GRADUAÇÃO EM TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE

SISTEMAS

PIX E SEGURANÇA: COMO USAR O RECURSO E NÂO CAIR EM FRAUDES

LAURA CRUZ SANCHES VASQUE RA: 1027/17

ADAMANTINA - SP
2023
 LAURA CRUZ SANCHES VASQUE RA: 1027/17

PIX E SEGURANÇA: COMO USAR O RECURSO E NÂO CAIR EM FRAUDES

Trabalho acadêmico apresentado ao

Departamento de Tecnologia Em Análise E
Desenvolvimento de Sistemas do Centro
Universitário de Adamantina – UNIFAI como
requisito para conclusão do curso de Tecnologia
em Análise e Desenvolvimento de Sistemas sob
orientação do Prof. .

ADAMANTINA - SP
2023
 LAURA CRUZ SANCHES VASQUE RA: 1027/17

PIX E SEGURANÇA: COMO USAR O RECURSO E NÂO CAIR EM FRAUDES

Banca Examinadora

Monografia para obtenção do grau de Tecnologia em Análise e Desenvolvimento de

Sistemas

Orientador (a): Prof.

2º Examinador: Prof.

3º Examinador: Prof.

Adamantina, ___/___/___
 SUMÁRIO

1. Introdução 1
2. Comunicação segura 4
2.1. Assinatura digital 4
2.1.1. Informações a serem assinadas 7
2.1.2. Processo de assinatura digital 8
2.2.3. Verificação da assinatura digital 13
2.3. Certificados digitais 17
2.3.1. Certificados digitais a serem utilizados 17
2.3.2. Ativação de certificados digitais dos PSPs 17
2.3.3. Ativação de certificados digitais do BC 18
2.3.4. Desativação de certificados digitais 19
2.3.5. Verificação da revogação de certificados 19
2.4. Segurança de QR Codes dinâmicos 20
2.4.1. Segurança no acesso às URLs 20
2.4.2. Ativação de certificados SSL para sites de QR Codes dinâmicos 21
2.4.3. Definições do padrão JWS 22
2.4.4. Validações a serem feitas pelos aplicativos 24
3. HISTÓRIA DOS MALWARES 29
3.1. TIPOS DE VIRUS/APLICAÇÕES 29
3.2. CLASSIFICAÇÃO DOS MALWARES 29
3.3. PREVENÇÃO 30
4. Falhas que ocorreram nos sistemas de bancos no pix 31
Falhas do usuário 32
5. Considerações finais 35
6. Referências bibliográficas 36
 LISTA DE TABELAS

Tabela 1. Algoritmos utilizados na criptografia TLS...............................................................04

Tabela 2. Elementos que compõem a assinatura digital no PIX................................... .........5-6

Tabela3.  Elementos<Reference> utilizados no SPI, bem como as transformações
realizadas...................................................................................................................................07
Tabela 4. Elementos< Reference> utilizados no DICT, bem como as transformações
realizadas.............................. ................................................................................................. 7-8

LISTA DE FIGURAS

Figura 1. Fluxo de assinatura digital da mensagem SPI......................................................... 09

Figura 2. Fluxo de assinatura digital no DICT............................................................. ......... 12

Figura 3.  Fluxo de verificação da assinatura digital da mensagem no
SPI.............................................................................................................................................14
Figura 4. Fluxo de verificação da assinatura digital no
DICT..................................... ...................................................................................................16
Resumo
O presente estudo volta-se ao tema dos pagamentos instantâneos, que no Brasil é conhecido
como PIX, que são transferências eletrônicas de dinheiro em que os fundos estão disponíveis
para o beneficiário em tempo real enquanto serviço disponível 24 horas por dia, 7 dias por
semana, em que as transferências ocorrem diretamente da conta do pagador para a conta do
beneficiário. No dia 16 de novembro de 2020 foi o lançamento oficial para o público do novo
sistema de pagamentos instantâneos desenvolvido pelo Banco Central do Brasil, denominado
PIX. Mas, adicionalmente à velocidade e funcionamento contínuo do sistema, o Banco
Central elencou alguns outros motivos que o levaram à criação do sistema PIX, conforme
trecho abaixo extraído do próprio site oficial da principal entidade monetária brasileira:
Alavancar a competitividade e a eficiência do mercado; Baixar o custo, aumentar a segurança
e aprimorar a experiência dos clientes; Incentivar a eletronização do mercado de pagamentos
de varejo; Promover a inclusão financeira; Preencher uma série de lacunas existentes na cesta
de instrumentos de pagamentos disponíveis atualmente à população. Inicia-se assim um novo
marco no sistema bancário brasileiro, mas com isso também se percebe uma maior
preocupação com segurança, pois o pix não consegue ressarcir o pagador se este realizar um
pagamento errado. Atualmente temos alguns golpes envolvendo o pix, mas não dos sites ou
aplicativos dos bancos, mas sim que os hackers conseguem entrar nos sistemas android de
celulares e pegam as informações bancárias dos aplicativos fazendo com que os usuários
acabem depositando em contas erradas. Por fim cada vez mais o investimento em segurança
deve ser adotado como forma de não se cair em fraudes e ter problemas que acarretam em
prejuízos financeiros importantes para os usuários do serviço PIX.

Palavras- chave: PIX. Segurança. Aplicativo. Inclusão e Pagamentos.

Abstract

The present study focuses on the issue of instant payments, which in Brazil is known as PIX,
which are electronic money transfers in which funds are available to the beneficiary in real
time as a service available 24 hours a day, 7 days a week. , where transfers occur directly
from the payer's account to the payee's account. On November 16, 2020, the new instant
payment system developed by the Central Bank of Brazil, called PIX, was officially launched
to the public. However, in addition to the speed and continuous operation of the system, the
Central Bank listed some other reasons that led to the creation of the PIX system, as shown in
the excerpt below extracted from the official website of the main Brazilian monetary entity:
Leverage market competitiveness and efficiency; Lower the cost, increase security and
enhance the customer experience; Encourage the electronicization of the retail payments
market; Promote financial inclusion; Fill a series of gaps in the basket of payment instruments
currently available to the population. This marks the beginning of a new milestone in the
Brazilian banking system, but with it there is also a greater concern with security, as the pix is
unable to reimburse the payer if he makes a wrong payment. We currently have some scams
involving the pix, but not from bank sites or apps, but rather that hackers manage to enter
android cell phone systems and take bank information from apps causing users to end up
depositing in wrong accounts. Finally, more and more investment in security must be adopted
as a way of not falling into fraud and having problems that lead to significant financial losses
for users of the PIX service.

KEYWORDS: PIX. Security. Application. Inclusion and Payments.

 1

1. Introdução

No universo das transações bancárias, os pagamentos instantâneos têm ganhado cada

vez mais atenção por parte de especialistas em finanças; serviços financeiros; sistemas de
tecnologia da informação e da própria sociedade como um todo, que busca equilíbrio entre
eficiência e segurança nos pagamentos em meio digital (AMORIM, 2022).
Estar interconectado nos torna todos mais vulneráveis e o uso constante de mídias
sociais, compras online e todos os rastros que deixamos enquanto navegamos na web
disponibilizaram quantidades inestimáveis de dados pessoais aos fraudadores.
Segundo Ahmed e Monir (2019), a maioria dos usuários digitais não recebeu
conscientização suficiente sobre os riscos em que podem incorrer ao abusar da tecnologia,
portanto, educados em práticas básicas de segurança, tornando-os parte da solução e não a
fonte do problema. Além disso, há uma desigualdade econômica subjacente impulsionada
pela tecnologia e uma deficiência ética generalizada.
O presente estudo volta-se ao tema dos pagamentos instantâneos, que no Brasil é
conhecido como PIX, e como descreve Oliveira (2022), são transferências eletrônicas de
dinheiro em que os fundos estão disponíveis para o beneficiário em tempo real enquanto
serviço disponível 24 horas por dia, 7 dias por semana, em que as transferências ocorrem
diretamente da conta do pagador para a conta do beneficiário.
Segundo Kimelblat (2020) o dia 16 de novembro de 2020 ficou marcado como o
lançamento oficial para o público do novo sistema de pagamentos instantâneos desenvolvido
pelo Banco Central do Brasil, denominado PIX. Mas, adicionalmente à velocidade e
funcionamento contínuo do sistema, o Banco Central elencou alguns outros motivos que o
levaram à criação do sistema PIX, conforme trecho abaixo extraído do próprio site oficial da
principal entidade monetária brasileira:
• Alavancar a competitividade e a eficiência do mercado;
• Baixar o custo, aumentar a segurança e aprimorar a experiência dos clientes;
• Incentivar a eletronização do mercado de pagamentos de varejo;
• Promover a inclusão financeira;
• Preencher uma série de lacunas existentes na cesta de instrumentos de pagamentos
disponíveis atualmente à população.
 2

