A utilização do telemóvel ou do cartão bancário para pagar sem contacto tornou-se uma rotina diária para milhões de consumidores. Rápido, prático e sem necessidade de dinheiro físico ou de introduzir a senha a cada transação, o sistema contactless é hoje um dos métodos de pagamento mais usados.
Contudo, a mesma tecnologia que simplifica as compras pode também abrir brechas inesperadas na segurança. Uma investigação conduzida por equipas da Universidade de Surrey e da Universidade de Birmingham, no Reino Unido, identificou vulnerabilidades que podem permitir a realização de pagamentos não autorizados, incluindo operações de elevado valor.
Segundo os investigadores, estas fragilidades não resultam de erros diretos das empresas, mas sim da crescente complexidade do sistema.
Como funciona o pagamento contactless
O pagamento sem contacto baseia-se na tecnologia NFC (Near Field Communication), que permite que cartões bancários, smartphones e outros dispositivos inteligentes comuniquem com o terminal de pagamento apenas por aproximação.
Com esta evolução, deixou de ser necessário inserir o cartão no terminal ou introduzir o PIN em todas as compras. Em muitos casos, basta aproximar o dispositivo para concluir a operação.
Além dos cartões, os próprios telemóveis passaram a funcionar como carteiras digitais, tornando o processo ainda mais rápido e conveniente.
O que descobriu a investigação
O estudo das universidades britânicas concluiu que algumas funcionalidades recentes, criadas para melhorar a experiência do utilizador, podem reduzir os mecanismos de proteção.
Entre os fatores identificados estão:
- possibilidade de efetuar pagamentos mesmo sem cobertura de rede;
- transações sem necessidade de desbloquear o telemóvel;
- regras diferentes sobre quando deve ser pedido PIN em compras de valor elevado.
De acordo com os investigadores, estas facilidades, embora úteis no dia a dia, podem ser exploradas para contornar controlos de segurança.
Pagamentos fraudulentos e valores elevados
Durante os testes, a equipa conseguiu enganar terminais de pagamento de várias formas.
Os investigadores demonstraram ser possível:
- fazer um terminal aceitar um cartão de crédito quando apenas deveria permitir pagamentos por telemóvel;
- processar pagamentos acima do limite contactless sem verificação biométrica ou introdução de PIN.
Num dos casos relatados, um terminal aceitou um pagamento fraudulento de 25 mil libras, segundo a Universidade de Surrey.
“A conveniência não pode comprometer a segurança”
Ioana Boureanu, diretora do Centro de Cibersegurança de Surrey, alerta para os riscos de priorizar a rapidez em detrimento da proteção dos utilizadores.
“A nossa investigação demonstra que as pressas por introduzir novas funcionalidades para melhorar a experiência de compra ou para novas formas de uso às vezes acontecem à custa da nossa segurança”, afirmou.
Apesar de reconhecer avanços recentes, sublinha que ainda há trabalho a fazer:
“O setor já introduziu melhorias promissoras, mas continua a ser necessária uma melhor coordenação entre os fornecedores para garantir que a conveniência não gere novas oportunidades de fraude.”
Falhas não são culpa direta das empresas
Os investigadores fazem questão de frisar que os problemas detetados não resultam de negligência das marcas.
Tom Chothia, outro elemento do projeto, esclarece: “Os problemas que detetámos não se devem a erros das empresas, mas ao facto de um sistema tão complexo como o EMV [Europay, Mastercard e Visa] poder desenvolver falhas ocultas quando novas funções são adicionadas de forma independente.”
A equipa comunicou as conclusões às entidades envolvidas em 2024 e colaborou no desenvolvimento de algumas soluções.
Embora o estudo não indique que todos os pagamentos estejam comprometidos, evidencia que a segurança dos sistemas contactless depende de um equilíbrio delicado entre facilidade de utilização e proteção contra fraude.
À medida que o dinheiro físico perde espaço e os pagamentos móveis se tornam dominantes, especialistas defendem maior coordenação técnica e reforço dos mecanismos de verificação, para que a comodidade não se traduza em risco financeiro.
Para os consumidores, a mensagem é clara: o contactless é prático, mas não é infalível.
