A conta laranja é criada para despistar o destino do dinheiro, permitindo que sejam feitas movimentações financeiras fraudulentas, sem um registro claro sobre o destino da transação. Para isso, são utilizados dados bancários de pessoas reais, que são vazados, roubados e até mesmo alugados de terceiros.

Neste conteúdo, você entenderá como esse mecanismo é utilizado na dinâmica das fraudes PIX, um problema que se intensificou com a popularidade do sistema, quais são os prejuízos gerados para as instituições financeiras e porque a inteligência de dados é a melhor ferramenta para detectar e prevenir a ação dos criminosos.

Vamos lá?

Conteúdo deste blogpost:

• Conta laranja nos esquemas criminosos
• A relação com as fraudes PIX
• Prejuízos para as instituições financeiras
• Mecanismo Especial de Devolução (MED)
• Como identificar uma conta laranja
• Como diferenciar de outras fraudes?
• Monitoramento de carteira com o DICT
• Proteja suas operações

Conta laranja nos esquemas criminosos

Como comentamos antes, o uso da conta laranja para atividades fraudulentas não é nenhuma novidade. Esse tipo de esquema para obter ganhos ilícitos ou simplesmente despistar o destino da transação sempre foi muito associado à lavagem de dinheiro, mas também à emissão de cartões de crédito e solicitação de empréstimos.

Com a chegada do PIX, a conta laranja passou a fazer parte de uma estrutura de golpe muito mais robusta, envolvendo uma rede de negócios criada para extrair lucro, a partir da venda ou aluguel dos dados bancários. Nesse caso, o cliente da instituição financeira não é a vítima, mas a chave para que o crime seja bem-sucedido.

Nessa movimentação, a pessoa pode vender ou emprestar seus dados para criar um novo cadastro, ou simplesmente alugar uma conta ativa. O gerenciamento das operações pode então ficar a cargo do criminoso ou do próprio laranja.

“As contas laranjas são criadas com o intuito de dificultar a identificação do beneficiário final, ou seja, para que o fraudador não seja reconhecido. Elas podem ser feitas a partir de dados roubados (que seria o caso de fraude ideológica), mas também obtidas com a venda de informações, o que costuma ser bem comum. Nesse segundo caso, é muito difícil detectar a conta laranja, porque todos os dados são reais e de fato pertencem a um terceiro que está envolvido no esquema”, explica Susan Pastega, mestre em gestão de riscos e especialista em prevenção à fraude.

A relação com as fraudes PIX

Desde que passou a ser o método de pagamentos mais utilizado no país, apenas um ano após seu lançamento, o PIX se tornou o principal “modelo de negócio” dos golpistas. Bastou juntar a praticidade do sistema, a agilidade das operações e a falta de conhecimento de boa parte da população, para que os criminosos enxergassem uma oportunidade de lucro valiosa.

Com abordagens cada vez mais persuasivas e técnicas complexas para enganar as vítimas, os fraudadores foram abrindo caminho em meio a novidade e utilizando a conta laranja como um recurso final para a conclusão dos golpes.

Aproveitando-se da rapidez do PIX, os criminosos realizam múltiplas transferências e repassam os valores para diferentes contas laranjas, apagando qualquer vestígio sobre onde esse dinheiro foi parar.

“No segundo que o PIX cai na conta do fraudador, ele já faz novas operações para outras pessoas, sumindo com aquele dinheiro de dentro da instituição. Isso porque, se o valor permanece dentro do banco, é possível fazer o caminho reverso e encontrar sua origem; mas se vai para outros lugares, esse trajeto é totalmente dissolvido, já que essa informação não é compartilhada entre os bancos”, explica Beatriz Lima, Lead Data Scientist da Data Rudder.

Para conter o uso da conta laranja como recurso facilitador das fraudes no PIX, em agosto de 2022, a Polícia Federal, com apoio da FEBRABAN (Federação Brasileira de Bancos), lançou a campanha “Não seja um laranja”. A operação aconteceu em 13 estados e no Distrito Federal, e realizou a busca e apreensão de pessoas que forneceram seus dados bancários para a ação criminosa.

