BioCatch blog channel

Browse topics

Uma jornada pelo labirinto regulatório do Brasil

photo of Diego Baldin

Written by:

Diego Baldin

Fevereiro 17, 2026

Uma jornada pelo labirinto regulatório do Brasil featured image

To read this blog in English, click here.

Impulsionado por novos comportamentos de pagamento (o Pix superando dinheiro, débito e crédito como o meio de pagamento preferido do país em apenas quatro anos), por operações criminosas cada vez mais sofisticadas (com o crime organizado usando fraudes como uma fonte estável de renda) e por uma agenda regulatória cada vez mais firme, o cenário de crimes financeiros no Brasil mudou drasticamente nos últimos anos. 

Hoje, os bancos brasileiros precisam navegar por um dos ambientes regulatórios mais dinâmicos do mundo.

A base: a LGPD

Antes de o Brasil sequer conseguir falar sobre prevenção a fraudes, foi necessário olhar primeiro para os dados. Essa base é a LGPD (Lei Geral de Proteção de Dados), o equivalente brasileiro ao GDPR europeu. Embora não seja uma regra do Banco Central, a Lei nº 13.709/2018 se tornou o alicerce de todo o ecossistema. Ela obrigou todas as empresas a enfrentarem uma pergunta fundamental: como estamos tratando os dados dos nossos clientes?

O impacto prático foi enorme, exigindo o mapeamento completo do ciclo de vida dos dados e a criação de novos papéis, como o encarregado de dados (DPO). Apesar da dor de adaptar sistemas antigos e do receio constante de multas milionárias, o benefício foi claro. A LGPD trouxe mais segurança jurídica e forçou o mercado a tratar as informações dos clientes com a seriedade que elas merecem. A partir daí, quando um cliente passou a pedir quais dados um banco mantém sobre ele, a instituição precisou ter um processo claro para responder. A era dos dados havia começado.

A revolução da instantaneidade

Com a base de dados estabelecida, o cenário estava pronto para uma mudança importante: sair da análise reativa e partir para a ação em tempo real. Duas regulações, em 2020, deram início a essa revolução.

Circular 3.978 (PLD/FT): Conhecida por muitos como a “bíblia” de PLD/FT, essa norma modernizou a forma como o Brasil combate a lavagem de dinheiro. Ela obrigou as instituições a deixarem de lado verificações superficiais e adotarem uma abordagem formal baseada em risco. Isso significou criar modelos e matrizes de risco de KYC mais estruturados, monitorar transações de acordo com perfis reais de risco e, principalmente, mudar a cultura interna. Times de negócio, historicamente focados em crescimento, precisaram aprender a entender e aceitar novas barreiras de risco. Pela primeira vez, os bancos passaram a ter respaldo regulatório claro para recusar ou encerrar relacionamentos com contas de alto risco, como aquelas usadas por contas laranja.

Pix: O Pix trouxe uma nova infraestrutura de pagamentos instantâneos e aumentou de forma significativa as responsabilidades operacionais e de segurança das instituições participantes, fazendo com que o monitoramento de fraudes em tempo real se tornasse uma questão de sobrevivência. Isso acabou forçando a adoção de motores de risco mais sofisticados e totalmente automatizados.

É nesse contexto que tecnologias como a inteligência comportamental passaram a ser essenciais. Afinal, como impedir um golpe que acontece em milissegundos sem gerar atrito para um cliente legítimo? A resposta passou a ser analisar o “como” a transação acontece, e não apenas o “o quê”.

Por exemplo, se um cliente tenta fazer uma transferência alta às 2h da manhã, o sistema avalia mudanças na forma de digitar, no modo como a pessoa segura o celular e possíveis sinais de acesso remoto, além do valor da transação. Embora isso tenha trazido um novo desafio — lidar com falsos positivos —, também marcou o início de uma prevenção a fraudes realmente inteligente e em tempo real.

Em paralelo, o Banco Central também introduziu controles preventivos dentro do próprio arranjo do Pix, estabelecidos pela resolução nº 501 (como limites de transação, horários e regras mais rígidas para alteração de limites), transferindo parte da estratégia de combate à fraude da simples detecção para a redução estrutural de riscos ao longo da jornada do cliente.

O poder (e a dor) da colaboração

O próximo grande passo foi entender que nenhuma instituição consegue combater crimes financeiros sozinha. O ecossistema precisava se conectar.

Resolução Conjunta nº 6: Em 2023, o modelo mudou do isolamento para a colaboração obrigatória. Essa resolução determinou que todas as instituições financeiras passassem a compartilhar dados relacionados a indícios de fraude associados a clientes, contas e transações. O Banco Central do Brasil definiu a infraestrutura regulatória e os padrões de integração via APIs que permitem que os bancos se comuniquem entre si, viabilizando uma visão de risco muito mais ampla. Antes de aprovar uma transação, um banco passou a poder consultar indicadores de risco a partir da base compartilhada entre as instituições.

