Entenda como o Banking as a Service (BaaS) entra na mira da PF

No fim de agosto, a Polícia Federal identificou uma quadrilha que movimentou R$ 7,5 bilhões por meio de fintechs ilegais usando “contas bolsão”. Essas contas são usadas pelos bancos para armazenar e transacionar fundos de clientes finais, dificultando a rastreabilidade da origem dos valores.

Essas “contas bolsão” são abertas em nomes de empresas que utilizam soluções de banking as a service (BaaS) de instituições financeiras ou de pagamento reguladas; essas contas ainda não são regulamentadas, mas devem seguir as normas existentes para instituições de pagamento.

Sob uma perspectiva de cibersegurança e prevenção a fraudes, a adoção de Banking as a Service (BaaS) por fintechs e corretoras de câmbio intensifica a necessidade de uma estratégia robusta para mitigação de riscos. Ao integrar parceiros externos, esses players se tornam alvos preferenciais para ataques cibernéticos, fraudes e exploração de vulnerabilidades.

Além disso, as diretrizes do COAF desempenham um papel crucial na identificação e prevenção de atividades suspeitas, reforçando a importância de monitorar transações e implementar controles rigorosos para prevenir a lavagem de dinheiro.

Para enfrentar esses desafios, a regulamentação — principalmente as diretrizes do BACEN — exige controles rigorosos alinhados aos padrões de mercado, como a ISO 27001, SOC 2 e PCI-DSS. No entanto, apenas atender à regulamentação não é suficiente. É necessário construir uma gestão de confiança, onde o controle preventivo e proativo esteja no centro da operação, com processos contínuos de auditoria e verificação. A regulamentação serve como base, mas deve ser complementada por uma infraestrutura cibernética que antecipe ataques e responda com eficiência.

A ABRACAM (Associação Brasileira de Câmbio) desempenha um papel fundamental ao criar orientações e promover boas práticas de compliance e segurança para corretoras associadas. Ao fornecer diretrizes sobre a importância de controles robustos contra fraudes e prevenção à lavagem de dinheiro, a ABRACAM se alinha às diretrizes do COAF e Banco Central do Brasil, fortalecendo o ecossistema de fintechs e câmbio e garantindo que as corretoras atuem com maior segurança e confiabilidade.

Adotar o BaaS sem a devida atenção à blindagem digital e à prevenção de fraudes é arriscar expor dados sensíveis e comprometer a integridade das transações financeiras. Isso significa que a segurança não deve ser vista apenas como um custo operacional, mas como um elemento estratégico para proteger a reputação da empresa e garantir a confiança de clientes e parceiros.

A regulamentação constrói a base de uma cultura de segurança digital ativa, com foco na antecipação e mitigação de ameaças. Governança em segurança combinada com uso de tecnologias práticas, como tokens de de acesso tornam-se indispensáveis nesse momento, fortalecendo a identificação, autenticação, não repúdio e a rastreabilidade dos acessos e transações digitais.

Diante de um cenário onde as ameaças são contínuas, devemos antecipar os riscos, cercando-os com estratégias de segurança onde o imprevisível é constante e a única certeza é a mudança.