A abordagem está prevista na Lei nº 14.555, que descreve a punição para fraudes nos meios digitais. Em fevereiro de 2023, a Polícia Federal deflagrou a segunda fase da operação, cumprindo um mandato no Distrito Federal. Neste caso, foi encontrada uma conta laranja que fazia parte de um esquema responsável por desviar mais de R$ 380 mil. A investigada, que cedeu seus dados para a criação da conta, foi responsabilizada por furto qualificado e invasão de dispositivo informático, podendo ficar reclusa por até 8 anos.

No final do mesmo ano, a terceira fase da operação cumpriu 19 mandados de busca e apreensão em 10 estados. Já na quarta fase, no final de 2024, a Polícia Federal ampliou o escopo de investigações, com 30 mandados em sete estados.

Prejuízos para as instituições financeiras

Segundo o relatório Fraude Scamscope, divulgado pela ACI Worldwide, golpes com PIX chegarão a R$ 11 bilhões até 2028.  A pesquisa ainda diz que o Brasil está entre os países mais afetados por golpes digitais, ficando atrás apenas dos Estados Unidos, e pode concentrar 25% de todas as fraudes analisadas em seis mercados.

Só em 2023, esses crimes ultrapassaram R$ 2 bilhões no Brasil, e o PIX foi o canal mais explorado pelos fraudadores. A quantia com certeza é significativa, mas não chega nem aos pés dos reais prejuízos que as instituições financeiras podem enfrentar com o surgimento de novas contas laranja.

Apesar das instituições serem responsabilizadas e obrigadas a ressarcir o dinheiro perdido em casos específicos, geralmente o dano monetário sobra para a vítima, que muitas vezes não consegue recuperar o valor. Por isso, o principal prejuízo que atinge as empresas é o reputacional.

A conta laranja representa uma falha da instituição em garantir a segurança desde o onboarding (cadastro) até a transação. A percepção de que o banco não é capaz de proteger os dados dos seus clientes e detectar anomalias no padrão de comportamento dos seus usuários, pode levar à perda dos clientes existentes, dificuldade em atrair novos acionistas e instabilidade no mercado financeiro.

Além disso, existe também o impacto operacional para lidar com a investigação de uma conta laranja. Sem um mecanismo de detecção baseado em data analytics, a resolução desses casos pode demandar tempo, recursos e esforços significativos das equipes de segurança e compliance das organizações.

E como se tudo isso não bastasse, ainda existe a possibilidade de multa de acordo com o Manual de Penalidades do PIX, estabelecido pelo Banco Central. O documento prevê uma multa de R$ 1 milhão para as instituições que têm conhecimento sobre o aumento no número de fraudes, mas que não implementa medidas mitigadoras eficazes para resolver o problema.

“O uso da conta laranja está muito conectado com transferências via PIX, por conta da agilidade desse método de pagamentos. Então, é indispensável que ela seja rapidamente identificada. E se todas as frentes que estão cuidando da movimentação desse dinheiro estiverem fazendo uma boa análise de dados, a detecção é mais rápida e por consequência a perda financeira vai ser menor”, explica Susan.

Ou seja, é melhor investir em um sistema antifraude, como o DeLorean da Data Rudder, do que enfrentar os prejuízos reputacionais, operacionais e financeiros que as contas laranja podem desencadear. Aproveite para dar uma espiada nesse conteúdo aqui, que explica como a nossa plataforma utiliza inteligência artificial para combater as fraudes.

No próximo tópico, vamos entender mais sobre o Mecanismo Especial de Devolução (MED), recurso criado pelo Banco Central em 2021 para atender solicitações de devolução dos valores perdidos em fraudes, e por que nem sempre o dinheiro volta para a vítima.

Mecanismo Especial de Devolução (MED)

Mesmo com todo o esforço das instituições para barrar fraudes, os criminosos sempre dão um jeito de se reinventarem. Mas e quando o dinheiro já saiu da conta da vítima? Ainda há uma chance de recuperá-lo? O Banco Central criou o Mecanismo Especial de Devolução (MED) justamente para reverter transações feitas em situações de fraude ou falhas operacionais.

Como o MED funciona na prática?

• O pedido precisa ser registrado na instituição em até 80 dias após o golpe;
• O banco avalia a solicitação e, se houver indícios claros de fraude, pode bloquear o valor na conta do recebedor;
• Durante 7 dias, as instituições envolvidas analisam o caso;
• Se a fraude ou falha operacional for confirmada, o dinheiro é devolvido em até 96 horas.

Quando o MED pode ser acionado?