Amorim (2022) explica que muitos países usam essa tecnologia rápida, conveniente e
disponível entre pessoas, empresas e autoridades governamentais. Mas, pouco se tem
discutido sobre os riscos vinculados, especialmente em um cenário de pandemia causado pela
Covid-19, em que se viveu um aumento substancial dos pagamentos instantâneos em todo o
mundo.
Do ponto de vista da evolução tecnológica, aponta que o PIX no Brasil é uma questão
inquestionavelmente positiva. Os Pagamentos Instantâneos trazem velocidade na transferência
de fundos e atendem às necessidades de consumidores e empresas, promovendo
competitividade e interoperabilidade global. Por outro lado, os pagamentos instantâneos são
propensos a novos riscos operacionais, o que exigirá mitigações mais recentes, mais rápidas e
mais eficientes, além das camadas de proteção contra fraudes adaptáveis e em tempo real
(OLIVEIRA, 2022).
Buscou-se saber: quais são os riscos relacionados à operacionalização do PIX na
forma como ele ocorre de forma operacional e seu sistema de segurança.
O objetivo geral deste artigo é analisar quais são os principais riscos vinculados aos
pagamentos instantâneos via PIX no Brasil, considerando os moldes como ele ocorre. Os
objetivos específicos foram assim definidos: demonstrar a importância da tecnologia como
meio que propicia a agilidade e segurança dos pagamentos; e, discutir quais são os riscos que
o pagamento instantâneo via PIX, no escopo que ocorre no Brasil, podem trazer aos usuários.
A realização desse estudo se justifica diante da possibilidade de aprofundar o
conhecimento sobre um sistema de pagamento instantâneo que ainda é recente no Brasil,
como esclarece Turczyn (2020), introduzida para substituir ou integrar sistemas de pagamento
legados deve ser robusta e eficaz, adaptável e escalável para acompanhar as tecnologias
futuras sem esquecer-se de encontrar o equilíbrio certo entre eficiência e segurança.
Trata-se de um tema de grande relevância para a população brasileira como um todo,
pois, os pagamentos instantâneos podem proporcionar satisfação imediata ao cliente, mas
também fraude instantânea. Ao contrário de outros tipos de fraude, a recuperação de dinheiro
por fraude instantânea é impossível. Os clientes não têm chance de perceber o que está
acontecendo para cancelar a transação antes que seja tarde demais.
Segundo Vergara (2014) a pesquisa bibliográfica é essencial a toda e qualquer estudo
científico e conta com um levantamento de fontes confiáveis sobre um tópico, frequentemente
usado em dissertações, teses e trabalhos de pesquisa. Malhotra (2001) explica sobre a análise
empírica se referir a análise empírica é uma abordagem baseada em evidências para o estudo e
 3

interpretação da informação. A abordagem empírica baseia-se em dados, métricas e resultados

do mundo real, em vez de teorias e conceitos em que a ideia de que o conhecimento é
recebido principalmente através da experiência.
O presente trabalho usou como metodologia a análise bibliográfica sobre o assunto,
fazendo uso de artigos de sites acadêmicos (como Google e Scielo) e livros.
De certo que as soluções de pagamento instantâneo foram implementadas ou estão em
processo de desenvolvimento em muitos países do mundo e, embora a tecnologia tenha
aumentado exponencialmente o bem-estar da sociedade contemporânea, ao mesmo tempo,
multiplicou o surgimento da vivência de novas vulnerabilidades, reforçando a importância de
se estudar o tema do PIX no Brasil.
De acordo com Kimelblat (2020) no Brasil, a criação do PIX se insere no conjunto de
medidas adotadas pelo Banco Central do Brasil denominadas Agenda BC#, que pretende
dentre outras ações, aumentar a inclusão do sistema bancário nacional, estimular a
competitividade do setor financeiro, fomentar a transparência do sistema e promover a
educação financeira da população, no contexto de desenvolvimento de uma economia
sustentável. 

 
 4

2. Comunicação segura do PIX

De acordo com o Manual de Segurança do BCB (2020) a comunicação entre cada PSP
e o PIX é realizada por meio da Rede do Sistema Financeiro Nacional (RSFN). A conexão do
PSP com a RSFN deve observar as regras e padrões dispostos no Manual de Redes do SFN3.
Ainda de acordo com Manual o PSP deve se conectar às APIs disponíveis no PIX
exclusivamente por meio do protocolo HTTP versão 1.1 utilizando criptografia TLS versão
1.2 ou superior, com autenticação mútua obrigatória no estabelecimento da conexão. Deve ser
suportada, no mínimo, a Cipher Suite ECDHE-RSA-AES-128-GCM-SHA256 (0xc02f), ou
seja, os seguintes algoritmos devem ser utilizados.
Fase/Função Algoritmo
Troca de chaves ECDHE (Elliptic Curve Diffie Hellman
Ephemeral)

Autenticação RSA

Criptografia Simétrica AES com chaves de 128 bits utilizando o modo

GCM

MAC (Message Authentication SHA com chaves de 256 bits

Code)

Tabela 1: Algoritmos utilizados na criptografia TLS. (fonte: Manual BCB, 2020).

Tanto o servidor (Banco Central) como o cliente (PSP) devem utilizar certificados
ICP-Brasil no padrão SPB. Mais informações sobre certificados constam na seção 1.3 deste
documento.
Os clientes HTTP do PSP devem sempre respeitar o TTL (Time To Live) dos
servidores DNS. A falha em respeitar o TTL pode causar indisponibilidade no acesso às APIs
do PIX.

2.1. Assinatura digital

No intuito de garantir a integridade e o não repúdio das transações no âmbito do PIX,

todas as mensagens trafegadas no Sistema de Pagamentos Instantâneos (SPI)4 devem ser
 5

assinadas digitalmente pelo emissor. No caso do Diretório de Identificadores de Contas

Transacionais (DICT)5, apenas as requisições de consulta (GET) não precisam ser assinadas,
enquanto todas as demais requerem assinatura. Seja qual for a operação realizada, tanto no
SPI como no DICT, a resposta do BC para o PSP é sempre assinada.
O padrão de assinatura digital a ser utilizado no PIX é o XMLDSig6. No SPI, as
mensagens seguem o padrão ISO 20.0227, portanto a assinatura digital deve constar no
elemento <Sgntr> do Business Application Header (BAH)8, conforme descrito no Catálogo
de Mensagens do SPI9. No DICT, por sua vez, as requisições e respostas não são realizadas
por meio de mensagens ISO 20.022, então o cabeçalho (BAH) não existe. Nesse caso, a
assinatura (elemento <Signature>) deve constar na raiz do XML.
A tabela abaixo mostra os elementos/tags que devem compor a assinatura digital:
# Elemento/tag Descrição
1 <Signature> Elemento raiz da assinatura XMLDSig, onde se
define o namespace, que aponta para a URI do
esquema XML (XML Schema Definition – XSD) a
ser utilizado para a assinatura digital. Inclui todos os
elementos descritos nas demais linhas desta tabela.
No PIX, é utilizado XMLDSig:
http://www.w3.org/2000/09/xmldsig#

1.1 <SignedInfo> Contém as principais informações necessárias para a

assinatura, e inclui as tags
<CanonicalizationMethod>, <SignatureMethod> e
tags <Reference>, descritas abaixo
1.1.1 <CanonicalizationMethod> Especifica o algoritmo de canonicalização a ser
aplicado no elemento <SignedInfo>, com o objetivo
de gerar a forma canônica do conteúdo a partir do
qual será gerado o resumo (digest) para posterior
assinatura digital. No PIX, deve ser utilizado o
algoritmo de canonicalização XML exclusiva:
http://www.w3.org/2001/10/xml-exc-c14n#.

1.1.2 <SignatureMethod> Define o algoritmo utilizado para geração e

validação da assinatura digital. No PIX, utiliza-se
RSA-SHA256: http://www.w3.org/2001/04/xmldsig-
more#rsa-sha256.

1.1.3 <Reference> Elemento que referencia o conteúdo a ser assinado, e

inclui as tags <Transforms>, <DigestMethod> e
<DigestValue>. A utilização do elemento
 6

<Reference> é detalhada na seção 1.2.1 a seguir.

1.1.3.1 <Transforms> Inclui uma ou mais tags <Transform>, que indicam

que transformações devem ser aplicadas, sempre em
sequência, no conteúdo a partir do qual será gerado
o resumo (digest). As transformações realizadas
constam nas tabelas 3 e 4 da seção 1.2.1.

1.1.3.2 <DigestMethod> Identifica qual algoritmo de digest será aplicado ao

conteúdo a ser assinado. No PIX, utiliza-se SHA-
256: http://www.w3.org/2001/04/xmlenc#sha256.

1.1.3.3 <DigestValue> Elemento que contém o resumo (digest) codificado

em base64.

1.2 <KeyInfo> Elemento que contém os dados do certificado

utilizado para assinar digitalmente o conteúdo.
Inclui a tag <X509Data>, explicada abaixo.

1.2.3 <X509Data> Contém os dados do certificado X509 utilizado pelo

assinador. Inclui a tag <X509IssuerSerial>, descrita
abaixo.

1.2.3.1 <X509IssuerSerial> Contém as tags <X509IssuerName> e

<X509SerialNumber>, descritas abaixo
1.2.3.1. <X509IssuerName> Contém o nome (Distinguished Name – DN) da AC
1 que gerou o certificado utilizado para assinatura
digital.

