Prevenção de Fraudes em Pagamentos: O Que Funciona e O Que é Encenação
Dois aplicativos de pagamento, a mesma ameaça, resultados opostos. De um lado, o Cash App, cuja empresa controladora foi condenada a pagar US$ 175 milhões no início de 2025 devido à forma como lidou com reclamações de fraude de clientes. Do outro, o PayPal , que movimentou mais de um trilhão de dólares naquele ano e ainda manteve sua taxa de inadimplência próxima a 0,08% do volume. Ambos enfrentam os mesmos fraudadores, os mesmos cartões roubados, os mesmos roteiros de engenharia social. Então, por que um acabou em um comunicado de imprensa de um órgão regulador e o outro em uma nota de rodapé de uma teleconferência de resultados?
A diferença não está no orçamento. Está nos controles em que cada empresa apostou. A maior parte do que se passa por prevenção de fraudes em pagamentos é teatro: parece tranquilizador, preenche um slide e não impede quase nada. Apenas alguns controles realmente funcionam. PayPal e Cash App são um ótimo exemplo para diferenciar os dois, porque, no caso deles, um órgão regulador fez a avaliação por nós. Este é um guia prático do que funciona e do que falha silenciosamente.
Qual o custo atual da fraude em pagamentos para a economia?
Os números são tão alarmantes que chegam a causar insensibilidade. Os americanos relataram perdas de US$ 12,5 bilhões devido a fraudes em 2024, um aumento de 25% em apenas um ano, segundo a Rede de Proteção ao Consumidor (Consumer Sentinel Network) da Comissão Federal de Comércio (FTC) . A fraude com cartões em todo o mundo atingiu US$ 33,41 bilhões, e os Estados Unidos foram responsáveis por aproximadamente 42% dessas perdas, representando cerca de um quarto do volume global de transações com cartões.
O dado mais útil está escondido sob os totais: onde o dinheiro realmente vaza. Os dois principais métodos de pagamento em termos de perdas relatadas foram transferências bancárias (US$ 2,09 bilhões) e criptomoedas (US$ 1,42 bilhão) — não cartões. Isso não é coincidência. Essas infraestruturas foram construídas para movimentar dinheiro de forma rápida e direta, sem nenhum mecanismo integrado para recuperá-lo. As redes de cartões contam com décadas de mecanismos de resolução de disputas. Transferências entre contas geralmente não possuem nenhum. A fraude segue o caminho de menor reversibilidade.
| Métrica (mais recente) | Figura | Fonte |
|---|---|---|
| Perdas por fraudes relatadas nos EUA, 2024 | US$ 12,5 bilhões (+25% em relação ao ano anterior) | FTC Consumer Sentinel |
| Método com maior prejuízo: transferências bancárias | US$ 2,09 bilhões | FTC, 2024 |
| Perdas com criptomoedas | US$ 1,42 bilhão | FTC, 2024 |
| Perdas globais por fraude com cartões, 2024 | US$ 33,41 bilhões | Relatório Nilson |
| Participação dos EUA no total de fraudes com cartões de crédito em todo o mundo | ~42% (em ~26% do volume) | Relatório Nilson |
Os tipos mais comuns de fraude em pagamentos, classificados por quem paga.
Todos os guias sobre fraudes em pagamentos apresentam a mesma lista genérica com uma dúzia de tipos de ataque. Mais útil é classificá-los por quem realmente sofre o prejuízo, pois é isso que determina se você deve se importar. Os tipos comuns de fraude em pagamentos não distribuem o prejuízo igualmente.
Golpes como o comprometimento de e-mail comercial e os golpes de pagamento autorizado estão no topo da lista, pois enganam a vítima para que ela mesma envie dinheiro, e geralmente a vítima não consegue recuperá-lo. A UK Finance registrou £ 257,5 milhões em fraudes de pagamento autorizado apenas no primeiro semestre de 2025, um aumento de 12% em relação ao ano anterior. Em seguida, vem a apropriação de contas: um fraudador invade uma conta real e a esvazia, o que significa que o legítimo proprietário precisa provar que não foi ele. A fraude com cartões é generalizada, mas, para os consumidores, geralmente é absorvida pela emissora por meio de estornos. Há também a fraude amigável, em que um cliente real contesta uma compra real — estima-se que ela seja responsável por 75% a 79% dos estornos no comércio eletrônico, e o comerciante paga. Golpes com deepfake e clones de voz são a nova ameaça, ainda pequenos em termos de valor monetário, mas crescendo rapidamente. O padrão é simples: quanto menos reversível for o método de pagamento, mais a fraude recai sobre a pessoa menos capaz de absorvê-la.
