Безопасность PIX для бизнеса: как защитить торговый счёт от мошенничества

PIX преобразил способ обработки платежей бразильским бизнесом. Мгновенное зачисление, отсутствие комиссий за большинство операций и доступность 24/7 сделали его доминирующим платёжным методом — в 2025 году было обработано более 40 миллиардов транзакций. Но по мере распространения PIX растут и техники мошенничества, нацеленные на предпринимателей.

Для бизнеса, зависящего от PIX, понимание этих угроз не просто полезно — оно необходимо. Вот ваше полное руководство по безопасности PIX для торговцев.

Угрозы PIX для бизнеса

1. Поддельные скриншоты оплаты

Самое простое и распространённое мошенничество. Клиент показывает сфабрикованную квитанцию PIX на экране телефона, заявляя, что оплата отправлена. Для загруженных предпринимателей — фуд-траков, уличных торговцев, розничных магазинов — соблазн мельком взглянуть на скриншот и отпустить товар — это именно то, на что рассчитывают мошенники.

Масштаб проблемы: FEBRABAN сообщила, что мошенничество с поддельными квитанциями PIX затронуло более 500 000 предприятий в 2025 году.

2. Атаки с подменой QR-кода

Мошенники физически заменяют ваш PIX QR-код в точке продажи на свой собственный. Каждый клиент, сканирующий QR-код, отправляет деньги мошеннику, а не вашему бизнесу. Это особенно распространено в:

• Фуд-кортах и уличных палатках
• У рыночных торговцев
• На станциях самообслуживания
• На печатных QR-кодах, оставленных без присмотра

3. Социальная инженерия против сотрудников

Мошенники звонят в ваш бизнес, представляясь сотрудниками банка или платёжного процессора. Они заявляют о «обновлении системы PIX» или «проверке безопасности», требующей от сотрудников передачи учётных данных, проведения тестового перевода или установки ПО удалённого доступа.

4. Эксплуатация запланированного PIX

Клиент показывает квитанцию «запланированного PIX» как доказательство оплаты. В отличие от мгновенного перевода, запланированный может быть отменён отправителем до обработки. Вы отдаёте товар, а клиент отменяет платёж.

5. Эксплуатация возвратов

Клиент делает небольшой легитимный PIX-платёж, затем заявляет, что заплатил больше или дважды. Он запрашивает возврат на другой PIX-ключ. Возврат проходит, а вы остаётесь в убытке.

6. Захват аккаунта через PIX-ключ

Если PIX-ключ вашего бизнеса — номер телефона или email, и злоумышленник получит контроль над этим номером (через SIM swap) или почтой, он может перенаправить входящие платежи на себя.

Матрица угроз для бизнеса

Угроза	Цель	Сложность	Ущерб
Поддельный скриншот	Точка продажи	Низкая	Средний за транзакцию
Подмена QR-кода	Физическое расположение	Низкая	Высокий (затрагивает всех клиентов)
Социальная инженерия	Сотрудники	Средняя	Очень высокий
Трюк с запланированным PIX	Точка продажи	Низкая	Средний
Эксплуатация возвратов	Финансовый отдел	Средняя	Средний
Захват PIX-ключа	Бизнес-аккаунт	Высокая	Критический
Вредоносное ПО/RAT	Системы бухгалтерии	Высокая	Критический

Меры защиты для торговцев

Проверка платежей в реальном времени

Никогда не полагайтесь на то, что показывает клиент. Внедрите следующие шаги проверки:

1. Проверяйте банковский счёт напрямую — Откройте банковское приложение или POS-систему для подтверждения зачисления
2. Настройте push-уведомления для каждого входящего PIX-платежа
3. Используйте звуковые уведомления — Некоторые приложения могут озвучивать входящие платежи, что полезно в шумной торговой среде
4. Проверяйте сумму, отправителя и время каждой транзакции

Безопасность QR-кодов

Защитите PIX QR-коды от подделки:

