Pix, usado também como app de mensagem, pode enviar código HTML

Desde o início do ano, vêm surgindo algumas aplicações curiosas para o Pix: há quem se defina “pixsexual” e compartilhe sua chave para receber cantadas (e dinheiro) dos seguidores; e há quem envie transferências de R$ 0,01 com mensagens para a pessoa amada. O recurso de anotações também tem um lado perigoso: é possível enviar código HTML para os contatos, potencialmente abrindo espaço para golpes.

Pix (Imagem: Divulgação / Banco Central)

Pix (Imagem: Divulgação / Banco Central)

Em comunicado ao Tecnoblog, o Banco Central explica que incluiu a obrigação de os participantes do Pix admitirem somente tags HTML seguras no texto das anotações. A regra começou a valer em 15 de janeiro de 2021.

Isso consta nos Requisitos Mínimos para a Experiência do Usuário, que fazem parte do regulamento do Pix. “O campo ‘Descrição’ deve ser sanitizado e só admitir tags HTML seguras”, diz a versão mais recente do documento.

Como funcionam as anotações via Pix

O Tecnoblog testou as anotações do Pix em 10 instituições financeiras, incluindo Itaú, Bradesco, Santander, Nubank, Caixa, Banco do Brasil, Inter e C6 Bank. Em nossa análise, notamos que a implementação desse recurso é bem inconsistente.

É possível enviar código HTML através do Pix via Nubank, Bradesco, Banco do Brasil e Caixa. Ou seja, o destinatário pode receber algo como o exemplo abaixo:

<a href=”golpe.com”>Clique aqui</a>

Se o app do banco renderizar isso, esse texto se tornaria um link clicável que poderia levar o usuário a um site de phishing para roubar dados.

Dos 10 bancos que analisamos, nenhum converte HTML para links clicáveis. No entanto, ainda permanece o potencial para abuso; existem 734 instituições credenciadas para o Pix, e cada uma implementa essa função de forma diferente.

BC pode punir bancos que não exibem anotações do Pix

Nubank exibe código HTML enviado via Pix; Itaú remove caracteres (Imagem: Reprodução)

Nubank exibe código HTML enviado via Pix; Itaú remove caracteres (Imagem: Reprodução)

O melhor seria fazer o mesmo que o Itaú, que envia anotações via Pix removendo caracteres como <, / e = usados para gerar links. Ou seja, o exemplo acima chegaria ao destinatário apenas como:

a href=”golpe.com”Clique aquia

Isso supondo que a anotação vai chegar ao destinatário. Caixa e Santander simplesmente não recebem mensagens via Pix; enquanto Inter e C6 não recebem nem enviam esse tipo de dado.

O BC afirma ao Tecnoblog que todas as instituições com  Pix devem enviar a mensagem se ela for inserida no momento da iniciação. “Os participantes que não cumprirem essa exigência estão sujeitos às penalidades previstas no Regulamento do Pix”, diz o comunicado.

Banco / fintechEnvia mensagem via Pix?Recebe mensagem via Pix?Nubanksim, envia código HTML completosim, inclusive código HTML (mas não é clicável)Bradescosim, envia código HTML completosim, mas remove caracteres como <, > e =Banco do Brasilsim, envia código HTML completosim, mas remove caracteres como <, > e =Caixasim, envia código HTML completonãoItaúsim, mas remove caracteres como <, > e =sim, mas remove caracteres como <, > e =PicPaysim, mas remove texto dentro de tags <>sim, mas remove caracteres como <, > e =Santandersim, mas converte < pra lt, ” pra quot, e assim por diantenãoInternãonãoC6nãonãoNeonnãonão

O Banco Central faz poucas exigências técnicas para as anotações do Pix. Como explica a documentação oficial, a mensagem fica contida no campo “infoAdicionais”, do tipo string, que pode ter até 72 caracteres (dependendo do tamanho da chave Pix). Seu uso é opcional, ou seja, o cliente não precisa preencher esse campo.

Spam via Pix?

Pix (Imagem: Divulgação/Banco Central)

Pix (Imagem: Divulgação/Banco Central)

A funcionalidade de mensagem foi pensada para algo bem mais simples, como “minha parte do churrasco” ou “um presente pra vc”. No entanto, a utilização no mundo real provavelmente ultrapassou o escopo que o BC imaginava.

Por exemplo, no início do mês, tivemos um relato de Matheus Siqueira no Twitter: “meu primo terminou com a namorada porque ela o traiu, aí ele bloqueou EM TUDO; pra conseguir falar com ele, ela começou a mandar vários Pix de 1 centavo com mensagens pedindo desculpa”.

O BC explicou à Folha que não dará a opção de bloquear pagamentos para evitar esse tipo de situação: “o que o usuário pode fazer é configurar o aplicativo da instituição na qual mantém a conta para não receber a notificação”.

Pixsexual

Isso talvez abrisse a possibilidade de spam via Pix, especialmente porque o BC exige que os bancos mostrem a descrição que acompanha cada transação. No entanto, como mostramos acima, alguns clientes ainda não recebem essas mensagens.

Além disso, certas pessoas estão atrás exatamente desse tipo de interação. Há quem revele sua chave Pix – como CPF, e-mail ou número de celular – para receber dinheiro e até mensagens de possíveis interesses românticos. São os chamados “pixsexuais”.

No entanto, o BC avisa à CNN Brasil que “o Pix é um meio de pagamento, não uma rede social”. O órgão também pede cuidado ao compartilhar chaves Pix na internet, porque podem envolver dados pessoais sensíveis. A recomendação é usar uma chave aleatória, que é um pouco menos prática, porém é mais segura.