1.2.3.1. <X509SerialNumber> Contém o número de série do certificado utilizado

2 para assinatura digital.

1.3 <SignatureValue> Elemento que contém a assinatura digital

propriamente dita, codificada em base64.

Tabela 2: Elementos que compõem a assinatura digital no PIX. (fonte: Manual BCB, 2020).
 7

2.1.1. Informações a serem assinadas

No SPI, as informações a serem assinadas são:

• Mensagem ISO 20.022 (elemento <Document>);
• Cabeçalho – BAH (elemento <AppHdr>);
• Elemento <KeyInfo>.
Portanto, no SPI são utilizados 3 elementos <Reference>, como mostra a tabela 3:

Tag Conteúdo Transformações a serem realizadas

referenciado
<Reference <KeyInfo Canonicalização XML Exclusiva:
URI=”<unique-id- Id=”unique-id-to- http://www.w3.org/2001/10/xml-exc-c14n#
to-KeyInfo> KeyInfo”>
(...................)
</KeyInfo>

<Reference URI BAH (excluindo os XMLDSig Enveloped Signature:

=””> elementos da http://www.w3.org/2000/09/xmldsig#enveloped-
assinatura digital): signature
<AppHdr> e
(...................) Canonicalização XML Exclusiva:
</AppHdr> http://www.w3.org/2001/10/xml-exc-c14n#

<Reference> <Document> Canonicalização XML Exclusiva:

(...................) http://www.w3.org/2001/10/xml-exc-c14n#
</Document>

Tabela 3: Elementos <Reference> utilizados no SPI, bem como as transformações realizadas. (fonte: Manual
BCB, 2020).

Observação: no SPI, a tag <Reference>, sem o atributo URI, deve ser interpretada
pela aplicação de forma a referenciar a mensagem ISO 20.022 propriamente ditas (elemento
<Document>).
Já no caso do DICT, é necessário assinar o conteúdo do elemento raiz do XML e do
<KeyInfo>, o que resulta na utilização de apenas 2 tags <Reference>, conforme mostrado na
tabela abaixo:

Tag Conteúdo Transformações a serem realizadas

referenciado

<Reference <KeyInfo Canonicalização XML Exclusiva:

URI=”<unique-id- Id=”unique-id- http://www.w3.org/2001/10/xml-exc-c14n#
 8

to-KeyInfo> to-KeyInfo”>
(...................)
</KeyInfo>

<Reference URI <Elemento-raiz- XMLDSig Enveloped Signature:

=””> do-XML> http://www.w3.org/2000/09/xmldsig#enveloped-
(...................) signature
</Elemento-raiz- e
do-XML> Canonicalização XML Exclusiva:
http://www.w3.org/2001/10/xml-exc-c14n#

Tabela 4: Elementos <Reference> utilizados no DICT, bem como as transformações realizadas. (fonte:
Manual BCB, 2020).

Observação: ressalta-se que, no caso do DICT, a tag <Reference URI =””> aponta para a
raiz do XML, diferentemente do que ocorre no SPI.

2.1.2. Processo de assinatura digital

No SPI, o processo de assinatura digital das mensagens inclui os passos abaixo:

1. Obter a mensagem completa a ser assinada;
2. Construir o elemento <KeyInfo>, incluindo as informações sobre o certificado
digital utilizado na assinatura, conforme item 1.2 e subitens da tabela 2;
3. Extrair BAH (tag <AppHdr>);
4. Extrair mensagem ISO 20.022 (tag <Document>);
5. No elemento <SignedInfo>, definir o algoritmo de canonicalização e de assinatura
digital a serem utilizados, conforme itens 1.1.1 e 1.1.2 da tabela 2;
6. Criar os elementos <Reference>, incluindo as tags <Transforms> e <Transform>
conforme tabela 3 e item 1.1.3 e subitens da tabela 2;
7. Efetuar as transformações nos conteúdos, conforme tabela 3;
8. Gerar os digests para os conteúdos referenciados nos itens acima, incluindo-os nos
respectivos elementos <DigestValue>;
9. Canonicalizar o elemento <SignedInfo> e assiná-lo digitalmente conforme
algoritmos definidos no passo 5 acima;
10. Inserir a assinatura digital gerada no passo anterior no elemento
<SignatureValue>.
A figura a seguir ilustra o processo de assinatura no SPI:
 9

Figura 1 – Fluxo de assinatura digital da mensagem no SPI (fonte: Manual BCB, 2020).
 10

A seguir consta um exemplo de mensagem pacs. 008 assinada digitalmente:

<Envelope xmlns="pacs.008.spi.1.0.xsd">
<AppHdr>
(...)
<Sgntr>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#b2177f73-7685-39ac-83db-fa00ffd2b89c">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>zqj93e6vEFVL2Pssc9nUdPweSYVxUadBaTebSuaCG0Izqj93e6vEFVL2P
ssc9nUdPweSYVxUadBaTebSuaCG0I=</ds:DigestValue>
</ds:Reference>
<ds:Reference URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>LrZoVaudkSbJbCM8/s0QT7ejlPGNVHt0uaT/HrCoZX8=</
ds:DigestValue>
</ds:Reference>
<ds:Reference>
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>xaYzMm+MbzWxgpZyRPUTa7X6mFQ6bn5EAccCtcXOOEc=</
ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>z2rH67+Rv3ofKoGkrufiUXSgLO3DxqblwuaTbR5qbyYHnVrOPB5su3
wwAJoAPNEW5Lr
Sh9pD3ECq4nrRd7UDHi9cmSalr42zKPvpwvVPZTgQkGTyvyQAFCUCnfhpj/qalU1fIfw0Ie
60WTsqHnAY/sUXn6HIBdHtJ/
Vd7ZuWB8elCd09DE3MlV9gTqN7KCgEEvw+y0KvODme1SXngVKNA//
udA4nhpsUCqDQpCmNzUXDG9yWiziSL4fXE/IQ1frgoglw/
IZkZ1Emc4VdNJd+q4U3HJBThHeMj1fYtucLS/JZi+urbAIolIwpYldGgmd/
sEEKe0gE9cMWryjsSVBnxg==
</ds:SignatureValue>
<ds:KeyInfo Id="b2177f73-7685-39ac-83db-fa00ffd2b89c">
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>CN=SPI - Banco Central do Brasil</ds:X509IssuerName>
 11

<ds:X509SerialNumber>17649420304715376549</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
</Sgntr>
</AppHdr>
<Document>
(...)
</Document>
</Envelope>

Observação: trechos do XML não relacionados à assinatura foram cortados e estão

representados com (...). Mais informações sobre o XML como um todo constam no Catálogo
de Mensagens do SPI.

No DICT, por sua vez, o processo de assinatura digital inclui os passos abaixo:
1. Obter o conteúdo do elemento raiz do XML a ser assinado;
2. Construir o elemento <KeyInfo>, incluindo as informações sobre o certificado
digital utilizado na assinatura, conforme item 1.2 e subitens da tabela 2;
3. No elemento <SignedInfo>, definir o algoritmo de canonicalização e de assinatura
digital a serem utilizados, conforme itens 1.1.1 e 1.1.2 da tabela 2;
4. Criar os elementos <Reference>, incluindo as tags <Transforms> e <Transform>
conforme tabela 4 e item 1.1.3 e subitens da tabela 2;
5. Efetuar as transformações nos conteúdos, conforme tabela 4;
6. Gerar os digests para os conteúdos referenciados nos itens acima, incluindo-os nos
respectivos elementos <DigestValue>;
7. Canonicalizar o elemento <SignedInfo> e assiná-lo digitalmente conforme
algoritmos definidos no passo 3 acima;
8. Inserir a assinatura digital gerada no passo anterior no elemento <SignatureValue>.
A figura na página a seguir ilustra o processo de assinatura no DICT:
 12

Figura 2 – Fluxo de assinatura digital no DICT. (Fonte: Manual BCB, 2020).

