SÃO PAULO, SP (FOLHAPRESS) – Desde que o Banco Central flexibilizou regras para aumentar a concorrência e criou um sistema de pagamentos instantâneos, já são mais de 900 instituições financeiras habilitadas a operar no Pix.
O novo cenário, marcado por competição e acesso facilitado à bancarização, também abriu caminho para estelionatários levarem seus crimes ao plano virtual. O chefe da Polícia Federal, Andrei Rodrigues, chamou de “cangaço digital” o nível de fraude vivido no Brasil.
As instituições financeiras têm ferramentas para detectar golpes, e o BC cobra requisitos mínimos de segurança para permitir a atividade das empresas. As regras são mais estritas para bancos do que para instituições exclusivamente de pagamentos, que não podem conceder crédito nem operar investimentos.
Ainda assim, no cenário atual de criminalidade online, as maiores fintechs do Brasil também investem em segurança para proteger seus clientes e suas reputações.
Durante teste da Folha de S.Paulo, feito entre abril e a primeira semana de julho, as maiores diferenças estiveram na adesão ao programa Celular Seguro do Governo Federal, do qual algumas instituições de pagamento não participam, e nos canais de atendimento -parte das empresas não tem atendimento presencial ou telefônico.
A avaliação contemplou aplicativos de 15 instituições financeiras reunidas a partir da lista das 15 companhias com mais contas abertas do BC e de um levantamento dos 10 aplicativos financeiros mais baixados entre janeiro e março de 2025, fornecido pela plataforma de monitoramento Sensor Tower.
Foram excluídas instituições de pagamentos ligadas a ecommerces e aplicativos de birô de crédito.
Especialistas indicaram critérios para a análise de segurança, como a validação de identidade, protocolos de segurança da informação e ferramentas antigolpe.
No geral, as instituições de pagamento Banco Will e InfinitePay permitiram que a reportagem criasse uma conta e até começasse a movimentar valores sem apresentar documentos e foto os segurando. O PicPay, o Banco Inter e o C6Bank, apesar de serem bancos, também não apresentaram desafios. Esse é um sinal de menor checagem cadastral, o que pode ser compensado com filtros tecnológicos.
VEJA O RESULTADO E ENTENDA OS CRITÉRIOS
CUIDADOS NO CADASTRO
O que foi verificado: A Folha testou primeiro quais os requisitos cobrados para criar uma conta no banco –a verificação da identidade do cliente e a conferência do histórico são etapas cruciais de segurança, chamadas de onboarding. Para isso, foram abertas contas nas 15 instituições sob avaliação.
A reportagem conseguiu se cadastrar em cinco bancos sem apresentar comprovante de endereço e fotos de documentos de identificação.
Confirmar a identidade do correntista e se ele está vivo é um dos desafios das instituições financeiras para evitar fraudes, mas parte dos bancos consultados afirma que recorre a outros meios para fazer essa verificação. Há casos em que quadrilhas usam fotos e vídeos de pessoas para abrir contas fraudulentas.
Qual o resultado e o que dizem as instituições: Entre as fintechs e os bancos digitais, apenas o PagBank exige a apresentação de comprovante de endereço.
Entre os grandes bancos, o Santander não pede endereço na abertura da conta digital. “Embora o comprovante de endereço não seja solicitado, o banco utiliza dados de geolocalização, histórico do cliente, reconhecimento facial e informações de mercado para a tomada de decisão de forma segura”, afirma a instituição financeira espanhola.
InfinitePay, Will Bank, Banco Inter, PicPay e C6 Bank não pediram quaisquer documentos.
O superintendente de segurança e sócio do C6 Bank, José Luiz Santana, afirma que esses documentos hoje agregam poucas informações, considerando o nível de falsificação e falta de padrão entre os registros oferecidos nos 26 estados e no Distrito Federal.
De acordo com ele, a cobrança dessa documentação pode desmotivar os clientes sem garantir proteção adicional. Por isso, o BC teria deixado de cobrar esse documento para permitir abertura de conta.
“Eu consigo ter essas informações hoje de uma maneira muito mais segura em birôs de informação [como o Serasa], inclusive comparar o rosto da pessoa ao dono daquele CPF informado”, diz Santana.
Will, Inter, PicPay e InfinitePay dizem que também usam tecnologia para garantir a proteção dos clientes.
PROVA DE VIDA NO RECONHECIMENTO FACIAL
O que foi verificado: Outro mecanismo de segurança possível de avaliar é o uso de modelos de reconhecimento facial com mais etapas de verificação.
