• 22/11/2024

Pix, usado também como app de mensagem, pode enviar código HTML

Desde o início do ano, vêm surgindo algumas aplicações curiosas para o Pix: há quem se defina “pixsexual” e compartilhe sua chave para receber cantadas (e dinheiro) dos seguidores; e há quem envie transferências de R$ 0,01 com mensagens para a pessoa amada. O recurso de anotações também tem um lado perigoso: é possível enviar código HTML para os contatos, potencialmente abrindo espaço para golpes.

Veja também

Como funciona a vacina em spray nasal 100% brasileira contra a covid-19

Em comunicado, o Banco Central explica que incluiu a obrigação de os participantes do Pix admitirem somente tags HTML seguras no texto das anotações. A regra começou a valer em 15 de janeiro de 2021.

Isso consta nos Requisitos Mínimos para a Experiência do Usuário, que fazem parte do regulamento do Pix. “O campo ‘Descrição’ deve ser sanitizado e só admitir tags HTML seguras”, diz a versão mais recente do documento.

Como funcionam as anotações via Pix

Tecnoblog testou as anotações do Pix em 10 instituições financeiras, incluindo Itaú, Bradesco, Santander, Nubank, Caixa, Banco do Brasil, Inter e C6 Bank. Em nossa análise, notamos que a implementação desse recurso é bem inconsistente.

É possível enviar código HTML através do Pix via Nubank, Bradesco, Banco do Brasil e Caixa. Ou seja, o destinatário pode receber algo como o exemplo abaixo:

Leia também   Plataforma de permutas oferece serviços gratuitos para visitantes do Sebrae Inova, em Brasília

<a href="golpe.com">Clique aqui</a>

Se o app do banco renderizar isso, esse texto se tornaria um link clicável que poderia levar o usuário a um site de phishing para roubar dados.

Dos 10 bancos que analisamos, nenhum converte HTML para links clicáveis. No entanto, ainda permanece o potencial para abuso; existem 734 instituições credenciadas para o Pix, e cada uma implementa essa função de forma diferente.

BC pode punir bancos que não exibem anotações do Pix

O melhor seria fazer o mesmo que o Itaú, que envia anotações via Pix removendo caracteres como <, / e = usados para gerar links. Ou seja, o exemplo acima chegaria ao destinatário apenas como:

a href="golpe.com"Clique aquia

Isso supondo que a anotação vai chegar ao destinatário. Caixa e Santander simplesmente não recebem mensagens via Pix; enquanto Inter e C6 não recebem nem enviam esse tipo de dado.

O BC afirma  que todas as instituições com  Pix devem enviar a mensagem se ela for inserida no momento da iniciação. “Os participantes que não cumprirem essa exigência estão sujeitos às penalidades previstas no Regulamento do Pix”, diz o comunicado.

BANCO / FINTECH ENVIA MENSAGEM VIA PIX? RECEBE MENSAGEM VIA PIX?
Nubank sim, envia código HTML completo sim, inclusive código HTML (mas não é clicável)
Bradesco sim, envia código HTML completo sim, mas remove caracteres como <, > e =
Banco do Brasil sim, envia código HTML completo sim, mas remove caracteres como <, > e =
Caixa sim, envia código HTML completo não
Itaú sim, mas remove caracteres como <, > e = sim, mas remove caracteres como <, > e =
PicPay sim, mas remove texto dentro de tags <> sim, mas remove caracteres como <, > e =
Santander sim, mas converte < pra lt, ” pra quot, e assim por diante não
Inter não não
C6 não não
Neon não não
Leia também   Celular reserva e senha no chip: como tornar o smartphone mais seguro

O Banco Central faz poucas exigências técnicas para as anotações do Pix. Como explica a documentação oficial, a mensagem fica contida no campo “infoAdicionais”, do tipo string, que pode ter até 72 caracteres (dependendo do tamanho da chave Pix). Seu uso é opcional, ou seja, o cliente não precisa preencher esse campo.

Spam via Pix?

A funcionalidade de mensagem foi pensada para algo bem mais simples, como “minha parte do churrasco” ou “um presente pra vc”. No entanto, a utilização no mundo real provavelmente ultrapassou o escopo que o BC imaginava.

Por exemplo, no início do mês, tivemos um relato de Matheus Siqueira no Twitter: “meu primo terminou com a namorada porque ela o traiu, aí ele bloqueou EM TUDO; pra conseguir falar com ele, ela começou a mandar vários Pix de 1 centavo com mensagens pedindo desculpa”.

Leia também   As tecnologias por trás da Olimpíada 2021

O BC explicou à Folha que não dará a opção de bloquear pagamentos para evitar esse tipo de situação: “o que o usuário pode fazer é configurar o aplicativo da instituição na qual mantém a conta para não receber a notificação”.

Pixsexual

Isso talvez abrisse a possibilidade de spam via Pix, especialmente porque o BC exige que os bancos mostrem a descrição que acompanha cada transação. No entanto, como mostramos acima, alguns clientes ainda não recebem essas mensagens.

Além disso, certas pessoas estão atrás exatamente desse tipo de interação. Há quem revele sua chave Pix – como CPF, e-mail ou número de celular – para receber dinheiro e até mensagens de possíveis interesses românticos. São os chamados “pixsexuais”.

No entanto, o BC avisa à CNN Brasil que “o Pix é um meio de pagamento, não uma rede social”. O órgão também pede cuidado ao compartilhar chaves Pix na internet, porque podem envolver dados pessoais sensíveis. A recomendação é usar uma chave aleatória, que é um pouco menos prática, porém é mais segura.

(Tecnoblog)

Read Previous

Como comer saladas? 5 dicas para incluir legumes nas refeições

Read Next

Saúde divulga dados diários sobre vacinação no DF