Um guia para entender

e conter a crescente
ameaça ao setor financeiro

Laranjas
Contas
INT RO DU ÇÃO

Destinadas a diminuir a possibilidade de rastreio de transferências de fundos ilícitos e burlar

as regras de sistemas financeiros, as contas laranjas cresceram exponencialmente no Brasil e
no mundo nos últimos anos, causando um prejuízo incalculável à economia global.

Lavagem de dinheiro, corrupção, sonegação de impostos e ocultação de bens são algumas

das práticas mais comuns que envolvem laranjas. Os criminosos não são somente atraídos
por estas atividades ilegais com enorme potencial de ganhos, mas também pela dificuldade
de detecção deste tipo de conta.

O avanço do golpe tem inclusive gerado discussões e até novas regulamentações acerca do
papel e da responsabilidade das instituições bancárias e financeiras em relação aos valores
exorbitantes que envolvem estas contas - um movimento, importante ressaltar, que não
acontece apenas no Brasil.

Prova disso é que as contas laranjas (em inglês definidas pelos termos “mule account” ou
“money mule”) foram apontadas como a maior ameaça de fraude às instituições financeiras
atualmente - segundo uma pesquisa que ouviu líderes do setor ao redor do mundo -,
superando golpes relacionados a pagamentos e roubos de identidade.
 53% dos líderes de prevenção à fraude apontam a conta laranja como maior ameaça.

Fonte: Fraud Insights Report 2023, da Nice Actimize

Alguns casos chamam atenção. Nos Estados Unidos, por exemplo,

as chamadas IFs (financial institutions) tiveram que se adequar
a novas regulamentações do governo depois que criminosos
usaram suas infraestruturas para fraudar a Lei de Ajuda, Socorro
e Segurança Econômica (CARES, na sigla em inglês).

O prejuízo, de acordo com o serviço secreto do país, alcançou a

cifra de US$ 1 bilhão - e a criação de contas laranjas foi a principal
forma usada pelos golpistas para desviar o dinheiro originalmente
destinado a auxiliar contribuintes em meio à crise econômica
causada pela pandemia da Covid-19.

Já no Brasil, o PIX e a consequente facilidade de realizar transferências financeiras oferecida pelo sistema
de pagamento instantâneo acabou se tornando o estopim para a disparada de casos envolvendo contas
laranjas e lavagem de dinheiro nos últimos anos.

Lançado em outubro de 2020, o PIX já é o meio de pagamento mais usado no país, segundo o Banco
Central, que também afirma que as transações pelo sistema alcançaram um volume financeiro de R$ 10,9
trilhões em 2022, mais do que o dobro do valor registrado em 2021.
O problema é que a praticidade, velocidade e disponibilidade integral do PIX
não só atraíram os usuários legítimos, mas também os fraudadores.

Participação Percentual Por Instrumento

Quantidade de transações (mil)

PIX Cartão de Crédito

Cartão de Débito Boleto + Convênio

40
Quantidade de transações (mil)

30

Fonte: Banco Central do Brasil

20

10

0
2019 - TI

2019 - T2

2019 - T3

2019 - T4

2020 - TI

2020 - T2

2020 - T3

2020 - T4

2021 - TI

2021 - T2

2021 - T3

2021 - T4

2022 - TI

2022- T2

2022 - T3

2022- T4
Q UA I S S ÃO OS R ISCOS DAS CO NTAS L ARANJAS À SUA OPER AÇÃO?

Riscos regulamentares

Na tentativa de prevenir crimes bancários e financeiros

e aumentar a segurança do PIX, o Banco Central pretende criar
uma nova regulação que responsabilize instituições que tiverem
contas laranjas como destino de valores oriundos de fraude.

Atualmente, a instituição financeira que recebe um valor via PIX

não é obrigada a fazer um eventual ressarcimento se este valor não
estiver mais dentro da instituição - o que acontece na
maior parte dos casos de laranjas, que movimentam o dinheiro
rapidamente. Por isso, bancos e fintechs precisam se apressar
para se adequar à provável nova regra.

“ Estamos apertando o máximo possível para que os bancos não tenham

capacidade de ser hospedeiro de conta laranja ou intermediária. Inclusive,
estamos começando a fazer um processo em que os bancos serão
responsabilizados se for feita uma fraude de PIX e eles tiverem uma conta
“
laranja.

Roberto Campos Neto, presidente do Banco Central, em declaração

durante audiência pública na Comissão de Defesa do Consumidor da Câmara dos Deputados
 Impacto financeiro

Independentemente da responsabilidade das empresas

envolvidas nas transações - e possíveis punições de órgãos
regulatórios e prejuízos com ressarcimentos -, hospedar uma
conta laranja não é nada lucrativo a qualquer instituição
financeira.

Em primeiro lugar, essa conta demanda algum tipo de custo no

processo de abertura e de manutenção. Em segundo, o tempo
médio de uso é bem menor do que uma conta legítima - em
média elas já ficam sem saldo depois de 45 dias, segundo o estudo
da Nice Actimize.