Cash App: um estudo de caso em teatro de prevenção de fraudes
Se você quiser ver como funciona o teatro da prevenção de fraudes em grande escala, observe o Cash App. Quando os reguladores chegaram, a empresa tinha cerca de 56 milhões de contas ativas e um aplicativo elegante e fácil de usar. O que lhe faltava era a estrutura pouco glamorosa por trás da tela: investigações reais, uma linha telefônica funcional e a menor noção de que uma transferência não autorizada era um problema que a empresa deveria resolver.
O que os reguladores realmente descobriram
Em janeiro de 2025, o Departamento de Proteção Financeira do Consumidor (CFPB, na sigla em inglês) ordenou que a Block, empresa controladora do Cash App, pagasse US$ 175 milhões — US$ 120 milhões devolvidos aos usuários lesados e uma multa de US$ 55 milhões . Vale a pena ler a linguagem com atenção. O CFPB afirmou que a empresa usou "práticas de investigação intencionalmente negligentes" para encerrar denúncias de fraude a seu favor. Os clientes que ligavam para a linha de denúncias de fraudes ouviam uma mensagem gravada e sem resposta; durante anos, não havia atendentes disponíveis. No mesmo mês, uma coalizão de 48 órgãos reguladores estaduais adicionou uma multa separada de US$ 80 milhões por falhas no combate à lavagem de dinheiro. Exposição total: aproximadamente US$ 255 milhões. Nada disso teve a ver com hackers habilidosos. Teve a ver com uma empresa que decidiu que atender o telefone era opcional.
Por que as transferências P2P irreversíveis são a falha estrutural?
Por trás da história da aplicação da lei, existe uma escolha de design. O Cash App transfere dinheiro de conta para conta, como dinheiro vivo. Uma vez que o dinheiro é transferido, não há uma rede de cartões para reverter a transação. Isso funciona bem até que alguém seja enganado ou tenha seu sistema hackeado, e então o modelo "é como dinheiro vivo" se transforma em "você está por sua conta". A lei federal (Regulamento E) exige que bancos e aplicativos de pagamento investiguem transferências eletrônicas não autorizadas e ressarçam os usuários. O que me intriga é a banalidade da falha: não se tratava de uma violação de segurança, mas sim da decisão de tratar as transferências não autorizadas como problema do cliente. O CFPB (Escritório de Proteção Financeira do Consumidor) considerou essa decisão uma violação.
Como funciona, na prática, a detecção de fraudes do PayPal.
O PayPal é o exemplo natural de "o que funciona", mas a versão de marketing está errada. O PayPal não está livre de fraudes, e fingir o contrário esconde a verdadeira lição. Seus próprios registros mostram perdas com transações e crédito de US$ 1,72 bilhão em 2025, um aumento de 19% em relação ao ano anterior. A fraude está viva e bem dentro do PayPal. A diferença está no que acontece a seguir.
Proteção do comprador e do vendedor como camada de reversibilidade
O PayPal incorporou a reversibilidade ao produto para proteger ambos os lados de uma transação. Compras elegíveis contam com a Proteção ao Comprador, e os vendedores têm sua própria cobertura, com um processo de disputas e reclamações adicional. Quando ocorre uma fraude, o sistema geralmente consegue reembolsar o comprador ou reverter a transação, em vez de deixá-lo sem nada. Essa é exatamente a camada de proteção que faltava no Cash App. Ele também é caro, lento e cheio de casos extremos, e o PayPal recebe muitas reclamações a respeito. Mas "um processo de disputa frustrante" e "uma linha telefônica inativa" não são a mesma categoria de falha.
Avaliação de risco por aprendizado de máquina no momento da transação
A segunda camada é a detecção. O PayPal avalia as transações em tempo real com base em centenas de sinais — dispositivo, localização, histórico, velocidade, comportamento — para sinalizar aquelas que parecem suspeitas antes que o dinheiro seja transferido. O resultado principal é uma taxa de perda que se mantém próxima de 0,08% do volume total de pagamentos, perto de uma mínima histórica, mesmo com o aumento das perdas absolutas com a escala. Analisando esses dois números em conjunto, temos a versão honesta: mais volume significa mais dinheiro bruto com fraudes, mas a avaliação adaptativa mantém a taxa baixa. O sistema não é mágico. Ele apenas recebe manutenção.
O que funciona: melhores práticas para reduzir a fraude
Então, o que realmente influencia os números? Se desconsiderarmos as apresentações dos fornecedores, os controles que de fato previnem fraudes são simples e diretos. Eles compartilham uma característica: adaptam-se ou adicionam uma segunda verificação independente, em vez de confiar em uma única verificação estática.
A autenticação multifator (MFA) é o controle de alto impacto mais barato que existe. A Microsoft relatou que a MFA bloqueia mais de 99,9% das tentativas automatizadas de comprometimento de contas e que quase todas as contas comprometidas nunca a haviam ativado. A pontuação de transações por aprendizado de máquina, a identificação de dispositivos e a biometria comportamental detectam padrões que as regras fixas não identificam; um banco relatou uma redução de cerca de 35% nas perdas por fraude após a implementação de análises comportamentais, embora esse número seja fornecido pelo fornecedor e deva ser interpretado como indicativo, não como verdade absoluta. A autenticação forte do cliente por meio do 3-D Secure 2 adiciona uma etapa de verificação aos pagamentos com cartão; ela acarreta um custo de atrito (aproximadamente uma em cada cinco tentativas de autenticação falha), mas transfere a responsabilidade e impede uma parcela significativa do uso de cartões roubados. As verificações de conhecimento do cliente (KYC) no cadastro e nos limites de velocidade completam a lista.
| Controlar | O que isso impede | Evidências | Veredicto |
|---|---|---|---|
| Autenticação multifatorial | Apropriação de conta | Bloqueia mais de 99,9% dos ataques automatizados (Microsoft) | Funciona |
| Aprendizado de Máquina / pontuação comportamental | Transações anômalas | Taxas de perda semelhantes às do PayPal próximas de 0,08% | Funciona |
| 3-D Secure 2 / SCA | Uso de cartão roubado | Transferência de responsabilidade; aproximadamente 1 em cada 5 abandona. | Funciona, com atrito |
| Identificação digital do dispositivo | Golpistas reincidentes | Sinal padrão da indústria | Funciona |
| KYC na integração | Identidades sintéticas | Linha de base regulatória | Funciona |
Teatro da segurança: proteção contra fraudes que falha
Agora, vamos falar dos desperdícios de orçamento, os controles que parecem proteção contra fraudes, mas não oferecem quase nenhuma. As perguntas de segurança são o pior exemplo. As respostas (o nome de solteira da sua mãe, seu primeiro animal de estimação) são fáceis de adivinhar, coletar dados ou serem comprometidas, e o NIST, órgão de padronização dos EUA, agora proíbe formalmente a autenticação baseada em conhecimento como um fator de login válido. Ela não "adiciona uma camada". Ela adiciona uma camada falsa.
Os códigos SMS de uso único são a próxima armadilha. Eles parecem autenticação multifator (MFA), mas dependem de um número de telefone que um invasor pode roubar por meio de uma troca de SIM , que, segundo pesquisas do setor, tem sucesso na primeira tentativa em cerca de 80% dos casos; o FBI registrou aproximadamente US$ 26 milhões em perdas relatadas com trocas de SIM somente em 2024. Há também mecanismos estáticos, baseados apenas em regras, que nunca aprendem, e filas lentas de revisão manual que permitem que fraudes sejam processadas antes mesmo de serem analisadas por um humano. A farsa mais cara de todas é aquela que o Cash App nos ensinou: tornar as transferências irreversíveis por padrão e chamar isso de velocidade. Engenheiros tendem a tratar a reversibilidade como um obstáculo a ser eliminado no projeto. Para a vítima, esse é justamente o objetivo.
