BioCatch blog channel

Browse topics

Uma jornada pelo labirinto regulatório do Brasil

Written by:

Diego Baldin

Uma jornada pelo labirinto regulatório do Brasil featured image

To read this blog in English, click here.

Impulsionado por novos comportamentos de pagamento (o Pix superando dinheiro, débito e crédito como o meio de pagamento preferido do país em apenas quatro anos), por operações criminosas cada vez mais sofisticadas (com o crime organizado usando fraudes como uma fonte estável de renda) e por uma agenda regulatória cada vez mais firme, o cenário de crimes financeiros no Brasil mudou drasticamente nos últimos anos. 

Hoje, os bancos brasileiros precisam navegar por um dos ambientes regulatórios mais dinâmicos do mundo.

A base: a LGPD

Antes de o Brasil sequer conseguir falar sobre prevenção a fraudes, foi necessário olhar primeiro para os dados. Essa base é a LGPD (Lei Geral de Proteção de Dados), o equivalente brasileiro ao GDPR europeu. Embora não seja uma regra do Banco Central, a Lei nº 13.709/2018 se tornou o alicerce de todo o ecossistema. Ela obrigou todas as empresas a enfrentarem uma pergunta fundamental: como estamos tratando os dados dos nossos clientes?

O impacto prático foi enorme, exigindo o mapeamento completo do ciclo de vida dos dados e a criação de novos papéis, como o encarregado de dados (DPO). Apesar da dor de adaptar sistemas antigos e do receio constante de multas milionárias, o benefício foi claro. A LGPD trouxe mais segurança jurídica e forçou o mercado a tratar as informações dos clientes com a seriedade que elas merecem. A partir daí, quando um cliente passou a pedir quais dados um banco mantém sobre ele, a instituição precisou ter um processo claro para responder. A era dos dados havia começado.

A revolução da instantaneidade

Com a base de dados estabelecida, o cenário estava pronto para uma mudança importante: sair da análise reativa e partir para a ação em tempo real. Duas regulações, em 2020, deram início a essa revolução.

Circular 3.978 (PLD/FT): Conhecida por muitos como a “bíblia” de PLD/FT, essa norma modernizou a forma como o Brasil combate a lavagem de dinheiro. Ela obrigou as instituições a deixarem de lado verificações superficiais e adotarem uma abordagem formal baseada em risco. Isso significou criar modelos e matrizes de risco de KYC mais estruturados, monitorar transações de acordo com perfis reais de risco e, principalmente, mudar a cultura interna. Times de negócio, historicamente focados em crescimento, precisaram aprender a entender e aceitar novas barreiras de risco. Pela primeira vez, os bancos passaram a ter respaldo regulatório claro para recusar ou encerrar relacionamentos com contas de alto risco, como aquelas usadas por contas laranja.

Pix: O Pix trouxe uma nova infraestrutura de pagamentos instantâneos e aumentou de forma significativa as responsabilidades operacionais e de segurança das instituições participantes, fazendo com que o monitoramento de fraudes em tempo real se tornasse uma questão de sobrevivência. Isso acabou forçando a adoção de motores de risco mais sofisticados e totalmente automatizados.

É nesse contexto que tecnologias como a inteligência comportamental passaram a ser essenciais. Afinal, como impedir um golpe que acontece em milissegundos sem gerar atrito para um cliente legítimo? A resposta passou a ser analisar o “como” a transação acontece, e não apenas o “o quê”.

Por exemplo, se um cliente tenta fazer uma transferência alta às 2h da manhã, o sistema avalia mudanças na forma de digitar, no modo como a pessoa segura o celular e possíveis sinais de acesso remoto, além do valor da transação. Embora isso tenha trazido um novo desafio — lidar com falsos positivos —, também marcou o início de uma prevenção a fraudes realmente inteligente e em tempo real.

Em paralelo, o Banco Central também introduziu controles preventivos dentro do próprio arranjo do Pix, estabelecidos pela resolução nº 501 (como limites de transação, horários e regras mais rígidas para alteração de limites), transferindo parte da estratégia de combate à fraude da simples detecção para a redução estrutural de riscos ao longo da jornada do cliente.

O poder (e a dor) da colaboração

O próximo grande passo foi entender que nenhuma instituição consegue combater crimes financeiros sozinha. O ecossistema precisava se conectar.

Resolução Conjunta nº 6: Em 2023, o modelo mudou do isolamento para a colaboração obrigatória. Essa resolução determinou que todas as instituições financeiras passassem a compartilhar dados relacionados a indícios de fraude associados a clientes, contas e transações. O Banco Central do Brasil definiu a infraestrutura regulatória e os padrões de integração via APIs que permitem que os bancos se comuniquem entre si, viabilizando uma visão de risco muito mais ampla. Antes de aprovar uma transação, um banco passou a poder consultar indicadores de risco a partir da base compartilhada entre as instituições.

