Erro que fez Itaú transferir por engano R$ 1 milhão expõe duas fragilidades do Pix
janeiro 21, 2021SÃO PAULO – O Itaú cometeu uma falha ao duplicar transferências feitas por clientes via Pix, sistema de pagamentos instantâneos do Banco Central (BC). O caso aconteceu em novembro de 2020, devido a um erro do seu sistema ao fazer a integração com a plataforma do BC. No total, os valores enviados indevidamente chegaram a R$ 966.392.
O banco devolveu os valores errados para os clientes. E, para reaver as quantias transferidas em excesso, entrou em contato com alguns correntistas para que eles contatassem os destinatários das transferências e resolvessem a devolução de forma imediata. Ao mesmo tempo, o Itaú pediu o bloqueio dos valores aos bancos das respectivas contas. Como os bancos se recusaram a fazer o bloqueio, o Itaú abriu um processo contra as instituições.
O site Cointelegraph teve acesso a esse processo judicial, que confirma as informações citadas. Entre as instituições financeiras processadas pelo Itaú estão o Banco do Brasil, Bradesco, Sicred, Bancoob, Nubank, Banco Original e Banco Inter, segundo as informações do processo.
“Em razão de um erro sistêmico, foram realizadas transferências indevidas e, portanto, em excesso para as contas bancárias dos bancos favorecidos (em simples explicação: houve débito de X e crédito de X + X). (…) Esse tipo de falha sistêmica ocorre com alguma frequência no âmbito das instituições financeiras.”, destaca o Itaú na ação.
De acordo com o texto do documento judicial, a alegação do Itaú é de que, apesar de a falha ter sido de seu sistema, os bancos recebedores dos valores estariam “cientes da falha sistêmica”. E, segundo o processo, mesmo assim, as instituições não devolveram o dinheiro e não impediram os clientes de usar os valores.
“E os réus [outros bancos], ainda que cientes da falha sistêmica quando o valor ainda estava sob a sua ingerência, ao invés de devolverem o valor indevido ao Autor [Itaú], permitiram a liquidação dos créditos nas contas dos correntistas destinatários, impedindo o estorno e causando o enriquecimento sem causa em relação ao qual ora se pleiteia devolução de valores”, afirma o Itaú, no processo.
Em nota, o Itaú afirmou que não comenta processos que correm em segredo de Justiça, mas ressaltou, no entanto, que “os clientes que tiveram débitos em duplicidade em razão de uma falha operacional pontual foram reembolsados imediatamente”.
Ainda, o banco afirma, como no processo, que a entrada com um processo judicial é “uma medida usual entre as instituições nesse tipo de situação, pois traz segurança jurídica para que elas façam os estornos das contas creditadas indevidamente”.
Contatado, o BC não respondeu à solicitação do InfoMoney até o momento de publicação desta matéria.
Esse tipo de situação pode abrir espaço para dúvidas sobre a segurança do sistema e incertezas sobre a plena capacidade de operação do Pix, além de expor duas principais fragilidades do sistema: a reversão de transações e a atribuição de responsabilidade por esse tipo de falha.
Uma reportagem do InfoMoney mostra tudo o que você precisa saber sobre a segurança do sistema (para saber mais, clique aqui).
Reversibilidade das transações
De acordo com o regulamento do Pix, não existe a possibilidade de reverter uma transação, a partir do momento em que o usuário consente com o envio ou pagamento dos valores.
“Sobre a reversibilidade da transação, você poderá alterar o valor a ser pago ou cancelar a transação apenas antes da confirmação do pagamento. Após a confirmação, como a liquidação do Pix ocorre em tempo real, a transação não poderá ser cancelada. No entanto, caso a transferência tenha sido um engano, você poderá negociar com o recebedor a devolução do valor pago. A devolução é uma funcionalidade disponível no Pix e é sempre iniciada pelo próprio recebedor”, já explicou o BC em nota.
O InfoMoney questionou o banco sobre como, do ponto de vista técnico e operacional a falha aconteceu, bem como a devolução dos valores para os clientes, mas o banco preferiu não se posicionar sobre esses pontos.
No entanto, no caso de devolução entre instituições há a possibilidade de reversão. E foi o que o Itaú alegou no processo.
Apesar de o Itaú afirmar que todos os clientes foram reembolsados, segundo o Cointelegraph, o banco “entrou em contato imediatamente com alguns correntistas para que estes contatassem os destinatários das transferências e resolvessem a devolução de forma imediata” (…), mas alguns dos bancos e seus respectivos correntistas não fizeram o estorno dos valores. E, nesses casos, o Itaú pede que os bancos sejam condenados a bloquear e devolver os valores indevidos, de acordo com o processo.
Porém, de acordo com a resolução n° 1 de 12/8/2020 do BC, que define as regras do Pix, a devolução de valores entre as instituições financeiras pode ser feita apenas se o cliente pedir. Ou seja, o Itaú não poderia pedir que os outros bancos fizessem esse estorno sem o consentimento dos clientes.
