Fraude no Open Finance: Quando o Consentimento é a Arma do Crime

Acompanhamos o mercado financeiro brasileiro há quase duas décadas e poucas vezes vimos uma mudança de paradigma tão rápida quanto a transição do roubo de dinheiro para o roubo de identidade transacional. Se você acha que o maior risco digital hoje é ter o celular roubado na rua para limparem sua conta via Pix, precisamos atualizar seu modelo de ameaças. Agora em 2026, o prêmio maior para as quadrilhas não é o seu saldo atual. É o seu histórico financeiro. E a chave para esse cofre atende por um nome inofensivo: consentimento do Open Finance.

O ecossistema de dados abertos do Banco Central (BACEN) ultrapassou a marca de 50 milhões de consentimentos ativos. A infraestrutura técnica é uma fortaleza. Utilizamos protocolos como OAuth 2.0 e FAPI (Financial-grade API), além de certificados mTLS que garantem que apenas instituições autorizadas conversem entre si. Hackear essa comúnicação por força bruta é estatisticamente impossível. O problema? Os criminosos não estão atacando os servidores do Itaú, do Nubank ou do Mercado Pago. Eles estão atacando a tela do seu celular, convencendo você a abrir a porta por livre e espontânea vontade.

A Ilusão do Controle e a Engenharia Social

O princípio fundamental do Open Finance é que o dado pertence ao cliente, não ao banco. Você decide quem acessa, quando acessa e por quanto tempo. Essa autonomia transferiu o poder para o consumidor, mas também transferiu a responsabilidade. Observamos que quadrilhas especializadas entenderam rápidamente que é muito mais barato criar um aplicativo falso com uma interface bonita do que tentar invadir o sistema de um banco tradicional.

O roteiro da fraude é quase sempre o mesmo e explora a ganância ou o desespero. O usuário é abordado via WhatsApp ou encontra um anúncio no Instagram promovendo um novo 'aplicativo de gestão financeira com inteligência artificial' ou uma 'plataforma de investimentos que garante 2% ao mês'. Para que o aplicativo 'análise seu perfil' ou 'libere o limite', ele pede que você conecte suas contas bancárias através do Open Finance. O usuário clica, é redirecionado para o aplicativo do seu banco real, digita a senha, faz a biometria facial e aprova o compartilhamento de dados por 12 meses. A biometria facial funcionou perfeitamente. O banco validou a identidade. O sistema operou exatamente como foi desenhado. A falha ocorreu milissegundos antes, no cérebro do usuário, que não entendeu para quem estava dando as chaves da casa.

O Golpe do Falso Agregador

Vamos detalhar a mecânica. O fraudador registra uma empresa de fachada e consegue, por meio de brechas ou parcerias com correspondentes bancários menos rigorosos, acesso indireto ao diretório do Open Finance. Em alguns casos mais sofisticados, eles não criam a instituição do zero; eles invadem a infraestrutura de uma fintech pequena e legítima que já possui as licenças do BACEN para atuar como receptora de dados. Uma vez com esse acesso, o aplicativo falso dispara solicitações de consentimento. O usuário aprova. O fraudador agora tem acesso a 12 meses de extrato bancário, limites de cartão de crédito, faturas pagas e histórico de empréstimos. Eles sabem exatamente quanto você ganha, com o que gasta e qual o seu score de crédito interno.

O Risco Oculto: Sequestro de Capacidade de Crédito

Se você opera uma fintech de crédito, preste atenção aqui. O roubo de dados no Open Finance não drena a conta da vítima imediatamente. Ele arma uma bomba-relógio. O objetivo do fraudador é pegar o seu histórico financeiro impecável do Banco do Brasil ou do Bradesco e levá-lo para outra instituição onde você não tem conta.

Na prática, funciona assim: o fraudador abre uma conta em um banco digital usando os dados vazados da vítima (um problema crônico de onboarding que ainda assombra o mercado). Essa conta nasce zerada, sem limite. O fraudador então usa o Open Finance para puxar os dados da conta principal e real da vítima para essa conta falsa. O motor de crédito do banco digital recebe aqueles dados maravilhosos — salário alto, contas em dia, zero inadimplência — e imediatamente aprova um empréstimo de R$ 50 mil. O fraudador saca o dinheiro via Pix para contas de laranjas e desaparece. Meses depois, a vítima descobre que está negativada no Serasa por uma dívida em uma instituição que ela nunca usou.

Isso muda o jogo completamente. O estrago financeiro não se limita ao saldo em conta; ele se expande para o limite máximo de endividamento que o sistema financeiro confia àquela pessoa.

Iniciação de Pagamento (ITP): A Nova Fronteira

A Fase 3 do Open Finance trouxe os Iniciadores de Transação de Pagamento (ITP). Empresas autorizadas podem iniciar um Pix diretamente do seu banco, sem que você precise abrir o app do banco. O WhatsApp Pay e o Mercado Pago usam isso de forma brilhante para reduzir a fricção no e-commerce. Os criminosos usam isso para esvaziar contas de forma automatizada.

