central (Bacen) em novembro de 2020, consolidou-se como o principal meio de pagamento eletrônico do Brasil. Em 2023, foram quase 42 bilhões de reais em transações, superando a soma de todos os outros meios de pagamentos (TED, boleto, cartão etc.). A ideia de proporcionar um pagamento digital rápido, sem burocracia e que, principalmente, lembrasse o pagamento em dinheiro físico foi simplesmente genial. A mudança comportamental do consumidor é visível e empolga os empresários e comerciantes.
Entretanto, o Pix não tem somente vantagens, pelo menos quando analisado sob o ponto de vista da Segurança da Informação. De fato, sua simplicidade e popularidade conseguiram atrair uma série de criminosos que, com muita criatividade e ousadia, fazem muitas vítimas. Nesse contexto, com o objetivo de devolver os recursos financeiros dos usuários que, porventura, tenham sofrido um golpe, o Bacen criou o Mecanismo Especial de Devolução (MED).
O pedido de devolução ao MED deve ser registrado no próprio banco, pessoalmente ou via aplicativos em até 80 dias após a transação. Assim, o banco avalia o caso e, se for considerado suspeito, os recursos do recebedor são bloqueados. Após isso, em até 7 dias, o caso é analisado e, se não for fraude, os recursos são desbloqueados; se a fraude for confirmada, a devolução deve ocorrer em até 96 horas. O MED também se aplica a possíveis falhas operacionais, como transações duplicadas, devolvendo os recursos em até 24 horas após a confirmação da falha.
O mecanismo é confiável e eficiente, porém os criminosos criaram uma forma de extorquir as vítimas usando o próprio MED. Imagine o cenário a seguir. Você recebe uma mensagem de um desconhecido afirmando que enviou, por engano, um Pix a você. Após fazer uma narrativa dramática, essa pessoa pede para que você faça a devolução, também por Pix, só que em outra conta. Ao entrar no aplicativo do banco, você nota que realmente recebeu o valor. Assim, você faz um outro Pix, transferindo de volta o valor para a pessoa na conta indicada por ela.
Entretanto, após algumas horas ou dias, ao entrar novamente no aplicativo do banco, você percebe que há um débito do mesmo valor do Pix que você “devolveu” àquela pessoa. Isso aconteceu porque o agora criminoso acionou o MED! Sim, após analisar o pedido, o banco percebeu que, ao receber o Pix, você fez uma transferência imediata de mesmo valor para outra conta, caracterizando um golpe. Caso o valor envolvido seja R$100,00, o criminoso obteve de volta os R$100,00 que você devolveu, mais R$100,00 do MED. Uma “baita” operação financeira, auferindo 100% de lucro!
Considerando esse cenário, a Federação Brasileira de Bancos (Febraban) propôs que os recursos financeiros transferidos fiquem bloqueados até outras camadas, considerando outras contas e outros aspectos inerentes aos golpes. Essa e outras propostas estão em estudo, e acredita-se que, em 2026, o chamado MED 2.0 esteja pronto.
De qualquer forma, no cenário aqui descrito, o Bacen recomenda nunca enviar um Pix de devolução, mas usar o ambiente específico do aplicativo ou o site do banco. Caso tenha dúvidas, seu banco deve ser acionado imediatamente.
Sem dúvida, o Pix é um grande avanço, mas, para usá-lo com segurança e confiança, precisamos conhecer seus problemas no contexto dos crimes virtuais e da privacidade. Jamais duvide da criatividade e da ousadia dos criminosos.
Prof. Me. Jorge Luís Gregório
Professor e Coordenador do Curso de Tecnologia em Análise e Desenvolvimento de Sistemas da Fatec Jales