Programado para ser lançado em 16 de novembro, o novo sistema de pagamentos do Banco Central, o PIX, já possui definido quais os requisitos mínimos que deverão ser observado pelos desenvolvedores de apps.
Apesar do rápido desenvolvimento de novas soluções e integrações, pesquisadores identificaram problemas de usabilidade e segurança no app do novo sistema. O PIX conta com uma solução de links para pagamentos. Para isso, o Banco Central compartilhou um arquivo contendo uma lista de apps autorizados para uso.
Contudo, de acordo com Guilherme Decampo, fundador da Astrocoders, o problema está justamente nesse arquivo. De fato, ao clicar em um link de pagamento, o usuário é redirecionado ao último app baixado ou atualizado, tanto na versão android quanto na versão IOS.
Assim, o problema é que o link irá sempre abrir o primeiro app da lista compartilhada pelo BC. Ou seja, se um usuário tiver dois aplicativos de Provedores de Sistemas de Pagamentos (PSPs) instalado em seu dispositivo, o que aparece primeiramente na lista será tido como prioritário. Segundo Decampo, isso altera a expectativa de competitividade e criação de soluções.
Já na questão que envolve a segurança do sistema, pesquisadores identificaram que não existe nenhuma forma de bloqueio que impeça que um app não autorizado pelo BC se habilite para iniciar links do PIX. Isso por sua vez abre precedentes para que apps maliciosos roubem dados de clientes, e inclusive que um PSP venha a ter seu app copiado.
Devido a essas falhas recém encontradas, o BC decidiu, por ora, suspender o uso dos inks para pagamentos. Assim, o BACEN agora estuda uma solução de curto prazo baseada em PDF. A solução já é atualmente utilizada com PDFs de boletos por vários PSPs. Portanto, em breve o regulador deverá divulgar uma consulta baseada neste modelo.
