O avanço das tecnologias de criptografia na segurança do e-commerce brasileiro

O e-commerce brasileiro movimenta centenas de bilhões de reais por ano sobre uma infraestrutura que a maioria dos compradores nunca viu e raramente pensa. A criptografia está em toda parte e em lugar nenhum ao mesmo tempo. Invisível quando funciona, devastadora quando falha.

O protocolo TLS, sucessor do antigo SSL, é a espinha dorsal dessa proteção. Cada vez que um endereço começa com “https”, ele está ativo, codificando os dados que trafegam entre o navegador do usuário e o servidor da loja. Nenhuma senha, número de cartão ou dado pessoal viaja exposto. O que um eventual interceptador captura é ruído indecifrável, uma sequência de caracteres que não significa nada sem a chave privada que só o servidor legítimo possui.

A versão atual do protocolo, o TLS 1.3, chegou em 2018 com melhorias significativas em relação às versões anteriores. O processo de handshake, a negociação inicial entre cliente e servidor que estabelece os parâmetros da conexão segura, ficou mais rápido e eliminou algoritmos considerados vulneráveis. Para o usuário final, isso se traduz em páginas que carregam mais rápido e conexões mais resistentes a ataques em que um terceiro tenta se inserir no meio da comunicação sem ser detectado.

O Brasil chegou a esse estágio com uma velocidade que surpreendeu o próprio setor. São mais de 13 milhões de certificados digitais ativos no Brasil, número que reflete não apenas o crescimento do comércio online, mas a capilaridade de uma infraestrutura de segurança que chegou a setores que há dez anos operavam quase inteiramente no papel. Cartórios, clínicas médicas, escritórios contábeis e pequenos varejistas digitais usam hoje certificados que autenticam sua identidade online com o mesmo rigor técnico aplicado aos grandes bancos.

O Pix acelerou esse processo de forma que poucos anteciparam. Quando o Banco Central lançou o sistema em 2020, o fez sobre uma arquitetura criptográfica própria, com verificação de identidade integrada e liquidação em tempo real. O resultado foi a criação de um método de pagamento que não apenas é rápido, mas estruturalmente mais seguro do que muitas alternativas anteriores para transações instantâneas de alto volume. A chave Pix funciona como um apelido criptografado para a conta: o pagador nunca precisa conhecer os dados bancários do recebedor, e o recebedor nunca vê os do pagador.

A escolha do método de pagamento é ela mesma uma decisão de segurança, e diferentes segmentos digitais fazem essa escolha com critérios distintos. Velocidade, custo operacional e reversibilidade são fatores óbvios. Menos discutido, mas igualmente relevante, é o grau de exposição de dados bancários que cada método exige ao usuário.

Cartões de crédito transferem para a plataforma receptora um conjunto de informações que, se vazadas, comprometem muito mais do que uma transação. É por isso que parte significativa dos usuários digitais brasileiros migrou para o Pix em contextos onde antes usariam cartão: a transação passa pelo ecossistema criptografado do Banco Central, e a plataforma receptora nunca tem acesso aos dados bancários do pagador.

Esse comportamento é mais pronunciado em plataformas que o usuário ainda está avaliando. Numa compra num marketplace consolidado, a maioria das pessoas não hesita em usar o cartão. Numa plataforma nova, num serviço que está experimentando pela primeira vez, a preferência pelo Pix costuma ser uma escolha deliberada de não expor mais informações do que o necessário para concluir aquela transação específica.

O entretenimento digital é o segmento onde esse padrão aparece com mais nitidez, precisamente porque é onde a rotatividade de plataformas é maior e onde o usuário mais frequentemente está interagindo com um ambiente que não conhece bem. Os cassinos com Pix concentram esse comportamento de forma clara: a adoção do método nesse segmento reflete uma preferência técnica consolidada por transações que não deixam rastro bancário na plataforma, independentemente de qualquer outra consideração.

Esse nivelamento técnico tem uma consequência que o setor prefere não destacar. Quando a infraestrutura de segurança é compartilhada e robusta, o elo mais fraco não está no protocolo. Está no usuário.

Os golpes mais eficazes do último período não quebraram nenhuma criptografia. Exploram distração, urgência fabricada e desconhecimento sobre como o sistema funciona. Uma mensagem falsa que imita a comunicação de um banco, um QR Code substituído num ponto de venda, um link que leva a uma página visualmente idêntica à legítima mas com endereço ligeiramente diferente. Nenhum desses ataques enfrenta o TLS de frente. Todos contornam o protocolo indo direto ao comportamento humano.

O Banco Central respondeu com medidas concretas, incluindo o bloqueio de chaves associadas a fraudes e o desenvolvimento do MED 2.0, sistema capaz de rastrear o caminho do dinheiro além da primeira conta receptora. São avanços reais. Mas que atuam, na maioria dos casos, depois que o dano já aconteceu.

O TLS protege o canal. O Pix protege a transação. Nenhum dos dois protege o consumidor de si mesmo, e esse é o limite honesto da criptografia que o setor tem pouco incentivo para comunicar com clareza.

A pergunta que o setor evita formular em voz alta é simples: se a infraestrutura técnica nunca foi tão boa, por que o volume de fraudes digitais no Brasil continua crescendo?