Nova legislação aumenta os riscos para os laranjas no Brasil

Para ler este blog em inglês, clique aqui.

Imagine alguém lhe oferecendo uma recompensa para usar temporariamente a sua conta bancária e movimentar valores. Embora possa parecer uma maneira fácil de ganhar dinheiro, isso pode colocá-lo diretamente envolvido em um esquema criminoso de lavagem de dinheiro.

Contas laranja tornaram-se uma parte crítica do crime financeiro moderno, pois ajudam os criminosos a ocultar os valores roubados. Ao movimentar dinheiro por meio de várias contas pessoais ou de empresas, os criminosos podem ocultar o rastro das transações e dificultar significativamente a recuperação dos valores para as vítimas e instituições financeiras.

Por isso, a Lei nº 15.397/2026 do Brasil é importante. Sancionada em 30 de abril de 2026 e publicada no Diário Oficial da União em 4 de maio, a legislação atualiza o Código Penal brasileiro e aumenta as penas para diversos crimes contra o patrimônio e crimes cibernéticos, incluindo furto, roubo, fraude, fraude eletrônica e receptação.

O que mudou?

Para o setor financeiro, um dos desenvolvimentos mais importantes da legislação é o tratamento direto dado às contas laranja. A lei estabelece responsabilidade criminal para qualquer pessoa que transfira uma conta bancária, com ou sem pagamento, sabendo que ela será usada para movimentar valores ligados a atividades criminosas ou oriundos de atividades criminosas. A pena é de um a cinco anos de prisão, além de multa.

Essencialmente, a lei deixa claro que emprestar contas para atividades criminosas não é mais visto como um papel secundário na fraude. Em vez disso, é tratado como parte da própria infraestrutura criminosa.

Por que as contas laranja são mais importantes na era do Pix?

As contas laranja têm uma importância particular no Brasil devido à velocidade e à escala dos pagamentos digitais, especialmente com o Pix. Os pagamentos instantâneos trouxeram enormes benefícios para consumidores, empresas e inclusão financeira. Mas também reduziram drasticamente o tempo de resposta em caso de fraude.

Em muitos golpes, bastam alguns minutos para que o dinheiro deixe a conta da vítima, passe por vários laranjas em diversas instituições e, para os investigadores, desapareça rapidamente. Quanto mais rápido os valores se movimentam, mais difícil se torna rastreá-los, bloqueá-los e recuperá-los.

O Mecanismo Especial de Devolução (MED) do Brasil representou um importante avanço ao criar um processo estruturado para reportar, bloquear e tentar recuperar valores provenientes de fraudes e golpes. Ele também destacou a realidade operacional que as instituições financeiras enfrentam atualmente. Uma vez que as redes criminosas distribuem rapidamente os valores por diversas contas, o sucesso na recuperação depende de agilidade, evidências e coordenação.

Mas, cada vez mais, as instituições reconhecem que a recuperação por si só não basta. À medida que os esquemas de fraude se tornam mais organizados e viabilizados digitalmente, a atenção se volta para a infraestrutura que permite a movimentação de valores roubados, especialmente as contas laranja.

A evolução da fraude para além da autenticação

Após mais de 20 anos trabalhando na prevenção a fraudes, acompanhei a drástica mudança no cenário dos ataques. Os controles tradicionais, que antes se concentravam na verificação de identidade no login, no reconhecimento de dispositivos ou na aprovação de transferências, agora dependem cada vez mais de táticas de engenharia social, como ligações telefônicas, mensagens de texto, sites falsos, aplicativos de mensagens e falsas centrais de atendimento, projetadas para pressionar as vítimas a agirem rapidamente. Como resultado, a fraude muitas vezes começa fora do ambiente bancário, mas termina dentro de sessões bancárias realizadas pelos titulares das contas.

