Tap to Phone: A Regulamentação e as Certificações por Trás do Fim das Maquininhas

O smartphone engoliu a câmera fotográfica, o GPS, a agenda e a agência bancária. Agora, está engolindo a maquininha de cartão. O Tap to Phone, também conhecido como SoftPOS, transforma qualquer celular com tecnologia NFC em um terminal de pagamentos. Observamos essa virada de chave no Brasil com a InfinitePay (da CloudWalk), que provou a tração do modelo. Nubank, Stone (via Ton) e PagSeguro rápidamente entraram na corrida. O hardware dedicado virou commodity. O software é o novo cofre.

Mas transformar um hardware de consumo genérico, que baixa aplicativos de origens duvidosas e se conecta a redes Wi-Fi públicas, em um terminal financeiro seguro não é trivial. Existe um abismo técnico e regulatório entre ler uma tag NFC e processar uma transação de R$ 5.000 com senha digitada na tela de vidro do celular. O mercado chama isso de inovação. Os reguladores chamam de vetor de risco cibernético.

Se você opera um gateway, uma subadquirente ou uma fintech de pagamentos, habilitar o Tap to Phone não se resume a atualizar um SDK. Exige navegar por um labirinto de certificações globais da indústria de cartões e alinhar-se às exigências de governança do Banco Central do Brasil (BACEN). Vamos dissecar exatamente o que a lei manda, o que as bandeiras exigem e como a arquitetura técnica deve ser montada para o seu produto não ser barrado no compliance.

A Lupa do Banco Central do Brasil

O Banco Central não emitiu uma resolução com o título "Regras para o Tap to Phone". O regulador brasileiro atua de forma agnóstica em relação ao hardware de captura. A autarquia olha para o risco sistêmico, para a segurança do consumidor e para a integridade dos Arranjos de Pagamento, regulados desde a Circular 3.682/2013. Se a transação acontece num terminal físico blindado da Gertec ou num Samsung Galaxy S23 do pipoqueiro, a responsabilidade perante o Sistema Financeiro Nacional (SFN) recai integralmente sobre a Instituição de Pagamento (IP) ou Adquirente.

Aqui entra a espinha dorsal regulatória para qualquer fintech hoje: a Resolução CMN 4.893/2021 (para instituições financeiras) e a correspondente Resolução BCB 85/2021 (para instituições de pagamento). Esses normativos determinam que as instituições devem implementar uma política de segurança cibernética rigorosa. Quando um adquirente decide oferecer Tap to Phone, ele está expandindo dramaticamente sua superfície de ataque. O aplicativo instalado no celular do lojista passa a ser considerado uma extensão da infraestrutura crítica da instituição.

Na prática, o BACEN exige que a instituição comprove capacidade de prevenir, detectar e responder a incidentes cibernéticos. O aplicativo de Tap to Phone deve ter mecanismos para detectar se o celular do lojista sofreu "jailbreak" (no iOS) ou "root" (no Android). Se o sistema operacional foi comprometido, o aplicativo de pagamento precisa se autodestruir ou bloquear imediatamente qualquer tentativa de transação. O BACEN realiza auditorias periódicas e cobra relatórios de testes de invasão (pentests) sobre essas soluções.

Além da segurança cibernética, há a questão da Prevenção à Lavagem de Dinheiro (PLD), regida pela Circular 3.978/2020. O onboarding de um lojista para usar Tap to Phone costuma ser 100% digital e instantâneo. O fraudador cria uma conta, baixa o app e começa a passar cartões clonados ou roubados em questão de minutos. O BACEN exige que a fricção reduzida no cadastro seja compensada por um monitoramento transacional hiperativo, útilizando geolocalização do aparelho e biometria comportamental para estancar fraudes na origem.

O Labirinto do PCI SSC e a Sopa de Letrinhas

Enquanto o BACEN fiscaliza o risco sistêmico, quem dita as regras técnicas da captura são as bandeiras de cartão (Visa, Mastercard, Elo, Amex) através do PCI SSC (Payment Card Industry Security Standards Council). Até pouco tempo atrás, o padrão de segurança para maquininhas (o PCI PTS - PIN Transaction Security) exigia hardware blindado. Se alguém tentasse abrir uma maquininha tradicional para instalar um chip espião, ela apagava suas chaves criptográficas e "morria". Como fazer isso num smartphone comum?

