Fintechs, Proteção de Dados

Golpe Digital em Fintechs: O Guia Prático de Resposta a Incidentes para Empreendedores

Escrito por Ketlen Gomes, advogada especialista em regulatório para fintechs e empresas do setor financeiro na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 29/06/2026

O pesadelo de qualquer fundador, diretor de operações ou CTO no setor financeiro geralmente começa com um alerta atípico fora do horário comercial. Pode ser um pico repentino de transações não reconhecidas via API, ou uma enxurrada de chamados no suporte relatando contas esvaziadas. Quando a sua empresa sofre, ou é usada como veículo, para fraudes, a velocidade e a precisão da sua reação ditam o tamanho do prejuízo financeiro e reputacional.

No Brasil, a sofisticação das fraudes financeiras escala na mesma proporção em que o mercado adota novas tecnologias. O que poucos percebem é que a diferença entre uma crise superada com resiliência e uma sanção regulatória paralisante reside na tomada de decisões rápidas e eficientes para estancar o prejuízo e o cumprimento das obrigações da empresa.

Se você está lendo este artigo com a urgência de uma crise em andamento, ou com a visão estratégica de blindar sua operação para o futuro, o objetivo aqui é ser um mapa tático. Vamos destrinchar exatamente o que fazer se a sua fintech foi alvo de golpe digital, acionar a cadeia de parceiros e cumprir as rigorosas exigências da lei sem travar o seu negócio.

O mapa da fraude: Os golpes mais comuns no ecossistema financeiro

Para facilitar o diagnóstico rápido pelo seu time de operações, mapeamos as tipologias de fraude mais incidentes no mercado brasileiro atual, a partir da Cartilha de Prevenção elaborada pela Polícia Civil de São Paulo. Compreender a mecânica do ataque é o primeiro passo para a contenção.

Tipo de fraude / Crime CibernéticoMecânica e execução na práticaImpacto e consequências principais
Clonagem de WhatsAppO golpista finge ser suporte ou banco, solicita o código de verificação por SMS, clona o aplicativo e passa a pedir transferências financeiras aos contatos da vítima.Esvaziamento financeiro da rede de contatos e necessidade de acionamento rápido de bloqueios bancários.
Boleto FalsoAtravés de links falsos ou engenharia social, o criminoso altera o código de barras de uma cobrança para que o pagamento caia na conta de um “laranja”.A vítima paga por um produto/serviço, o vendedor legítimo não recebe e o dinheiro é desviado.
Fraudes Bancárias (Falso funcionário, Motoboy, Phishing)Uso de mensagens emocionais, links falsos ou falsas centrais de atendimento para induzir a vítima a fornecer senhas, dados da conta ou entregar o cartão físico.Realização de transações espúrias e roubo de credenciais, muitas vezes responsabilizando a plataforma financeira.
Sites de E-commerce FraudulentosCriação de páginas com design e URLs quase idênticos aos de grandes varejistas, oferecendo produtos com valores muito abaixo do mercado.A vítima realiza o pagamento e não recebe a mercadoria; a marca verdadeira sofre danos reputacionais.
Falso Leilão ou Falso EmpréstimoSimulação de leilão online (geralmente de veículos). A vítima recebe um termo de arrematação falso e é induzida a transferir o valor do suposto lance vencedor.Perda do valor transferido sem qualquer chance de contato posterior com a falsa empresa.
Ransomware (Sequestro de dados)Invasão do dispositivo (geralmente de madrugada) para instalar vírus que criptografa os arquivos. O criminoso exige pagamento de resgate, geralmente em criptomoedas.Perda total ou bloqueio crítico de dados operacionais e sensíveis da vítima ou da empresa atacada.
Golpe do Amor / Don JuanGolpistas criam perfis falsos em sites de relacionamento, seduzem a vítima e depois pedem dinheiro emprestado (ex: para passagens) ou pagamento de falsas taxas alfandegárias.Prejuízo financeiro direto somado a danos emocionais e exploração da confiança pessoal da vítima.
SextorsãoObtenção de fotos ou vídeos íntimos (via invasão, chantagem ou envio consentido no início) e posterior exigência de dinheiro para não vazar o conteúdo na internet.Extorsão financeira contínua e risco de consequências psicológicas extremas para a vítima.
Golpes envolvendo o PixUso de aplicativos desconhecidos ou artifícios sociais (como falsas centrais do Bacen) para burlar o consentimento do cliente e efetivar transações em tempo real.Transferência imediata e irreversível (se não bloqueada a tempo) de valores para contas de criminosos.

