No mundo digital, tudo o que fazemos deixa algum tipo de rastro, inclusive as fraudes. Então, como os criminosos conseguem “apagar” esse caminho, saindo ilesos após um golpe? Simples: criando uma conta laranja. Esse mecanismo não é novo, mas tem se tornado uma etapa importante para o sucesso das fraudes, principalmente no PIX.
A conta laranja é criada para despistar o destino do dinheiro, permitindo que sejam feitas movimentações financeiras fraudulentas, sem um registro claro sobre o destino da transação. Para isso, são utilizados dados bancários de pessoas reais, que são vazados, roubados e até mesmo alugados de terceiros.
Nesse conteúdo, você entenderá como esse mecanismo é utilizado na dinâmica das fraudes PIX, quais são os prejuízos gerados para as instituições financeiras e porque a inteligência de dados é a melhor ferramenta para detectar e prevenir a ação dos criminosos. Vamos lá?
Falando em segurança, você já conhece as funcionalidades do DeLorean Antifraude PIX?
Conta laranja nos esquemas criminosos
Como comentamos antes, o uso da conta laranja para atividades fraudulentas não é nenhuma novidade. Esse tipo de esquema para obter ganhos ilícitos ou simplesmente despistar o destino da transação sempre foi muito associado à lavagem de dinheiro, mas também à emissão de cartões de crédito e solicitação de empréstimos.
Com a chegada do PIX, a conta laranja passou a fazer parte de uma estrutura de golpe muito mais robusta, envolvendo uma rede de negócios criada para extrair lucro, a partir da venda ou aluguel dos dados bancários. Nesse caso, o cliente da instituição financeira não é a vítima, mas a chave para que o crime seja bem-sucedido.
Nessa movimentação, a pessoa pode vender ou emprestar seus dados para criar um novo cadastro, ou simplesmente alugar uma conta ativa. O gerenciamento das operações pode então ficar a cargo do criminoso ou do próprio laranja.
“As contas laranjas são criadas com o intuito de dificultar a identificação do beneficiário final, ou seja, para que o fraudador não seja reconhecido. Elas podem ser feitas a partir de dados roubados (que seria o caso de fraude ideológica), mas também obtidas com a venda de informações, o que costuma ser bem comum. Nesse segundo caso, é muito difícil detectar a conta laranja, porque todos os dados são reais e de fato pertencem a um terceiro que está envolvido no esquema”, explica Susan Pastega, mestre em gestão de riscos e especialista em prevenção à fraude.
A relação com as fraudes PIX
Desde que passou a ser o método de pagamentos mais utilizado no país, apenas um ano após seu lançamento, o PIX se tornou o principal “modelo de negócio” dos golpistas. Bastou juntar a praticidade do sistema, a agilidade das operações e a falta de conhecimento de boa parte da população, para que os criminosos enxergassem uma oportunidade de lucro valiosa.
Com abordagens cada vez mais persuasivas e técnicas complexas para enganar as vítimas, os fraudadores foram abrindo caminho em meio a novidade e utilizando a conta laranja como um recurso final para a conclusão dos golpes.
Aproveitando-se da rapidez do PIX, os criminosos realizam múltiplas transferências e repassam os valores para diferentes contas laranjas, apagando qualquer vestígio sobre onde esse dinheiro foi parar.
“No segundo que o PIX cai na conta do fraudador, ele já faz novas operações para outras pessoas, sumindo com aquele dinheiro de dentro da instituição. Isso porque, se o valor permanece dentro do banco, é possível fazer o caminho reverso e encontrar sua origem; mas se vai para outros lugares, esse trajeto é totalmente dissolvido, já que essa informação não é compartilhada entre os bancos”, explica Beatriz Lima, Lead Data Scientist da Data Rudder.
Para conter o uso da conta laranja como recurso facilitador das fraudes no PIX, em agosto de 2022, a Polícia Federal, com apoio da FEBRABAN (Federação Brasileira de Bancos), lançou a campanha “Não seja um laranja”. A operação aconteceu em 13 estados e no Distrito Federal, e realizou a busca e apreensão de pessoas que forneceram seus dados bancários para a ação criminosa.
A abordagem está prevista na Lei nº 14.555, que descreve a punição para fraudes nos meios digitais. Em fevereiro de 2023, a Polícia Federal deflagrou a segunda fase da operação, cumprindo um mandato no Distrito Federal. Neste caso, foi encontrada uma conta laranja que fazia parte de um esquema responsável por desviar mais de R$ 380 mil. A investigada, que cedeu seus dados para a criação da conta, foi responsabilizada por furto qualificado e invasão de dispositivo informático, podendo ficar reclusa por até 8 anos.
Prejuízos para as instituições financeiras
Em uma estimativa para o fechamento de 2022, divulgada pelo Estadão, foi discutido que o volume de golpes no sistema financeiro poderia ultrapassar R$ 2,5 bilhões, e que o PIX, poderia ser o responsável por 70% deste valor. A quantia com certeza é significativa, mas não chega nem aos pés dos reais prejuízos que as instituições financeiras podem enfrentar com o surgimento de novas contas laranjas.
