Como saber se criminosos abriram um CNPJ usando meu nome ou CPF?

A forma mais segura e rápida é acessar o portal Registrato, do Banco Central do Brasil, usando sua conta Gov.br (nível Prata ou Ouro). Na seção de Relacionamentos Financeiros, você verá todos os bancos onde possui conta, incluindo contas PJ associadas ao seu CPF. Além disso, você pode consultar o portal Redesim para verificar participações societárias ativas no seu nome.

O que é uma 'conta de passagem' PJ e por que os criminosos a útilizam?

Uma conta de passagem é uma conta bancária (geralmente de fachada, usando um CNPJ sintético) usada exclusivamente para receber dinheiro de origem ilícita (golpes, sequestros) e transferi-lo rápidamente para outras contas. O objetivo é criar várias camadas de transferências para confundir o rastreamento das autoridades e do COAF, dificultando a recuperação do dinheiro via Mecanismo Especial de Devolução (MED) do Pix.

Se os bancos usam biometria facial, como os golpistas conseguem aprovar contas falsas?

As quadrilhas útilizam técnicas avançadas de injeção de vídeo e deepfakes. Eles compram fotos das vítimas em vazamentos de dados, animam essas fotos usando inteligência artificial para que pisquem e movam o rosto, e útilizam emuladores de celular. Quando o aplicativo do banco pede a câmera para a 'prova de vida', o software do criminoso injeta o vídeo falso diretamente no fluxo de dados, enganando os algoritmos de segurança.

O que é KYB (Know Your Business) e qual a diferença para o KYC?

KYC (Know Your Customer) é o processo de verificar a identidade de uma pessoa física. Já o KYB (Know Your Business) foca em pessoas jurídicas. O KYB não analisa apenas os documentos da empresa, mas investiga a estrutura societária (os beneficiários finais), a legitimidade do modelo de negócios, o histórico dos sócios e cruza dados com a Receita Federal e Juntas Comerciais para garantir que a empresa não é de fachada.

Fraude de Identidade PJ: Como o Crime Organizado Fabrica CNPJs para Sangrar Fintechs

Você acorda, toma seu café e, ao checar seu e-mail, descobre que é sócio-administrador de uma importadora de eletrônicos em Guarulhos com dívidas de R$ 3 milhões. Parece roteiro de filme ruim, mas essa é a nova realidade do sistema financeiro brasileiro. O crime organizado cansou de roubar CPFs de aposentados para fraudes de mil reais. O alvo agora é o mercado corporativo.

Acompanhamos os bastidores dessa indústria nos últimos meses. O que vimos assusta. Quadrilhas operam verdadeiras linhas de montagem de CNPJs sintéticos, estruturadas como startups do submundo. Eles têm metas, funil de conversão e até 'customer success' para ajudar fraudadores novatos a burlar a biometria de bancos digitais.

O resultado direto dessa profissionalização baté na porta das instituições financeiras todos os dias. Dados consolidados do Banco Central no início de 2026 mostram um salto de 62% no bloqueio de contas PJ suspeitas de lavagem de dinheiro via Pix em comparação ao ano anterior. Estamos falando de bilhões de reais escoando pelo ralo do sistema, pulverizados em transações que o COAF (Conselho de Controle de Atividades Financeiras) mal consegue rastrear a tempo.

A linha de montagem de CNPJs no Telegram

O processo começa na dark web ou em grupos abertos do Telegram. Conversamos com investigadores de crimes cibernéticos que monitoram esses canais. Lá, os fraudadores vendem o chamado 'Kit PJ'. Custa entre R$ 150 e R$ 500.

O kit inclui dados completos de um 'laranja' (muitas vezes uma pessoa morta ou alguém com o nome limpo que teve os dados vazados), acesso a contas nível Prata ou Ouro no portal Gov.br e, o mais assustador, ferramentas de injeção de vídeo para burlar o reconhecimento facial.

Com o nível Ouro no Gov.br em mãos, o fraudador acessa o Portal do Empreendedor e abre um MEI (Microempreendedor Individual) em menos de cinco minutos. Não há checagem cruzada complexa. O CNPJ nasce limpo, ativo e pronto para operar.

Mas o MEI tem limites baixos de faturamento. Para golpes maiores, a quadrilha usa o mesmo acesso do Gov.br para assinar digitalmente contratos sociais na Junta Comercial do estado (via Redesim). Eles criam Sociedades Limitadas (LTDA) com capital social fictício de R$ 500 mil. A Junta Comercial, muitas vezes operando com sistemas defasados, aprova a abertura da empresa sem verificar a origem dos fundos ou a veracidade física dos sócios.

O apagão do KYB: fricção x crescimento nas fintechs

Com o CNPJ ativo na Receita Federal, começa o ataque ao sistema financeiro. O alvo favorito? Instituições com processos de onboarding automatizados e regras frouxas de KYB (Know Your Business — Conheça sua Empresa).

Durante a última década, a regra de ouro do mercado de fintechs foi reduzir a fricção. Bancos como Nubank, Banco Inter, Cora e Neon construíram suas bases de clientes eliminando a burocracia. O problema surge quando a fácilidade para abrir uma conta PJ se torna uma porta escancarada para criminosos.