Para mais informações sobre golpes digitais recorrentes e formas de proteção, consulte as cartilhas de prevenção elaboradas pela Polícia Civil!

Golpe vs. Incidente de Segurança

Na prática, toda fraude digital é considerada um incidente de segurança. Afinal, trata-se de um evento adverso e confirmado que resulta na violação da confidencialidade, da integridade ou da disponibilidade da segurança de informações da empresa. No entanto, precisamos verificar se esse incidente de segurança envolveu ou não o acesso indevido a dados pessoais.

Dado pessoal é legalmente definido como toda e qualquer informação relacionada a uma pessoa natural que a identifique diretamente ou a torne identificável. Por outro lado, se a violação comprometer a operação sem expor as informações dos titulares, o plano de contenção foca na recuperação técnica e obrigações regulatórias do ecossistema financeiro, mas não envolverá, necessariamente, a ANPD ou a LGPD. No entanto, se o incidente de segurança atingir dados pessoais – como cadastros, senhas ou biometria -, a legislação traz obrigações relacionadas à confidencialidade e garantia de privacidade, escalando a prestação de contas para a esfera da Agência Nacional de Proteção de Dados (ANPD).

Além disso, o Poder Judiciário brasileiro atua com extremo rigor sobre o setor financeiro nesses cenários. A Súmula 479 do Superior Tribunal de Justiça (STJ) consolida o entendimento do “fortuito interno”, determinando que as instituições financeiras respondem de forma objetiva pelos danos gerados por fraudes e delitos praticados por terceiros no âmbito de suas operações. Em resumo, independentemente da sofisticação do ataque, se a falha sistêmica da sua plataforma abriu caminho para o golpe digital, a responsabilidade de reparar o dano recai integralmente sobre o seu negócio.

O Plano de Ação: Passo a passo para conter o golpe digital em fintechs

Quando um golpe digital atinge a infraestrutura da empresa, a coordenação entre as equipes de Tecnologia (TI/SI), Jurídico e Atendimento deve ser rápida e precisa. Baseado nos padrões de governança exigidos pelo Banco Central e pela Agência Nacional de Proteção de Dados (ANPD), toda empresa deve elaborar e implementar um Plano de Resposta a Incidentes eficaz.

Abaixo, detalhamos as etapas fundamentais para conter a crise e proteger a continuidade dos negócios.

Etapa 1: Detecção e Notificação Interna Imediata

A crise começa no momento em que a anomalia é confirmada. A detecção pode ocorrer por meio de colaboradores internos que monitoram os ativos, auditorias externas ou até mesmo alertas do próprio setor de atendimento.

Ao primeiro sinal de que um golpe ou invasão está em curso, o colaborador deve acionar imediatamente o Encarregado de Dados (DPO) ou o Responsável de Privacidade da empresa. Para garantir que nenhuma suspeita passe despercebida, é recomendável manter um canal de denúncias para violações de segurança. O DPO será o responsável por liderar o comitê de crise e o procedimento de respostas a partir desse momento.

Etapa 2: Avaliação, Triagem e Contenção

Com o alerta dado, a equipe de resposta (envolvendo TI, Jurídico e Diretoria) deve classificar a gravidade do evento. É preciso definir se a situação é uma violação concretizada ou apenas um risco iminente.

Na fase de contenção, o foco absoluto é minimizar impactos. As ações incluem isolar sistemas comprometidos, remover malwares e restringir acessos a dados pessoais e informações confidenciais. Na prática, a agilidade técnica é inegociável: a correção das vulnerabilidades e erros deve ser realizada pelo setor de TI no prazo máximo recomendado de 8 horas.