Apesar das instituições serem responsabilizadas e obrigadas a ressarcir o dinheiro perdido em casos específicos, geralmente o dano monetário sobra para a vítima, que muitas vezes não consegue recuperar o valor. Por isso, o principal prejuízo que atinge as empresas é o reputacional.
A conta laranja representa uma falha da instituição em garantir a segurança desde o onboarding (cadastro) até a transação. A percepção de que o banco não é capaz de proteger os dados dos seus clientes e detectar anomalias no padrão de comportamento dos seus usuários, pode levar à perda dos clientes existentes, dificuldade em atrair novos acionistas e instabilidade no mercado financeiro.
Além disso, existe também o impacto operacional para lidar com a investigação de uma conta laranja. Sem um mecanismo de detecção baseado em data analytics, a resolução desses casos pode demandar tempo, recursos e esforços significativos das equipes de segurança e compliance das organizações.
E como se tudo isso não bastasse, ainda existe a possibilidade de multa de acordo com o Manual de Penalidades do PIX, estabelecido pelo Banco Central. O documento prevê uma multa de R$ 1 milhão para as instituições que têm conhecimento sobre o aumento no número de fraudes, mas que não implementa medidas mitigadoras eficazes para resolver o problema.
“O uso da conta laranja está muito conectado com transferências via PIX, por conta da agilidade desse método de pagamentos. Então, é indispensável que ela seja rapidamente identificada. E se todas as frentes que estão cuidando da movimentação desse dinheiro estiverem fazendo uma boa análise de dados, a detecção é mais rápida e por consequência a perda financeira vai ser menor”, explica Susan.
Ou seja, é melhor investir em um sistema antifraude, como o DeLorean da Data Rudder, do que enfrentar os prejuízos reputacionais, operacionais e financeiros que as contas laranjas podem desencadear. Aproveite para dar uma espiada nesse conteúdo aqui, que explica como a nossa plataforma utiliza inteligência artificial para combater as fraudes.
Como identificar uma conta laranja
Não é possível acompanhar tudo o que os fraudadores fazem e muito menos ler o que se passa na mente deles, mas conseguimos chegar bem próximo disso. Como? Utilizando a inteligência de dados.
Aplicando algoritmos e técnicas de machine learning, é possível processar todas as informações dos usuários e treinar modelos preditivos para definir os padrões de comportamento dos clientes. É a partir disso que podemos observar alguns pontos de atenção, capazes de indicar a presença de uma conta laranja.
Discrepância nas informações
Uma pessoa com CPF do Rio, endereço de São Paulo e telefone de Salvador. Ou quem sabe um email que não tem relação nenhuma com o nome do titular. São inconsistências cadastrais como essas que podem começar a indicar que aquela pessoa está abrindo uma conta laranja.
Tanto no roubo, como na venda e aluguel de dados bancários, é comum que os documentos sejam adulterados, que a conta seja de uma localidade diferente de onde está o fraudador, e que as informações de contato sejam inválidas ou até fictícias. O objetivo é despistar completamente o destino das operações ilícitas e deixar o criminoso o mais distante possível do laranja.
Transações atípicas
Outro fator de segurança que ajuda a identificar uma conta laranja é o monitoramento dos hábitos transacionais. Ao traçar o padrão de comportamento do usuário, fica perceptível quando uma movimentação é incomum e suspeita. É possível observar a frequência, o volume, os horários, os valores e o destino de cada operação.
Uma conta que tem atividade excessiva, com quantias elevadas, em curtos períodos de tempo ou em horários fora do comum, com certeza desperta a atenção sobre a possibilidade de golpe.
Comportamento suspeito
Falando ainda dos hábitos de cada usuário, outro ponto a ser considerado é como ele se comporta desde o cadastramento da conta. Dificuldades em verificar a identidade do titular, dispositivos diferentes associados à mesma conta, acessos vindos de diversas localizações: tudo isso pode indicar algo suspeito.
Outro exemplo importante é o nível de atividade em relação ao tempo de conta. Se um cadastro foi criado recentemente e já apresenta um volume diário de transações absurdo, fique atento. Logo que uma conta laranja é feita, ela começa a operar intensamente e de forma repetitiva.
Cruzamento de dados
Por fim, é possível identificar todos esses fatores a partir do cruzamento de dados. Como estamos falando de muitas informações, resultantes de uma quantidade enorme de clientes, é claro que isso precisa ser feito de forma automatizada, em uma plataforma especializada em data analytics.
