Research & Reports

<p>Antes de mais nada, cumprimentamos as equipes técnicas do Banco Central pelo primoroso trabalho na construção da consulta aos grupos de trabalho. Tratam-se de documentos detalhados e extremamente cuidadosos na construção de uma das funcionalidades mais esperadas pelo mercado desde a criação do Pix. Nós somos, de longa data, admiradores do trabalho do Banco Central e os documentos neste ciclo de contribuições não foge à regra.</p>
<p>Nós identificamos, contudo, uma oportunidade de se reduzir o custo de desenvolvimento e implementação e ampliar o potencial de aplicação da nova funcionalidade. Dessa forma, e sempre muito respeitosamente, gostaríamos de apresentar para a avaliação do Banco Central uma proposta alternativa de design para a funcionalidade do Pix Automático. Anexa a este documento está a lista de repostas às perguntas formuladas na consulta.</p>

This article introduces the Systemic Approach to Technology (SAT) as a framework for society-focused technology. The authors argue that technology should be teleologic, meaning it should be evaluated based on its application rather than being seen as inherently good or bad. They emphasize the importance of understanding the systemic relationships between technology and its context, advocating for a systemic approach to technology design. The paper also discusses the need for technology development to be propositive and focused on addressing societies' greatest challenges. The authors highlight the potential of this approach in guiding a new era of technological development and shaping a positive impact on society.

Pix, the real-time payments rail created by the Brazilian Central Bank, has gained notoriety for its impressive numbers, including over 148 million unique users and 8 billion transactions in the last three months alone. Its systemic effects are also significant, including a 10% reduction in total cash circulation and increased financial inclusion. This paper provides a comprehensive deep dive into Pix's design and protocol, highlighting critical decisions and tradeoffs and providing recommendations for other countries building fast payment systems.

Events such as the failure and rescue of Credit Suisse and the fallout of Silicon Valley Bank re-surfaces the old saying that prudential regulators should always favor banking concentration to improve financial stability, putting monetary authorities in opposition to competition authorities. In this paper, we want to switch gears and propose a framework to analyze monetary authorities' role in fostering competition. To that end, we go through the case study of Brazil's financial system regulators and compare them with Brazil's competition authority's role and the importance of inter-agency cooperation.

The US Supreme Court is considering the fate of Section 230, a law that protects content platforms from liability for user-generated content. The case, Gonzalez v. Google, challenges the intermediary liability protection of Section 230. If the challenge succeeds, it could undermine the foundation of Web 2.0 and the internet's future. The case focuses on whether platforms like Google, Twitter, and TikTok should be held liable for third-party content from their recommendation engines. Challenging Section 230 could have severe consequences for freedom of expression and lead to restrictions on recommendation engines or higher restrictions on publishing or sharing. Section 230 has been settled law for over two decades and protects content platforms, even if they encourage users to post content.

<p>O presente documento está dividido em três partes. A <strong>primeira</strong> é destinada à exposição de uma proposta alternativa à regulamentação da figura de um gestor de pagamento. Vamos expor algumas preocupações com a criação de um novo intermediário no arranjo do Pix e uma proposta alternativa focada em um mecanismo de pagamentos com múltiplos recebedores (<em>split pay</em>). A <strong>segunda</strong> parte é destinada à discussão de um outro tema objeto da 19a Plenária do Fórum Pix: a especificação do Pix automático. Neste ponto, vamos defender uma abordagem que unifica as jornadas de pagamento automático e amplifica o escopo e impacto desse mecanismo. Por fim, a <strong>terceira</strong> parte amarra as propostas das duas primeiras partes e descreve como ambas poderiam ser incorporadas na API Pix para máximo impacto no sistema de pagamentos.</p>
<p>Nossa contribuição adota a posição de que a solução de formalizar a figura do gestor de pagamentos não é o melhor caminho para alcançar os objetivos do Banco Central de fomentar a inovação no mercado de pagamentos sem comprometer princípios importantes, como o combate à lavagem de dinheiro. Defendemos que a necessidade que o mercado está mostrando é resultado de três questões subjacentes e que uma solução efetiva deve atacar essas questões em suas raízes.</p>
<p>A primeira questão subjacente pode ser uma frustração com o funcionamento da API Pix oferecidas pelos bancos para acessar as funcionalidades do Pix. Aqui, nossa proposta é corrigir esse problema específico implementando requisitos mínimos de experiência do usuário para as APIs da mesma maneira que o BCB fez com os aplicativos bancários desde o primeiro dia. Se as APIs funcionassem e dessem acesso a todas as funcionalidades do Pix, os intermediários poderiam gerenciar os pagamentos sem participar do fluxo de dinheiro.</p>
<p>A segunda questão subjacente é que terceirizar os pagamentos também é muito difícil. Até mesmo a atividade de simplesmente registrar ordens de pagamento para aprovação futura pode ser difícil. Novamente, as APIs do Pix poderiam resolver esse problema permitindo a geração de credenciais para os operadores, mesmo que a aprovação final exija um nível mais alto de credencial.</p>
<p>Por fim, a terceira questão é que participar do fluxo de dinheiro pode reduzir muito o risco de inadimplência, já que o intermediário pode deduzir sua taxa do que é finalmente encaminhado para o beneficiário final. Para resolver esse caso de uso específico, propusemos a implementação de um fluxo para acomodar o <em>split pay</em>. Ou seja, pagamentos com vários destinatários. O recurso de split pay estaria disponível para todos os beneficiários em seus aplicativos bancários ou APIs, para que os gerentes de conta pudessem configurar os QR Codes já com o split pay configurado.</p>
<p>Também fizemos uma proposta adicional em relação à segunda questão mencionada acima. Sugerimos que o BCB considere o Pix automático como apenas uma nova forma de enviar descrições de pagamento para o banco do pagador para confirmação do pagador e início do fluxo de dinheiro. Isso significa que a mensagem que os bancos pagadores recebem dos bancos recebedores em um débito automático deve ser exatamente o conteúdo de um QR Code que um pagador pode digitalizar. Também sugerimos que tanto o Pix automático quanto os QR Codes possam ser únicos, recorrentes ou únicos e recorrentes. Se o BCB aceitar essa sugestão, poderíamos ter pagamentos por push em larga escala no Brasil.</p>

This article delves into the challenges facing the Brazilian Open Finance ecosystem, including overcomplexity, lack of direction, and unreliability. Despite its potential, the ecosystem has seen limited adoption, with less than 2.5% of all accounts connected. The article explores the reasons behind this and discusses the recent regulatory changes that could open the door to extensive networks, as well as potential solutions to keep the payment system open for competition from new entrants.

The Pix Dynamic QR Code URI can be extended to allow for offline QR Code generation. The proposed solution involves generating URIs that can be used as a vehicle to transmit information from the client to the server, allowing the payee to generate their own URIs. The document also goes into detail about URI properties, encoding, and cryptography. The proposed design balances tradeoffs between the amount of data that can be transmitted and cryptographic guarantees, and uses commonly available cryptographic primitives to reduce implementation costs.

In August 2022, LastPass suffered two cyberattacks that breached customer data and encrypted passwords. LastPass acknowledged the attacks, but their communication was not transparent enough. In November 2022, a follow-up attack compromised customer data further. LastPass communicated that this was a low-risk attack and that customers did not need to take any action. However, in December 2022, LastPass admitted the actual scale of the breach, and that all customer vaults were compromised. It is important to note that every company suffers frequent attacks, but the proper security posture under this type of attack is to assume that everything will eventually get compromised. The incident makes a case for why companies should always deploy additional defenses, such as employing security keys, to stay secure in the long term.