 13

2.1.3. Verificação da assinatura digital

No SPI, o processo de verificação da assinatura digital das mensagens inclui os passos

abaixo:

1. Extrair o elemento <KeyInfo> da assinatura (tag <Signature>);

2. Extrair a mensagem ISO 20.022 (tag <Document>);
3. Extrair o BAH (tag <AppHdr>) e aplicar o transform “Enveloped Signature”;
4. Canonicalizar o resultado dos 3 passos acima;
5. Gerar o digest dos 3 resultados obtidos no passo anterior;
6. Comparar os digests gerados com os valores dos campos <DigestValue> que
constam nos respectivos elementos <Reference>;
7. Caso a verificação seja bem sucedida, proceder com os passos abaixo. Caso
contrário, retornar erro.
8. Obter a assinatura digital da mensagem (elemento <SignatureValue>);
9. A partir das informações constantes no elemento <KeyInfo>, obter certificado do
emissor (*);
10. Canonicalizar elemento <SignedInfo>;
11. Verificar a assinatura obtida no passo 8 utilizando a chave pública do certificado
obtido no passo 9 acima para confirmá-la.
12. Caso a verificação seja bem sucedida, finalizar processo com status de sucesso.
Caso contrário, retornar erro.
(*) Cada PSP é responsável por manter uma base atualizada com os números de série e
respectivas chaves públicas dos certificados digitais do BC utilizados para assinatura digital.
O BC ativará seus certificados conforme descrito na seção 1.3.3.
A figura na página a seguir ilustra o processo:
 14

Figura 3 – Fluxo de verificação da assinatura digital da mensagem no SPI. (fonte: Manual BCB, 2020).
 15

Já no DICT, o processo de verificação da assinatura digital consiste nos seguintes

passos:
1. Obter o conteúdo do elemento raiz do XML;
2. Aplicar o transform “Enveloped Signature” no conteúdo;
3. Extrair o elemento <KeyInfo> da assinatura (tag <Signature>);
4. Canonicalizar o resultado dos passos 2 e 3 acima;
5. Gerar o digest dos 2 resultados obtidos no passo anterior;
6. Comparar os digests gerados com os valores dos campos <DigestValue> que
constam nos respectivos elementos <Reference
7. Caso a verificação seja bem sucedida, proceder com os passos abaixo. Caso
contrário, retornar erro.
8. Obter a assinatura digital (elemento <SignatureValue>);
9. A partir das informações constantes no elemento <KeyInfo>, obter certificado do
emissor;
10. Canonicalizar elemento <SignedInfo>;
11. Verificar a assinatura obtida no passo 8 utilizando a chave pública do certificado
obtido no passo 9 acima para confirmá-la.
12. Caso a verificação seja bem sucedida, finalizar processo com status de sucesso.
Caso contrário, retornar erro.
A figura na página a seguir ilustra o processo:
 16

Figura 4 – Fluxo de verificação da assinatura digital no DICT. (fonte: Manual BCB, 2020).
 17

2.2. Certificados digitais

Esta seção apresenta os detalhes a respeito dos tipos de certificados a serem utilizados
e descreve o processo de ativação, desativação e de verificação da revogação de certificados.

2.2.1. Certificados digitais a serem utilizados

Tanto para autenticação e criptografia da conexão com as APIs do PIX como para
assinatura digital das mensagens, devem ser utilizados certificados digitais ICP-Brasil no
padrão SPB. As especificações para a geração desse tipo de certificado constam nas seções
4.2, 4.3 e 4.4 (subitens 4.4.1 a 4.4.5, 4.4.15e 4.4.16) do Manual de Segurança do SFN10.
Recomenda-se que cada instituição utilize certificados distintos, exclusivos para cada
finalidade.
Nos sites que hospedam URLs de QR Codes dinâmicos gerados pelo recebedor, não
será necessário que o certificado seja padrão SPB, conforme detalhado na seção 1.4 a seguir.
As instituições participantes devem possuir processos adequados de gestão (geração, guarda,
ativação e revogação) dos seus certificados digitais utilizados no âmbito do PIX. Nesse
contexto, recomenda-se a utilização de dispositivos de criptografia baseados em hardware
(HSMs) para armazenamento das chaves privadas dos certificados.
Poderão estar ativos simultaneamente múltiplos certificados por instituição – 1 ou
mais certificados para autenticação e criptografia da conexão e 1 ou mais certificados para
assinatura digital. O mesmo se aplica aos certificados do BC.

2.2.2. Ativação de certificados digitais dos PSPs

Para ativar um novo certificado digital, os PSPs devem enviá-lo por meio do Sistema
de Transferência de Arquivos (STA)11, seguindo os códigos/nomes de arquivo abaixo:

Finalidade do Código do Nome do arquivo

certificado arquivo
Autenticação da CPIC CERTPIC – Certificado Digital do PSP no SPI
conexão para conexão

Assinatura digital CPIA CERTPIA – Certificado Digital do PSP

 18

no SPI para assinatura

Após o recebimento do certificado, o BC efetua sua validação conforme padrões

definidos no Manual de Segurança do SFN. Concluída a validação, o certificado será
arquivado na base de dados do BC e será ativado automaticamente para utilização no PIX.
Cada PSP poderá confirmar a habilitação do seu certificado no próprio registro do protocolo
de envio no STA.

2.2.3. Ativação de certificados digitais do BC

A ativação de novos certificados do BC será comunicada com antecedência de, no

mínimo, 7 dias, por meio de Comunicado Sisbacen. Os novos certificados serão publicados no
portal da RSFN12, juntamente com os demais certificados ativos. A ativação de novos
certificados digitais por parte do BC ocorrerá conforme os processos descritos abaixo:
Certificados de assinatura digital:
• Será enviada uma mensagem específica do Catálogo de Mensagens do SPI13 para
todos os participantes contendo o novo certificado e o prazo para a sua ativação.
• Passado o prazo definido no comunicado, o BC começará a assinar mensagens com o
novo certificado. A critério do BC, a transição entre o certificado anterior e o novo poderá ser
escalonada, de forma que inicialmente apenas um percentual das mensagens seja assinado
com o novo certificado.
Certificados de autenticação e criptografia da conexão:
Passado o prazo definido no comunicado, o BC ativará o novo certificado nos seus
sites. Cada PSP deve estar preparado para aceitar mais de um certificado ativo pelo BC e
devem efetuar, no mínimo, as validações abaixo:
• Certificado deve ser emitido por uma das ACs do SPB / ICP-Brasil;
• ISPB do Banco Central deve constar no DN (ISPB “00038166”);
• CNPJ do Banco Central do Brasil deve constar no OID 2.16.76.1.3.3 do certificado;
• URL do certificado do BC deve constar no campo SAN, e deve corresponder à URL
do PIX (“*.pi.rsfn.net.br”);
• Certificado não pode estar expirado.
 19

2.2.4. Desativação de certificados digitais

Todos os certificados – tanto do BC como dos PSPs – deverão ser automaticamente

desativados às 03:00 UTC da sua data de expiração e, portanto, após a desativação, não
deverão ser aceitos no PIX.
Caso um PSP precise desativar determinado certificado, motivadamente e com
urgência, o diretor da instituição responsável pelo PIX – identificado no cadastro da
instituição no ecossistema14 – deverá enviar solicitação, com justificativa técnica, ao
Departamento de Tecnologia da Informação (DEINF) do Banco Central por meio do BC
Correio15. O referido diretor deverá constar como “transmissor” da mensagem.
Caso o BC precise desativar um de seus certificados, será enviado Comunicado
Sisbacen aos participantes informando o certificado a ser desativado e a data em que ele não
deverá mais ser aceito pelos participantes do ecossistema.

2.2.5. Verificação da revogação de certificados

Tanto o BC como os demais participantes do PIX deverão verificar as listas de

revogação de certificados (“Certificate Revocation Lists” – CRLs) para confirmar que
nenhum certificado utilizado no ecossistema foi revogado. Porém, considera-se tecnicamente
inviável a verificação de CRLs de forma online – a cada conexão ou mensagem – por dois
motivos principais:
• No PIX, os sistemas dos PSPs, PSTIs e BC estão conectados apenas à RSFN e,
portanto, não possuem conectividade com a Internet. Por esse motivo, não conseguirão
acessar os pontos de distribuição das CRLs;
• A consulta de forma online, a cada conexão ou mensagem, poderia impactar o tempo
total de processamento das transações, resultando em uma experiência ruim para os usuários
finais.
Dado o exposto acima, o Banco Central efetuará a verificação das CRLs por meio de
processo separado e assíncrono, porém frequente. Caso o certificado de algum participante
conste como revogado, o BC enviará notificação para a instituição via BC Correio e deixará
de aceitar transações de/para essa instituição. É recomendado que todos os participantes do
ecossistema implementem a verificação de CRLs de forma similar à realizada pelo BC.
 20

2.3. Segurança de QR Codes dinâmicos

Esta seção apresenta as especificações de segurança de QR Codes dinâmicos gerados

pelo recebedor.
Conforme especificado no documento “Padrões para Iniciação do PIX”16, o QR Code
dinâmico gerado pelo recebedor contém, dentre outras informações, uma URL que é acessada
de forma criptografada no momento de sua leitura. O conteúdo acessado consiste em uma
estrutura JWS (JSON Web Signature)17 cujo payload, assinado digitalmente, contém
informações da transação. Os detalhes a respeito da segurança no acesso às URLs, certificados
e processo de assinatura digital constam a seguir.

