Além de realizar a validação de identidade dos usuários, os PSPs também serão responsáveis por verificar as chaves de endereçamento que serão divididas entre número de telefone, CPF ou CNPJ, endereço de e-mail e Endereço Virtual de Pagamento.

Em nossa última publicação, comentamos um pouco sobre item de Segurança do Documento de Especificação Técnica elaborado pelo Banco Central que informa que a autenticação dos usuários do PIX (que entra em operação a partir do mês de novembro) será de responsabilidade das empresas participantes da nova modalidade. Com isso, surge a obrigatoriedade de se investir em soluções digitais de validação de identidade como camada extra de segurança e prevenção à fraude.

Porém, além de falarmos sobre a segurança a ser levada em consideração no momento do onboarding, é preciso destacar também a autenticação das chamadas chaves de endereçamento e sua inserção no Diretório de Identificadores de Contas Transacionais (DICT) para o processo do PIX. 

* Leia também: PIX e autenticação digital de usuários: verificação de identidade de clientes será de responsabilidade das empresas participantes (PSPs)

De acordo com o documento divulgado pelo BC mencionado anteriormente, estas chaves de endereçamento – ou apelidos – serão uma forma de simplificar a identificação e comunicação de uma conta transacional, informando, além da conta em si, a instituição responsável e agência. Seu objetivo é utilizar informações de fácil acesso e de inserção simples pelo usuário pagador, que serão inseridas no DICT e vinculadas à conta transacional do usuário recebedor.

A seção 2.6 do material indica que o número de telefone celular seja uma destas chaves, assim como CPF ou CNPJ, endereço de e-mail e Endereço Virtual de Pagamento (EVP) – esta última que poderá ser usada principalmente para a geração dos QR Codes. 

A responsabilidade de armazenar todas estas informações das chaves ou apelidos de maneira simplificada e intuitiva será do DICT; no entanto, estarão passíveis de validação pelos PSPs no momento que foram cadastradas pelos usuários. Importante ressaltar que o DICT será único e centralizado, tendo como desenvolvedor, gestor e operador, o próprio BC.

Quem poderá inserir estas chaves no DICT?

Toda inserção e cadastro de novas chaves será feita por parte dos usuários e o seu limite será diferenciado, a depender da natureza do titular da conta. De acordo com o documento, “o usuário final, no caso de pessoa natural, poderá escolher até cinco chaves para endereçamento para cada conta transacional da qual for titular. No caso de pessoa jurídica, esse limite é de vinte chaves. Nenhum dos tipos de chave é obrigatório”.

Cada chave estará individualmente vinculada a uma única conta transacional, de forma que se qualquer usuário precise ser titular de mais do que uma conta, terá que escolher chaves diferentes para cada uma. Tudo isto estimulará nas pessoas uma mudança de comportamento, onde os pagamentos e transferências poderão ser feitos diretamente para o e-mail, CPF/CNPJ ou número de telefone, e não mais para aquele determinado banco.

Exemplo de um usuário transferindo dinheiro para ele mesmo em bancos diferentes:

Exemplo de um usuário transferindo dinheiro para outro usuário:

E quanto à autenticação de cada chave?

Diante deste cenário, então, os PSPs terão que dispor de recursos como os disponibilizados pelo o AllowMe para evitar pagamentos equivocados ou mesmo transações fraudulentas, uma vez que o BC afirma que “uma chave livre e não passível de validação poderia estimular a fraude e gerar dúvidas em relação a quais parâmetros seriam utilizados para evitar o uso abusivo de um campo de preenchimento totalmente livre”.

Além de contribuir para a verificação de usuários no onboarding do PIX, que é uma pré-condição indispensável para evitar fraudes no processo de abertura de conta dos PSPs, o AllowMe também auxilia no momento da autenticação das chaves de endereçamento por agregar informações comportamentais dos dispositivos utilizados no momento do cadastro. Importante destacar que o DICT também permitirá quatro fluxos de atrelamento dessas chaves a uma conta transacional, sendo eles: registro, exclusão, portabilidade e reivindicação de posse – que iremos abordar na próxima publicação.

Por conta da utilização dos QR codes, o uso de um dispositivo móvel será quase que indispensável para a realização de qualquer transação realizada com o PIX. Portanto, ao analisar o comportamento deste dispositivo, é possível identificar o usuário responsável pela inserção daquela chave, bem como se o contexto da transação faz algum sentido.

* Leia também: Cinco motivos para investir em ferramentas de proteção de identidade

* Leia também: Fraudes causam prejuízos milionários ao setor financeiro

Entenda como o AllowMe pode ajudar o seu negócio na autenticação das chaves de endereçamento antes de inseri-las no DICT entrando em contato com nossa equipe.