Pagar com o telemóvel ou com o cartão bancário sem contacto tornou-se um gesto automático para milhões de consumidores. A rapidez, a comodidade e a dispensa de dinheiro físico ou da introdução frequente do PIN fizeram do contactless um dos métodos de pagamento mais utilizados no dia a dia. No entanto, investigações recentes levantam dúvidas sobre a robustez deste sistema, alertando para vulnerabilidades que podem pôr dinheiro em risco.
O tema ganhou novo destaque após a divulgação de um estudo conduzido por equipas da Universidade de Surrey e da Universidade de Birmingham, no Reino Unido. De acordo com a Executive Digest, site especializado em economia, os investigadores identificaram falhas técnicas que podem permitir a realização de pagamentos não autorizados, incluindo operações de valor elevado, sem que o utilizador se aperceba de imediato.
Embora não estejam em causa erros grosseiros de programação, o estudo aponta para fragilidades resultantes da crescente complexidade dos sistemas de pagamento eletrónico e da forma como novas funcionalidades são integradas.
Como funciona o pagamento sem contacto
O sistema contactless baseia-se na tecnologia NFC, sigla para Near Field Communication. Esta tecnologia permite que cartões bancários, smartphones e outros dispositivos inteligentes comuniquem com terminais de pagamento através de simples proximidade, sem necessidade de contacto físico direto.
Na prática, deixou de ser necessário inserir o cartão ou digitar o código PIN em todas as transações. Em muitos casos, basta aproximar o cartão ou o telemóvel do terminal para concluir o pagamento. As chamadas carteiras digitais, integradas nos smartphones, vieram reforçar ainda mais esta facilidade.
Segundo explica a publicação, esta evolução trouxe ganhos claros em termos de conveniência, mas também aumentou a superfície de exposição a riscos de segurança.
O que revelou a investigação
O estudo das universidades britânicas concluiu que algumas funcionalidades introduzidas para melhorar a experiência do utilizador podem enfraquecer certos mecanismos de proteção. Entre os aspetos identificados estão a possibilidade de realizar pagamentos mesmo sem ligação à rede, transações efetuadas sem desbloqueio do telemóvel e diferenças nas regras que determinam quando deve ser solicitado o PIN em compras de valor mais elevado.
De acordo com os investigadores, estas opções, pensadas para tornar o sistema mais fluido, podem ser exploradas para contornar controlos de segurança existentes.
Pagamentos fraudulentos acima dos limites habituais
Durante os testes realizados, a equipa conseguiu demonstrar vários cenários de uso indevido. Segundo a mesma fonte, foi possível induzir terminais a aceitarem cartões de crédito em situações em que apenas deveriam permitir pagamentos via telemóvel.
Mais preocupante ainda, os investigadores conseguiram processar pagamentos acima dos limites contactless definidos, sem qualquer verificação biométrica ou introdução de PIN. Num dos exemplos citados, um terminal aceitou uma transação fraudulenta no valor de 25 mil libras.
“A conveniência não pode comprometer a segurança”
Ioana Boureanu, diretora do Centro de Cibersegurança da Universidade de Surrey, sublinha que a rapidez e a simplicidade não devem ser alcançadas à custa da proteção dos utilizadores. Citada pela Executive Digest, a investigadora afirma que a pressão para lançar novas funcionalidades pode levar a compromissos perigosos.
Apesar de reconhecer que o setor tem vindo a implementar melhorias, defende que ainda falta coordenação técnica entre os diferentes intervenientes do ecossistema de pagamentos para evitar a criação de novas oportunidades de fraude.
Falhas sistémicas, não negligência
Os autores do estudo fazem questão de esclarecer que as vulnerabilidades identificadas não resultam de negligência direta das empresas. Tom Chothia, outro dos investigadores envolvidos, explica que sistemas complexos como o EMV, que envolve redes como Visa, Mastercard e outras, podem desenvolver falhas inesperadas quando novas funções são adicionadas de forma independente.
Segundo a publicação, as conclusões foram comunicadas às entidades relevantes em 2024 e algumas soluções começaram já a ser discutidas e implementadas.
O estudo não sugere que todos os pagamentos contactless estejam comprometidos, mas evidencia que a segurança destes sistemas depende de um equilíbrio delicado entre facilidade de uso e mecanismos de controlo. Num contexto em que o dinheiro físico perde espaço e os pagamentos digitais ganham terreno, os especialistas defendem maior vigilância técnica e atualização constante das salvaguardas.
Para os consumidores, a mensagem é prudente: o contactless continua a ser prático e amplamente seguro, mas não é infalível. A atenção aos movimentos da conta e a utilização consciente das opções de segurança continuam a ser essenciais.
Leia também: Saiba qual é a diferença entre inativar e cancelar um débito direto