Além da detecção da biometria, que checa pontos-chave do rosto da pessoa com os dados registrados no sistema, a tecnologia mais recente faz a chamada prova de vida, pedindo para a pessoa mover o rosto e usando filtros de inteligência artificial para checar cor, além de outros indícios de que se trata de uma pessoa real. Isso dificulta que estelionatários usem fotos e vídeos para driblar o mecanismo de autenticação.
Como os apps bancários costumam usar a câmera do celular para fazer a biometria, há limites técnicos dos sensores para detectar elementos como a circulação sanguínea do rosto da pessoa, como acontece no Face ID do iPhone, por exemplo.
Qual o resultado e o que dizem as instituições: Entre os aplicativos testados, InfinitePay, Mercado Pago, Banco Inter, Santander e Will não pediram em momento algum que a reportagem movimentasse o rosto em algum sentido específico.
O Santander diz que faz a prova de vida com algoritmos de inteligência artificial. “Mesmo sem a necessidade de movimentos adicionais, o sistema reconhece se há presença de uma pessoa real diante da câmera, reforçando a segurança do processo de autenticação nos nossos canais digitais.”
InfinitePay e Mercado Pago afirmam que usa a mesma tecnologia. O Will diz que usa biometria facial, mas não especifica a tecnologia que emprega.
Porém criminosos vendem aplicativos nas redes sociais que prometem violar os sistemas de reconhecimento facial mais simples, sob o nome de “burlador de selfie”. Vídeos mostram como a ferramenta consegue burlar a instrução de aproximar e afastar o celular do rosto.
Além disso, todas as instituições financeiras dizem que verificam a identidade do usuário com dados comportamentais, como a geolocalização do cliente, a rede wi-fi à qual ele está conectado e até o dispositivo usado no momento. Por isso, é quase impossível criar uma conta em banco pelo celular sem ceder acesso ao banco às informações do aparelho.
BIOMETRIA NO PAGAMENTO
O que foi verificado: Um padrão de segurança comum no mercado é o uso de biometria, seja facial, seja digital, para autorizar transações como Pix e transferências TED. A reportagem tentou fazer transferências com pequenas quantias em todas as instituições avaliadas.
Qual o resultado e o que dizem as instituições: A ferramenta de segurança é usada por Itaú, InfinitePay, Caixa, Banco do Brasil, Bradesco, Santander, C6 Bank, PicPay, PagBank e Neon.
O Nubank usa verificação biométrica apenas para destravar o aplicativo e confirma as transações com uma senha numérica de quatro dígitos, sem confirmar a identidade de quem faz a transação mais uma vez com biometria.
Em nota, o Nubank diz que “conta com um robusto conjunto de defesas inteligentes, em constante evolução, para analisar padrões de transação, permitindo identificar riscos e acionar validações adicionais ou até mesmo bloquear atividades suspeitas, sempre em conformidade com as diretrizes do BC e da LGPD para o uso responsável de dados na proteção de seus clientes”.
O Banco Inter, por sua vez, diz que checa operações fora do padrão em tempo real e envia alertas de possíveis golpes ou fraudes aos clientes. “O Inter também possui em seu processo de segurança três camadas de autenticação, com o objetivo de aumentar a segurança em seu ecossistema” -funciona como a autenticação em dois fatores para acessar um email ou rede social.
DISPOSITIVO CADASTRADO
O que foi verificado: A exigência de que o dispositivo esteja cadastrado nos registros da instituição financeira para liberar transações bancárias é um mecanismo que impede que criminosos acessem o dinheiro de vítimas a partir de vazamentos de dados, usando seus próprios aparelhos.
Para fazer o teste, a Folha de S.Paulo tentou acessar os apps bancários em celulares diversos daquele em que a conta foi aberta.
Qual o resultado e o que dizem as instituições: Agibank, Nubank, Itaú, Santander, C6 Bank, PagBank e Neon fazem esse cadastro usando reconhecimento facial no próprio celular. Os dados do aparelho, então, ficam salvos no sistema do banco e só precisam ser renovados em caso de troca do smartphone.
O InfinitePay usa um sistema de QR Code similar ao do WhatsApp Web.
Caixa, Banco do Brasil e Bradesco ainda solicitam que o cliente vá a um caixa eletrônico e habilite o aparelho em tempo real, confirmando códigos alfanuméricos. Essa abordagem deixa uma brecha para criminosos convencerem a vítima a acessar essa senha e a repassar em contatos telefônicos ou por mensagem –dessa maneira, o estelionatário ganha acesso à conta bancária da pessoa.
