Fraudes em máquinas POS (Point of Sale) tem se tornado cada vez mais comuns e frequentes, independentemente de como é feita a interação com a máquina os fraudadores desenvolvem técnicas sofisticadas para obter vantagens ilícitas.
O mercado de varejo, desde o pequeno comerciante às grandes redes, são um dos principais alvos do momento. De acordo com um estudo conduzido em 2017 pelo Instituto Ponemon, pequenos negócios são um grande alvo para os hackers; em média $1.2 bilhões de dólares foram gastos por estas instituições devido a problemas em suas operações decorrentes de falhas de segurança, e 61% delas sofreram algum tipo de ataque cibernético nos últimos 12 meses.
Associado a isto, os meios de pagamento vêm passando por transformações significativas. A introdução do *Pay (Apple, Google e Samsung) no mercado brasileiro (2) trouxeram novas formas de realizar operações de crédito e débito por meio de NFC (Near Field Communication) e MST (Magnetic Secure Transmission, proprietário da Samsung), ao aproximar os smartphones das máquinas de POS. No entanto, estes são apenas o ponto de partida para usos ainda mais intensivos deste tipo de tecnologia, que ainda poderá ser amplamente explorado no mercado financeiro, por exemplo.
A adoção de tecnologias que facilitam e massificam os meios de pagamento é um movimento sem retorno, pois trata-se de um avanço natural, assim como aconteceu em inúmeras outras áreas que também se desenvolveram e progrediram. No entanto, existe um elo fraco nesta cadeia e pouco considerado até o momento: o POS. A tecnologia por trás destas pequenas máquinas é relativamente simples, seu hardware é de baixa capacidade e barato, o que facilita muito a sua massificação. Existem regras de segurança e regulamentos claros e muito bem desenhados de maneira que estas máquinas e seus sistemas proprietários ofereçam bons níveis de segurança, protegendo os dados dos clientes que nelas colocam seus cartões e informam as suas senhas. Mas até que ponto estas máquinas são seguras?
Recentemente tem-se visto na TV e em várias outras mídias a tão falada "guerra das maquininhas"; adquirentes oferendo modelos com vantagens cada vez mais agressivas, isenção de aluguel e taxas reduzidas, tudo isso para atrair os comerciantes que precisam proporcionar esta opção de pagamento para seus clientes. No mundo dos negócios, todos sabemos, até que intuitivamente, que uma guerra de preços tem seus vencedores eventuais, mas muitas vezes temporários e que no final todos saem perdendo, pois é uma estratégia insustentável do ponto de vista de negócios. Isto faz crer que as próprias adquirentes estão jogando todas as suas fichas para esgotar este mercado e já se preparar para o próximo passo, que será a transformação dos smartphones em máquinas de POS. Voltando a pergunta, que tanto incomoda: até que ponto os smartphones comuns são seguros a ponto de servir em POS? Crucial compreender que no momento da escrita deste artigo ainda não existem um conjunto de regras – mas recomendações de boas práticas por parte do PCI (3) – para que smartphones ganhem mais esta atribuição. É preciso evitar brechas de segurança como recentemente noticiado nos Estados Unidos, quando o provedor de soluções de POS North Country Business Products revelou que uma brecha de segurança implantada por meio de um malware nestes dispositivos expôs milhares de dados de cartão de clientes (4). Apenas um exemplo dentre muitos.
Não é difícil prever esta mudança de máquinas POS da forma como conhecemos hoje para smartphones, é uma questão de tempo; mas a pergunta fica: quão segura será a próxima tecnologia?
Alexandre Vasconcelos, COO – Chief Operating Officer da Sikur.