Fraude de apropriação de contas: onde os modelos se dividem
A fraude de apropriação de contas é o teste mais claro de todo o argumento, porque ambas as empresas enfrentam o mesmo ataque: um criminoso obtém as credenciais de um usuário real e tenta movimentar o dinheiro. A entrada é a mesma, a saída é muito diferente.
No que diz respeito à prevenção, as medidas estão bem estabelecidas: implementar autenticação multifator (MFA) robusta (e não códigos SMS), monitorar sinais comportamentais em busca de logins que não correspondam ao proprietário e limitar a velocidade de transferências suspeitas. Mas a prevenção sempre apresenta algumas falhas, e a segunda questão é o que acontece quando isso ocorre. O processo de reversibilidade e disputa do PayPal oferece ao usuário afetado um caminho de volta. A postura histórica do Cash App, de que uma transferência não autorizada era problema do usuário, o deixou em uma situação delicada, o que transformou um incidente de segurança em um caso de responsabilização de US$ 175 milhões. A mesma fraude, desfecho oposto, decidido por uma escolha de política em vez de um trecho de código.
| Frente | PayPal | Cash App (antes de 2025) |
|---|---|---|
| Modelo monetário | Revestido com cartão, reversível | De conta para conta, irreversível |
| Quando a fraude acontece | Proteção ao comprador/vendedor, caminho para resolução de disputas | Tratado como problema do usuário |
| Detecção | Avaliação de risco de aprendizado de máquina em tempo real | Limitado, com foco no crescimento. |
| Suporte contra fraudes | Processo de reclamações (lento, mas real) | Linha telefônica inativa há anos |
| Registro regulatório | Taxa de sinistralidade de aproximadamente 0,08% divulgada nos documentos apresentados. | Ordem do CFPB de US$ 175 milhões e multa estadual de US$ 80 milhões |
Como reagir a uma fraude depois que ela acontece?
A detecção é apenas metade do trabalho; a resposta é a outra metade que os reguladores realmente avaliam. Quando uma transferência não autorizada passa despercebida, o padrão legal mínimo para aplicativos de pagamento nos EUA é o Regulamento E: investigar prontamente e ressarcir o usuário integralmente caso a transferência não tenha sido autorizada. Isso significa uma investigação séria, uma pessoa acessível e um prazo determinado. A multa de US$ 175 milhões do Cash App não teve nada a ver com o ataque hacker. O problema foi como a empresa respondeu posteriormente, ou se recusou a responder. Construa a resposta, não apenas a barreira.
Tendências de fraude: para onde caminha a prevenção
A próxima fase é uma corrida armamentista travada com a mesma arma em ambos os lados. A IA generativa está impulsionando o vetor de ataque de crescimento mais rápido: a Deloitte projeta que as perdas com fraudes facilitadas por IA nos EUA aumentarão de US$ 12,3 bilhões em 2023 para cerca de US$ 40 bilhões em 2027, e os golpes impulsionados por deepfakes saltaram para bilhões em 2025, segundo estimativas do setor. A mesma tecnologia também impulsiona a melhor defesa. O Relatório Nilson atribui à IA a produção dos modelos de combate à fraude mais robustos que a indústria de cartões já teve. Quem iterar mais rápido vence a rodada, e é exatamente por isso que as defesas estáticas estão fadadas ao fracasso, enquanto as adaptativas não.
O que isso significa para a prevenção de fraudes em pagamentos?
A lição do PayPal e do Cash App não é "investir mais em tecnologia". Ambos investiram bastante. A aposta vencedora é simples e pouco glamorosa: reversibilidade, responsabilidade e alguns controles que se adaptam em vez de fingir. Fazer teatro é mais barato, até que um órgão regulador coloque um preço de US$ 175 milhões nisso. Portanto, analise seus próprios recursos em comparação com a tabela acima e faça a única pergunta que importa. Se você não consegue reverter uma transferência fraudulenta ou atender o telefone quando um cliente é lesado, você não tem prevenção contra fraudes em pagamentos. Você tem apenas um logotipo.