Etapa 3: Investigação, Erradicação e Preservação de Provas

Conter o vazamento não significa que o problema acabou. A equipe de segurança deve investigar a causa raiz do incidente e documentar cada descoberta. Durante esse processo, a preservação de evidências digitais é crítica para resguardar a fintech contra sanções e processos judiciais.

Nunca apague os logs (registros) na tentativa de limpar os servidores. A governança corporativa exige que essas evidências e os relatórios de investigação sejam retidos por, no mínimo, 5 anos. Esse prazo garante o exercício regular de direitos em eventuais processos judiciais ou administrativos.

Para a erradicação definitiva, todos os sistemas afetados devem ser reestruturados, removendo as vulnerabilidades originais antes de prosseguir para a fase de recuperação, onde as operações retornam à normalidade funcional.

Etapa 4: Documentação, Lições Aprendidas e Prestação de Contas

Após a tempestade, a consolidação do aprendizado prepara a empresa para o futuro. A equipe deve promover uma análise pós-incidente, questionando ativamente quais falhas foram exploradas, se as medidas foram bem documentadas e o que fariam de diferente em uma crise semelhante.

Além disso, instituições inseridas no sistema financeiro devem elaborar um relatório anual com data-base de 31 de dezembro. Este documento, exigido pela Resolução BCB nº 85/2021, evidencia a efetividade do plano e deve listar incidentes relevantes, testes de continuidade e resultados de testes de intrusão (pentests) periódicos, mantendo-se à disposição do Banco Central.

A cadeia de responsabilidade: Controladores, Operadores e Fornecedores 

Nenhuma empresa opera sozinha e o seu negócio provavelmente depende de provedores e plataformas terceiras, como nuvem (como AWS ou Azure), APIs de background check, birôs de crédito e processadoras de cartão. Quando um incidente ocorre, entender a cadeia de responsabilidade é vital.

A LGPD divide os atores em Controladores (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; , por ex. a sua fintech, que detém os dados do cliente e decide a sua finalidade e regras de tratamento) e Operadores (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador , por ex. os fornecedores que processam dados em seu nome). 

Em incidentes de segurança, cabe ao controlador:

  • Comunicar às autoridades, se necessário: Notificar a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados caso o incidente ofereça risco ou dano relevante.
  • Avaliar riscos: Analisar a gravidade do incidente e a extensão dos danos.
  • Comandar a mitigação: Fornecer diretrizes para conter o vazamento e restaurar a segurança dos dados.

Já ao operador, cabe: 

  • Notificar o controlador: Informar o controlador imediatamente assim que tomar conhecimento da violação.
  • Colaborar e auxiliar: Fornecer todos os logs, informações técnicas e suporte necessário para que o controlador avalie o impacto.
  • Implementar correções: Aplicar medidas técnicas e organizacionais emergenciais orientadas pelo controlador.

O operador responde solidariamente pelos danos causados se descumprir a LGPD ou ignorar as instruções lícitas do controlador. Se o operador agir estritamente conforme as diretrizes do controlador, a responsabilidade de indenizar recai majoritariamente sobre este último.

Em um plano de governança bem estruturado, o Operador (fornecedor) deve notificar a sua empresa (Controladora) no prazo máximo de 2 dias úteis após a ciência do vazamento. Isso significa que seus contratos de SaaS e SLA precisam prever não apenas essa notificação rápida, mas também o direito de regresso, ou seja, a possibilidade de a sua fintech cobrar judicialmente do fornecedor os prejuízos e multas que teve de arcar perante os clientes e reguladores.

Prazos regulatórios e acionamentos essenciais

O momento mais delicado da gestão de crise é definir a estratégia de comunicação corporativa, tanto para as autoridades reguladoras competentes quanto aos clientes e titulares.

O Mecanismo Especial de Devolução (MED) na prática

No ecossistema de pagamentos instantâneos, a velocidade da transferência do dinheiro é a mesma da efetivação do golpe. Para tentar conter a sangria financeira, a Resolução BCB nº 103/2021 instituiu o Mecanismo Especial de Devolução (MED), conforme consolidado na Resolução BCB 1/2020. Na prática, essa norma obriga as instituições a terem processos operacionais de altíssima resposta para interagir com o sistema do Banco Central.