O artigo 40 da resolução diz que “poderão ser objeto de devolução, total ou parcial, os recursos de determinada transação realizada cujos fundos já se encontrem disponíveis na conta transacional do usuário recebedor”, mas nos parágrafos 1° e 2° explica que a “devolução de um Pix deve ser iniciada pelo usuário recebedor” e que “é permitida a realização de múltiplas devoluções de uma mesma transação”. Diante do consentimento do recebedor, o parágrafo único do artigo 41 diz que “o participante [o banco] deve debitar o valor informado na conta transacional do usuário recebedor, após sua autorização, e remeter os fundos ao participante prestador de serviço de pagamento do usuário pagador, informando o motivo da devolução”.
De acordo com uma fonte jurídica contatada pelo InfoMoney, a situação é complexa porque a “a instantaneidade do Pix decerto impede as ações de interceptação” por parte dos outros bancos. “Mas a correção posterior, dado o erro flagrante na operação de todo o sistema, pode ser considerada pelo juiz do caso”.
Em relação ao argumento dos bancos processados – que alegam que os clientes precisariam dar início da devolução das quantias, segundo resolução do Banco Central – a fonte explica que não basta apenas os bancos invocarem a norma do BC. “É necessário que sejam considerados todos os detalhes do fato concreto. Ou seja, o porquê da ocorrência: se foi um caso pontual, que tenha afetado um ou outro usuário, ou se a situação teve origem em falha sistêmica. O juiz do caso deverá considerar todo o quadro de fatos em torno do assunto e, assim, verificar se e como tais fatos se encaixam nas situações hipotéticas previstas nas normas. Esse processo é o que chamamos de subsunção dos fatos à lei.”
Michael Viriato, professor de finanças do Insper, explica que entrar com processo é a única maneira de o Itaú reaver o dinheiro que transferiu erroneamente, já que não poderia simplesmente pegar o dinheiro dos clientes recebedores. “O banco não pode entrar na conta do cliente e retirar uma quantia de lá, mesmo no caso desse erro. Seria uma espécie de confisco. Nem o Itaú, nem os outros bancos envolvidos. Mas, se a justiça autorizar os bancos a fazerem isso, é possível. Por isso que o problema tem que ir para a esfera judicial”, explica.
Ainda, a fonte contatada explica que esse tipo de erro não é inédito. “Já houve movimentação do próprio Itaú em outras oportunidades, tendo ingressado com ações contra outras instituições financeiras relativamente ao envio em duplicidade de arquivos de ordens de pagamento via TED”, afirma.
Viriato também pontua que o Pix é apenas uma outra maneira de fazer transferências. “É um sistema novo, e falhas fazem parte do processo. Se um sistema não tem falha, ou o processo está parado ou não está sendo monitorado o suficiente. É como uma multa de trânsito. Não é porque as pessoas não são multadas, que elas não ultrapassam a velocidade. Apenas não foram monitoradas”, diz.
Para o professor, esse tipo de problema ainda não é motivo de preocupação para os usuários. “A credibilidade que está em jogo é a do banco, que vai querer resolver o problema o mais rápido possível. Então, falhas como essa acontecerem pode agilizar a criação de um procedimento padrão de resolução, a fim de evitar prejuízo aos clientes”, diz.
O processo ainda está em andamento e não há um veredito sobre a situação.
Responsabilidade sobre as transações indevidas
Outra questão importante, que pode ser destacada a partir dessa situação é a responsabilidade das instituições e do BC sobre falhas de sistemas, eventuais erros e mesmo fraudes que acontecem no Pix. As dúvidas sobre quem tem a palavra final em algumas situações persistem.
Os porta-vozes do BC já explicaram que se o usuário cometer um erro, por exemplo, enviar uma quantia errada ou enviar para a pessoa errada a responsabilidade será dele, já que os aplicativos e sites dos bancos têm etapas de verificação e confirmação da operação antes de efetivamente enviarem as quantias.
Em situações em que há falha operacional do banco, o BC já havia informado que os bancos e instituições participantes seriam também responsáveis pela segurança do sistema.
No caso de fraudes, ainda não há um regulamento que define quem deveria se responsabilizar pelos problemas, se seria: o agente financeiro direto que está em contato com o BC, como o banco; o indireto, que participa do Pix por meio da infraestrutura de um participante direto, como uma varejista; ou o próprio BC.
O que já é possível é a possibilidade de a instituição segurar o pagamento por 30 minutos (durante o dia) ou uma hora (à noite) caso observe alguma suspeita de fraude ou falha. Por isso, se uma transação anormal para o perfil do cliente acontecer, o banco pode suspender a transação por esse período a fim de analisá-la. Se entender que é fraude, a transação não acontece, segundo o BC.
O InfoMoney também questionou o BC sobre a responsabilidade e o compromisso pelo funcionamento pleno do sistema, mas ainda não recebeu um retorno.
Veja o vídeo e tire as principais dúvidas: