Skip to content
Caso de estudoPreçosSegurançaComparativoBlog

Europe

Americas

Oceania

Indústria11 min de leitura

Dados bancários falsos com IA: o golpe da troca de chave Pix

Documentos bancários falsos gerados por IA turbinam o golpe da troca de chave Pix e de fornecedores no Brasil. Veja como o Bacen age e como detectar a fraude.

Equipe CheckFile
Equipe CheckFile·
Illustration for Dados bancários falsos com IA: o golpe da troca de chave Pix — Indústria

Resumir este artigo com

Os dados bancários falsos gerados por inteligência artificial deram fôlego novo a um golpe que as equipes financeiras brasileiras já conheciam: a troca da chave Pix ou dos dados bancários de um fornecedor, quase sempre combinada com a fraude do CEO ou um ataque de Business Email Compromise (BEC). O golpista não precisa mais dominar edição de imagem — um modelo generativo produz, em minutos, um comprovante de cadastro de chave Pix ou uma carta de mudança de conta idêntica à de um banco real. Este artigo explica como o esquema funciona no Brasil e como o time de contas a pagar pode identificar o documento falso antes de autorizar o pagamento.

Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico ou regulatório.

O que é a fraude de troca de dados bancários com documento gerado por IA

A fraude de troca de dados bancários consiste em induzir uma empresa a substituir a chave Pix ou os dados de conta de um fornecedor legítimo pelos de uma conta controlada pelo golpista, normalmente por um e-mail ou carta que parece vir do próprio fornecedor ou de um diretor da empresa contratante. O documento bancário falso — um comprovante de cadastro de chave no DICT, uma carta em papel timbrado ou um extrato adulterado — dá credibilidade ao pedido e reduz a chance de confirmação telefônica. No Brasil, esse vetor é conhecido no mercado como "golpe do falso fornecedor", e o Conselho de Controle de Atividades Financeiras (COAF) já alertou publicamente sobre modalidades correlatas de engenharia social que usam nome de órgãos oficiais para dar falsa legitimidade ao pedido.

As fraudes financeiras causaram R$ 10,1 bilhões em prejuízos no Brasil em 2024, alta de 17% sobre os R$ 8,6 bilhões de 2023, segundo a Febraban em dados divulgados pelo Poder360. Dentro desse total, as fraudes via Pix cresceram 43% e já somam R$ 2,7 bilhões em dois anos — sinal de que o pagamento instantâneo virou o vetor preferencial também para golpes de fornecedor, não só contra pessoas físicas.

Como o esquema funciona: do e-mail comprometido ao documento bancário falso

O esquema segue tipicamente três fases: imitação de um canal de confiança, envio de um documento bancário falso como prova, e pressão de urgência para evitar verificação.

A entrada pelo e-mail: BEC e fraude do CEO no Brasil

O golpista compromete a caixa de e-mail de um fornecedor real, registra um domínio quase idêntico ou falsifica o remetente de um diretor, e envia um pedido de troca de chave Pix — muitas vezes vinculado a uma nota fiscal pendente — invocando urgência ou confidencialidade. Esses ataques exploram informações públicas sobre o organograma e os contatos internos da empresa-alvo para parecer mais convincentes.

O papel do documento bancário gerado por IA

O documento falso — comprovante de chave Pix, carta bancária em papel timbrado ou print de internet banking — é o elemento que transforma um pedido suspeito em um pedido "verificado" aos olhos de um colaborador apressado. Ferramentas de geração de imagem produzem hoje logotipos e formatações bancárias com fidelidade suficiente para passar por uma conferência visual rápida. O documento raramente precisa ser perfeito: só precisa ser convincente o tempo suficiente para o pagamento ser processado antes de alguém confirmar com o fornecedor real.

O prejuízo com fraudes no Pix cresceu 70% em 2024, atingindo R$ 4,941 bilhões, ante R$ 2,911 bilhões em 2023, de acordo com dados do Banco Central citados pelo Grupo Ceres de Comunicação; as marcações classificaram 38% das contas denunciadas como "conta de golpista" e 27% como conta-laranja. A fraude ainda é fração pequena do volume total do Pix, mas a liquidação em segundos, sem janela de compensação, torna a detecção prévia do documento falso mais decisiva do que numa transferência tradicional.

Sinais de alerta em um documento bancário suspeito

Um documento bancário falso quase sempre apresenta algum desvio identificável. A tabela abaixo resume os sinais mais frequentes.

Sinal de alerta O que verificar Nível de risco
Chave Pix ou conta diferente da registrada no cadastro do fornecedor Comparar dígito a dígito com o histórico de pagamentos anteriores Crítico
Pedido de mudança recebido apenas por e-mail ou WhatsApp Ausência de confirmação por canal telefônico já validado Crítico
Nome retornado na confirmação do destinatário (DICT) não bate com a razão social do fornecedor Confrontar o nome/CNPJ exibido pelo app bancário com o cadastro interno antes de confirmar o Pix Crítico
Metadados do PDF inconsistentes com o emissor declarado Software de criação, data de modificação, ausência de assinatura digital válida (ICP-Brasil) Elevado
Papel timbrado ou logotipo com resolução ou cor ligeiramente diferentes do histórico Comparação lado a lado com documentos anteriores do mesmo banco/fornecedor Elevado
Urgência ou confidencialidade invocadas explicitamente Pedido associado a prazo apertado, ameaça de corte de fornecimento ou pedido de sigilo Elevado
Domínio de e-mail com variação sutil (troca de letra, extensão diferente) Verificação manual do domínio completo, não apenas do nome exibido Médio

A combinação de dois ou mais sinais desta tabela — sobretudo dados bancários alterados associados a pedido exclusivo por e-mail — deve bloquear automaticamente o pagamento até confirmação independente, mesmo quando a confirmação do destinatário do Pix já exibiu um nome aparentemente válido (mais adiante explicamos por que esse mecanismo, sozinho, não basta). Para os critérios técnicos de validação da estrutura de dados bancários brasileiros, consulte nosso artigo sobre verificação de conta bancária.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

O que perguntam os times de tesouraria e contas a pagar

Nos fóruns de finanças e contabilidade no Brasil, as dúvidas se repetem: como confirmar uma troca de chave Pix sem ofender um fornecedor real; se vale ligar sempre que chega esse pedido, mesmo com volume alto de notas fiscais; e como distinguir uma reestruturação bancária genuína — comum em fusões e aquisições — de um esquema fraudulento com aparência semelhante.

A resposta prática converge com a recomendação regulatória: nenhuma alteração de dados bancários deve ser aceita com base apenas no documento recebido, por mais oficial que pareça. A confirmação telefônica por um número já cadastrado, independente do canal que originou o pedido, é o controle mais barato e eficaz — e é justamente o que a pressão de urgência tenta contornar.

Protocolo de verificação em 5 passos para contas a pagar

A implementação de um protocolo formal reduz a dependência do julgamento individual de cada colaborador diante de um pedido de troca de chave Pix ou de dados bancários.

  1. Isolar o pedido. Nenhuma alteração de dados bancários é processada no mesmo dia em que é recebida, independentemente da urgência invocada.
  2. Confirmar por canal independente. Contatar o fornecedor por um número já cadastrado — nunca o indicado no e-mail ou documento recebido — e exigir confirmação verbal explícita.
  3. Validar titularidade da chave Pix e os dígitos verificadores do CPF/CNPJ. Conferir o nome exibido na tela de confirmação do destinatário antes de qualquer transferência-teste e verificar se o CNPJ do beneficiário corresponde ao cadastro fiscal ativo do fornecedor.
  4. Analisar o documento recebido. Comparar metadados do arquivo, tipografia e formatação com comunicações anteriores autênticas do fornecedor; qualquer inconsistência bloqueia o processo.
  5. Exigir dupla aprovação e documentar. A alteração só é ativada após aprovação de dois responsáveis distintos, com registro escrito indispensável em caso de auditoria.

Este protocolo complementa o protocolo de detecção de notas fiscais falsas geradas por IA já descrito em outro artigo desta série.

Quadro regulatório no Brasil: Bacen, COAF e obrigações de diligência

O quadro regulatório brasileiro já trata essa fraude como um risco a ser mitigado ativamente. O Banco Central publicou a Resolução BCB nº 493, de agosto de 2025, que reforça o Mecanismo Especial de Devolução (MED) do Pix — a "MED 2.0" —, ampliando o rastreamento por até cinco contas subsequentes e tornando obrigatório, desde 2 de fevereiro de 2026, o bloqueio em cadeia de valores desviados. Segundo o guia de implementação do MED do próprio Banco Central, o mecanismo original recuperava em média só 9,3% do valor contestado, o que motivou o reforço.

Além do mecanismo técnico do Pix, a Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro), regulamentada pela Circular Bacen nº 3.978/2020, obriga instituições financeiras a implementar diligência devida — incluindo a verificação da titularidade de contas em operações de risco — e a comunicar operações suspeitas ao COAF. A Pesquisa Febraban de Tecnologia Bancária 2025 confirma que prevenção a fraudes (94%) e proteção de dados sob a LGPD (Lei nº 13.709/2018) estão entre as prioridades das instituições financeiras do país. A pressão sobre essas obrigações cresce: as operações da Polícia Federal contra crimes cibernéticos saltaram de pouco mais de 300 em 2022 para mais de mil em 2024, segundo o Poder360.

O padrão internacional é semelhante: apenas 37% das fraudes ocupacionais são detectadas por mecanismos formais de controle, com atraso médio de 87 dias, segundo o ACFE 2024 Report to the Nations. Aplicado a um golpe liquidado via Pix em segundos, sem janela de compensação, esse atraso costuma significar vários pagamentos já processados antes de a fraude ser identificada.

Automatizar a verificação sem substituir o julgamento humano

A verificação manual de cada pedido de troca de dados bancários não escala quando uma empresa gerencia centenas de fornecedores e paga diariamente. A plataforma CheckFile integra a validação de chave Pix e conta bancária, a comparação com o cadastro histórico do fornecedor e a análise forense de metadados do documento recebido em uma única verificação, disparando um alerta sempre que um pedido de alteração foge ao padrão esperado. Nossa abordagem inclui uma camada adicional de sinais de geração por IA, disponível conforme a configuração e o risco do processo, como complemento aos controles existentes — não como substituto da confirmação telefônica com o fornecedor.

Essa verificação se integra aos fluxos de KYC bancário e à arquitetura descrita na nossa página de segurança. Os planos constam da página de preços, e o guia de verificação documental por setor situa esse risco no conjunto mais amplo de controles que uma empresa deve manter.

Nenhum sistema automatizado garante detecção de 100% dos documentos falsificados — a sofisticação dos geradores de IA evolui continuamente. Para aprofundar essa camada específica de análise, consulte a verificação de documentos gerados por IA e deepfakes.

Perguntas frequentes

Como sei se um comprovante bancário enviado por um fornecedor é falso?

Não há um sinal único e definitivo, mas a combinação de chave Pix diferente da registrada, pedido recebido só por e-mail e metadados do PDF inconsistentes com o emissor é fortemente indicativa de fraude. A confirmação por telefone, usando um número já validado e não o indicado no documento, continua sendo o método mais confiável antes de pagar.

Se o Pix mostra o nome do destinatário antes de eu confirmar, por que ainda caio no golpe?

Porque essa tela mostra o nome cadastrado na instituição que detém a conta — e o cadastro pode estar formalmente correto mesmo quando pertence a uma conta-laranja aberta só para receber valores desviados. Ela confirma que a conta existe, não que o pedido de troca é legítimo. Por isso a confirmação telefônica com o fornecedor continua indispensável.

A fraude do CEO e a fraude por troca de dados bancários são o mesmo esquema?

São esquemas relacionados, mas distintos. A fraude do CEO usurpa a identidade de um diretor para ordenar uma transferência urgente; a fraude por troca de dados bancários visa redirecionar pagamentos futuros de um fornecedor legítimo. Muitas campanhas combinam os dois, reforçadas por um documento bancário falso, gerado ou não por IA.

O que fazer imediatamente ao descobrir um documento bancário falso já usado em um pagamento via Pix?

Acione o Mecanismo Especial de Devolução (MED) junto ao seu banco o quanto antes — a rapidez é decisiva porque o bloqueio em cadeia depende de o dinheiro ainda estar disponível nas contas seguintes. Preserve o e-mail original com cabeçalhos completos, registre boletim de ocorrência e comunique o banco por escrito para abrir a contestação formal.

É obrigatório reportar esse tipo de fraude a alguma entidade no Brasil?

As entidades sujeitas à Lei nº 9.613/1998 e à Circular Bacen nº 3.978/2020 devem comunicar ao COAF operações suspeitas quando há indícios fundados. Para as demais empresas, o registro de ocorrência e a comunicação ao banco são fortemente recomendados, tanto para recuperar valores via MED quanto para ajudar a identificar redes de fraude organizada.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.