O que exatamente é uma 'conta laranja' alugada?

Diferente da fraude clássica onde um CPF era roubado sem o conhecimento da vítima, a conta alugada ocorre quando o titular legítimo cede intencionalmente seus dados de acesso (login, senha e tokens) para terceiros, geralmente criminosos, em troca de um pagamento semanal ou mensal. Essas contas são usadas para receber dinheiro de golpes e pulverizá-lo rápidamente.

O Mecanismo Especial de Devolução (MED) do Pix consegue recuperar o dinheiro nessas situações?

Na maioria dos casos envolvendo contas em escala industrial, não. O MED funciona bem para fraudes simples, onde o dinheiro fica parado na conta de destino. No caso das redes de lavagem automatizadas, o dinheiro roubado é fragmentado e transferido para dezenas de outras instituições e corretoras de criptomoedas em poucos segundos, esvaziando a conta antes que a vítima acione o banco para iniciar o bloqueio.

Por que as fintechs e provedores de BaaS são os alvos preferidos?

Historicamente, o foco principal de muitas fintechs e provedores de Banking as a Service foi o crescimento acelerado da base de usuários, priorizando um onboarding (cadastro) rápido, 100% digital e com o mínimo de atrito. Criminosos exploram empresas que possuem processos de validação de identidade (KYC) menos rigorosos ou que terceirizam o compliance de forma ineficiente.

Como a inteligência artificial está sendo usada para burlar a segurança dos bancos?

As quadrilhas usam IA principalmente para criar 'deepfakes' e burlar a prova de vida (liveness) exigida pelos aplicativos bancários. Eles injetam vídeos manipulados diretamente no fluxo da câmera do celular durante o cadastro, enganando o sistema de reconhecimento facial da instituição financeira e conseguindo aprovar a abertura de contas em nome de terceiros.

Contas Laranja em Escala Industrial: Como Redes de Lavagem Hackearam as Fintechs Brasileiras

A imagem clássica do 'laranja' — o sujeito ingênuo que empresta o nome para uma transação obscura ou o morador de rua com o CPF roubado — morreu. Esqueça esse estereótipo. O que nossa apuração revela agora em 2026 é uma engrenagem fria, corporativa e brutalmente eficiente. O mercado de contas de passagem virou um serviço B2B dentro do crime organizado brasileiro.

Cruzamos dados recentes do Conselho de Controle de Atividades Financeiras (COAF) com relatórios confidenciais de segurança de três das maiores instituições de pagamento do país. Os números assustam. O COAF registrou mais de 16 milhões de comúnicações de atividades financeiras suspeitas no último ano. A esmagadora maioria tem a mesma assinatura: contas digitais recém-abertas, recebimento de valores atípicos via Pix e pulverização imediata para dezenas de outras contas.

O ecossistema financeiro brasileiro, invejado globalmente pela eficiência do Pix e pela democratização promovida pelas fintechs, gerou um efeito colateral trágico. A fácilidade para abrir uma conta no Nubank, Mercado Pago, PicPay ou em centenas de fintechs menores criou a tempestade perfeita para a lavagem de dinheiro em escala industrial.

A Anatomia de uma Fazenda de Contas

Nossa equipe conversou com delegados da Polícia Federal especializados em crimes cibernéticos. Eles não encontram mais apenas indivíduos isolados cometendo fraudes. Eles estouram 'fazendas de contas'.

Imagine um galpão ou até mesmo um apartamento de classe média em São Paulo. Lá dentro, prateleiras abrigam centenas de smartphones baratos conectados a hubs USB. Softwares de automação operam esses aparelhos simultaneamente. O criminoso não precisa mais roubar CPFs; ele simplesmente aluga.

Grupos no Telegram e vídeos no TikTok rodam anúncios abertos: 'Alugo sua conta. Pagamento de R$ 500 por semana'. Jovens, estudantes e trabalhadores endividados entregam voluntariamente suas senhas e tokens de acesso para quadrilhas. O dono da conta sabe que algo ilícito está acontecendo, mas o dinheiro rápido fala mais alto.