• Em casos de fraude no PIX, com invasão de conta, roubo de celular, sequestros e falhas operacionais nos sistemas das instituições;
• Erros de digitação da chave, desistência de compra e desacordos comerciais não entram no mecanismo.

O MED resolve todos os casos?

Em 2024, foram registradas 4,955 milhões de solicitações de devolução por meio do MED, um aumento de 98% em relação a 2023, que teve 2,5 milhões de pedidos. Em 2022, esse total foi de 1,5 milhão, segundo o Banco Central.

Apesar do crescimento, a taxa de aprovação segue baixa. Apenas 31% das solicitações em 2024 foram aceitas total ou parcialmente, enquanto 3,3 milhões não tiveram sucesso. 

Quando se trata de valores efetivamente recuperados foi ainda menor: apenas 9%.

Isso porque:

• O banco só bloqueia valores se a fraude for comprovada;
• A devolução exige saldo na conta do recebedor;
• Os fraudadores transferem rapidamente os valores para contas laranja ou encerram as contas utilizadas no golpe;
• Atendentes humanos entendem que, por ter sido o próprio cliente quem digitou a senha, não houve fraude.

Para evitar essa barreira, o Banco Central lançou um autoatendimento para solicitações do MED, permitindo que os clientes façam a solicitação diretamente pelo aplicativo do banco. A regra vem da Instrução Normativa BCB n° 589, que começa a valer em 1º de agosto de 2025.

Além dos obstáculos listados acima, criminosos têm usado o próprio MED para aplicar golpes, como no esquema do “PIX errado”, como vamos explicar a seguir.

Como funciona o golpe do “PIX errado”?

O fraudador envia um PIX para um desconhecido e, logo em seguida, manda uma mensagem pedindo o dinheiro de volta, dizendo que a transferência foi feita por engano. 

Agindo de boa-fé, a vítima devolve o valor para uma conta diferente da que fez o envio.

Enquanto isso, o criminoso aciona o MED, alegando que foi vítima de fraude. O banco então reembolsa o suposto “dono do dinheiro”, e a verdadeira vítima perde a quantia duas vezes – uma pelo reembolso que fez manualmente para o criminoso e outra pelo estorno liberado pela instituição.

Por que esse golpe funciona?

Atualmente, o MED só investiga a primeira conta que recebeu o dinheiro, sem rastrear transferências subsequentes. E, como já sabemos, os fraudadores usam essa brecha para distribuir os valores rapidamente entre contas laranjas, dificultando a recuperação. 

O Banco Central já anunciou o MED 2.0, uma atualização para permitir o bloqueio de valores fraudados em outras contas usadas pelos criminosos, tornando a recuperação mais eficiente. A previsão é que essa nova versão entre em vigor no final de 2025.

Além do recurso, no final de 2024, a Comissão de Constituição e Justiça (CCJ) aprovou o PL 133/2022, que obriga as instituições financeiras a devolverem valores perdidos em golpes e fraudes, incluindo casos com o PIX.

Enviado para análise da proposta pela Comissão de Fiscalização e Controle (CTFC), o projeto altera o Código de Defesa do Consumidor e determina que, em transferências indevidas, os bancos e autoridades devem identificar quem recebeu a quantia, bloquear os recursos (se ainda disponíveis) e fazer a devolução do dinheiro às vítimas.

Como identificar uma conta laranja

Mesmo com casos de golpes que ganham destaque na imprensa, como o do “PIX errado”, não é possível acompanhar tudo o que os fraudadores fazem e muito menos ler o que se passa na mente deles, mas conseguimos chegar bem próximo disso. Como? Utilizando a inteligência de dados.

Aplicando algoritmos e técnicas de machine learning, é possível processar todas as informações dos usuários e treinar modelos preditivos para definir os padrões de comportamento dos clientes. É a partir disso que podemos observar alguns pontos de atenção, capazes de indicar a presença de uma conta laranja.

Discrepância nas informações

Uma pessoa com CPF do Rio, endereço de São Paulo e telefone de Salvador. Ou quem sabe um email que não tem relação nenhuma com o nome do titular. São inconsistências cadastrais como essas que podem começar a indicar que aquela pessoa está abrindo uma conta laranja.

Tanto no roubo, como na venda e aluguel de dados bancários, é comum que os documentos sejam adulterados, que a conta seja de uma localidade diferente de onde está o fraudador, e que as informações de contato sejam inválidas ou até fictícias. O objetivo é despistar completamente o destino das operações ilícitas e deixar o criminoso o mais distante possível do laranja.