As quadrilhas disparam robôs (bots) que preenchem formulários de abertura de conta em dezenas de instituições simultaneamente. Quando o aplicativo pede a selfie para prova de vida (liveness detection), os criminosos usam emuladores de celular e softwares como o OBS Studio para injetar vídeos falsos (deepfakes) diretamente na câmera do aparelho virtual. O sistema de reconhecimento facial da fintech aprova a biometria achando que está vendo uma pessoa real segurando um documento.

O diretor de compliance de uma das maiores adquirentes do país nos confessou em off: 'Se apertarmos muito a regra de segurança, a taxa de conversão de clientes bons despenca 40%. O time de vendas entra em desespero'. Esse conflito interno entre as metas de crescimento e as travas de segurança explica por que tantas empresas fantasmas conseguem contas bancárias ativas.

Maquininhas e Pix: a lavanderia digital

Uma vez com a conta PJ aberta, o CNPJ fraudulento precisa de ferramentas para rodar o dinheiro. Eles solicitam maquininhas de cartão (POS) em empresas como Stone, PagSeguro e Mercado Pago. O equipamento chega pelo correio em endereços de fachada.

A partir daí, o CNPJ falso opera de duas maneiras principais.

A primeira é o golpe do falso e-commerce. A empresa fantasma cria um site vendendo ar-condicionado ou iPhones pela metade do preço. Captura milhares de pagamentos via Pix e cartão de crédito. Quando os clientes percebem que não vão receber o produto e pedem estorno (chargeback), o fraudador já sacou o dinheiro, converteu em criptomoedas (usando exchanges com baixo rigor de compliance) e abandonou o CNPJ. A adquirente e o banco emissor ficam com o prejuízo financeiro e regulatório.

A segunda maneira é funcionar como 'conta de passagem'. Quadrilhas especializadas em sequestros-relâmpago ou golpes do WhatsApp precisam de contas laranjas para receber o dinheiro das vítimas. Um CNPJ de uma suposta 'consultoria de software' recebe dezenas de transferências Pix de R$ 5 mil ao longo da madrugada. Minutos depois, o dinheiro é fracionado e enviado para outras 20 contas diferentes (técnica conhecida como smurfing), dificultando o rastreio pelo COAF.

A resposta do Banco Central e o cerco regulatório

O Banco Central não está dormindo no ponto, embora a velocidade do regulador seja naturalmente inferior à inovação do crime. A Resolução Conjunta nº 6/2023, que obrigou o compartilhamento de dados sobre indícios de fraudes entre as instituições financeiras, foi o primeiro passo estrutural.

Agora em 2026, colhemos os frutos da evolução dessa regra. Plataformas de prevenção à fraude, como AllowMe e Idwall, começaram a cruzar dados de geolocalização, biometria comportamental e reputação de dispositivos em consórcios de dados. Se um aparelho celular tentar abrir uma conta PJ no Nubank e, dez minutos depois, tentar o mesmo no Mercado Pago com um CNPJ diferente, o sistema trava as duas operações.

Outra arma pesada é o MED 2.0 (Mecanismo Especial de Devolução). O sistema original do Pix permitia o bloqueio do dinheiro na primeira conta recebedora. O problema? Os fraudadores moviam o saldo em segundos. A nova versão do MED rastreia o dinheiro por até cinco camadas de transferências. Se o dinheiro ilícito pingar no CNPJ fantasma e for repassado para três contas diferentes, o BACEN consegue congelar o saldo em todas elas simultaneamente.

Como blindar sua operação (e seu CPF)

Se você opera um B2B, fornece crédito ou tem um e-commerce, a ingenuidade custa caro. Um único fornecedor usando um CNPJ sintético pode colocar sua empresa na malha fina do COAF por suspeita de triangulação de dinheiro ilícito.

A regra básica mudou. Consultar a situação cadastral no site da Receita Federal não serve para absolutamente nada. O CNPJ do fraudador estará 'Ativo' e regular.

O que o mercado está fazendo na prática:

Enriquecimento de dados: Plataformas de KYB avançado analisam a idade do CNPJ cruzada com o volume transacional. Uma padaria aberta há duas semanas não fatura R$ 200 mil por dia em Pix.
Grafos de relacionamento: Análise de vínculos societários. O sócio desse novo CNPJ tem participação em outras 15 empresas que foram baixadas por inaptidão? Red flag imediato.
Análise forense de documentos: Fim da aprovação 100% automatizada para contas de alto risco. Uso de IA para detectar adulteração de pixels em comprovantes de endereço e contratos sociais.

Para o cidadão comum, a defesa é ativa. Acesse o sistema Registrato, do Banco Central, a cada três meses. Verifique a aba 'Meus Relacionamentos Financeiros' e 'Cadastros de Chaves Pix'. Se houver uma conta PJ ou um CNPJ vinculado ao seu nome que você desconhece, o tempo de reação é a diferença entre uma dor de cabeça burocrática e uma execução fiscal milionária na porta da sua casa.

A fraude corporativa deixou de ser um problema de TI para se tornar um risco sistêmico de negócios. O Brasil construiu um dos sistemas de pagamentos mais eficientes e inclusivos do mundo. O desafio desta década é provar que podemos mantê-lo seguro contra aqueles que usam nossa própria eficiência contra nós.