Fraude em onboarding digital: os 10 sinais que indicam conta laranja

O Banco Central registrou um recorde incômodo no fechamento do último ano: mais de 3 milhões de acionamentos do MED (Mecanismo Especial de Devolução) no Pix. O destino de 90% desse dinheiro desviado? Contas laranjas. Nós, que acompanhamos a evolução do mercado financeiro brasileiro há quase duas décadas, vemos a realidade bater à porta: o crime organizado transformou a abertura de contas em uma verdadeira linha de montagem industrial.

Se você opera um banco digital, uma fintech de crédito ou uma instituição de pagamento, preste atenção aqui. O seu balcão de entrada digital — o onboarding — é a trincheira zero. O golpista amador que usava o CPF do cunhado ficou no passado. Agora em 2026, enfrentamos fazendas de celulares, injeção de deepfakes e roteiros automatizados que testam as defesas do seu app 24 horas por dia.

Aceitar um cliente fraudulento deixou de ser apenas um problema de perda financeira pontual. Com o endurecimento da Resolução Conjunta nº 6 e as normativas do COAF, a instituição que hospeda a conta receptora do golpe é co-responsabilizada. A sua matriz de risco precisa ser implacável logo no primeiro segundo de interação do usuário com o aplicativo.

A anatomia da conta laranja no Brasil de 2026

A explosão das contas digitais democratizou o acesso aos serviços financeiros. O Nubank ultrapassou a marca de 100 milhões de clientes; o Mercado Pago e a PagSeguro dominam o varejo de ponta a ponta. A fricção para abrir uma conta foi reduzida a zero. Você baixa um app, tira uma foto do RG, sorri para a câmera e em três minutos tem um limite de crédito e uma chave Pix ativa.

Os fraudadores enxergaram nisso uma vulnerabilidade sistêmica. A conta laranja moderna não é mais aberta apenas com documentos roubados. Ela envolve o "laranja consentido" — o indivíduo que aluga seu rosto e CPF por R$ 500 para criminosos operarem a conta remotamente via emuladores — e o "laranja sintético", criado a partir do vazamento de dados de birôs misturados com fotos geradas por inteligência artificial.

O desafio do Know Your Customer (KYC) hoje não é apenas validar se o CPF existe na Receita Federal. O jogo mudou para o "Know Your Device" (conheça o seu dispositivo) e biometria comportamental. A fraude deixa rastros operacionais. Nós mapeamos os padrões mais críticos que as grandes operações de Prevenção à Lavagem de Dinheiro (PLD) útilizam para barrar criminosos na porta.

Os 10 sinais de alerta (Red Flags) no Onboarding

Na nossa análise diária das soluções antifraude de players como AllowMe, Incognia e CAF, identificamos um padrão claro de ataque. Abaixo, detalhamos os 10 sinais operacionais que gritam "conta laranja" durante a tentativa de cadastro.

1. Discrepância absurda de geolocalização (IP vs. GPS)

O usuário declara residência numa cidade do interior do Piauí. O GPS do celular aponta para uma rua comercial na Baixada Santista. O IP da conexão da internet, por sua vez, resolve num data center da Amazon Web Services (AWS) em São Paulo ou num nó de saída da rede Tor. Essa triangulação impossível é a assinatura clássica de um fraudador mascarando sua localização real. Usuários legítimos usam redes 4G/5G de operadoras locais (Claro, Vivo, TIM) ou provedores de banda larga residenciais.

2. Dispositivos "fantasmas" e App Cloners

O Device Fingerprint (impressão digital do dispositivo) é letal contra o crime organizado. Se o seu sistema de onboarding detecta o mesmo aparelho físico — mesmo IMEI, mesmo modelo de hardware, mesmo tamanho de tela — tentando abrir 15 contas diferentes no intervalo de duas horas, você encontrou uma fazenda de fraudes. Os criminosos útilizam softwares como App Cloners para resetar o ID do aplicativo, mas os metadados do hardware permanecem. O bloqueio deve ser feito na camada do hardware, não apenas no CPF.

3. Comportamento de navegação robótico

Nenhum ser humano digita seu nome completo de 45 caracteres, número de CPF, RG, data de nascimento e endereço completo em exatos 3,4 segundos, sem nenhum erro de backspace. A biometria comportamental mede a cadência da digitação e o uso dos sensores do celular (giroscópio, acelerômetro). Telas preenchidas via copy-paste massivo ou scripts de automação (bots) indicam claramente uma operação em escala industrial de abertura de contas.

4. A falha no Liveness: Injeção de vídeo e Deepfakes

O teste de prova de vida (liveness) passivo é obrigatório. O criminoso sabe disso. A tática agora é contornar a câmera do celular, injetando um vídeo pré-gravado ou gerado por IA (deepfake) diretamente no fluxo de dados do aplicativo. Os sinais técnicos incluem: ausência de micro-movimentos oculares, textura de pele plastificada, artefatos ao redor das bordas do rosto e iluminação incompatível com o fundo. Ferramentas de injeção de câmera virtual (como OBS Studio em emuladores Android) precisam ser barradas na raiz pelo SDK do seu aplicativo.