O dono de uma conta laranja

nada mais é do que um “falso cliente”.

Dano à reputação

Operações de órgãos como a Polícia Federal e o Ministério Público contra laranjas e crimes de lavagem
de dinheiro têm sido comuns nos últimos meses no Brasil, estampando o noticiário e chamando a
atenção da população em geral.

Evidentemente que nenhuma instituição financeira quer ser conhecida por não evitar ou, em alguns
casos, até encorajar atividades ilícitas que servem para desviar milhões de reais. Portanto, o prejuízo da
conta laranja também se relaciona à imagem das empresas.
P O R Q U E D E T ECTAR U M A CO NTA L ARANJA É TÃO CO MPLEXO?

No caso da conta laranja, nem sempre

o cliente da instituição financeira é uma
vítima de fraude.

Ao contrário: diferentemente de outros golpes como account

takeover ou criação de contas falsas, muitas vezes ele se torna um
cúmplice da atividade criminosa.

Um cliente de uma determinada instituição financeira pode, por exemplo, aceitar “emprestar” ou “alugar”
a sua conta ativa ao laranja em troca de uma quantia ou de parte dos lucros das transações. Há também
pessoas que aceitam vender seus dados a terceiros para a abertura de novas contas. Nos dois cenários, muitos
nem desconfiam que estão fazendo algo ilegal.

Nestes casos em que usuários legítimos auxiliam - de forma deliberada ou não - a prática criminosa, a
checagem a partir de dados estáticos (como nome, CPF e e-mail) fica comprometida, assim como monitorar
apenas o comportamento de geolocalização (afinal, seguindo essa lógica, o usuário deveria estar em casa).

Portanto, identificar eventuais comportamentos anômalos e suspeitos

de um cliente já cadastrado ou mesmo de um novo usuário cujos
dados são - num primeiro momento - de fato legítimos se torna um
enorme desafio.
 Vale ressaltar que os laranjas não apostam apenas na cumplicidade
ou ingenuidade de algum cliente de um determinado banco.

Vazamentos e roubos de dados também

são uma fonte de criação das contas, além
do aliciamento de terceiros.

Para completar, a pandemia agravou o cenário - como inclusive vimos no episódio norte-americano
que abordamos na introdução.

Diante da maior digitalização da sociedade e da crise financeira provocadas pela Covid, muitas
IFs ao redor do mundo facilitaram o processo de obtenção de empréstimos ou simplificaram as
verificações de crédito provisórias, o que lamentavelmente também foi explorado pelos fraudadores.

Diante de tamanha complexidade, a busca por atividades

incomuns em contas inativas ou não utilizadas pode ser
insuficiente quando se trata de detectar contas laranjas.

O modelo deve considerar muitos fatores, incluindo atividades monetárias e não monetárias,
lembrando que na maioria dos casos os golpistas transferem o dinheiro para não correntistas da
instituição financeira, o que dificulta a rastreabilidade.
CO MO A S I N ST I TU IÇÕE S FINANC E IRAS PO DE M SE PROT EGER?

Antes de mais nada, é preciso reforçar

que não existe bala de prata ou receita
pronta contra a fraude - ainda mais num
cenário tão complexo quanto o que
envolve as contas laranjas e os crimes
a elas relacionados.

Além disso, a melhor estratégia que uma empresa de

crédito adota para detectar o golpe não necessariamente
será a melhor para uma empresa de investimento, de
financiamento, uma fintech, um banco tradicional, etc.

Até instituições com a mesma área de atuação possuem

diferentes maneiras de reduzir as perdas com laranjas.

Ninguém melhor que as próprias empresas para detectar onde está o problema.
Cabe também à plataforma de segurança externa entender este cenário e atuar em parceria com
as instituições, elaborando uma estratégia de acordo com o modelo de negócio do cliente, sua
operação e seu apetite a mais ou menos risco.

Isso posto, há de forma geral algumas ações que ajudam a prevenir e detectar contas laranjas.
Uma delas é que as instituições financeiras contem com camadas que identifiquem padrões
associados a esta atividade fraudulenta em diversos pontos da jornada do usuário.
Não seria eficaz, por exemplo, concentrar o foco apenas na etapa do onboarding - quando o usuário
está mais disposto a passar por mecanismos de verificação. Basta lembrar que laranjas “compram”
dados legítimos ou até mesmo usam uma conta já cadastrada por outro cliente.

O monitoramento de atividades suspeitas, portanto,

deve continuar nas etapas de login e transação.

A análise do comportamento do usuário e do contexto

de uso do seu dispositivo é uma maneira eficiente de
construir esta visão holística da transação.

A partir desta análise é possível identificar se um usuário abriu uma conta e rapidamente tentou:

movimentar valores expressivos; se houve mudança abrupta na geolocalização;

se no dia seguinte já solicitou um se há abertura de diversas contas a

empréstimo; partir de um mesmo device compartilhado,

dentre outros muitos indícios de atividades de um laranja.