A indústria teve que criar novos padrões. O primeiro foi o SPoC (Software-Based PIN Entry on COTS), que permitia digitar a senha no celular, mas exigia um leitor de cartão Bluetooth externo. Não era o Tap to Phone real. Depois veio o CPoC (Contactless Payments on COTS). O CPoC permitiu o uso da antena NFC do próprio celular para ler o cartão, mas com uma restrição severa: não permitia a digitação de senha na tela do celular. Isso limitava as transações ao limite do "Tap and Go" sem senha, que no Brasil hoje é de R$ 200.

A verdadeira revolução, e a certificação que os gateways brasileiros estão buscando agressivamente agora em 2024, atende pela sigla MPoC (Mobile Payments on COTS). O padrão MPoC, lançado no fim de 2022, unifica as regras e permite a entrada do PIN (senha) de forma segura diretamente na tela de vidro do smartphone do lojista (PIN on Glass). Isso muda o jogo. Permite que o celular substitua a maquininha tradicional para qualquer valor de transação.

Obter a certificação MPoC é uma maratona técnica e financeira. O processo exige que a solução seja dividida em componentes independentes. O gateway ou desenvolvedor precisa certificar o aplicativo front-end, o SDK de captura, os mecanismos de atestação de segurança do dispositivo e o ambiente de back-end. Laboratórios independentes credenciados pelo PCI realizam ataques de força bruta, engenharia reversa e interceptação de memória contra o aplicativo durante meses antes de emitir o selo de aprovação.

Arquitetura de Segurança: O Que os Gateways Precisam Construir

Para um gateway de pagamentos ou adquirente interno oferecer Tap to Phone, a engenharia de software precisa incorporar tecnologias de nível militar. O principal desafio é o ambiente hostil. O Android, sendo um sistema aberto, é um campo minado de malwares, keyloggers e apps de sobreposição de tela (overlays). Como garantir que, quando o cliente digita a senha no celular do lojista, um malware oculto não está gravando a tela?

Trusted Execution Environment (TEE)

A solução passa pelo uso do TEE, uma área segregada no processador do smartphone que o sistema operacional principal não consegue acessar. Quando o aplicativo de Tap to Phone pede a senha do cliente, ele invoca o TEE (ou o Secure Enclave, no caso da Apple). O teclado numérico que aparece na tela é renderizado por essa zona segura. Mesmo que o Android esteja totalmente infectado, o malware só verá uma tela preta na região onde o PIN está sendo digitado.

White-box Cryptography e Ofuscação

Outro requisito técnico para a certificação MPoC é a criptografia de caixa branca (White-box cryptography). As chaves criptográficas usadas para embaralhar os dados do cartão e a senha não podem ficar armazenadas de forma estática no código do aplicativo. Elas precisam ser dinâmicas e ofuscadas. O código-fonte do aplicativo de pagamento sofre processos severos de ofuscação e anti-tampering (anti-adulteração). Se um hacker tentar descompilar o APK do app da Stone, Nubank ou InfinitePay para entender como a criptografia funciona, ele encontrará um labirinto ininteligível de código embaralhado que muda constantemente.

Attestation e EMV L2 Kernel

Antes de cada transação, o aplicativo realiza uma "atestação" (Attestation). Ele envia um sinal para os servidores do gateway ou da bandeira para confirmar que o celular não sofreu root, que a versão do sistema operacional é segura e que o hardware não está comprometido. Se a atestação falhar, a transação é recusada antes mesmo de ler o cartão. Além disso, o app precisa rodar um "Kernel EMV Nível 2" em software. O Kernel é o cérebro que conversa com o chip do cartão via NFC, negocia os protocolos de segurança e gera os criptogramas (ARQC) exigidos pelas bandeiras.