2.3.1. Segurança no acesso às URLs

A URL acessada ao se efetuar a leitura de um QR Code dinâmico deve ser provida

pelo PSP recebedor em site que implemente o protocolo HTTPS com criptografia TLS versão
1.2 ou superior. O PSP recebedor deve ser proprietário do site/domínio – ou, caso contrate
provedor de serviços para essa finalidade, o PSP deve se responsabilizar pela segurança e
disponibilidade do site. O certificado SSL utilizado no site deve:
• Ser emitido por AC amplamente conhecida pelos diferentes navegadores e clientes
de mercado;
• Ser do tipo EV (“Extended Validation” – Validação Estendida);
• Conter o(s) site(s) /domínios associado(s) aos QR Codes dinâmicos no campo CN
(“Common Name”) ou SAN (“Subject Alternative Name”);
• Ser ativado no PIX conforme especificado na seção a seguir.
Como medida adicional de segurança, além dos requisitos obrigatórios acima,
recomenda-se que cada PSP crie e mantenha registros CAA (“Certification Authority
Authorization”)18 no DNS do domínio que hospeda os sites relacionados à QR Codes
dinâmicos.
A URL presente no QR code dinâmico não deve incluir prefixo de protocolo, uma vez
que este deve ser sempre HTTPS, conforme já especificado no início desta seção.
Respeitadas as regras de formação de URL19 e as definições do Manual do BR
Code20, os seguintes componentes devem estar presentes:
fqdnPspRecebedor/spiEndpoint/spiUrlAccessToken/
 21

O tamanho máximo da URL completa (sem o prefixo de protocolo) deve ser 77

caracteres e o domínio do recebedor na URL deve ser completamente qualificado (FQDN). O
endpoint/aplicação do recebedor é opcional, mas, se presente, deve ser respeitado.
O spiUrlAccessToken evita varreduras de “força bruta” por outros agentes que não
tenham acesso ao QR Code, viabilizando a leitura dos detalhes de pagamento (payload JSON)
apenas para o pagador21. O spiUrlAccessToken deve respeitar as seguintes restrições:
• Tamanho mínimo de 20 bytes (160 bits) aleatórios;
• Tamanho máximo conforme disponível considerando os demais componentes da
URL;
• Não deve ser possível deduzir seu valor, exceto pela leitura do QR Code, conforme
detalhado abaixo.
Para impedir a dedução do spiUrlAccessToken por terceiros, o PSP recebedor deve
criá-lo conforme as recomendações do documento do W3C intitulado “Good Practices for
Capability URLs”22, considerando também aspectos que aumentem o seu grau de entropia e
de aleatoriedade23 e, portanto, agreguem segurança.
O pagador não efetua validações no spiUrlAccessToken, sendo responsabilidade do
PSP recebedor garantir suas propriedades mínimas de segurança.

2.3.2. Ativação de certificados SSL para sites de QR Codes dinâmicos

De forma similar ao processo de ativação de certificados para autenticação/criptografia

da conexão e para assinatura digital de mensagens, detalhado na seção 1.3.2, também é
necessário ativar os certificados SSL associados aos sites que hospedam URLs dos QR Codes
dinâmicos. Para tanto, cada PSP deve enviar previamente seu(s) certificado(s) SSL por meio
do Sistema de Transferência de Arquivos (STA), com o código/nome de arquivo abaixo:

Finalidade do certificado Código do Nome do arquivo

arquivo
Certificado digital para sites de CQRC Documento CERTQRC – Certificado
QR Codes Dinâmicos Digital para sites de QR Codes Dinâmicos
 22

A instituição poderá confirmar a habilitação do seu certificado no próprio registro do

protocolo de envio no STA. Após o recebimento do certificado, o BC efetua sua validação e
inclusão na base de dados do BC. Essa base poderá ser verificada periodicamente por meio de
consulta à ICOM24.
Os registros da base incluirão, no mínimo as seguintes informações do certificado:
• Emissor (issuer);
• Distinguished Name (DN);
• Número de série;
• Thumbprint;
• Site(s)/Domínios associado(s) – de acordo com o campo CN ou SAN.
Com essas informações, cada PSP terá meios de implementar em seus aplicativos a
validação, tanto do site como do certificado associado, no momento da leitura de um QR Code
dinâmico, conforme descrito na seção 1.4.4 deste documento.
Cada PSP poderá ativar múltiplos certificados e sites/domínios associados. Dessa
forma, é possível evitar eventuais indisponibilidades devido à expiração de determinado
certificado ativo.

2.3.3. Definições do padrão JWS

Conforme já mencionado, ao se efetuar a leitura de um QR Code dinâmico gerado pelo

recebedor, será acessada uma URL cujo conteúdo consiste em uma estrutura JWS em que o
payload é assinado digitalmente pelo PSP recebedor, para garantir a integridade e não repúdio
das informações da transação. A estrutura JWS inclui:
• Cabeçalho (JSON Object Signing and Encryption – JOSE Header), onde se define o
algoritmo utilizado e inclui informações sobre a chave pública ou certificado que podem ser
utilizadas para validar a assinatura;
• Payload (JWS Payload): conteúdo propriamente dito;
• Assinatura digital (JWS Signature): assinatura digital, realizada conforme parâmetros
do cabeçalho.
“Cada elemento acima deve ser codificado utilizando o padrão Base64url25 e, feito
isso, os elementos devem ser concatenados com.” (método JWS Compact Serialization,
conforme definido na RFC 7515).
No contexto do PIX, o cabeçalho (JOSE Header) deve incluir no mínimo os
parâmetros abaixo:
 23

• alg (Algorithm):
Define o algoritmo de assinatura digital utilizado.
o Valores proibidos: HS* (relacionados a HMAC) e none.
o Valores permitidos: RS256 ou superior e ES256 ou superior.
o Valores recomendados: PS256 ou PS512.
• x5t (X.509 Certificate SHA-1 Thumbprint):
Consiste no thumbprint, codificado em Base64url, do certificado que corresponde à
chave privada utilizada para assinatura do JWS.
• jku (JWK Set URL):
Define a URL onde consta um conjunto de chaves no formato JSON (JWK Set26).
o A URL deve estar hospedada no mesmo site/domínio associado ao certificado
CERTPIQ ativado conforme descrito na seção 1.4.2.
• kid (Key ID):
Identificador da chave a ser utilizada para validar a assinatura digital, dentre as chaves
presentes no JWK Set acessado por meio da URL definida no parâmetro jku.
O JWK Set disponível na URL acima deve incluir o parâmetro keys, cujo valor consiste
em uma ou mais chaves no padrão JWK, conforme definido na RFC 7517. A estrutura JWK,
por sua vez, deve incluir no mínimo os parâmetros abaixo:
• kty (Key Type):
Define o algoritmo criptográfico da chave.
o Deve ser RSA ou EC.
• key_ops (Key Operations):
Identifica a operação para a qual a chave deve ser utilizada.
o Deve ser sempre verify, pois a chave será usada para verificar a assinatura digital do
JWS.
• kid (Key ID):
Identificador único da chave no JWK Set.
• x5t (X.509 Certificate SHA-1 Thumbprint):
Consiste no thumbprint, codificado em Base64url, do certificado que corresponde à
chave privada utilizada para assinatura do JWS.
• x5c (X.509 Certificate Chain):
Especifica o certificado digital X.509 – incluindo a chave pública que corresponde à
chave privada utilizada na assinatura digital – e sua respectiva cadeia.
 24

o Deve-se utilizar um array JSON com os certificados, começando com o certificado

cuja chave privada correspondente foi utilizada na assinatura, seguido pelo certificados
adicionais da cadeia, onde cada certificado subsequente tenha sido utilizado para emissão do
certificado anterior, conforme exemplo do Appendix B da RFC 7515.
Assim como no caso do certificado associado ao site que hospeda a estrutura JWS, o
certificado neste caso deve ser válido e emitido por AC amplamente conhecida.
Os parâmetros x5t e kid definidos no JWK Set devem corresponder aos parâmetros de
mesmo nome que constam no cabeçalho JWS, permitindo que a aplicação cliente consiga
identificar de maneira inequívoca o certificado e a chave pública a ser utilizada para verificar
a assinatura digital do JWS.

2.3.4. Validações a serem feitas pelos aplicativos

Após efetuar a leitura de um QRCode dinâmico, os aplicativos de cada PSP devem

seguir os passos abaixo:
• Verificar se a URL que consta no QR Code é hospedada em site com criptografia TLS
versão 1.2 ou superior, conforme seção 1.4.1;
• Verificar se o certificado associado ao site está ativo no PIX, conforme seção 1.4.2;
• Verificar se o site consta no campo CN (“Common Name”) ou SAN (“Subject
Alternative Name”) do certificado;
• Obter chave pública conforme informações do cabeçalho JWS e JWK Set;
• Validar a assinatura digital (JWSSignature) com a chave pública obtida no passo
anterior.
• Se e somente se a assinatura estiver válida, realizar a transação conforme
informações do payload JWS.
Cabe aos PSPs implementarem mecanismos em seus aplicativos para otimizar o
processo de verificação da assinatura digital do JWS. Por exemplo, é possível que o aplicativo
armazene previamente um conjunto de thumbprints de certificados e suas respectivas chaves
públicas de forma que, ao ler o parâmetro x5t do JWS, o aplicativo já consiga saber qual chave
utilizar para validar a assinatura digital, sem precisar acessar a URL definida no parâmetro
jku.
Recomenda-se que, para facilitar esse processo de “carga prévia” de thumbprints e
chaves públicas nos aplicativos, cada PSP mantenha um diretório “/.well-known/”27 no seu
 25

site associado a QR Codes dinâmicos. Tal diretório pode conter, por exemplo, um documento
host-meta28 que especifique as URLs dos seus JWK Sets (parâmetro jku do JWS). Assim, os
demais PSPs conseguirão programar seus aplicativos para carregar previamente os JWK Sets
de determinado PSP, de forma a agilizar o processamento de transações via QR Codes
dinâmicos quando o recebedor for aquele PSP.
Por fim, para garantir o não repúdio das transações efetuadas por meio de QR Codes
dinâmicos, recomenda-se que os PSPs mantenham registros históricos das transações
efetuadas, incluindo as respectivas estruturas JWS, certificados e chaves públicas relacionados
a cada transação.