Detecção de conta laranja
nas etapas da jornada do usuário:
ESTRATÉGIA
É necessário entender o modelo
de negócio da instituição
financeira para saber como
mitigar conta laranja.
Objetivos gerais:
Evitar prejuízos financeiros, riscos
regulatórios, danos á reputação
da empresa e maior segurança da
sociedade em geral.
Como fazer:
Professional services dedicado
para a estruturação da melhor
jornada em parceria com o cliente
e sua estratégia
Entendimento do apetite de risco
Regras customizáveis por fluxo de
negócios
Transparência nos dados
Prevenção à conta laranja somente
no onboarding não basta mais,
é importante que a análise seja
feita em outras jornadas
ONBOARDING
Etapa na qual o usuário
está mais disposto a passar por
mecanismos de verificação.
Objetivo:
Evitar criação de contas
falsas a partir de dados vazados
ou de dados fornecidos
coniventemente.
Como analisar:
Análise de dispositivo (device ID,
detecção de jailbreak/root,
proxy/VPN e emuladores)
Biometria Facial (liveness passivo
e ativo, bureau de faces)
Email vazado, bloquado ou
descartável?
IP TOR, em blocklist ou
comprometido?
LOGIN TRANSAÇÃO
Para que a prevenção
Etapa na qual os de conta laranja seja completa
fraudadores já estão em posse da e eficiente, é necessário olhar
conta laranja. também para a etapa na qual o crime
é efetivamente consumado.
Objetivos: Objetivo:
Monitorar atividades suspeitas Evitar o crime de lavagem
e identificar que se trata de uma de dinheiro.
conta laranja.
Como analisar: Como analisar:
Mais de um usuário no mesmo Efeito Rede (compartilhamento
device? de informações danosas às IFs)
Alta velocidade entre transações? Todas as análises das jornadas
anteriores (onboarding e login)
Rápida mudança na
geolocalização? Qual valor transacionado?
Alta velocidade na troca de Qual a idade da conta?
device?
Novo destinatário?
MFA (múltiplo fator de
autenticação) Security by Design
Threat Intel
Caso real: cooptação de pessoas

Um esquema de abertura de contas laranjas em um banco

digital cooptou em apenas um dia 43 pessoas, incluindo
menores de idade.

Por se tratarem de rostos ao vivo, a etapa de liveness foi

ultrapassada - e a fraude só foi detectada a partir do bureau
de faces, que identificou que as faces não pertenciam ao
CPF a elas associado.

Neste caso, a análise do dispositivo poderia tornar estas validações desnecessárias,

uma vez que rapidamente identificaria que as 43 contas foram abertas a partir do mesmo
device (um comportamento completamente fora do padrão).

Além disso, a análise do dispositivo também

otimizaria custos se usada como primeira etapa
dentro de um fluxo de proteção em camadas.

O contexto de uso do dispositivo e o comportamento do usuário já teriam informações suficientes para

recomendar que o onboarding não continuasse - e a validação do bureau de faces, que custa muito
mais caro na jornada de prevenção, sequer precisaria ser acionada.

Como referência, quando analisamos a representatividade de soluções de prevenção à fraude no custo

de aquisição de um cliente num fluxo de onboarding dentro de uma jornada de abertura de contas, o
bureau de faces equivale a 90% do preço final, contra apenas 3% da análise de device.
Com o device no centro da análise,
o AllowMe oferece uma solução completa,
customizável e com diversas camadas de
proteção para detectar contas laranjas,
e as recomendações são dadas antes que
a transação seja efetivada.

O AllowMe também conta com a inteligência do efeito rede. Isso significa que se
a nossa plataforma registra um device suspeito tentando fraudar um cliente, essa
informação é registrada de forma anonimizada e compartilhada com todos os demais
clientes, o que previne fraudes e aumenta a chance de rastreabilidade.

Dois dados que comprovam esta eficácia:

com o efeito rede, os setores de investimentos e de fintechs detectaram, respectivamente:

de tentativas de fraude a mais do

99% e 83% que teriam detectado usando somente
as próprias blocklists em 2022.
Sobre
o AllowMe
Ajudamos as empresas a protegerem as identidades digitais de seus legítimos clientes através
de uma plataforma completa de prevenção a fraudes.

Impulsionamos, através da nossa cultura Security by Design, a transformação

da AllowMe na plataforma mais confiável do mercado, que protege dados valiosos e a reputação
de negócios inovadores.

Facilitamos assim tomadas de decisões mais rápidas e precisas, otimizando fluxos para escalar
negócios de forma sustentável.

Quer conversar com a gente sobre o conteúdo do ebook ou entender como o

AllowMe pode otimizar sua operação de prevenção à fraude?

Envie uma mensagem para contato@allowme.com.br

E X P E D I E N T E

Coordenação do projeto
Diana Herrera
Rafaella Argenton

Redação e revisão
Eduardo Carneiro

Consultoria técnica
Fernando Guariento
Gabriel Glisson
Pamella Prevedel

Design
Glória Miskolczy

Comunicação
Fabiane Cruz
Natalia López

Direção AllowMe
Gustavo Monteiro
Lívia Soares