Apple Tap to Pay vs Ecossistema Android

O mercado de Tap to Phone tem duas realidades completamente distintas baseadas no sistema operacional do lojista. No ecossistema Android, o Google permite que os desenvolvedores acessem a antena NFC livremente, deixando o fardo da segurança (as certificações CPoC/MPoC, a ofuscação, o TEE) quase inteiramente nas mãos das adquirentes e gateways. É um modelo aberto, mas que exige um investimento brutal em segurança de software.

Já a Apple historicamente manteve a antena NFC do iPhone trancada a sete chaves. Apenas o Apple Pay podia usá-la. Isso mudou recentemente com o lançamento do Apple Tap to Pay. A abordagem da Apple é centralizadora. Eles não deixam a adquirente gerenciar o hardware diretamente. A Apple fornece uma API altamente controlada. Quando o lojista vai cobrar, o iOS assume a tela, lê o cartão, coleta o PIN de forma ultra-segura no Secure Enclave e entrega para o aplicativo da adquirente apenas o pacote de dados criptografado pronto para ser enviado ao gateway.

No Brasil, players como Nubank, SumUp e Granito foram pioneiros em integrar o Apple Tap to Pay. A vantagem para o gateway é que a Apple já resolveu a maior parte do problema de segurança de hardware e captura de PIN. A desvantagem são os termos comerciais e o controle rígido que a Apple exerce sobre a experiência do usuário. Para o lojista, a experiência no iPhone costuma ser mais fluida e confiável, dado o ecossistema fechado de hardware e software.

O Impacto Financeiro para Adquirentes e Varejo

Se a barreira técnica é tão alta, por que todo o mercado brasileiro está correndo para certificar soluções Tap to Phone? A resposta está na linha de despesas (CAPEX e OPEX) dos balanços financeiros. Uma maquininha Smart POS tradicional custa entre R$ 400 e R$ 800 para a adquirente. Some a isso a logística de entrega, manutenção, troca de bobina, chip de dados (SIM card 4G) e recolhimento quando o lojista cancela o contrato.

Multiplique esse custo por uma base de centenas de milhares de microempreendedores individuais (MEIs) e pequenas e médias empresas (PMEs). O modelo tradicional queima caixa violentamente na aquisição de clientes. O Tap to Phone zera o custo de hardware. O lojista usa o próprio celular. A logística é substituída por um download na App Store ou Google Play. O custo marginal para ativar um novo lojista despenca para quase zero.

Isso permite que empresas como a CloudWalk ofereçam taxas de desconto (MDR) extremamente agressivas no mercado, forçando players estabelecidos como Cielo, Rede e Getnet a acelerarem suas próprias iniciativas de SoftPOS para não perderem share na base da pirâmide do varejo. Os grandes perdedores dessa transição são os fabricantes tradicionais de terminais POS (como Ingenico, Pax e Gertec), que estão sendo forçados a pivotar seus modelos de negócios para a venda de software, serviços de valor agregado e terminais de altíssimo padrão para o grande varejo.

O Próximo Passo: Integração com o Pix

O futuro do Tap to Phone no Brasil não se limita aos arranjos de cartão de crédito e débito. O Banco Central tem uma agenda clara de inovação contínua para o Pix, e a próxima fronteira é o Pix por Aproximação (útilizando NFC). O Tap to Phone é a infraestrutura receptora perfeita para essa modalidade.

Em breve, o celular do lojista, equipado com a tecnologia Tap to Phone já certificada para segurança e atestação de dispositivo, não apenas lerá cartões plásticos físicos ou carteiras digitais (Apple Pay/Google Wallet), mas também receberá requisições de iniciação de pagamento via Pix direto do celular do consumidor por aproximação. A infraestrutura de software construída hoje para atender às regras do PCI MPoC servirá como fundação para o novo ecossistema do Open Finance e dos pagamentos instantâneos.

A transição do silício dedicado para o software seguro já aconteceu. As regulamentações do BACEN e as certificações do PCI SSC garantem que o ecossistema não entre em colapso com fraudes. Para os adquirentes e gateways, dominar a arquitetura técnica do Tap to Phone deixou de ser um diferencial de inovação e passou a ser um requisito básico de sobrevivência na guerra da adquirência brasileira.