Transações atípicas

Outro fator de segurança que ajuda a identificar uma conta laranja é o monitoramento dos hábitos transacionais. Ao traçar o padrão de comportamento do usuário, fica perceptível quando uma movimentação é incomum e suspeita. É possível observar a frequência, o volume, os horários, os valores e o destino de cada operação.

Uma conta que tem atividade excessiva, com quantias elevadas, em curtos períodos de tempo ou em horários fora do comum, com certeza desperta a atenção sobre a possibilidade de golpe.

Comportamento suspeito

Falando ainda dos hábitos de cada usuário, outro ponto a ser considerado é como ele se comporta desde o cadastramento da conta. Dificuldades em verificar a identidade do titular, dispositivos diferentes associados à mesma conta, acessos vindos de diversas localizações: tudo isso pode indicar algo suspeito.

Outro exemplo importante é o nível de atividade em relação ao tempo de conta. Se um cadastro foi criado recentemente e já apresenta um volume diário de transações absurdo, fique atento. Logo que uma conta laranja é feita, ela começa a operar intensamente e de forma repetitiva.

Cruzamento de dados

Por fim, é possível identificar todos esses fatores a partir do cruzamento de dados. Como estamos falando de muitas informações, resultantes de uma quantidade enorme de clientes, é claro que isso precisa ser feito de forma automatizada, em uma plataforma especializada em data analytics.

Utilizando sistemas como o DeLorean Antifraude PIX, é possível extrair o potencial máximo dos dados que já são coletados pelas instituições financeiras, comparando a relação entre as variáveis. Alguns dados importantes que podem ser armazenados pelas empresas e utilizados nesses cruzamentos são:

• Data e hora em que a transação foi feita;
• A última vez que o usuário visualizou o limite da conta;
• O histórico de cadastro das chaves PIX favoritas;
• Tempo gasto para finalizar uma transação;
• Se o usuário utiliza valores pré-definidos;
• Quantos favoritos tem cadastrado no app do banco;
• A última vez que visualizou o extrato da conta;
• Quantos apps financeiros tem instalado;
• A geolocalização de todas as transações realizadas;
• Quais são as instituições financeiras que o usuário utiliza.

Como diferenciar de outras fraudes?

Até aqui você pode estar pensando: “Então, a conta laranja é igual uma conta falsa ou um roubo de conta. Certo?”. Nada disso. A grande diferença entre as três modalidades é o envolvimento de terceiros na operação. Aqui explicamos melhor o que isso significa:

Conta falsa

Como comentamos antes, a conta laranja funciona como um “modelo de negócio”. Existe a oferta e demanda entre as pessoas que querem vender e alugar seus dados bancários e os fraudadores que precisam disso para despistar o destino do dinheiro.

É possível que a conta laranja seja criada a partir de informações vazadas ou roubadas? Sim, mas esse não é o foco, como é nos casos de conta falsa. Nessa situação, essa é a principal fonte para o fraudador criar um novo cadastro.

O criminoso pode utilizar mecanismos de engenharia social (como o phishing), malwares, clonagens de telefone e qualquer outra artimanha, para persuadir ou simplesmente capturar o RG, CPF, foto e endereço da vítima.

Com isso em mãos, ele cria uma nova conta bancária para destinar as transações fraudulentas e, muitas vezes, a vítima não fica nem sabendo disso.

Account takeover

O account takeover, ou roubo de conta, acontece de uma maneira semelhante à conta falsa, porque o terceiro é de fato a vítima de uma ação criminosa. Nesse caso, o golpista consegue acesso à uma conta bancária ativa (da mesma maneira que citamos no item anterior) e literalmente domina o cadastro, mudando os dados de login e senha do titular original.

Com acesso livre à conta, o fraudador faz diversas transferências para outras contas laranjas e depois abandona a vítima com o prejuízo. No PIX, onde uma operação é concluída em pouco mais de 1 segundo, a ação dos criminosos consegue ser ágil e passar ilesa.

Monitoramento de carteira com o DICT

Assim como a análise de dados e o cruzamento de informações ajudam a identificar contas laranjas, o Diretório de Identificadores de Contas Transacionais (DICT) é uma ferramenta fundamental para prevenção e detecção de fraudes, incluindo o uso de contas ilícitas.

