Contas laranja: a bola da vez na prevenção a fraudes Featured Image

Contas laranja: a bola da vez na prevenção a fraudes

O Banco Central do Brasil sinaliza que deve responsabilizar instituições que tiverem contas laranja como destino de valores oriundos de fraude. Fintechs e bancos correm contra o tempo para se adequarem à nova regulação.

Este artigo foi coberto pelo portal Olhar Digital em 16/11/2022.

 

O crescente desafio de contas laranja 

Apenas 5% dos valores perdidos em golpes virtuais são recuperados atualmente, segundo a Folha de São Paulo. E o grande desafio em rastrear e recuperar esses valores está no fato de os criminosos usarem centenas de milhares de contas laranja, em diversas instituições financeiras, para espalhar o dinheiro e torná-lo irrastreável em questão de minutos. 

Além disso, o Mecanismo Especial de Devolução do PIX, o MED, não obriga que a instituição recebedora faça o ressarcimento do valor recebido, caso este valor não esteja mais dentro desta instituição, o que se aplica à maioria dos casos - ficando, assim, o prejuízo restrito à instituição de origem ou ao próprio cliente vítima do golpe.

Fato é que a criação e operação massiva de contas laranja se tornou uma indústria lucrativa para os fraudadores. Uma busca rápida na Deep Web e em grupos de aplicativos de mensagens basta para encontrar uma vasta oferta de contas laranja, em dezenas de instituições financeiras, sendo comercializadas por preços que variam entre R$ 50 e R$ 500. Estes valores podem acabar sendo atrativos também para pessoas que os vêem como oportunidade de ganhar dinheiro sem, muitas vezes, entender que ter uma conta falsa em seu nome é parte de um esquema fraudulento.

As ações do BACEN e suas implicações

O cenário de tranquilidade para as instituições que hoje não têm obrigação de ressarcir os valores reivindicados por meio do MED parece estar com os dias contados. Com a escalada das fraudes digitais, a popularização do dinheiro como ativo virtual e grandes operações contra esquemas de lavagem de dinheiro, o Banco Central, através do seu presidente Roberto Campos Neto, declarou recentemente que pretende responsabilizar também as instituições financeiras que forem usadas para receber dinheiro ilícito por meio de contas laranja, segundo a InfoMoney. O cenário de não ter que ressarcir a instituição pagadora se os valores não estiverem mais em seu sistema tomará a forma de grandes prejuízos financeiros e mesmo reputacionais de curto prazo para bancos e fintechs.

 

Modus Operandi


O modus operandi para operações de contas laranja consiste em 2 pilares:

O primeiro passa pela criação massiva de contas em instituições financeiras, bancos e fintechs que possuem um processo de onboarding frágil. Os criminosos, de posse de uma infinidade de dados e informações pessoais vazadas, usam dispositivos e fazendas de fraude, locais que concentram estruturas - tecnológica, de sistemas e de indivíduos - para realização de fraudes, como no caso de abertura ou invasão de contas em escala e outro. Com isso, os dispositivos são usados para uma criação massiva de contas em nomes de terceiros, que muitas vezes só tomam conhecimento de que tiveram suas informações usadas ilicitamente quando são posteriormente negativadas, quando tomam. Se a conta for usada para esquemas de lavagem de dinheiro, é possível que o titular dos dados nunca saiba que seu nome está sendo usado.

Aqui na Incognia é comum identificarmos e bloquearmos dispositivos abrindo centenas de contas em um curto período de tempo. Recentemente, atingimos em conjunto com um banco digital, o patamar de 95% de redução as fraudes de identidade no onboarding do seu aplicativo com a solução de inteligência de dispositivos da Incognia. Ao proteger o momento de abertura de contas, que é um momento crucial para bancos e instituições financeiras, novas regras foram construídas para bloqueio de casos de fraude originárias de comportamentos similares e sistemáticos e de tentativas de fraude de identidade com o objetivo de burlar o processo de verificação de identidade por diferentes métodos.

Os crescentes investimentos em tecnologias de device fingerprint e documentoscopia, por exemplo, fizeram com que essa modalidade fosse reduzida significativamente. Mas, as estratégias de fraude acabam migrando até encontrarem ambientes favoráveis ao seu sucesso.

O segundo pilar das grandes operações de contas laranja está no aliciamento e repasse, configurando-se como um enorme desafio na estratégia de prevenção. Isso se deve ao fato de as camadas atuais de segurança terem pouca ou nenhuma efetividade para realizar este bloqueio, já que há um repasse consentido pelos usuários legítimos dessas contas aos destinos finais definidos pelos fraudadores. Neste caso, é ainda mais desafiador, pois todo o processo de onboarding é legítimo. A criação de conta ocorre a partir de documentos, informações e titulares legítimos. O problema passa do onboarding para o transacional, dado que os criminosos vêm conseguindo comprar essas contas através do contato direto com os titulares, tornando-as receptáculos de transações ilícitas.

 

Como resolver


Com a intenção do BACEN de responsabilizar as instituições que forem usadas para operações de contas laranja, fintechs e bancos agora correm para auditar, prevenir e reprimir esse tipo de fraude, seja no momento de abertura de conta, seja prevenindo que transações fraudulentas ocorram.

O uso da tecnologia é essencial para acompanhar a constante evolução das técnicas de fraude e impedi-las antes mesmo que ocorram. No caso da Incognia, cuja tecnologia apresenta alto nível de precisão e efetividade, suas soluções endereçam os desafios das contas laranja de duas formas: a primeira delas é a partir da identificação dos padrões anômalos de localização, associados à abertura ou operação sistemática de contas. Ou seja, criação ou invasão de contas em massa. E a segunda é através da validação dinâmica e contínua do comportamento dos dispositivos móveis. Mudanças no comportamento padrão do dispositivo, não condizentes com o comportamento padrão do usuário, frequentemente indicam que um indivíduo diferente do dono da conta está de posse desta. 

Soluções que se baseiam em dados dinâmicos e que não dependem exclusivamente de informações estáticas dos usuários são chave para identificar e combater essas fraudes que, além de complexas, causam não somente prejuízos financeiros, mas também podem oferecer riscos aos usuários que optam por fazer parte destes esquemas, frequentemente sem conhecê-los por completo.