Utilizando sistemas como o DeLorean Antifraude PIX, é possível extrair o potencial máximo dos dados que já são coletados pelas instituições financeiras, comparando a relação entre as variáveis. Alguns dados importantes que podem ser armazenados pelas empresas e utilizados nesses cruzamentos são:
- Data e hora em que a transação foi feita;
- A última vez que o usuário visualizou o limite da conta;
- O histórico de cadastro das chaves PIX favoritas;
- Tempo gasto para finalizar uma transação;
- Se o usuário utiliza valores pré-definidos;
- Quantos favoritos tem cadastrado no app do banco;
- A última vez que visualizou o extrato da conta;
- Quantos apps financeiros tem instalado;
- A geolocalização de todas as transações realizadas;
- Quais são as instituições financeiras que o usuário utiliza.
Como diferenciar de outras fraudes?
Até aqui você pode estar pensando: “Então, a conta laranja é igual uma conta falsa ou um roubo de conta. Certo?”. Nada disso. A grande diferença entre as três modalidades é o envolvimento de terceiros na operação. Aqui explicamos melhor o que isso significa:
Conta falsa
Como comentamos antes, a conta laranja funciona como um “modelo de negócio”. Existe a oferta e demanda entre as pessoas que querem vender e alugar seus dados bancários e os fraudadores que precisam disso para despistar o destino do dinheiro.
É possível que a conta laranja seja criada a partir de informações vazadas ou roubadas? Sim, mas esse não é o foco, como é nos casos de conta falsa. Nessa situação, essa é a principal fonte para o fraudador criar um novo cadastro.
O criminoso pode utilizar mecanismos de engenharia social (como o phishing), malwares, clonagens de telefone e qualquer outra artimanha, para persuadir ou simplesmente capturar o RG, CPF, foto e endereço da vítima.
Com isso em mãos, ele cria uma nova conta bancária para destinar as transações fraudulentas e, muitas vezes, a vítima não fica nem sabendo disso.
Account takeover
O account takeover, ou roubo de conta, acontece de uma maneira semelhante à conta falsa, porque o terceiro é de fato a vítima de uma ação criminosa. Nesse caso, o golpista consegue acesso à uma conta bancária ativa (da mesma maneira que citamos no item anterior) e literalmente domina o cadastro, mudando os dados de login e senha do titular original.
Com acesso livre à conta, o fraudador faz diversas transferências para outras contas laranjas e depois abandona a vítima com o prejuízo. No PIX, onde uma operação é concluída em pouco mais de 1 segundo, a ação dos criminosos consegue ser ágil e passar ilesa.
Proteja suas operações
Agora que já explicamos como funciona o uso da conta laranja dentro dos esquemas fraudulentos, principalmente no cenário PIX, é hora de falar sobre a segurança. Como indicamos antes, a inteligência de dados chega como uma arma importante na análise dos padrões e na detecção rápida e eficaz das ações criminosas. A seguir, vamos entender como as plataformas de data analytics atuam na prevenção dos golpes.
O data analytics no combate à fraude
O uso de plataformas especializadas, como o DeLorean, proporciona uma visão clara e precisa sobre a análise das informações coletadas pelas instituições financeiras.
Dentro do onboarding, por exemplo, é possível fazer desde as verificações mais básicas, como validação da situação cadastral do CPF e tokenização de email e telefone; até avaliações complexas, enriquecidas com informações de mercado. Ainda nessa etapa, é importante recorrer também à validação biométrica com a prova de vida, para evitar a falsificação de documentos ou o uso de fotos adulteradas.
“Antigamente, a gente tentava barrar muito as fraudes ideológicas, quando uma pessoa se passa pela outra para roubar o dinheiro da conta. E hoje, a análise de dados está muito mais voltada para detecção de anomalias no comportamento daquela pessoa e na identificação de contas laranjas”, conta Rafaela Helbing, CEO da Data Rudder e cientista de dados com experiência na área de prevenção à fraudes.
Nos casos em que a conta laranja é alugada após a etapa do cadastro, entram em ação os sistemas de antifraude transacionais, que vão entender e avaliar as mudanças de comportamento que ocorreram neste usuário. É a plataforma de data analytics que fará o cruzamento de dados para encontrar falhas no padrão ou inconsistências nas atividades da conta.
Outra funcionalidade importante é a criação de regras e blocklists com os endereços nos quais as fraudes estão sendo enviadas. Dessa maneira, é possível traçar um caminho que já foi destino de outras operações ilícitas, evitando que a conta seja utilizada novamente para ações fraudulentas.
Por fim, cabe às instituições financeiras a preocupação de investigar e encerrar qualquer conta que esteja de alguma forma associada a uma fraude. Se, por exemplo, um usuário recebeu um PIX fruto de uma abordagem fraudulenta e repassou o valor para outras duas pessoas, os três estão envolvidos no crime e devem ser contidos.
Invista no DeLorean para detectar contas laranjas
Os criminosos sempre vão achar uma maneira de despistar suas ações fraudulentas e o uso de contas laranjas é a prova disso. Mas é possível adotar uma postura ativa na prevenção das fraudes e na detecção de contas irregulares. Para isso, invista no DeLorean Antifraude, nossa solução de Auto ML capaz de mitigar o risco em operações de onboarding, transacional e PIX.
Fale com a nossa equipe e veja como o sistema pode se adequar às demandas da sua empresa.