BRASÍLIA – Los sistemas de pago instantáneo como foto ya están presentes en la búsqueda de 60 países y representan un desafío adicional en términos de seguridad precisamente por la inmediatez de las transacciones. Los modelos, sin embargo, difieren entre sí en varios aspectos, trayendo preocupaciones que también son variadas en cada inicziale.

Este punto ya lo ha planteado, incluso, la Reserva Federal (Fed, banco central de EE. UU.) que planea lanzar un sistema similar a Pix en 2023, el FedAhora . Hoy en día, los sistemas de pago instantáneo en los EE . UU . son privados.

La Fed reconoció las dificultades “únicas” para combatir el fraude en los pagos instantáneos por ser “inmediatos e irrevocables”, y argumenta que las medidas preventivas deben ajustarse según las características de cada sistema de pagos instantáneos.

En Brasil , las fugas de datos vinculados a las claves Pix están en el centro del debate, los expertos hacen repetidas defensas sobre la robustez de los mecanismos de seguridad de BancoCentral , pero evalúan que las peculiaridades de la herramienta también traen sus propios desafíos, incluida la seguridad.

Uno de los retos debe ser precisamente la liquidación inmediata de las operaciones. según una encuesta del Banco de Compensaciones Internacionales (BIS) con 31 modelos de sistemas de pago rápido o instantáneo (FSP), 19 tienen liquidación en tiempo real y otros 12, diferida.

Una encuesta también encontró que la mayoría de los sistemas de pago instantáneo tienen un límite financiero para las transacciones, aunque van desde $400 por transacción en México hasta $300,000 en el Reino Unido . Aquí, el BC solo fijó límites para el período nocturno, luego del aumento de la delincuencia, como la caída de rayos, que involucra una ferretería. El BIS aún afirma que, en la minoría de las iniciativas, el Banco Central actúa como regulador y operador directo del sistema, como es el caso de Brasil.

segundo Rodrigoh Henriques, líder de innovaciones financieras de la Federación Nacional de Asociaciones de Servidores del Banco Centraluna configuración exacta de Pix no existe en ningún lugar, ya que los sistemas financieros se encuentran en muchos países particulares.

“Estas capas tecnológicas que nunca vemos garantizan velocidad, confianza, autenticidad al sistema, pero todas las configuraciones abren más o menos brechas. En nuestro sistema, descubrimos que le quedó un resquicio a las instituciones financieras, en la solicitud que tienen que hacer al BC [para proceder con la operación]. “

Henriques destaca que es probable que Brasil sea el tercer país más grande en transacciones instantáneas (el número supera los mil millones por mes), detrás de India y China , y con una de las adopciones más rápidas de la historia, que inevitablemente atrae a los “chicos malos”. Según el BC, en el primer año, el volumen de operaciones per cápita es mayor que iniciativas similares en el mismo período.

“En relación con el volumen de transacciones, la brecha sigue siendo de vulnerabilidad conciliable. Una vez más, no estamos hablando de infracciones en el sistema central del BC o transacciones no autorizadas [sino el intercambio de datos de registro]. No se trata de restar importancia a lo que está sucediendo, sino de contextualizarlo”.

Como todo indica que los delincuentes están aprovechando las fallas de seguridad de las entidades financieras para “secuestrar” la parte del sistema que se comunica con el BC en la base de datos de la Dirección de Identificadores de Cuentas Transaccionales (DICT) con información de los usuarios que reciben el Pix, observa Henriques dos posibles soluciones.

El primero serio en revisar el estándar de seguridad de las entidades financieras, especialmente en relación con Pix. Pero es un proceso rápido. Según su evaluación, el BC podría promover cambios en el diseño de Pix para dificultar el uso de “los vacíos legales” en los sistemas de seguridad de las instituciones. Sin embargo, esto podría “retrasar” los pagos o hacerlos más costosos.

“Si el BC tuviera que hacer la doble validación [recibiendo la solicitud del cliente y del banco], es posible que no tengamos pagos en 10 segundos. Tal vez en 30, 60, 90 segundos. Y entonces empiezas a preguntarte si es instantáneo. Algunos países hacen esto. Dicen que la transacción se llevó a cabo, pero la liquidación solo se llevará a cabo de noche”.

sanciones

Citando iniciativas exitosas en India, China, EE. UU. y el Reino Unido , Ricardo Tavares, director de la firma de ciberseguridad Gemina , dice que el peso de las sanciones por fugas de datos también puede ser una diferencia entre Brasil y otras jurisdicciones. “Aquí en Brasil, no hubo multas estrictas en relación con la LGPD [Ley General de Protección de Datos] . “

Vitoria Bernardi, directora jurídica de la Consulta británica Russell Bedford Brasil considera que, en términos de legislación, una LGPD brasileña es “prácticamente hermana” del Reglamento General de Protección de Datos (RGPD, abreviatura en inglés) , la ley europea pionera en materia de privacidad de datos personales. datos, mientras que de acuerdo con los estándares de EE.UU. y más cuna. Una multa máxima según la ley brasileña es de R$ 50 millones, y en la legislación europea, es de 20 millones de euros. Bernardi evalúa, sin embargo, que hay una diferencia en la madurez de la legislación.

En Europa ya se han impuesto mil multas relacionadas con el Reglamento General de Protección de Datos (RGPD) por un total de más de 1.500 millones de euros. En Brasil, hay cerca de 80 casos públicos vinculados a la LGPD u otra legislación que mencionan el tema, según una encuesta de la Asociación Nacional de Profesionales de la Privacidad de Datos (ANPPD) .

“La Unión Europea fue pionera con el RGPD y entendiendo que la privacidad de los datos está en el área de los derechos humanos. Está obligando a otros países a adaptarse a esto de participar en la OCDE . Veo a Brasil corriendo hace mucho para que actualice tú mismo”.

Según Bernardi, aún se está estructurando una Autoridad Nacional de Protección de Datos (ANPD) , lo que lleva a una fase más de educación y regulación, no tanto de fiscalización. Una LGPD sancionada en 2018, pero sanción que recién entrará en vigor en agosto de 2021, a pesar de que las primeras filtraciones se produjeron en el ámbito de Pix.