Se a sua empresa for a origem da fraude, ou seja, o cliente enganado enviou os fundos a partir do seu aplicativo, o seu time de operações deve registrar a notificação de infração na Instituição Recebedora dos recursos imediatamente após o relato da vítima. É essa notificação rápida que dispara o alerta para essa Instituição.

Por outro lado, se a sua fintech for a recebedora (a conta do fraudador está hospedada na sua infraestrutura), o peso da responsabilidade aumenta. O bloqueio cautelar dos valores em conta deve ser feito no exato momento em que o alerta de notificação de infração é recebido. Falhar nesse bloqueio rápido e permitir que o fraudador saque o capital ilícito antes da trava do sistema pode configurar negligência da plataforma, atraindo a responsabilidade de indenizar o usuário lesado. Em suma, ter integrações tecnológicas para acionamento imediato do MED é questão de sobrevivência regulatória.

Para as fintechs, o grande desafio do MED é tecnológico. A plataforma precisa estar integrada e arquitetada para responder a prazos extremamente curtos. Abaixo, detalhamos a jornada de acionamento do MED e as responsabilidades da instituição em cada etapa:

  • 1. Acionamento (até 80 dias): A vítima comunica a suspeita de fraude à instituição pagadora, que avalia os indícios apresentados e, quando cabível, registra uma Notificação de Infração no ecossistema Pix, etapa que poderá dar origem ao procedimento do MED.
  • 2. Bloqueio Cautelar Imediato: Recebida a Notificação de Infração e identificados indícios compatíveis com fraude, a instituição recebedora poderá realizar o bloqueio cautelar dos recursos ainda disponíveis na conta, observadas as regras do arranjo Pix e do MED. 
  • 3. Análise da Notificação de Infração (até 7 dias): A Instituição Recebedora do recurso têm um prazo máximo de 7 dias corridos para analisar as evidências e confirmar se o caso se trata de uma fraude legítima.
  • 4. Devolução dos Recursos/MED : Após o aceite haverá o envio de uma nova solicitação da devolução dos recursos, com prazo de retorno de 24 horas, logo,  os valores eventualmente bloqueados poderão ser devolvidos à vítima, de forma integral ou parcial, conforme a disponibilidade de saldo na conta recebedora e as regras aplicáveis ao MED.

Um ponto pouco adotado pelas Instituições é o monitoramento contínuo, após o aceite da notificação de infração e caso não haja saldo a Instituição deve continuar fazendo o monitoramento de recursos depositados na conta e seguir com o bloqueio até atingir o valor total da operação.

O que poucos percebem é o risco oculto nessas etapas. Se a instituição recebedora não possuir processos e sistemas adequados para tratar comunicações de fraude com a agilidade esperada pelo regulador, aumenta significativamente o risco de questionamentos regulatórios e de responsabilização judicial em casos de prejuízo ao usuário.

Em determinadas circunstâncias, a demora injustificada na adoção das medidas previstas pelo ecossistema Pix pode ser considerada pelo Banco Central como descumprimento do Regulamento Pix e também gerar acionamento no Poder Judiciário, como indício de falha na prestação do serviço, especialmente quando houver perda da oportunidade de bloqueio dos recursos.

Cuidados extras em golpes com Pix

O que muitos fundadores e gestores de risco ainda não absorveram é que o Banco Central possui um rito próprio, paralelo e extremamente severo para tratar incidentes envolvendo chaves Pix. Esse fluxo é regulado diretamente pelo Manual Operacional do Diretório de Identificadores de Contas Transacionais (DICT).

Se dados associados ao ecossistema Pix vazarem, a comunicação aos titulares não depende de uma avaliação interna do seu Comitê de Crise sobre haver ou não “risco relevante”. Nessa situação, o próprio Banco Central assume o protagonismo: a autarquia enviará uma determinação impositiva (via sistema BC Correio), contendo o prazo e o arquivo exato com a relação de chaves e clientes afetados que deverão ser notificados, bem como irá sinalizar para todas as Instituições do Arranjo Pix, tendo diversos exemplos em reportagens.