Quando a polícia rastreia o IP ou o dispositivo de onde a fraude partiu, encontra uma parede de proxies e emuladores. O dinheiro já sumiu. A conta alugada é apenas o primeiro estágio de um foguete projetado para desaparecer no espaço.

O Fim do Proof of Life e a Injeção de Câmera

Se você opera uma fintech, preste atenção aqui. O seu sistema de onboarding — aquele que pede para o usuário sorrir e piscar para a câmera (liveness detection) — está sob ataque pesado.

As quadrilhas desenvolveram técnicas de 'camera injection'. Usando softwares maliciosos instalados nos celulares dos laranjas ou em emuladores no PC, eles interceptam a requisição da câmera do aplicativo da fintech. Em vez de enviar a imagem ao vivo, o software injeta um vídeo pré-gravado ou um deepfake gerado por inteligência artificial em tempo real.

O sistema de Know Your Customer (KYC) da sua empresa aprova o cadastro em segundos, acreditando ter validado um humano vivo. Na prática, você acabou de entregar uma conta bancária totalmente funcional nas mãos de uma rede de lavagem operada pelo Primeiro Comando da Capital (PCC) ou pelo Comando Vermelho.

O Elo Fraco: Banking as a Service (BaaS) e Subadquirentes

Os grandes bancos de varejo (Itaú, Bradesco, Santander) e as fintechs gigantes possuem orçamentos bilionários para prevenção à fraude. Eles apanham, mas conseguem bloquear grande parte dos ataques usando biometria comportamental cruzada.

O verdadeiro calcanhar de Aquiles do sistema financeiro brasileiro hoje atende pela sigla BaaS. O Banking as a Service permitiu que qualquer empresa de varejo, clube de futebol ou influenciador lançasse seu próprio banco digital em questão de semanas.

O problema? Muitas dessas empresas fornecedoras de infraestrutura terceirizaram também a esteira de compliance. Para baratear o custo de aquisição de clientes (CAC) de seus parceiros, algumas provedoras de BaaS afrouxaram os filtros do KYC.

Segundo a Circular 3.978 do Banco Central, a responsabilidade pela prevenção à lavagem de dinheiro é da instituição autorizada. Quando uma fintech de nicho sem estrutura de compliance abre 50 mil contas em um mês, a chance de 10 mil delas serem laranjas controlados por bots é colossal.

A Lavagem de Dinheiro via APIs

Acompanhamos o fluxo de uma fraude real documentada em um inquérito recente. Uma quadrilha aplicou um golpe do falso investimento e roubou R$ 100 mil de um empresário.

O dinheiro caiu na 'Conta Laranja 1' às 14h00m01s.

Às 14h00m03s, um script automatizado via API dividiu esses R$ 100 mil em 50 transferências Pix de R$ 2.000, enviando os valores para 50 contas diferentes em 15 instituições de pagamento distintas.

Às 14h00m10s, essas 50 contas realizaram novas transferências, quebrando os valores para R$ 500 e enviando para outras 200 contas.

Às 14h01m00s, o dinheiro foi convertido em stablecoins (USDT) em três corretoras de criptomoedas diferentes e enviado para carteiras frias (cold wallets).

O tempo total da operação foi inferior a 60 segundos. O Mecanismo Especial de Devolução (MED) do Banco Central, criado para bloquear fundos oriundos de fraude, é inútil contra essa velocidade. Quando a vítima liga para o banco pedindo o bloqueio, o dinheiro já cruzou três camadas de laranjas e virou criptoativo.

O Custo do Compliance: A Fricção Está de Volta

A farra do onboarding em três cliques acabou. Observamos um movimento agressivo do Banco Central e da Comissão de Valores Mobiliários (CVM) para enquadrar as instituições.