A dinâmica da fraude de consentimento no ITP envolve enganar o usuário para que ele aprove um mandato de pagamentos sucessivos ou uma iniciação de valor alto disfarçada de verificação de segurança. O usuário acha que está pagando uma taxa de R$ 5,00 para liberar um pacote retido nos Correios. A tela do iniciador fraudulento manipula a interface (ataques de overlay ou engenharia social reversa) e, na verdade, o consentimento assinado no ambiente do banco autoriza a transferência de todo o saldo disponível. Como a jornada do ITP exige que a confirmação final ocorra no ambiente seguro do banco detentor da conta, os criminosos focam em induzir o usuário a ignorar os alertas de valor na tela de confirmação.

A Resposta do Mercado: Fricção Positiva e Análise Comportamental

O Banco Central não está dormindo no ponto. A Resolução Conjunta nº 1/2020 e suas atualizações subsequentes vêm apertando o cerco contra instituições receptoras que apresentam altos índices de fraudes. No entanto, a regulação sempre corre atrás da inovação criminosa. O que vemos hoje no mercado brasileiro é a adoção agressiva da chamada 'fricção positiva'.

Grandes players como Nubank, Itaú e Stone perceberam que a experiência do usuário (UX) não pode ser tão fluida a ponto de fácilitar o crime. Se um usuário tenta compartilhar 12 meses de histórico de crédito com uma instituição receptora que ele nunca interagiu antes, no meio da madrugada, o banco transmissor adiciona fricção. Eles pedem uma nova biometria facial, exigem a confirmação via token no caixa eletrônico ou bloqueiam o consentimento temporariamente com um aviso em tela cheia: 'Você tem certeza de que conhece a empresa X?'.

Machine Learning na Defesa do Consentimento

Nossa análise técnica mostra que os motores antifraude tradicionais, focados apenas na transação monetária (o momento do Pix), ficaram obsoletos. A defesa precisa acontecer na camada de autorização (OAuth). Empresas de segurança como ClearSale e os motores internos dos bancos estão analisando metadados do momento do consentimento. O celular está em movimento? A digitação da senha foi rápida demais (sugerindo uso de bots)? O IP do dispositivo baté com a geolocalização usual do cliente? Se a pontuação de risco na solicitação de consentimento for alta, o compartilhamento é negado na origem, mesmo que o usuário insista.

O Limbo Jurídico: Quem Paga a Conta?

Quando um Pix é feito sob coação, o Mecanismo Especial de Devolução (MED) do BACEN oferece uma chance de recuperação. Mas e quando o que foi roubado foram dados, e esses dados geraram um empréstimo fraudulento em um terceiro banco? O cenário hoje é um pesadelo jurídico. A Lei Geral de Proteção de Dados (LGPD) e as regras do Open Finance colidem na responsabilização.

O banco que transmitiu os dados alega que o usuário passou pela biometria e autenticou o consentimento de forma válida. O banco que concedeu o empréstimo alega que confiou nos dados oficiais recebidos via infraestrutura do BACEN. A fintech cujo aplicativo foi usado como fachada já desapareceu. O cliente fica no meio do fogo cruzado. Tribunais brasileiros têm começado a aplicar a súmula 479 do STJ de forma expandida, responsabilizando as instituições financeiras por fortuito interno, mas a jurisprudência sobre fraude de consentimento no Open Finance ainda é instável.

Implicações Práticas: Protegendo sua Operação e seu CPF

Se você é um usuário final, a regra de ouro mudou. Não basta esconder a senha do banco. Você precisa auditar seus consentimentos. Abra o aplicativo do seu banco principal hoje. Vá na aba de Open Finance e verifique quem tem acesso aos seus dados. Cancele qualquer compartilhamento com aplicativos que você não usa mais ou que não reconhece. O consentimento revogado corta o acesso da API instantaneamente.

Para as instituições financeiras, a recomendação é clara: implementem monitoramento contínuo da jornada pós-consentimento. Se uma conta recém-aberta recebe dados via Open Finance e imediatamente solicita o teto do limite de crédito, trave a operação para análise manual. A assimetria de informações precisa ser combatida com inteligência artificial colaborativa entre os bancos.

O Open Finance é a maior revolução financeira do Brasil desde a criação do Pix. Ele democratiza o crédito e quebra o monopólio da informação. Mas a tecnologia não opera no vácuo; ela opera no Brasil, um dos mercados de fraudes digitais mais sofisticados do planeta. O sucesso do ecossistema nos próximos anos não dependerá da velocidade das APIs, mas da nossa capacidade de proteger o usuário dele mesmo, garantindo que o 'Sim' na tela do celular seja genuíno, consciente e, acima de tudo, seguro.