2.4. Sistema de Pagamentos Instantâneos

2.4.1 Conceito de PIX

São também chamados de Instant Payments ou Pagamentos Instantâneos, e são

transferências eletrônicas de dinheiro entre diferentes instituições onde a transmissão da
mensagem de pagamento e a disponibilização de fundos ao beneficiário final ocorrem em
tempo real, e cujo serviço está disponível para os utilizadores finais 24 horas por dia, 7 dias
por semana (AMORIM, 2022).
O Banco Central do Brasil viu a necessidade de criar e regulamentar esse novo arranjo
de pagamento devido à digitalização do comércio eletrônico e à atual lacuna nos meios de
pagamento. O Pix é o sistema criado pelo Banco Central do Brasil para dar vida aos
pagamentos instantâneos e vem servindo como case de sucesso para outros mercados
emergentes. Com os pagamentos instantâneos, o dinheiro é disponibilizado em segundos na
conta do destinatário, 24 horas por dia, 365 dias por ano. Em alguns países, isso já é possível,
dentre eles, o Brasil (OLIVEIRA, 2022).
Os prestadores de serviços de pagamento não são obrigados a oferecer pagamentos
instantâneos aos seus clientes. O BC incentivou os prestadores de serviços de pagamento a
disponibilizarem aos seus clientes soluções de pagamento instantâneo em euros a partir de
novembro de 2020 (GAYATHRI, 2021).
Amorim (2022) destaca que, um ano após sua criação, em novembro de 2020, o Pix
aumentou 14.000% e, em janeiro de 2022, já era utilizado por 71% da população brasileira.
Os últimos relatórios do Banco Central do Brasil mostraram que a Pix resultou um volume
mensal de R$ 600 milhões (mais de US$ 100 milhões) de recursos transferidos.
 26

Segundo explica Turczyn (2020), o Pix, embora tenha mais funcionalidades, como Pix
Troco (receber trocos após compras), Pix Saque (saque em dinheiro), em geral, possibilita
transferências entre contas bancárias em segundos, a qualquer hora ou dia. É considerado um
meio prático, rápido, seguro e gratuito para as pessoas, além de possibilitar a
interoperabilidade de todas as carteiras que utilizam QR Codes. O autor explica que as
transferências e pagamentos são permitidos de uma carteira eletrônica para outra em tempo
real, 24 horas por dia, 7 dias por semana.
Com pagamentos instantâneos, se pode enviar e receber pagamentos eletrônicos a
qualquer hora e em qualquer lugar. Em alguns países, já se pode enviar pagamentos
instantâneos via celular, proporcionando a mesma experiência em termos de rapidez e
conveniência que com dinheiro, por exemplo, ao compartilhar uma conta de jantar com
colegas ou emprestar algum dinheiro a um amigo ou parente.

2.4.2 Funcionamento do PIX e riscos associados

O pagamento instantâneo requer interceptar e bloquear pagamentos suspeitos

imediatamente durante a solicitação do usuário. O bloqueio acontece por meio de sistemas de
detecção de fraudes em tempo real capazes de fornecer flexibilidade para aplicar controles
mais rigorosos e se adaptar ao longo do tempo a novas verificações antifraude (GAYATHRI,
2021).
Segundo Figueiro (2021, p.2), existem medidas estabelecidas pelo Banco Central para
tornar o PIX mais seguro:
Pedidos para aumento de limite de Pix, Doc e Ted terão prazo mínimo de 24 horas e
máximo de 48 horas para serem efetivados. Usuários podem cadastrar previamente
contas para receber valores além do limite -- com prazo mínimo de 24 horas,
impedindo o cadastramento imediato em situação de risco. Os bancos poderão reter
uma transação via Pix por 30 minutos durante o dia e 60 minutos à noite para análise
de risco, e o usuário deverá ser informado. Outra medida obriga os bancos a manter
um registro nacional com as contas suspeitas de participação em fraudes, como as de
laranjas, dificultando o uso delas. As informações bancárias relacionadas aos crimes
deverão ser compartilhadas com as autoridades de segurança para auxiliar nas
investigações. Roubos através do Pix têm se tornado cada vez mais comuns e o
banco não tem responsabilidade quando há um crime cometido utilizando o
aplicativo, devido aos avanços tecnológicos por meio do celular é possível realizar
diversas translações. Essas mudanças têm como objetivo dar mais segurança, mas
ainda assim as pessoas devem estar alerta aos sinais, em caso de necessidade é
fundamental procurar autoridades competentes.

Segundo Costa Neto (2019), a lógica de lista branca, algoritmos de aprendizado de

máquina ajudam a reconhecer padrões conhecidos de comportamento e a afinidade com falsos
 27

positivos previamente confirmados permite que os pagamentos instantâneos funcionem com

segurança.
Segundo Lobo (2021), como plataforma antifraude baseada em comportamento,
reconhece os usuários de serviços bancários e de pagamento online a partir de seu
comportamento habitual. Usando técnicas de biometria comportamental, aprendizado de
máquina e algoritmos de IA proprietários, ele analisa e correlaciona centenas de parâmetros
que determinam uma pontuação de risco para cada transação em tempo real.
O controle das transações em PIX também será monitorado pelos órgãos fiscalizadores
da Receita Federal brasileira, conforme explicita Balsanelli (2022, p.4):
A Secretaria da Receita Federal acompanhará de perto as movimentações financeiras
efetuadas pelos brasileiros e pelas empresas por meio do PIX — novo sistema
brasileiro de pagamentos instantâneos instituído pelo Banco Central. As informações
sobre movimentação financeira dos contribuintes permanecem sendo importantes
para identificar irregularidades e dar efetividade ao cumprimento das leis tributárias.
A prestação de dados financeiros pelos bancos assegura os elementos mínimos
necessários para garantir os meios para que a Administração Tributária consiga ser
efetiva no cumprimento de sua missão. O PIX é uma modalidade de transferência de
recursos entre contas, assim como o TED e o DOC, e, para o órgão, são importantes
os valores globais de movimentação financeira e não a forma como se dá cada
transferência. Portanto os valores globais de movimentação financeira e saldos
continuam sendo declarados (pelas instituições financeiras ao Fisco da mesma
forma, sem diferenciar se são oriundos do PIX ou de TED, por exemplo).

De acordo com Amorim (2022), no comércio eletrônico, os pagamentos instantâneos

eliminam o risco de os comerciantes on-line não serem pagos, pois a liberação de mercadorias
e serviços pode ser facilmente sincronizada com o pagamento. Para pagamentos business-to-
business, os pagamentos instantâneos melhoram o fluxo de caixa, facilitam o gerenciamento
de fundos, reduzem os atrasos nos pagamentos e aceleram o pagamento de faturas.
Segundo Andrion (2021, p.2) existem riscos nas transações de PIX:

Em termos de tecnologia, o Pix é extremamente seguro. Mesmo assim, as fraudes

podem acontecer. Especialmente pela rapidez do processo: o sistema está disponível
24 horas por dia, sete dias por semana e as transferências ocorrem em segundos e
são gratuitas para os usuários. Com isso, qualquer transação fraudulenta efetivada
instantaneamente pode só ser percebida quando já for tarde demais. Uma das
práticas mais comuns é o uso de técnicas de engenharia social. Os criminosos
buscam fazer a vítima ceder dados da conta do Whatsapp para assumir o comando
do perfil. A partir daí, eles passam a pedir dinheiro aos contatos do usuário e
solicitar que o montante seja transferido por Pix — ou seja, não há qualquer
vulnerabilidade no Pix em si. Embora os golpes envolvam o nome do Pix, o maior
risco é o fator humano. É por isso que os golpes sempre envolvem as características
humanas do usuário, que pode ser vítima de fraudes no cadastro das credenciais, no
roubo de dados, na transferência para contas de golpistas e assim por diante. Como o
sistema ainda é muito recente, o risco é maior porque muitos ainda não o conhecem
bem.
 28

Os pagamentos instantâneos também podem ser um veículo de inclusão financeira,

pois no Brasil, por exemplo, todos os cidadãos têm o direito de abrir uma conta bancária de
base, independentemente da sua situação financeira ou local de residência. A possibilidade de
enviar e receber pagamentos instantâneos de um telefone celular pode ser um incentivo para
as pessoas acessarem serviços financeiros pela primeira vez ou usá-los com mais frequência
(GAYATHRI, 2021).