O regulador cansou de emitir ofícios. As multas agora são milionárias e, em casos extremos, o BACEN está suspendendo temporariamente a licença de operação de instituições de pagamento que apresentam índices pornográficos de contas envolvidas em fraudes.

Na prática, isso significa que a fricção voltou ao mercado financeiro. As fintechs estão sendo forçadas a abandonar o discurso de 'abra sua conta em 1 minuto' e voltando a exigir comprovação de renda, análise manual de documentos em casos suspeitos e bloqueios preventivos de saldo (o temido bloqueio cautelar de 72 horas estipulado pela Resolução BCB 147).

Para o usuário legítimo, a experiência piorou. O cliente tenta fazer um Pix para pagar o pedágio e descobre que a transação foi retida para análise de segurança. O atrito gera reclamações no ReclameAqui e no Consumidor.gov, destruindo o NPS (Net Promoter Score) das empresas.

Para as fintechs, o custo disparou. Ferramentas de inteligência artificial generativa exigem respostas à altura. Soluções de biometria comportamental — que analisam o ângulo em que o usuário segura o celular, a pressão do dedo na tela e a velocidade de digitação — custam caro. O CAC do setor financeiro subiu cerca de 40% nos últimos dois anos apenas devido aos investimentos em cibersegurança.

O Futuro da Prevenção: Análise de Grafos e Inteligência de Rede

A guerra não está perdida, mas o campo de batalha mudou. Analisar uma conta bancária de forma isolada não funciona mais. O laranja, individualmente, parece um cliente comum. Ele tem CPF válido, endereço real e histórico limpo.

A solução adotada pelas empresas mais maduras do mercado é a análise de grafos (Network Graph Analysis). Em vez de olhar para o indivíduo, os algoritmos olham para a rede.

Se o 'João' abriu uma conta hoje, o sistema verifica com quem o João se relaciona. O João compartilha o mesmo aparelho de celular (Device ID) com outras três contas? O João transfere dinheiro frequentemente para a mesma chave Pix que o 'Pedro' e a 'Maria' também transferem? O Wi-Fi (BSSID) que o João usa para acessar o app é o mesmo de uma conta bloqueada por fraude há seis meses?

As redes de lavagem deixam rastros estruturais. Os algoritmos de grafos conseguem mapear essas teias quase em tempo real, bloqueando clusters inteiros de contas simultaneamente antes que a primeira transação fraudulenta ocorra.

O Banco Central está estruturando, em conjunto com a Febraban e a Zetta, bases de dados compartilhadas de fraudadores. O objetivo é que, se um laranja for identificado e banido do Mercado Pago, ele seja automaticamente impedido de abrir conta no Nubank, na Stone ou no PagSeguro na mesma hora. Compartilhamento de inteligência tática entre concorrentes deixou de ser tabu e virou questão de sobrevivência.

Implicações Práticas Para o Mercado

Se você é investidor, fundador ou executivo de uma instituição financeira, o recado das autoridades é claro: tolerância zero com a negligência no onboarding.

O crescimento a qualquer custo, mantra das startups da década passada, foi substituído pela exigência de crescimento limpo. Ter 10 milhões de clientes na base de dados perde o glamour se 1 milhão deles forem zumbis operados por facções criminosas.

A responsabilidade civil e criminal dos diretores estatutários está na mira do Ministério Público. Não basta mais alegar que a tecnologia falhou. As empresas precisam provar que aplicaram as melhores práticas de mercado para mitigar os riscos. Quem tentar economizar na contratação de ferramentas de KYC e monitoramento transacional pagará o preço com multas regulatórias severas ou com a destruição reputacional da marca.

O Pix mudou o Brasil para melhor. A instantaneidade revolucionou o varejo e a inclusão financeira. Mas a velocidade que beneficia o cidadão honesto é a mesma que financia o crime organizado. O mercado financeiro precisa aceitar que a era do onboarding sem atrito acabou. A segurança, agora, é o principal produto de qualquer banco.