Isso também trouxe novos desafios. Muitas vezes, os dados compartilhados têm qualidade variável, o que torna arriscado automatizar decisões apenas com base em um alerta vindo de outra instituição. O mercado passou a precisar evoluir para um verdadeiro ecossistema de inteligência em tempo real, com troca de contexto sobre as fraudes.

Resolução nº 507: Se a Resolução nº 6 definiu a regra, a Resolução nº 507 deu força a ela. Com entrada em vigor plena em 2025, essa norma estabeleceu penalidades financeiras para o descumprimento das obrigações de compartilhamento. De repente, a implementação desse modelo deixou de ser apenas um projeto de TI e passou a ser uma prioridade estratégica para a alta gestão. Com multas que podem chegar a R$ 50 milhões, conselhos e diretorias passaram a liberar recursos sem hesitação. Isso garante que não existam elos fracos na cadeia, já que um sistema colaborativo só funciona quando todos participam. A dor, por outro lado, é bem conhecida pelos profissionais da área: justificar o retorno sobre investimento de projetos de compliance enquanto se disputa orçamento com áreas que geram receita.

O que são o MED e o MED 2.0?

O MED (Mecanismo Especial de Devolução) é um processo criado pelo Banco Central que permite que valores transferidos via Pix, em casos de fraude, golpe ou falha operacional, sejam bloqueados e devolvidos ao cliente por meio de um fluxo estruturado entre as instituições envolvidas.

Na prática, o MED trouxe um processo formal e padronizado de comunicação, bloqueio e análise entre os bancos, substituindo os procedimentos manuais e pouco organizados que existiam no início do Pix.

Com a evolução dos golpes — cada vez mais rápidos, pulverizados em múltiplas transações e dependentes de contas laranja — o mercado passou a caminhar para o que vem sendo chamado de MED 2.0.

O MED 2.0 amplia esse conceito ao permitir uma análise mais profunda e em múltiplas camadas da cadeia da fraude, considerando não apenas a conta que recebeu o dinheiro, mas também o caminho percorrido pelos recursos, sinais comportamentais e indícios de participação de contas intermediárias.

MED 2.0 e a era da judicialização

E é justamente aí que entramos no futuro. O próximo grande desafio no horizonte é o MED 2.0, a evolução do mecanismo de devolução do Pix.

Espera-se que o MED 2.0 permita um bloqueio e uma recuperação mais ampla de valores ilícitos ao longo de várias camadas da fraude. Para a vítima, isso é uma excelente notícia, pois aumenta a chance de recuperar o dinheiro. Para as instituições, é uma oportunidade de reduzir perdas que antes eram consideradas definitivas. No entanto, isso tem um custo: um grande aumento de complexidade operacional e de despesas. Analisar cadeias de fraude mais longas e lidar com o crescimento inevitável de disputas judiciais exigirá muito mais recursos, além de forçar os bancos a provar que uma conta no meio da cadeia era, de fato, uma conta laranja — e não apenas mais uma vítima.

Os altos custos operacionais e jurídicos do MED 2.0 só podem ser enfrentados com uma estratégia em duas frentes, apoiada por ferramentas como a inteligência comportamental.
Prevenção: em primeiro lugar, os bancos precisam reduzir os incidentes na origem. Isso significa identificar não apenas a criação de contas laranja, mas também os próprios golpes de engenharia social, em tempo real, antes mesmo que qualquer valor saia da conta da possível vítima.

Defesa: em segundo lugar, nos casos que ainda conseguirem passar, o time jurídico precisará de evidências sólidas. Os dados comportamentais ajudam a entender como a transação foi realizada. Houve hesitação? Existia acesso remoto? Foi usado um emulador? Essas informações oferecem uma base consistente para sustentar um bloqueio, demonstrar indícios de fraude e lidar com a nova realidade de disputas em grande escala.

Ao mesmo tempo, todos esses novos controles, investigações e processos de recuperação impactam diretamente a experiência do cliente, obrigando as instituições a equilibrar constantemente segurança, atrito e confiança em cada interação digital.

A evolução da regulação de fraudes no Brasil mostra uma trajetória clara: das bases regulatórias para a ação em tempo real. Hoje, o setor avança para um modelo de colaboração obrigatória e de recuperação cada vez mais complexa. Cada etapa aumentou a carga sobre as instituições, mas também tornou o ecossistema mais forte e mais seguro.

À medida que nos aproximamos da era do MED 2.0, a tecnologia certa se mostra fundamental tanto para uma estratégia eficaz de prevenção quanto para uma atuação jurídica sólida e defensável.

 

Recent Posts

Por que os bancos precisam de mais do que um rosto para combater a fraude Fraud
Agosto 13, 2025 Por que os bancos precisam de mais do que um rosto para combater a fraude
Read article
A revolução do crime no Brasil: Das ruas para o digital
Maio 22, 2025 A revolução do crime no Brasil: Das ruas para o digital
Read article
Contas Laranja em uma região sem regulamentação
Março 24, 2025 Contas Laranja em uma região sem regulamentação
Read article