Isso também trouxe novos desafios. Muitas vezes, os dados compartilhados têm qualidade variável, o que torna arriscado automatizar decisões apenas com base em um alerta vindo de outra instituição. O mercado passou a precisar evoluir para um verdadeiro ecossistema de inteligência em tempo real, com troca de contexto sobre as fraudes.

Resolução nº 507: Se a Resolução nº 6 definiu a regra, a Resolução nº 507 deu força a ela. Com entrada em vigor plena em 2025, essa norma estabeleceu penalidades financeiras para o descumprimento das obrigações de compartilhamento. De repente, a implementação desse modelo deixou de ser apenas um projeto de TI e passou a ser uma prioridade estratégica para a alta gestão. Com multas que podem chegar a R$ 50 milhões, conselhos e diretorias passaram a liberar recursos sem hesitação. Isso garante que não existam elos fracos na cadeia, já que um sistema colaborativo só funciona quando todos participam. A dor, por outro lado, é bem conhecida pelos profissionais da área: justificar o retorno sobre investimento de projetos de compliance enquanto se disputa orçamento com áreas que geram receita.

O que são o MED e o MED 2.0?

O MED (Mecanismo Especial de Devolução) é um processo criado pelo Banco Central que permite que valores transferidos via Pix, em casos de fraude, golpe ou falha operacional, sejam bloqueados e devolvidos ao cliente por meio de um fluxo estruturado entre as instituições envolvidas.

Na prática, o MED trouxe um processo formal e padronizado de comunicação, bloqueio e análise entre os bancos, substituindo os procedimentos manuais e pouco organizados que existiam no início do Pix.

Com a evolução dos golpes — cada vez mais rápidos, pulverizados em múltiplas transações e dependentes de contas laranja — o mercado passou a caminhar para o que vem sendo chamado de MED 2.0.

O MED 2.0 amplia esse conceito ao permitir uma análise mais profunda e em múltiplas camadas da cadeia da fraude, considerando não apenas a conta que recebeu o dinheiro, mas também o caminho percorrido pelos recursos, sinais comportamentais e indícios de participação de contas intermediárias.

MED 2.0 e a era da judicialização

E é justamente aí que entramos no futuro. O próximo grande desafio no horizonte é o MED 2.0, a evolução do mecanismo de devolução do Pix.

Espera-se que o MED 2.0 permita um bloqueio e uma recuperação mais ampla de valores ilícitos ao longo de várias camadas da fraude. Para a vítima, isso é uma excelente notícia, pois aumenta a chance de recuperar o dinheiro. Para as instituições, é uma oportunidade de reduzir perdas que antes eram consideradas definitivas. No entanto, isso tem um custo: um grande aumento de complexidade operacional e de despesas. Analisar cadeias de fraude mais longas e lidar com o crescimento inevitável de disputas judiciais exigirá muito mais recursos, além de forçar os bancos a provar que uma conta no meio da cadeia era, de fato, uma conta laranja — e não apenas mais uma vítima.

Os altos custos operacionais e jurídicos do MED 2.0 só podem ser enfrentados com uma estratégia em duas frentes, apoiada por ferramentas como a inteligência comportamental.
Prevenção: em primeiro lugar, os bancos precisam reduzir os incidentes na origem. Isso significa identificar não apenas a criação de contas laranja, mas também os próprios golpes de engenharia social, em tempo real, antes mesmo que qualquer valor saia da conta da possível vítima.

Defesa: em segundo lugar, nos casos que ainda conseguirem passar, o time jurídico precisará de evidências sólidas. Os dados comportamentais ajudam a entender como a transação foi realizada. Houve hesitação? Existia acesso remoto? Foi usado um emulador? Essas informações oferecem uma base consistente para sustentar um bloqueio, demonstrar indícios de fraude e lidar com a nova realidade de disputas em grande escala.

Ao mesmo tempo, todos esses novos controles, investigações e processos de recuperação impactam diretamente a experiência do cliente, obrigando as instituições a equilibrar constantemente segurança, atrito e confiança em cada interação digital.

A evolução da regulação de fraudes no Brasil mostra uma trajetória clara: das bases regulatórias para a ação em tempo real. Hoje, o setor avança para um modelo de colaboração obrigatória e de recuperação cada vez mais complexa. Cada etapa aumentou a carga sobre as instituições, mas também tornou o ecossistema mais forte e mais seguro.

À medida que nos aproximamos da era do MED 2.0, a tecnologia certa se mostra fundamental tanto para uma estratégia eficaz de prevenção quanto para uma atuação jurídica sólida e defensável.

 

Recent Posts

Por que os bancos precisam de mais do que um rosto para combater a fraude Fraud
Agosto 13, 2025 Por que os bancos precisam de mais do que um rosto para combater a fraude
Read article
A revolução do crime no Brasil: Das ruas para o digital
Maio 22, 2025 A revolução do crime no Brasil: Das ruas para o digital
Read article
Contas Laranja em uma região sem regulamentação
Março 24, 2025 Contas Laranja em uma região sem regulamentação
Read article