5. E-mails descartáveis e telefones recém-ativados

Um executivo de 45 anos com renda declarada de R$ 20.000 não útiliza um e-mail como "marcos.silva_8947x@yopmail.com". Provedores de e-mail temporários ou domínios de alta rejeição são bandeiras vermelhas imediatas. No cruzamento de telefonia, números de celular ativados há menos de 48 horas (chip pré-pago virgem) usados para receber o SMS de validação (OTP) representam um risco altíssimo. As quadrilhas compram chips no atacado exclusivamente para passar por essa etapa.

6. Profissão incompatível com a movimentação declarada

A lavagem de dinheiro exige justificar o injustificável. O fraudador preenche o cadastro informando a ocupação de "estudante" ou "desempregado", mas declara uma expectativa de movimentação mensal superior a R$ 50.000. O motor de regras da sua fintech precisa cruzar a CBO (Classificação Brasileira de Ocupações) com a renda declarada e o limite solicitado. Anomalias grosseiras devem jogar o cadastro imediatamente para a esteira de revisão manual humana.

7. O enxame de Wi-Fi (Rede de Laranjas)

Análise de grafos revela quadrilhas inteiras. Se o seu sistema identifica 40 CPFs distintos, sem nenhuma relação de parentesco, abrindo contas conectadas ao mesmo roteador Wi-Fi (mesmo BSSID/MAC Address) ao longo de uma semana, você está diante de um escritório do crime. A conexão em rede expõe a operação centralizada, mesmo que os fraudadores tentem variar os dados cadastrais.

8. Documentos com metadados adulterados (EXIF Data)

A foto da CNH ou do RG enviada pelo usuário carrega informações invisíveis a olho nu, os metadados (EXIF). Um fraudador envia a foto de um documento. O sistema lê os metadados e descobre que a imagem foi capturada em 2019 por um software da Adobe Photoshop, e não pela câmera do celular há dois minutos. A adulteração digital de documentos furtados deixa rastros nos pixels e na estrutura do arquivo JPEG.

9. O CPF ressuscitado ou infantil

Básico, porém ainda surpreende pela frequência com que passa por esteiras mal configuradas. O cruzamento instantâneo com a base da Receita Federal deve retornar o status do CPF. CPFs com status "Titular Falecido", "Cancelado" ou atrelados a indivíduos com mais de 95 anos sendo usados para abrir contas de investimento de alto risco. Igualmente suspeito é o uso de CPFs de recém-nascidos para abrir contas sem a devida documentação de representação legal. O crime usa o que está disponível no mercado negro de dados.

10. O teste do "Centavo" seguido de silêncio

Este é o sinal pós-onboarding imediato. A conta é aprovada com sucesso. Minutos depois, ela recebe uma transferência de R$ 0,01 a R$ 1,00 de uma conta de outra instituição financeira, seguida do envio de R$ 0,01 para fora. Esse é o "ping" automatizado da quadrilha. Eles estão testando se a chave Pix está ativa e se a conta não caiu em nenhuma malha fina de bloqueio preventivo. Feito o teste, a conta fica adormecida (dormente) por semanas, até o dia em que será usada para receber R$ 150.000 de um sequestro relâmpago.

Implicações práticas: O peso da regulação

O mercado financeiro brasileiro opera sob rédea curta. O Banco Central apertou o cerco com a Resolução Conjunta nº 6/2023, que trata do compartilhamento de dados e informações sobre indícios de fraudes entre as instituições financeiras.

Na prática, o anonimato institucional acabou. Se o banco A identifica uma conta laranja e insere esse alerta na rede de interoperabilidade, o banco B tem a obrigação de monitorar aquele CPF em sua própria base. As multas aplicadas pelo Bacen e pela CVM para falhas sistêmicas de PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo) chegam a dezenas de milhões de reais, sem contar o risco de imagem devastador. O Nubank e a Stone, por exemplo, investem centenas de milhões anualmente em modelos de machine learning que rodam no background do aplicativo, analisando milhares de variáveis por milissegundo antes de aprovar uma tela.

O futuro do KYC: Fricção Inteligente

A guerra contra a fraude no onboarding é um jogo de gato e rato. O mercado migrou do conceito de "fricção zero" para a "fricção inteligente". O bom cliente não percebe a análise acontecendo nos bastidores (telemetria, análise de rede, validação de IP). O cliente suspeito, no entanto, é submetido a camadas extras de verificação (step-up authentication), como a necessidade de gravar um vídeo lendo uma frase aleatória gerada na hora.

A responsabilidade de manter o ecossistema limpo começa na porta de entrada. Monitorar os 10 sinais operacionais listados acima não é um luxo tecnológico; é o requisito mínimo de sobrevivência para qualquer instituição regulada no Brasil hoje.