1 evento ao vivo

Pix, usado também como app de mensagem, pode enviar código HTML

Banco Central faz nova exigência sobre anotações via Pix, mas ainda libera código HTML; recurso é usado por quem é "pixsexual"

22 jan 2021
17h51
  • separator
  • 0
  • comentários
  • separator

Desde o início do ano, vêm surgindo algumas aplicações curiosas para o Pix: há quem se defina "pixsexual" e compartilhe sua chave para receber cantadas (e dinheiro) dos seguidores; e há quem envie transferências de R$ 0,01 com mensagens para a pessoa amada. O recurso de anotações também tem um lado perigoso: é possível enviar código HTML para os contatos, potencialmente abrindo espaço para golpes.

Pix (Imagem: Divulgação / Banco Central)
Pix (Imagem: Divulgação / Banco Central)
Foto: Tecnoblog

Em comunicado ao Tecnoblog, o Banco Central explica que incluiu a obrigação de os participantes do Pix admitirem somente tags HTML seguras no texto das anotações. A regra começou a valer em 15 de janeiro de 2021.

Isso consta nos Requisitos Mínimos para a Experiência do Usuário, que fazem parte do regulamento do Pix. "O campo 'Descrição' deve ser sanitizado e só admitir tags HTML seguras", diz a versão mais recente do documento.

Como funcionam as anotações via Pix

O Tecnoblog testou as anotações do Pix em 10 instituições financeiras, incluindo Itaú, Bradesco, Santander, Nubank, Caixa, Banco do Brasil, Inter e C6 Bank. Em nossa análise, notamos que a implementação desse recurso é bem inconsistente.

É possível enviar código HTML através do Pix via Nubank, Bradesco, Banco do Brasil e Caixa. Ou seja, o destinatário pode receber algo como o exemplo abaixo:

<a href="golpe.com">Clique aqui</a>

Se o app do banco renderizar isso, esse texto se tornaria um link clicável que poderia levar o usuário a um site de phishing para roubar dados.

Dos 10 bancos que analisamos, nenhum converte HTML para links clicáveis. No entanto, ainda permanece o potencial para abuso; existem 734 instituições credenciadas para o Pix, e cada uma implementa essa função de forma diferente.

BC pode punir bancos que não exibem anotações do Pix

Nubank exibe código HTML enviado via Pix; Itaú remove caracteres (Imagem: Reprodução)
Nubank exibe código HTML enviado via Pix; Itaú remove caracteres (Imagem: Reprodução)
Foto: Tecnoblog

O melhor seria fazer o mesmo que o Itaú, que envia anotações via Pix removendo caracteres como <, / e = usados para gerar links. Ou seja, o exemplo acima chegaria ao destinatário apenas como:

a href="golpe.com"Clique aquia

Isso supondo que a anotação vai chegar ao destinatário. Caixa e Santander simplesmente não recebem mensagens via Pix; enquanto Inter e C6 não recebem nem enviam esse tipo de dado.

O BC afirma ao Tecnoblog que todas as instituições com  Pix devem enviar a mensagem se ela for inserida no momento da iniciação. "Os participantes que não cumprirem essa exigência estão sujeitos às penalidades previstas no Regulamento do Pix", diz o comunicado.

Banco / fintech Envia mensagem via Pix? Recebe mensagem via Pix?
Nubank sim, envia código HTML completo sim, inclusive código HTML (mas não é clicável)
Bradesco sim, envia código HTML completo sim, mas remove caracteres como <, > e =
Banco do Brasil sim, envia código HTML completo sim, mas remove caracteres como <, > e =
Caixa sim, envia código HTML completo não
Itaú sim, mas remove caracteres como <, > e = sim, mas remove caracteres como <, > e =
PicPay sim, mas remove texto dentro de tags <> sim, mas remove caracteres como <, > e =
Santander sim, mas converte < pra lt, " pra quot, e assim por diante não
Inter não não
C6 não não
Neon não não

O Banco Central faz poucas exigências técnicas para as anotações do Pix. Como explica a documentação oficial, a mensagem fica contida no campo "infoAdicionais", do tipo string, que pode ter até 72 caracteres (dependendo do tamanho da chave Pix). Seu uso é opcional, ou seja, o cliente não precisa preencher esse campo.

Spam via Pix?

Pix (Imagem: Divulgação/Banco Central)
Pix (Imagem: Divulgação/Banco Central)
Foto: Tecnoblog

A funcionalidade de mensagem foi pensada para algo bem mais simples, como "minha parte do churrasco" ou "um presente pra vc". No entanto, a utilização no mundo real provavelmente ultrapassou o escopo que o BC imaginava.

Por exemplo, no início do mês, tivemos um relato de Matheus Siqueira no Twitter: "meu primo terminou com a namorada porque ela o traiu, aí ele bloqueou EM TUDO; pra conseguir falar com ele, ela começou a mandar vários Pix de 1 centavo com mensagens pedindo desculpa".

O BC explicou à Folha que não dará a opção de bloquear pagamentos para evitar esse tipo de situação: "o que o usuário pode fazer é configurar o aplicativo da instituição na qual mantém a conta para não receber a notificação".

Pixsexual

Isso talvez abrisse a possibilidade de spam via Pix, especialmente porque o BC exige que os bancos mostrem a descrição que acompanha cada transação. No entanto, como mostramos acima, alguns clientes ainda não recebem essas mensagens.

Além disso, certas pessoas estão atrás exatamente desse tipo de interação. Há quem revele sua chave Pix - como CPF, e-mail ou número de celular - para receber dinheiro e até mensagens de possíveis interesses românticos. São os chamados "pixsexuais".

No entanto, o BC avisa à CNN Brasil que "o Pix é um meio de pagamento, não uma rede social". O órgão também pede cuidado ao compartilhar chaves Pix na internet, porque podem envolver dados pessoais sensíveis. A recomendação é usar uma chave aleatória, que é um pouco menos prática, porém é mais segura.

Pix, usado também como app de mensagem, pode enviar código HTML

Veja também:

Big Techs fecham acordos milionários para encerrar processos
Tecnoblog
  • separator
  • 0
  • comentários
publicidade