Open Finance e dados financeiros

Open Finance e fraudes: o que fintechs

Por · · 4 min de leitura
Open Finance e fraudes: o que fintechs

Uma pesquisa recente divulgada pela InfoMoney revelou que golpes com temática futebolística atingiram aproximadamente 30% dos torcedores brasileiros. Os esquemas vão de sites falsos de apostas esportivas a links fraudulentos enviados por aplicativos de mensagens, passando por perfis falsos de clubes e jogadores em redes sociais.

O dado chama atenção não apenas pelo volume de vítimas, mas pelo vetor de ataque predominante: a exploração de dados financeiros previamente compartilhados em plataformas digitais. Em muitos casos relatados, os golpistas já tinham acesso a informações bancárias básicas das vítimas antes do contato inicial, o que aumenta a credibilidade do golpe e reduz a resistência do usuário.

Esse cenário coloca o Open Finance no centro do debate. O sistema, regulado pelo Banco Central do Brasil, permite o compartilhamento padronizado de dados financeiros entre instituições autorizadas. Mas o que acontece quando esses dados saem do ambiente controlado? Quem responde? É exatamente essa pergunta que fintechs, bancos digitais e gestores de compliance precisam saber responder.

Contexto jurídico e regulatório

Open Finance: consentimento não é carta branca

O Open Finance brasileiro é regulado pelo Banco Central por meio da Resolução Conjunta n.º 1, de 2020, e suas normas complementares. O sistema exige que o compartilhamento de dados ocorra apenas com consentimento explícito, específico e revogável do titular. Mas consentimento não elimina responsabilidade das instituições participantes.

A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018, a LGPD) é clara ao estabelecer que tanto o controlador quanto o operador de dados respondem solidariamente por incidentes de segurança que causem danos ao titular. No contexto do Open Finance, a instituição receptora dos dados assume a posição de controladora assim que os dados chegam em seu ambiente, independentemente de quem os coletou originalmente.

O artigo 46 da LGPD determina que os agentes de tratamento devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados de acessos não autorizados. A Autoridade Nacional de Proteção de Dados (ANPD) já deixou claro, em seus guias orientativos publicados entre 2022 e 2024, que "apto" significa comprovável, documentado e revisado periodicamente.

Há ainda a Resolução BCB n.º 32, de 2020, que trata especificamente da segurança cibernética no âmbito do Open Finance. Ela exige plano de resposta a incidentes, registro de logs de acesso e relatórios periódicos ao Banco Central. Fintechs que operam como instituições de pagamento ou como participantes do Open Finance estão sujeitas a penalidades administrativas que podem chegar à cassação da autorização de funcionamento em casos de reincidência ou omissão grave.

Impacto prático

Para fintechs, o crescimento de fraudes que exploram dados financeiros representa um risco triplo: regulatório, reputacional e contábil. Do ponto de vista contábil, incidentes de segurança que resultem em ações judiciais ou multas administrativas precisam ser provisionados nas demonstrações financeiras assim que a obrigação se torna provável e estimável, conforme o CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes).

Na prática, isso significa que um incidente identificado em maio de 2026 mas não provisionado no balanço do mesmo período pode gerar questionamentos de auditores e, dependendo da materialidade, retrabalho nas demonstrações. Startups em processo de captação ou due diligence precisam ter atenção redobrada: investidores e acquirers verificam o histórico de incidentes e a qualidade dos controles internos antes de fechar qualquer negócio.

O impacto operacional também é relevante. Fintechs que atuam no ecossistema de apostas esportivas regulamentadas, ou que oferecem contas digitais para esse público, precisam revisar seus fluxos de onboarding, autenticação e compartilhamento de dados via Open Finance. A Portaria SPA/MF n.º 827, de 2023, e as normas da Secretaria de Prêmios e Apostas estabelecem requisitos de prevenção a fraudes específicos para esse segmento, que se somam às exigências do Banco Central e da ANPD.

Considerações finais

O crescimento de golpes que exploram dados financeiros não é um problema exclusivo do setor de apostas. É um sintoma de um ecossistema digital que expandiu a velocidade de compartilhamento de informações sem expandir na mesma proporção a maturidade dos controles de segurança. Para fintechs, o momento é de revisão estruturada: mapear fluxos de dados no Open Finance, testar controles de autenticação e garantir que os contratos com parceiros e operadores de dados estejam alinhados às exigências da LGPD e das normas do Banco Central.

Ignorar esse ciclo não é apenas um risco jurídico. É um risco de negócio. Usuários que perdem dinheiro em fraudes raramente distinguem entre a plataforma que os originou e a fintech que apenas processou o pagamento. A responsabilidade percebida, mesmo quando não é a responsabilidade legal, tem custo real para marcas e carteiras de clientes.

Perguntas frequentes

Minha fintech é responsável se um dado compartilhado via Open Finance for usado em fraude?

Depende do papel que sua fintech ocupa no fluxo. Se ela é a instituição receptora dos dados, assume a posição de controladora e responde pelos tratamentos realizados em seu ambiente. A LGPD prevê responsabilidade solidária entre controlador e operador em casos de dano ao titular, e o Banco Central pode aplicar sanções administrativas independentemente da responsabilidade civil.

Quais normas do Banco Central se aplicam à segurança de dados no Open Finance?

As principais referências são a Resolução Conjunta n.º 1/2020, que estrutura o Open Finance, e a Resolução BCB n.º 32/2020, que trata de segurança cibernética para participantes do sistema. Ambas exigem plano de resposta a incidentes, controle de acesso, registro de logs e reporte ao Banco Central em casos de incidentes relevantes.

Como provisionar contabilmente o risco de multa por incidente de dados?

Pelo CPC 25, uma provisão deve ser reconhecida quando existe uma obrigação presente (legal ou construtiva), é provável que recursos sejam exigidos para liquidá-la e o valor pode ser estimado com confiabilidade. Assim que um incidente for identificado e houver indicação de que penalidades ou ações judiciais são prováveis, a provisão deve ser registrada no mesmo período contábil.

Fintechs que operam no setor de apostas esportivas têm obrigações adicionais de segurança?

Sim. Além das normas do Banco Central e da LGPD, fintechs que prestam serviços a operadoras de apostas regulamentadas precisam observar a Portaria SPA/MF n.º 827/2023 e as normas da Secretaria de Prêmios e Apostas, que incluem requisitos específicos de prevenção a fraudes, verificação de identidade e controle de transações suspeitas.

O consentimento do usuário no Open Finance protege a fintech de responsabilidades em caso de fraude?

Não de forma ampla. O consentimento autoriza o compartilhamento, mas não isenta a fintech de sua obrigação de proteger os dados depois que os recebe. A LGPD exige medidas técnicas e administrativas adequadas durante todo o ciclo de tratamento, e a ausência dessas medidas pode gerar responsabilidade civil e administrativa mesmo quando o consentimento foi obtido corretamente.
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.