O avanço dos golpes digitais no Brasil impôs ao regulador uma resposta direta ao uso de “contas laranja” como etapa de escoamento e ocultação de valores ilícitos. É nesse contexto que o Banco Central editou a Resolução BCB nº 501/2025, reforçando o dever das instituições de rejeitar automaticamente transações destinadas a contas com fundada suspeita de fraude. A medida alcança contas de depósito à vista, poupança e contas de pagamento pré-pagas, incidindo, assim, sobre Pix, TED, DOC e cartões. Cumpre destacar que não é “punição sumária”, mas, trava preventiva e reversível, articulada com fluxos de revisão e saneamento, tendo em vista que a ideia é reduzir a superfície de ataque do arranjo de pagamentos sem abrir mão de transparência e devido processo informacional.
É importante destacar que, nos últimos anos, o Brasil testemunhou um crescimento acelerado de golpes financeiros, impulsionado pela digitalização dos serviços financeiros, pela facilidade de acesso ao crédito e, mais recentemente, pela introdução de novas modalidades de acesso a serviços e a informações financeiras, principalmente com o avanço da tecnologia e do uso desta. Conforme dados do Fórum de Segurança Pública, a cada minuto, quatro brasileiros são vítimas das fraudes digitais [1], o que ressalta a necessidade de mecanismos de proteção ao usuário.
O contexto é inequívoco: as tentativas de fraude cresceram 29,5% no 1º semestre de 2025, atingindo 6,94 milhões de ocorrências, segundo a Serasa Experian; e, no recorte de meios de pagamento, as perdas com fraudes no Pix aumentaram 70% em 2024, conforme dados do Banco Central reportados pela imprensa. Esses números ajudam a explicar a necessidade de uma resposta regulatória mais dura e coordenada, terreno sobre o qual se assenta a Resolução BCB nº 501/2025.
Em levantamento setorial, a Febraban registrou que o contingente de brasileiros que relataram golpes ou tentativas de golpes passou de 33% para 38%, entre setembro de 2024 e março de 2025. E, segundo a Agência Brasil (com dados da TransUnion), quatro em cada dez brasileiros já foram alvo de fraude, com perda média superior a R$ 6 mil por vítima, sinal de difusão e gravidade do problema.
Um ponto importante de ser destacado é que a crescente utilização de dados pessoais e dados pessoais sensíveis, muitas vezes compartilhados entre empregadores, instituições financeiras e plataformas digitais, têm resultado em um número alarmante de reclamações sobre golpes, vazamentos de dados e assédio comercial, revelando então uma tensão crescente entre a legitimidade dos meios de segurança adotados por instituições financeiras.
O racional econômico é claro: fraude digital é risco sistêmico. Ela encarece transações, corrói a confiança do usuário e pressiona o arranjo como um todo. Ao delegar às instituições a definição de critérios técnicos (com base em dados internos e em fontes públicas e privadas), o Banco Central preserva flexibilidade para inovação antifraude, mas exige documentação metodológica e auditabilidade, condição de supervisão. Na prática, a rejeição automática funciona como trava de entrada: evita que a conta de passagem cumpra o papel de placement/layering no ciclo de lavagem, reduzindo o dano agregado. Essa lógica se articula com o Mecanismo Especial de Devolução (MED) do Pix, que organiza notificações de infração e devoluções quando há fraude demonstrada; travas preventivas acrescido da devolução formam um par mais ágil de contenção e remediação.
Segurança coletivo e correção individual
Do ponto de vista do titular de dados pessoais, a Resolução 501 precisa vir acompanhada de três salvaguardas, elementos que não devem ser considerados apenas “extras” burocráticos, mas como a governança que legitima medidas duras e reduz litigiosidade:
a) Transparência: a classificação de suspeita deve ser comunicada com indicação mínima e canal claro de contestação, respeitado o sigilo quando houver investigação.
b) Minimização e acurácia: modelos antifraude não podem se transformar em cadastros opacos e eternos, além de ser fundamental a higienização de bases de dados que possam indicar falsos positivos, além de ser importante uma revisão humana como parte do dever de cuidado.
c) Explicabilidade proporcional: o supervisor precisa de trilhas de auditoria e registros das decisões-chave, sobretudo quando há uso de técnicas de aprendizado de máquina.
No plano jurídico, a LGPD oferece o mapa. O tratamento de dados para segurança e prevenção à fraude apoia-se, em regra, no cumprimento de obrigação legal/regulatória e, em certos pontos, no legítimo interesse (destaca-se, quando não envolver dados pessoais sensíveis), sempre sob os princípios de finalidade, necessidade e adequação. Além disso, direitos de informação, correção e eventual revisão de decisões automatizadas precisam estar refletidos em fluxos de atendimento que façam sentido para o usuário comum, com SLA curto para desbloqueio quando a suspeita cai. Em incidentes, vigora o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024), com deveres de reporte à autoridade e aos titulares, reforçando prestação de contas e cultura de segurança.
Na ótica do consumidor, o recado é conhecido: bloqueios indevidos, “listas sujas” mal governadas ou atendimento ineficiente podem gerar responsabilidade objetiva por falha do serviço (artigo 14, CDC). O trade-off é proteger o sistema sem excluir quem é legítimo. O caminho passa por calibrar sensibilidade e especificidade dos modelos, acompanhar métricas de falso positivo e manter rotas rápidas de desbloqueio e ressarcimento quando houver prejuízo. A boa notícia é que a própria arquitetura do arranjo, travas preventivas e o MED do Pix, já oferece meios para redução de dano e resposta coordenada entre participantes.
Há, contudo, três desafios que a prática vai testar:
a) Governança de modelos: Desde os critérios de risco documentados, testes periódicos contra viés e “deriva” estatística, e a constatação de um model risk management consistente;
b) A interoperabilidade e qualidade de dados: diante da problema que envolve o cruzamento de múltiplas fontes/bases de dados, que aumenta o poder preditivo, mas eleva risco de sobretratamento, forçando a necessidade de alinhamentos contratuais e da realização de due diligence com terceiros, para que seja possível então endereçar a origem, licitude e atualização das bases.
c) Coordenação setorial: embora a resolução atribua deveres a cada instituição, resultados dependem de sinais de fraude compartilháveis, prazos de resposta e efetividade dos fluxos de contestação/devolução, aqui, o MED segue peça-chave e precisa continuar evoluindo.
Por fim, a conta laranja não é uma “externalidade do usuário”, mas sim um risco do sistema. Rejeitar, informar, revisar e, quando for o caso, devolver, essa sequência precisa virar rotina. Bem aplicada, a Resolução BCB 501/2025 tende a reduzir a superfície de fraude sem sacrificar direitos. Caberá às instituições demonstrarem, a partir do bom uso de suas bases de dados e de uma governança que considere todas as complexidades operacionais e técnicas, que conseguem segurar as pontas dos dois lados: segurança para o coletivo e correção célere para o indivíduo.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login