Desde que os cartões de débito e crédito com pagamento por aproximação se tornaram padrão no Brasil, circula nas redes sociais a recomendação de embrulhá-los em papel alumínio para evitar que criminosos leiam os dados à distância. O que quase ninguém menciona é que os cartões já vêm com camadas de proteção nativas, e que os bancos brasileiros disponibilizam ferramentas que tornam a ameaça do skimming RFID irrelevante na prática. O papel alumínio funciona, mas você provavelmente já tem proteção melhor no seu celular.
O que é o pagamento por aproximação e como o chip do cartão funciona
A tecnologia contactless usa o padrão EMV, desenvolvido pelas bandeiras Visa, Mastercard e Elo, que combina RFID e NFC com criptografia de ponta a ponta. Cada transação gera um código de uso único chamado token dinâmico: mesmo que alguém intercepte o sinal da transação, o código capturado é inútil para qualquer compra futura porque expira imediatamente. Isso é fundamentalmente diferente de uma fita magnética, que armazena um número fixo que pode ser clonado e reutilizado.
O limite padrão para transações por aproximação no Brasil é de R$ 200 por operação sem senha, conforme regras do Banco Central. Acima desse valor, o terminal solicita a senha de qualquer forma, independentemente do método de pagamento.
Quais proteções nativas os bancos brasileiros já oferecem contra fraude contactless
Além da criptografia do próprio chip, os principais bancos brasileiros disponibilizam recursos que neutralizam os riscos de fraude por aproximação antes que qualquer dano ocorra. Os mais eficazes disponíveis atualmente são:
LeiaTambém
- Notificação em tempo real por push: toda transação gera um alerta instantâneo no celular, permitindo contestar movimentações não reconhecidas em segundos, não dias.
- Bloqueio e desbloqueio do cartão pelo app: Nubank, Itaú, Bradesco, C6 e outros permitem desativar o cartão físico com um toque, tornando o chip inoperante mesmo que seja lido.
- Desativação da função contactless: alguns bancos permitem desativar especificamente o pagamento por aproximação, mantendo o chip e a tarja magnética ativos.
- Cartão virtual descartável: número de cartão único para compras online que expira após o uso, eliminando o risco de reutilização de dados capturados.
- Limite diário ajustável: reduzir o limite de gastos do cartão para um valor baixo nos dias em que não há previsão de compras grandes limita o dano máximo possível.
O que acontece se um criminoso capturar o sinal do seu cartão contactless
Graças ao token dinâmico, a resposta prática é: quase nada. O dado capturado é um código de transação que expirou no momento em que a leitura aconteceu. Não contém número do cartão, CVV, nome do titular nem validade em formato utilizável. Mesmo que alguém capture esse sinal com equipamento profissional, não consegue replicar uma nova compra porque o próximo token será completamente diferente.
Esse mecanismo é diferente do que acontece com a fita magnética, que armazena os dados reais do cartão de forma estática e pode ser clonada. Por isso cartões com chip e contactless são intrinsecamente mais seguros contra clonagem do que os modelos mais antigos com apenas tarja.
Por que o skimming RFID é um risco muito menor do que o skimming físico no Brasil
O skimming por radiofrequência exige que o criminoso chegue a poucos centímetros do cartão, em local movimentado, com equipamento específico, para capturar dados que já são criptografados e de uso único. O skimming físico em terminais e caixas eletrônicos, por outro lado, captura dados de fita magnética que podem ser reutilizados livremente. Segundo dados compilados pelo portal Norton, especialistas em segurança classificam o RFID skimming como ameaça de baixíssima incidência real, enquanto fraudes por phishing, engenharia social e malware em dispositivos são as ameaças que de fato afetam os brasileiros no dia a dia.
Quando faz sentido usar papel alumínio ou carteira com bloqueio RFID
O papel alumínio e as carteiras com blindagem RFID têm um caso de uso legítimo: proteger cartões em situações de risco concentrado, como eventos com multidões densas, transporte público em horário de pico ou situações em que o cartão fica exposto fora de uma bolsa fechada. Para uso cotidiano, as proteções nativas do chip e as ferramentas do aplicativo do banco entregam segurança muito maior do que qualquer barreira física.
Antes de embrulhar seu cartão em papel alumínio, abra o aplicativo do seu banco e ative as notificações em tempo real se ainda não estiverem ativas. Essa ação gratuita, feita em menos de dois minutos, protege você contra todas as modalidades de fraude, não apenas contra a que tem menor incidência real no Brasil.