Volta e meia surge um novo vídeo na Internet com variações do argumento a seguir: um lojista fraudulento poderia utilizar uma maquininha capaz de realizar transações contactless (sem contato), encostá-la na bolsa de pessoas que tenham cartões com essa nova tecnologia e realizar vendas, sem que essas pessoas saibam.
Embora factível em situações muito específicas e ambientes controlados (como demonstrado nesses vídeos), esse possível golpe, conhecido e amplamente debatido há anos pelo mercado de pagamentos, tem alcance limitado. Esse artigo discute justamente a abrangência dessa ameaça no contexto do mercado de pagamentos do Brasil.
Usabilidade e segurança
Quem desenha produtos de pagamento tem sempre que tentar escolher o melhor balanço possível entre usabilidade e segurança. A história mostra que consumidores não adotam produtos complicados e difíceis de usar — por mais seguros que sejam — e também não querem somente conveniência, se tiverem que abrir mão de toda a segurança. O interessante é quando se consegue um bom equilíbrio entre esses dois requisitos e, de certa forma, esse é justamente o motivo do sucesso da tecnologia contactless, que vem crescendo dia a dia no Brasil e no mundo.
Entre tantas outras coisas, a tecnologia de pagamentos por aproximação que também é a base dos pagamentos móveis NFC (“Near Field Communication”), prevê a possibilidade de realizar pagamentos de pequeno valor sem senha. A ideia é trazer mais conveniência para o consumidor na hora de realizar “micropagamentos”. No Brasil, isso se traduz, basicamente, em pagamentos de menos de R$50,00.
Obviamente, mover a barra no sentido da conveniência aumenta riscos mas, diferentemente do que esses vídeos costumam sugerir, não é algo tão dramático a ponto de que as pessoas tenham que “desativar” completamente essa funcionalidade.
Abrangência
Sempre que se analisa um ataque é importante pensar em abrangência: quanto é possível efetivamente fraudar e quantas pessoas são realmente alvos potenciais?
Algumas considerações:
Posicionamento físico: Diferentemente do que esses vídeos sugerem, não é tão simples conseguir posicionar a antena de um terminal de pagamentos (“maquininha”) da antena de um cartão dentro de uma bolsa qualquer em um ônibus, a ponto de que cartão e terminal estejam próximos o suficiente para realizar uma compra. Pequenas variações de posicionamento já impedem que o terminal consiga acessar o cartão. A distância tem que ser menor que 1 cm na maioria dos terminais. A carteira tem que estar posicionada de maneira razoavelmente paralela à maquininha etc. Parece simples em um ambiente controlado como o dos vídeos virais, mas é bem mais complicado na prática.
Crédito ou débito? No Brasil, o terminal tem que ser pré-configurado para receber uma compra de crédito ou débito — por isso a famosa pergunta de todo lojista. Se o fraudador não souber de antemão qual é o tipo do cartão e errar o tipo de aplicação na pré-seleção (por exemplo, selecionando crédito e encostando o terminal em um cartão de débito, ou vice-versa), a venda irá falhar. O fraudador poderia “trabalhar” somente com crédito, por exemplo, mas isso é outro fator que limita a abrangência do possível golpe.
Senha: Embora micropagamentos sem senha sejam justamente uma das coisas que torna a tecnologia contactless tão interessante, nem todos os adquirentes no Brasil permitem transações “contactless” sem senha. Para algumas redes, mesmo compras de pequeno valor só podem ser feitas com senha.
Colisão de Múltiplos cartões: Se houver mais de um cartão contactless na carteira ou bolsa (a tendência em um país com cerca de 3 cartões para cada habitante, como o Brasil), ainda que eles estejam facilmente acessíveis, digamos, na parte mais externa da bolsa, a maquininha não conseguirá realizar a compra. Esse é um ponto importante da tecnologia e completamente ignorado por estes vídeos.
Controle do terminal pelas redes de adquirência: Embora o lojista controle algunsparâmetros da transação (valor e tipo de aplicação, por exemplo), para efetivar uma venda, a maquininha tem que estar autorizada por uma rede de adquirência. Em uma fraude onde um mesmo terminal frauda N cartões, é razoavelmente fácil bloquear aquele terminal. No segundo ou terceiro usuário reclamando de uma compra desconhecida, proveniente de um mesmo terminal, o adquirente/credenciado tem mecanismos para suspender as próximas operações daquele lojista fraudulento. Com a maioria dos consumidores sendo informados (por SMS ou notificações no celular) a cada transação, a quantidade efetiva de compras realizadas por este método depois da primeira fraude acaba sendo pequena.
Resumo
Transações contactless sem senha não são nenhum “grave risco de segurança” e sim uma escolha por um pouco mais de conveniência para pagamentos de baixo risco. Trata-se de uma característica conhecida dos cartões contactless que, sim, pode ser explorada por fraudadores, mas que é limitada pelos mecanismos descritos. O pequeno risco é um “trade-off” entre usabilidade e segurança.
Não é muito diferente de centenas de outros possíveis golpes que são difundidos diariamente na Internet para espalhar o medo e, eventualmente, promover outros interesses ou produtos.
Por: Daniel F. Nunes de Oliveira – CEO paySmart
Sobre a paySmart
A paySmart é uma Fintech que facilita a emissão e o processamento de cartões físicos, digitais, celulares e pulseiras. Da emissão de cartões e provisionamento de celulares à validação de transações, passando pelo gerenciamento de chaves, preparação de dados, aplicações no cartão e no celular, EMV, NFC e QR Codes, a tecnologia paySmart® está presente em mais de 25 milhões de dispositivos, em 6 países.
