Fraudes por trás de estruturas societárias: a vulnerabilidade que ameaça fintechs e marketplaces
A digitalização dos serviços financeiros abriu uma nova era de inclusão e conveniência. Hoje, é possível abrir uma conta PJ em minutos, receber pagamentos via Pix em segundos e integrar maquininhas ou carteiras digitais a qualquer operação. Mas a mesma infraestrutura que impulsionou a inovação também criou um ambiente fértil para fraudes sofisticadas e difíceis de detectar. As fraudes societárias são exemplos claros de como o sistema pode ser explorado a partir das brechas deixadas pela pressa em escalar.
Esses esquemas se apoiam em padrões que exploram os pontos cegos do mercado. Um dos mais críticos é o uso das contas-bolsão, abertas em nome de uma fintech dentro de uma instituição tradicional. Nesse modelo, todas as transações aparecem sob o CNPJ da fintech, e não do cliente final. A consequência é uma camada de abstração que mascara movimentações ilícitas e torna o rastreamento quase impossível.
O mesmo risco se aplica a subadquirentes e intermediários, cuja promessa de velocidade e baixo atrito os torna alvo ideal de fraudadores. A engrenagem se completa com o uso de maquininhas e marketplaces: o criminoso usa uma empresa de fachada para vender produtos (muitas vezes inexistentes) e processa pagamentos com cartões roubados. Quando o dinheiro entra no sistema, ele é “limpo” e legitimado pela operação.
O problema se agrava porque um CNPJ “limpo” é apenas a superfície; a fraude não está no documento, mas na estrutura por trás dele. A análise real de risco exige investigar beneficiários finais, sócios e conexões societárias. Sócios sem histórico compatível, vínculos com CPFs envolvidos em práticas suspeitas ou empresas que mudam subitamente seu quadro societário são sinais claros de alerta. O risco é dinâmico: uma empresa legítima hoje pode se transformar em um instrumento de fraude amanhã, o que exige monitoramento contínuo.
A facilidade para abrir contas PJ, emitir maquininhas e movimentar recursos via Pix é um reflexo direto da natureza inovadora do sistema de pagamentos brasileiro. É um modelo que favorece o crescimento e a competitividade, mas que também reduz as barreiras de entrada para criminosos. As medidas recentes do Banco Central para reforçar a segurança do Pix mostram que há consciência sobre o desafio estrutural, mas a mitigação efetiva à fraude requer mais do que regulação: é preciso inteligência.
As ferramentas tradicionais de Prevenção à Lavagem de Dinheiro e Combate ao Financiamento de Terrorismo foram pensadas para um mundo de verificações pontuais e processos lentos. Elas não acompanham a velocidade das fraudes nem conseguem cruzar informações em tempo real. A verdadeira solução está em transformar a verificação de identidade em um processo contínuo, que combine automação, análise de risco e autenticação biométrica.
Em um fluxo de verificação PJ adequado ao cenário atual, a análise não se limita ao CNPJ. Ela percorre todas as camadas da empresa, desde o mapeamento do quadro societário até o cruzamento de dados em listas restritivas, processos judiciais e mídias negativas. A checagem também se estende aos sócios, com verificação de identidade e antecedentes, garantindo que o indivíduo por trás da empresa é, de fato, quem diz ser.
Essa capacidade de cruzar informações de múltiplas fontes — verificando tanto a estrutura societária em bureaus de dados quanto a identidade real dos sócios com biometria — é o que se torna decisivo para barrar fraudes complexas, que vão de empresas de fachada a ataques de deepfakes. A verificação holística não apenas impede que criminosos usem identidades falsas, mas também fortalece o compliance de instituições financeiras e marketplaces que dependem da confiabilidade de suas redes de parceiros e vendedores.
O desafio da “legitimidade aparente” de um CNPJ é respondido com o conceito de fricção inteligente. Ao invés de submeter todos os perfis ao mesmo processo, a verificação se adapta ao risco: um microempreendedor individual pode ter um cadastro rápido e simples, enquanto uma empresa que solicita crédito passa por uma análise profunda de toda a sua estrutura. Esse equilíbrio entre agilidade e rigor é o que permite que a inovação avance com segurança, transformando o que era uma brecha de fraude em uma vantagem competitiva.
Meios de pagamento, adquirentes e provedores de BaaS podem se proteger construindo camadas automatizadas de defesa, baseadas em três pilares: onboarding inteligente, autenticação contínua e monitoramento proativo. É possível verificar a identidade de PJs e PFs em minutos, reutilizar a biometria para confirmar transações críticas e criar fluxos de verificação que se ajustam automaticamente ao nível de risco. O resultado é um ecossistema mais seguro, em que a inovação continua avançando, mas com a segurança como fundamento, e não como remendo.
A fraude corporativa deixou de ser um problema pontual para se tornar um desafio sistêmico. Fintechs e marketplaces que não tratarem a verificação de PJs como um processo estratégico estarão sempre um passo atrás dos criminosos. A sofisticação das fraudes exige soluções igualmente sofisticadas — e a única forma de desbloquear o crescimento com confiança é olhar além da fachada do CNPJ e enxergar, de fato, quem está por trás dele.
Por Marcos Mossa, VP de Go-To-Market da idwall
Clique e fale com representante Sophos
Veja também:
- Netskope divulga previsões de cibersegurança para 2026
- Mais de 2 milhões de ativos expostos na Internet
- Mais de 50% dos ativos externos corporativos não possuem proteção WAF
- Vulnerabilidade de injeção de SQL no Django
- Vulnerabilidade do Apache Tomcat
- Sophos acelera crescimento e liderança na América Latina
- Vulnerabilidade crítica de upload de arquivos não autenticado no DNN (DotNetNuke)
- Novidades do CyCognito: melhorias na plataforma em outubro de 2025
- Black Friday multiplica pontos cegos de segurança
- Escalada crítica de privilégios SCIM no Grafana Enterprise
- Pesquisadores invadem memórias do ChatGPT e recursos de busca na web.
- OWASP Top 10: Controle de acesso falho ainda encabeça a lista de segurança de aplicativos
Be the first to comment