CANAL DE ATENDIMENTO
O que foi testado: Os clientes precisam de canais funcionais quando são vítimas de golpe, para informar o ocorrido e solicitar o estorno, além de permitir que a companhia localize as contas envolvidas em atividades criminosas.
No caso do Pix, por exemplo, o mecanismo de devolução de quantias só pode ser acionado por um funcionário da instituição financeira. O Banco Central abriu uma normativa para permitir que o cliente peça o estorno diretamente à autoridade monetária, mas o período de implementação vai até outubro.
Os canais de atendimento disponíveis foram checados no site e nos apps das instituições sob teste.
Qual o resultado e o que dizem as instituições: Além de canais virtuais, os bancos tradicionais ainda contam com o gerente da conta, responsável por atender o cliente em casos sensíveis. Também disponibilizam, em menor volume, o atendimento presencial em agência.
No caso dos bancos que nasceram na internet, o atendimento se restringe ao telefone e às mensagens pela internet. Neon, PicPay e InfinitePay não recebem ligações telefônicas.
FERRAMENTAS ADICIONAIS DE SEGURANÇA
Entre os bancos avaliados, Nubank e C6 Bank possuem outras ferramentas para dificultar transações bancárias em situações incomuns.
O Nubank tem o modo rua, que permite fazer transações apenas quando se está conectado a redes wi-fi registradas.
O C6 configura sua trava para liberar transacoes de valores mais altos e a visualizacao de investimentos no aplicativo apenas quando o usuario esta em locais conhecidos, como a casa ou o trabalho.
Os bancos, em geral, ainda permitem limitar as quantias movimentadas usando o Pix em um dia ou em determinados horários. Basta acessar a área Pix no app bancário e acessar limites.
BANCO JÁ TEVE DADOS VAZADOS?
O que foi avaliado: Um dos critérios de confiabilidade adotados pela PCI, um conselho internacional de padrão de segurança em pagamentos, é saber se a instituição financeira já passou por vazamento de dados. Caso a resposta seja sim, a empresa deve demonstrar um nível a mais de proteção para merecer um selo de qualidade.
Qual o resultado e o que dizem as instituições: Entre as entidades avaliadas, Neon, em fevereiro de 2025, e Banco Inter, em 2018, já passaram por vazamentos de dados reportados ao Banco Central. Essas informações podem ser usadas por criminosos para aplicar futuros golpes, dando pista sobre o contexto da vítima. Nenhuma das empresas comentou o episódio.
Todas as instituições financeiras procuradas pela reportagem dizem cumprir a lei geral de proteção de dados e as normas de privacidade do Banco Central.
PARTICIPA DO CELULAR SEGURO?
O que foi verificado: O governo mobilizou bancos e instituições de pagamentos para desenvolver, em 2023, uma ferramenta cujo objetivo, chamada Celular Seguro, é impedir o uso de celulares roubados em transações financeiras.
Qual o resultado e o que dizem as instituições: Os principais bancos do Brasil e a Febraban (Federação Brasileira de Bancos) entraram no projeto desde o início. O Nubank veio poucos meses depois.
Lista do Ministério da Justiça e da Segurança Pública mostra que algumas das maiores instituições financeiras do Brasil ainda estão de fora do programa, que permite bloqueio dos apps bancários em caso de furto, roubo ou extravio. É o caso de Agibank, Mercado Pago, InfinitePay, PagBank e Will.
Em nota, o Mercado Pago disse que assinou o compromisso de fazer parte do Programa Celular Seguro, do Governo Federal. “Neste momento, estamos em processo de integração.”
Embora não esteja no Celular Seguro, a InfinitePay afirma que seus clientes podem baixar o aplicativo em um novo dispositivo, fazer a biometria facial e bloquear o acesso ao dispositivo alvo do roubo ou do furto. “Além disso, possuímos canais ágeis de suporte e orientações para situações de emergência.”
O PagBank disse que segue padrões rígidos de segurança. “Como prevenção, dispomos de um fluxo de autenticação e transacional para identificar e barrar transações suspeitas, de forma a bloquear fraudes”.
O Agibank afirma que a adesão ao programa está em análise final pela equipe técnica, e a integração será implementada em breve.
Will Bank diz que avalia constantemente novos programas. “A decisão de aderir é tomada após estudos com o objetivo de garantir que os novos projetos se alinhem e complementem a estratégia de proteção abrangente que o banco já oferece.”