Vale destacar uma sutileza jurídica que pega operações desprevenidas. Essa obrigação de notificar o usuário existe mesmo que a sua empresa não tenha sido a causadora direta do vazamento. Basta que a sua fintech seja a detentora da conta transacional vinculada à chave Pix exposta em qualquer parte do sistema. Além disso, o Bacen exige que a instituição registre e guarde a prova dessa comunicação (como logs de envio de e-mail ou push) para auditoria futura. Descumprir esse rito coloca em risco a própria autorização de funcionamento da instituição.

A Comunicação à ANPD e aos Titulares

Se o incidente de segurança envolver dados pessoais com potencial de acarretar “risco ou dano relevante” aos clientes (como exposição de dados financeiros, senhas ou biometria), a regra é clara: a ANPD e os titulares afetados devem ser notificados, com uma notificação preliminar enviada via Sistema SEI!, no prazo de 3 dias úteis, conforme a Resolução CD/ANPD nº 15/2024 (ressalvado o prazo em dobro para agentes de pequeno porte). O comunicado deve detalhar o que ocorreu, os dados vazados e as medidas técnicas de mitigação adotadas.

Conclusão

Enfrentar um golpe digital ou um vazamento de dados não é mais uma questão de “se”, mas de “quando”. A maturidade de uma fintech não se mede apenas pela escalabilidade de seu software ou pela inteligência de sua IA, mas pela robustez de sua governança jurídica e operacional em momentos de crise.

Não espere o Bacen bater à porta ou o servidor cair para descobrir que seus contratos de tecnologia não preveem direito de regresso, ou que seu time não tem um Comitê de Crise formado. A gestão de riscos exige que o compliance legal caminhe lado a lado com a engenharia de software. Estruturar um Plano de Resposta a Incidentes customizado, amparado por uma assessoria jurídica especializada em tecnologia, é o investimento que garante a continuidade do seu negócio e a confiança inabalável dos seus investidores e clientes.

FAQ

Qual o prazo legal para avisar a ANPD sobre um vazamento de dados na minha fintech?

A regra geral, segundo a Resolução CD/ANPD nº 15/2024, é que a comunicação seja feita em até 3 dias úteis a contar do conhecimento do incidente que gere risco ou dano relevante. Empresas enquadradas como agentes de pequeno porte possuem prazo em dobro.

Meu sistema de onboarding (terceirizado) falhou e aprovou laranjas. De quem é a culpa?

Perante o cliente e o Banco Central, a responsabilidade primária é da sua fintech (Controladora). Contudo, mediante um bom contrato de prestação de serviços (B2B), você poderá exercer o direito de regresso contra o fornecedor (Operador) para reaver os prejuízos causados pela falha na ferramenta.

O que é o “Fortuito Interno” que os juízes tanto citam?

Consolidado pela Súmula 479 do STJ, o fortuito interno define que fraudes geradas por falhas na própria estrutura ou sistema da instituição (como quebra de criptografia ou invasão de app) são riscos inerentes ao negócio. Nesses casos, a fintech é obrigada a ressarcir o consumidor.

Se ocorrer um vazamento de chaves Pix, eu decido se aviso os clientes?

Não. De acordo com a Resolução BCB nº 1/2020, incidentes envolvendo a infraestrutura do Pix possuem um rito próprio. O Banco Central enviará uma ordem formal (via BC Correio) contendo a lista exata de quais clientes a sua instituição deverá notificar, além de determinar o prazo e o conteúdo da mensagem.

Em quanto tempo a TI deve corrigir a vulnerabilidade após um ataque?

As boas práticas de segurança da informação, alinhadas às resoluções do Bacen e planos de resposta a incidentes de mercado, determinam que na fase de “Contenção”, o setor de TI deve corrigir as vulnerabilidades e erros em um prazo de até 8 horas.

NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral

Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode se interessar

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!