Como funciona? O DICT armazena as chaves PIX vinculadas às contas de pessoas físicas e jurídicas, permitindo o rastreamento de transações e a identificação de atividades suspeitas. Essa funcionalidade complementa as técnicas de machine learning e a análise de padrões comportamentais.

Pela Resolução BCB nº 403, em vigor desde 1º de novembro de 2024, as instituições do PIX devem realizar verificações semestrais no DICT. O objetivo é garantir que seus clientes não estejam associados a fraudes. Essas verificações ajudam a revisar as bases de dados e a bloquear transações ou registros de chaves PIX por usuários com histórico fraudulento.

Ao unir o monitoramento de carteira com o DICT e as análises preditivas, as instituições financeiras fortalecem suas defesas contra fraudes, protegendo os usuários e o sistema financeiro e garantindo que contas laranjas e outros golpes sejam identificados e neutralizados com eficiência.

Proteja suas operações

Agora que já explicamos como funciona o uso da conta laranja dentro dos esquemas fraudulentos, principalmente no cenário PIX, é hora de falar sobre a segurança. Como indicamos antes, a inteligência de dados chega como uma arma importante na análise dos padrões e na detecção rápida e eficaz das ações criminosas. A seguir, vamos entender como as plataformas de data analytics atuam na prevenção dos golpes.

O data analytics no combate a fraudes

O uso de plataformas especializadas, como o DeLorean, proporciona uma visão clara e precisa sobre a análise das informações coletadas pelas instituições financeiras.

Dentro do onboarding, por exemplo, é possível fazer desde as verificações mais básicas, como validação da situação cadastral do CPF e tokenização de email e telefone; até avaliações complexas, enriquecidas com informações de mercado. Ainda nessa etapa, é importante recorrer também à validação biométrica com a prova de vida, para evitar a falsificação de documentos ou o uso de fotos adulteradas.

“Antigamente, a gente tentava barrar muito as fraudes ideológicas, quando uma pessoa se passa pela outra para roubar o dinheiro da conta. E hoje, a análise de dados está muito mais voltada para detecção de anomalias no comportamento daquela pessoa e na identificação de contas laranjas”, conta Rafaela Helbing, CEO da Data Rudder e cientista de dados com experiência na área de prevenção à fraudes.

Nos casos em que a conta laranja é alugada após a etapa do cadastro, entram em ação os sistemas de antifraude transacionais, que vão entender e avaliar as mudanças de comportamento que ocorreram neste usuário. É a plataforma de data analytics que fará o cruzamento de dados para encontrar falhas no padrão ou inconsistências nas atividades da conta.

Outra funcionalidade importante é a criação de regras e blocklists com os endereços nos quais as fraudes estão sendo enviadas. Dessa maneira, é possível traçar um caminho que já foi destino de outras operações ilícitas, evitando que a conta seja utilizada novamente para ações fraudulentas.

Por fim, cabe às instituições financeiras a preocupação de investigar e encerrar qualquer conta que esteja de alguma forma associada a uma fraude. Se, por exemplo, um usuário recebeu um PIX fruto de uma abordagem fraudulenta e repassou o valor para outras duas pessoas, os três estão envolvidos no crime e devem ser contidos.

Invista no DeLorean Antifraude Transacional para detectar contas laranjas

Os criminosos sempre vão achar uma maneira de despistar suas ações fraudulentas e o uso de contas laranjas é a prova disso. Mas é possível adotar uma postura ativa na prevenção das fraudes e na detecção de contas irregulares. Para isso, invista no DeLorean Antifraude Transacional, nossa solução de Auto ML capaz de mitigar o risco em operações.

Com o DeLorean Antifraude Transacional:

• Ganhe mais agilidade operacional com um tempo de resposta adequado ao seu negócio e garantido por contrato;
• Assegure a estabilidade da operação com uma infraestrutura robusta, preparada para altos volumes de TPS;
• Integre dados por meio de uma API unificada e envie informações extras para definição de políticas;
• Explore algoritmos exclusivos para a sua operação e rede de conexões entre contas suspeitas;
• Monitore o fluxo de cash in para detectar contas laranja com base em dados históricos;
• Otimize a criação de políticas com a plataforma mais user-friendly do mercado.

Fale com a nossa equipe e veja como o sistema pode se adequar às demandas da sua empresa.