1. Ламинируйте статические QR-коды, чтобы их нельзя было легко заклеить
2. Ежедневно проверяйте QR-коды — Ищите следы наклеенных стикеров или замены
3. Используйте динамические QR-коды, которые меняются с каждой транзакцией
4. Размещайте QR-коды в зоне видимости персонала
5. Регулярно тестируйте собственный QR-код, чтобы убедиться, что он ведёт на ваш счёт

Обучение сотрудников

Ваш персонал — первая линия обороны:

• Обучите сотрудников проверять каждый PIX-платёж в банковском приложении, а не по скриншотам клиентов
• Установите правило: ни один сотрудник не должен передавать банковские данные по телефону
• Создайте протокол проверки для всех, кто представляется сотрудником банка — повесьте трубку и перезвоните в банк
• Проводите тренировки, чтобы персонал распознавал попытки социальной инженерии

Безопасность аккаунтов

Защитите счета, принимающие PIX-платежи:

1. Используйте PIX-ключ, привязанный к CNPJ, а не личный номер телефона или email
2. Включите двухфакторную аутентификацию на всех банковских приложениях
3. Ограничьте доступ к аккаунтам — только уполномоченный персонал должен иметь учётные данные
4. Установите лимиты транзакций для отдельных PIX-операций
5. Ежедневно проверяйте активность аккаунта на предмет несанкционированных транзакций

Безопасная передача финансовой информации бизнеса

Предприятия регулярно должны делиться PIX-ключами, банковскими реквизитами и платёжными инструкциями с партнёрами, поставщиками и сотрудниками. Отправка этой информации через email или групповые чаты в Telegram создаёт постоянные записи, которые могут быть скомпрометированы.

Используйте LOCK.PUB для передачи банковских реквизитов через защищённые паролем ссылки с ограниченным сроком действия. Это гарантирует, что ваши PIX-ключи и номера счетов не будут храниться в десятках историй чатов, откуда их может извлечь любой, получивший доступ к одному из устройств.

Правильная настройка PIX для бизнеса

Выберите правильный PIX-ключ

Тип PIX-ключа	Уровень безопасности	Рекомендация
Случайный ключ (EVP)	Наивысший	Лучший для бизнеса — никакой личной информации
CNPJ	Высокий	Хорош для формальной идентификации бизнеса
Email	Средний	Риск при компрометации email-аккаунта
Номер телефона	Пониженный	Риск SIM swap атак
CPF	Наименьший для бизнеса	Избегайте использования личного CPF для бизнес-транзакций

Настройте лимиты транзакций

Центральный банк позволяет настроить лимиты PIX:

• Установите пониженные ночные лимиты (с 20:00 до 6:00)
• Установите максимумы за транзакцию, соответствующие размеру вашего бизнеса
• Требуйте дополнительную аутентификацию для переводов выше определённого порога
• Зарегистрируйте доверенных получателей для регулярных крупных платежей

Мониторинг и аудит

• Ежедневно проверяйте все PIX-транзакции
• Сверяйте PIX-квитанции с записями о продажах
• Следите за необычными паттернами (множественные мелкие транзакции, активность в нерабочее время)
• Настройте оповещения для транзакций выше вашего обычного диапазона

Что делать, если ваш бизнес стал мишенью

1. Заморозьте затронутый счёт, немедленно связавшись с банком
2. Запросите MED (Mecanismo Especial de Devolucao) через банк в течение 80 дней для мошеннических транзакций
3. Подайте B.O. (полицейский отчёт) онлайн со всеми доказательствами
4. Уведомите сотрудников о конкретной технике мошенничества
5. Пересмотрите и усильте процедуры проверки
6. Проверьте все QR-коды в физических точках на предмет подмены

Заключение

PIX сделал платежи быстрее и удобнее для бразильского бизнеса, но эта удобность требует соответствующих инвестиций в безопасность. Самая важная привычка проста: всегда проверяйте платежи на банковском счёте перед отпуском товара. Никогда не доверяйте скриншотам, не пропускайте проверку в загруженные периоды и защищайте QR-коды от физической подмены.

При передаче банковской информации бизнеса партнёрам или сотрудникам используйте LOCK.PUB для создания бесплатных защищённых паролем ссылок с ограниченным сроком действия для безопасного хранения финансовых данных.