Benefícios do PIX para os pagadores, segundo BCB (2020):

 Mais rápido, barato e seguro;
 Mais prático (uso da lista de contatos de celular ou de QR Code para iniciar
pagamentos);
 Mais simples (só precisa de dispositivo digital para realizar o pagamento, dispensa uso
de cartão, folha de cheque, cédulas, maquinhinhas, etc.)
 Possibilidade de integração e outros serviços no smartphone
Benefícios do PIX para os recebedores, segundo BCB (2020):
 Custo de aceitação menor que dos demais meios eletrônicos;
 Disponibilização imediata dos recursos, o que tende a reduzir necessidade de crédito;
 Facilidade de automatização e de conciliação de pagamentos
 Facilidade e rapidez de checkout (não tem necessidade de POS para passar o
instrumento de pagamento ou de um caixa para dar troco)
Segundo o BCB (2020 ) o PIX trará como benefícios:

 Eletronização dos meios de pagamento (consequentemente, melhor controle de LD/FT

e redução do uso de cédulas, que são instrumentos socialmente mais custosos);

 Maior competição entre prestadores de serviços de pagamento (tende a gerar serviços

com maior qualidade e menor custo);

 Facilita a entrada de novos atores;

 Maior potencial de inclusão financeira (custos menores de iniciação e de aceitação e

ambiente com mais agentes ofertantes);

 Aumento de benefícios, preservada a segurança.

 29

3. HISTÓRIA DOS MALWARES

Segundo o artigo publicado no site da Tecmundo (TECMUNDO, 2011), o primeiro

malware foi um vírus para computadores que nasceu em 1971, chamado de “The Creeper”.
Foi criado por Bob Thomas e era apenas um programa experimental e foi testado infectando
um PDP-10, um computador de grande porte.
Basicamente, o vírus invadia a máquina e apresentava no monitor uma mensagem
dizendo: “Im the creeper, catch me if you can!” (1Eu sou assustador, pegue-me se for capaz!).
Após o recado aparecer em uma máquina, ele saltava de sistema em sistema repetindo a
mensagem diversas vezes. Contudo, foi criado um antivírus chamado “The Reaper” que era
capaz de eliminar a aplicação e manter o sistema seguro do vírus.
No início da era da informática, não havia intenções de infectar ou roubar informações
de usuários com tais aplicações, existiam apenas intenções de irritar usuários e colegas de
trabalho. Com o passar das décadas de apenas um vírus em 1971, estimava-se mais de 1.300
vírus na década de 1990. Atualmente não há um número exato, mas estima-se que existam
mais de 200 milhões de tipos de vírus diferentes e espalhados de diversas maneiras.

3.1. TIPOS DE VIRUS/APLICAÇÕES

Existem alguns malwares que não têm o objetivo de provocar danos ao computado.
Um exemplo seria vírus benignos, os quais têm a intenção de apenas mostrar uma mensagem
no sistema em determinado dia lembrando uma atualização ou algum programa que não está
sendo executado (BARROS, 2003).
Em oposição, existem os vírus malignos que infligem danos ao sistema. Segundo o
artigo publicado pela UOL (UOL, 2013) um vírus maligno pode deixar o sistema lento, tendo
a necessidade de uma formatação, pode causar também vulnerabilidade ou roubo
informações.

3.2. CLASSIFICAÇÃO DOS MALWARES

Segundo o artigo publicado no site da Cartilha, alguns tipos de malwares são: Spam e
Phishing: O termo spam é utilizado para referenciar o recebimento de uma mensagem não
solicitada, que geralmente tem o caráter de fazer propaganda de algum produto ou assunto não
 30

desejado. (MELO et al. 2011, p.4). Esses malwares normalmente são utilizados para pescar
informações de usuários da Internet, constituindo-se um ataque que tem como objetivo efetuar
algum ilícito através do envio de mensagem não solicitada.
Backdoor: Aparecem escondidos em arquivos baixados ou em E-mails. Quando o
usuário executa o arquivo, ele libera o vírus, que abre uma porta para o invasor e desse modo
ele pode controlar a máquina infectada.
Keylogger: Tem como principal objetivo capturar todas as informações que são digitas
no computador pelo usuário. Ele faz uma coleta de dados e as informações são enviadas
diretamente ao invasor, assim, é possível que ele colete dados pessoais como senhas de redes
sociais, e-mail e cartões de crédito (MELO et al., 2011).
Ramsomware: Bastante conhecido por ser um dos piores tipos de vírus da atualidade,
o ataque executado por essa aplicação pode causar grandes prejuízos a empresas que podem ir
de perda de dados a valores financeiros (MELO et al., 2011).
Trojan: Bastante conhecido também como Cavalo de Tróia, é listado entre as ameaças
mais perigosas da rede de computadores. São geralmente aplicativos simples que escondem
funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores.

3.3. PREVENÇÃO

O que deve ser feito para se prevenir dos vírus é sempre uma questão importante a ser
abordada. Mesmo com a utilização de um antivírus no sistema, ainda é possível um vírus
infectar a sua máquina e dar uma imensa dor de cabeça, existem algumas formas de se
prevenir, tais como, conforme a Cartilha de Segurança para a Internet. Fazer downloads em
sites confiáveis: O ideal é sempre fazer downloads em sites confiáveis que já possuem uma
equipe para testar programas e verificar a existência de vírus (BARROS, 2003).
Mantendo o Sistema Operacional e programas atualizados: Muitos programas de
computador, inclusive o Sistema Operacional possuem falhas que a cada atualização elas
aplicam uma correção, e ao manter o sistema desatualizado o usuário abre brecha para
programas se aproveitarem da falta de atualizações e infectarem o sistema. Cuidado ao
conectar PenDrives: Vírus também são espalhados via PenDrive, que, quando a pessoa coloca
seu PenDrive lá, certamente será infectado e essa pode ser a brecha que o invasor precisa para
ter acesso ao sistema. Utilizando um Antivírus: Existem vários tipos de Antivírus no mercado
e todos eles têm a mesma funcionalidade, a utilização de um antivírus é um dos principais
passos para quem deseja proteger a sua máquina.
 31

4. Falhas que ocorreram nos sistemas de bancos no pix

Segundo Sampaio (2023) um novo malware (um tipo de vírus), que se instala em
celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco,
Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta
transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai
receber o dinheiro e até o valor enviado.
Ainda segundo o autor o BrasDex foi descoberto pela empresa de cibersegurança
Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos
de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora
nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio
usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —,
além de brechas de segurança do sistema operacional Android.
Bispo (2023) explica que o malware fica “adormecido” no celular infectado,
esperando a vítima abrir o aplicativo de algum banco. Quando isso ocorre, automaticamente
o BrasDex lê as informações do app, como saldo e número da conta, e aguarda por uma
transferência. Se a pessoa for fazer um Pix, o vírus entra em ação e coloca uma tela por cima
do app do banco, muito parecida com a verdadeira, enquanto altera os dados da transação. Se
a pessoa digitar a sua senha para concluir o Pix, o dinheiro irá direto para o golpista.
Segundo a empresa de cibersegurança, o malware (uma abreviação de “malicious
software”, ou software malicioso em tradução livre) pode interceptar transferências dos
seguintes bancos:
1. Banco do Brasil
2. Banco Original
3. Binance
4. Bradesco
5. Caixa Econômica Federal
6. Inter
7. Itaú
8. Nubank
9. PicPay
10. Santander Brasil
 32

4.1. Falhas do usuário

“Olhando sob o ponto de vista de prevenção à fraude, a pessoa [que fez o Pix] estava
em uma geolocalização conhecida. Ela reconheceu a transação e colocou a senha. Tudo o que
o banco poderia observar, do ponto de vista do usuário, ele fez”, afirma Fernando Guariento,
líder de professional services da AllowMe (startup que é uma plataforma de prevenção à
fraude), sobre o papel das instituições em tentar combater o golpe.
O BrasDex explora duas falhas do usuário, afirma Guariento. Bispo, da Accenture,
também destaca problemas de segurança do sistema operacional Android, que é da Alphabet
— dona do Google (GOGL34). Não há relatos, até o momento, do vírus no sistema iOS, da
Apple (AAPL34).
O especialista diz que, além de a vítima baixar o aplicativo infectado (que vai instalar
o BrasDex no celular), ela também dá autorização para o malware fazer absolutamente tudo
no aparelho. Apesar disso, o vírus fica “adormecido”, esperando uma transação, porque o seu
único propósito é desviar as transferências. Ele então precisa de mais uma “cooperação” da
vítima: ela acessar o app do banco com a biometria e confirmar a transação com a senha, por
exemplo.
“Os celulares têm proteções que mesmo o consentimento total não dá acesso, Mesmo
com o consentimento total do usuário, por exemplo, eu não consigo acessar a área reservada
do celular onde fica a biometria. É um cofre virtual onde as informações estão guardadas.
Nem o banco consegue acessar isso”, afirma Guariento, sobre a necessidade de o golpe
precisar da “ajuda” do usuário. “A senha do banco também fica em uma área restrita”.
Sobre o aplicativo pedir acesso irrestrito ao aparelho, o especialista da AllowMe faz
uma analogia com a vida real. “Ele pede acesso completo ao celular. É como se uma pessoa
batesse na porta da sua casa e pedisse pra entrar, pegar sua chave e pegar as suas senhas do
banco, argumentando que ‘só precisa disso para você ganhar dinheiro fácil’. Muitas vezes a
pessoa não para para pensar no que está fazendo”.
Segundo os especialistas, o vírus explora o Pix pela sua velocidade de transação e
porque não é possível desfazer uma transferência. Além disso, até a vítima perceber que caiu
em um golpe e avisar o banco — e a instituição tentar recuperar o dinheiro —, o valor já vai
ter sido transferido da conta “laranja” para outras contas, praticamente inviabilizando o seu
rastreio.
 33

Segundo a Threat Fabric, o “BrasDex é uma família de malware estritamente focada

no mercado brasileiro” e “contém verificações para garantir que ele só opera em dispositivos
do Brasil”. “Essa dedicação total e árdua a um único mercado pode ser motivada pelo fato de
o BrasDex usar seus recursos para abusar de um subconjunto específico de transações dentro
do ecossistema bancário brasileiro. O BrasDex abusa especificamente do sistema de
pagamento Pix”.
A empresa de cibersegurança ressalta que o sistema de pagamentos instantâneos do
Banco Central brasileiro não é vulnerável. “Os atacantes não estão explorando nenhuma
vulnerabilidade do sistema Pix, mas sim abusando do sistema de pagamentos rápidos e
problemas conhecidos do Android para fazer transferências fraudulentas”.
Guariento, da AllowMe, diz que outro fator é o tempo que as instituições financeiras
têm para checar as informações antes de confirmar uma transação via Pix. “É o celular da
pessoa, o consentimento da pessoa, a localização habitual da pessoa… Tudo que ela
geralmente faz antes de uma transação. É muito difícil para o banco para identificar esse tipo
de fraude”, diz o especialista.
“Um TED ou DOC poderia parar em uma mesa de análise de prevenção à fraude. No
caso do Pix não dá, porque a transação tem de ser rápida por regulamentação. Tem uma
chance menor de a transação ser barrada”, afirma o especialista.
A instalação de malwares, em geral, se dá a partir de e-mails, mensagens de Whatsapp,
sites não confiáveis (que requerem a instalação de um aplicativo) ou até SMS
de Phishing (que tentam convencer o usuário da necessidade de atualização de determinado
programa ou até preencher algum formulário).
Bispo da Accenture dá algumas dicas básicas:
1. Seu aparelho precisa ter uma senha forte
2. Qualquer aplicativo que tenha um segundo fator de autenticação, como biometria: ative essa
camada extra de proteção. É um bloqueio a mais contra o atacante.
3. Fuja deste negocio de dar “next next finish” (uma referência ao hábito das pessoas de darem
consentimento a tudo sem ler o que estão fazendo).
4. Pare com a mania de baixar vários aplicativos no celular, inclusive àqueles de ficar mais
velho. Depois você esquece-se de apagar e ele fica por dois anos no seu celular, pegando seus
dados.
 34

5. Considerações finais

Por fim o objetivo é a conscientização da existência de diversos malwares e aplicações

que podem danificar um sistema e até mesmo prejudicar um usuário de inúmeras maneiras,
sejam elas financeiramente quanto socialmente, assim o usuário terá conhecimento sobre
aplicações danosas e formas de prevenção a serem usadas no seu dia a dia e de como usar o
pix de forma segura e confiável.
Cada vez mais o investimento em segurança deve ser adotado como forma de não se
cair em fraudes e ter problemas que acarretam em prejuízos financeiros importantes para os
usuários do serviço PIX. Sendo este serviço essencial nos dias de hoje, seguir certas normas
de segurança se torna imprescindível para que possamos usufruir desta tecnologia e não sofrer
prejuízos advindos dela.
O usuário deve estar atento a qualquer forma de fraude ou golpe que está sendo
exercido, para poder se proteger contra e acionar os meios de denuncia.
 35

6. Referências bibliográficas

AHMED, Taha Al Ajlouni, MONIR, Al-Hakim. Financial Technology in Banking Industry:

Challenges and Opportunities, Conference: International Conference on Economics and
Administrative Sciences ICEAS 2018, At Applied Sciences University, Jordan. 2019.

AMORIM, P. PIX lidera ranking de transações após 3 meses de sua criação no mercado.
Disponível em: https://fdr.com.br/2022/02/16/pix-lidera-ranking-de-transacoesapos-3-meses-
de-sua-criacao-no- Acesso em: 20 de março de 2023.

ANDRION, Roseli. Quais são os maiores riscos ao usar o Pix? Confira os principais
perigos. Disponível em: Acesso em: https://canaltech.com.br/seguranca/quais-os-maiores-
riscos-ao-usar-pix-190334/. Acesso em: 20 de março de 2023.

BALSANELLI, Pedro. Entenda o que é e como vai funcionar o PIX. 2022. Disponível em:
https://www.balsanelli.com.br/noticias/detalhe/receita-fiscalizara-transferencias-pelo-pix-a-
fim-de-identificar-transacoes-irregularesAcesso em: 21 de março de 2023.

BARROS, Élvio Américo, Arruda. Vírus de computadores: uma abordagem histórica e

prática, 2003.

BRASIL, Banco Central. Pagamentos Instantâneos - Especificações técnicas e de negócio

do ecossistema de pagamentos instantâneos brasileiro Anexo IV – Manual de Segurança,
2020.

Cartilha de Segurança para Internet. Disponível em: https://cartilha.cert.br/malware

Acessado em 20 de março de 2023.

CARVALHO, Gustavo Henrique; CURSINO, Adélia Marina de Campos. Sistema de

Pagamento PIX: Uma análise dos benefícios e dos riscos vinculados. Artigo apresentado
ao curso de Ciências Contábeis da Faculdade Milton Campos, 2022.

COSTA NETO, Y. C. Bancos Oficiais no Brasil: origem e seu aspecto de desenvolvimento.

Banco do Central do Brasil. 2019.

FIGUEIRO, Pedro. Para evitar roubos Pix tem novas regras; tire suas dúvidas Limite de
transações entre pessoas físicas à noite caiu para R$ 1 mil para aumentar segurança e evitar
sequestros. 2021. Disponível em: https://correiodoestado.com.br/cidades/para-evitar-roubos-
pix-tera-novas-regras-tire-suas-duvidas/390306. Acesso em: 21 de março de 2023.

GAYATHRI G, Suvitha K Vikram. Impact of Information Technology on the Profitability of

Banks in India, International Journal of Pure and Applied Mathematics, Volume 118 No.
20 2018, 225-232.

JAQUES, Gabriel; BARASUOL, Joao Breno; CHICON, Patricia Mariotto Mozzaquatro.

UMA ANÁLISE SOBRE MALWARES E ESTRATÉGIAS DE PREVENÇÃO. XVIII
Seminário Internacional de Educação no MERCOSUL, 2018.
 36

KIMELBLAT, Pedro Frisch Rozes. Lançamento do PIX: Uma análise acerca das
perspectivas de sucesso do Sistema de Pagamentos Instantâneos Brasileiro. Monografia
apresentada a Pontifícia Universidade Católica do Rio de Janeiro ao Departamento de
Economia, 2020.

LOBO, B. Opção de desfazer PIX em caso de suspeita de fraude será lançada até o fim
deste ano Entrevista. 2021. Disponível em:
https://www.opovo.com.br/noticias/economia/2021/05/25/opcao-de-desfazer-pix-em-caso-de-
suspeita-de-fraude-sera-lancada-ate-o-fim-deste-ano.html. Acesso em: 22 de março de 2023.

MALHOTRA, Naresh K. Pesquisa de marketing: uma orientação aplicada. 3.ed. Porto

Alegre: Bookman, 2001.

MELO, Laerte Peotta et al. Análise de Malware: Investigação de Códigos Maliciosos

Através de uma Abordagem Prática, 2011. Disponível em:
http://www.peotta.com/sbseg2011/resources/downloads/minicursos/90650.pdf. Acessado em
10 de março de 2023.

Novo vírus intercepta transferências via Pix e altera valor e destinatário; veja como funciona.
Disponível em: https://www.infomoney.com.br/minhas-financas/novo-virus-intercepta-
transferencias-via-pix-e-altera-valor-e-destinatario-veja-como-funciona/. Acessado em
23 de março de 2023.

OLIVEIRA, Raquel. BC anuncia o vazamento de dados de 160 mil chaves PIX. 2022.
Disponível em: https://diariodocomercio.com.br/legislacao/bc-anuncia-o-vazamento-de-
dados-de-160-mil-chaves-pix/.Acesso em: 22 de março de 2023.

TECMUNDO, 2011. Disponível em: https://www.tecmundo.com.br/virus/9184-

primeirovirus-de-computador-completa-40-anos.htm. Acessado em 10 de março de 2023.

TURCZYN, S. O Sistema Financeiro Nacional e a Regulação Bancária. Editora Revista

dos Tribunais Ltda, 2020.

VERGARA, Sylvia Constant. Métodos de pesquisa em administração. São Paulo: Atlas,

2014.