Do ponto de vista da instituição, muitos indicadores tradicionais de fraude parecem normais porque o verdadeiro cliente está usando credenciais válidas e um dispositivo conhecido. Quando os valores chegam às contas laranja, a transação já foi autenticada e autorizada.

É isso que torna as contas laranja tão essenciais para as operações de fraude modernas. Elas não são apenas o destino dos valores roubados. Funcionam como a infraestrutura que permite que os golpes sejam bem-sucedidos em grande escala, ajudando as redes criminosas a dispersar, lavar e sacar valores rapidamente antes que as instituições possam reagir.

Seguir o rastro do dinheiro exige um contexto maior

A movimentação de valores roubados raramente termina com uma única transferência. Depois de passar por contas laranja, o dinheiro pode ser movimentado por meio de criptoativos, carteiras digitais, compras de bens ou outras formas de conversão de valor projetadas para dificultar ainda mais o rastreamento da transação.

O que mais importa não é o canal específico em si, mas a rapidez com que as redes criminosas conseguem dispersar os valores antes que as instituições tenham tempo de detectá-los, investigá-los ou recuperá-los. Cada camada, conta ou plataforma adicional torna a atribuição mais difícil e a recuperação menos provável.

Para as instituições financeiras, isso muda fundamentalmente a forma como o risco deve ser avaliado. Uma transferência por Pix pode parecer legítima por meio de controles tradicionais, enquanto sinais comportamentais revelam um cenário bem diferente.

A inteligência comportamental pode revelar esses sinais em tempo real. Um cliente pode demonstrar hesitação, padrões de navegação incomuns, mudanças no ritmo de digitação, longas pausas ou indícios de que está seguindo instruções de outra pessoa. Ao mesmo tempo, a conta de destino pode apresentar sinais de alerta, como atividades inconsistentes com seu histórico, recebimento de valores de várias fontes não relacionadas, transferências rápidas para outras contas, mudanças repentinas de comportamento ou conexões com contas suspeitas previamente identificadas. Analisados em conjunto, esses sinais criam um panorama de risco mais claro.

A prevenção a fraudes precisa evoluir no mesmo ritmo que a fraudes

O desafio que as instituições financeiras enfrentam hoje não é apenas identificar transações fraudulentas depois que elas já ocorreram. Trata-se de identificar e desarticular a infraestrutura que permite que os valores roubados se movimentem em primeiro lugar.

A legislação brasileira é significativa porque reflete uma mudança mais ampla na forma como os reguladores e as instituições estão abordando a atividade de laranjas. As contas laranja deixaram de ser vistas como uma questão secundária de PLD (Prevenção à Lavagem de Dinheiro) que opera após a fraude.

Mas a responsabilização legal por si só não resolverá o problema. As instituições financeiras precisarão de inteligência mais robusta, recursos de detecção mais rápidos e uma visão mais conectada do comportamento do cliente, da atividade de pagamentos e do risco de contas laranja para interromper redes criminosas antes que os valores roubados desapareçam pelo ecossistema.

Principais pontos:

Nova legislação no Brasil amplia a responsabilização em toda a cadeia da fraude: A Lei nº 15.397/2026 cria responsabilidade criminal para indivíduos que, conscientemente, permitem que contas sejam usadas para fins criminosos.
O Pix aumentou tanto a velocidade dos pagamentos quanto a incidência de fraudes: Os pagamentos instantâneos reduziram o tempo disponível para detectar, bloquear e recuperar valores roubados, tornando a rápida distribuição de valores um grande desafio para as instituições financeiras.
Os controles de autenticação tradicionais já não são suficientes: Em muitos golpes, o cliente, o dispositivo e as credenciais são legítimos. O verdadeiro problema é a manipulação do cliente por meio de engenharia social.
A detecção de fraudes exige mais contexto: Identificar atividades de contas laranja depende cada vez mais de sinais comportamentais, padrões de pagamento, relacionamentos entre contas e movimentação de valores, e não de transações analisadas de forma isolada.