O gargalo do credenciamento de lojistas em adquirência deixou de ser tecnológico e passou a ser de risco: cada novo seller aprovado em segundos pode ser uma empresa-fachada que importa fraude, chargeback e exposição a lavagem para a carteira. Em 2026, com o setor de cartões projetado para ultrapassar R$ 5 trilhões em transações (fonte: Abecs, 2026, panoramaabecs.com.br), a resposta viável é o KYB em escala — verificação de saúde de pessoa jurídica consumida por API e MCP, capaz de triar milhares de cadastros por dia sem afundar a conversão.

O problema: onboarding instantâneo virou porta de entrada de risco

A fraude no e-commerce é só a ponta: o rombo no sistema financeiro é maior

Fraude no e-commerce (202…R$ 3 bilhõesFraude no sistema finance…R$ 10,1 bilhões
ClearSale (e-commerce 2025) e FEBRABAN (sistema financeiro 2024)

Abecs, ClearSale e FEBRABAN, 2025-2026

A adquirência brasileira competiu por uma década na velocidade de credenciamento. Quem aprovava o lojista mais rápido capturava o volume. O resultado é um mercado em que abrir uma conta de recebimento e começar a transacionar cartões leva minutos.

Essa fricção mínima é excelente para o lojista legítimo e perfeita para o fraudador. Cada novo seller credenciado é um ponto de controle: se entra sujo, contamina a carteira inteira com disputa, estorno e risco regulatório. O onboarding de seller — o processo de cadastrar, verificar e habilitar um estabelecimento a aceitar pagamentos — é, na prática, a fronteira de defesa mais barata e mais negligenciada do arranjo.

A escala do problema é concreta. Em 2025, o Brasil registrou 2,8 milhões de tentativas de fraude no e-commerce, somando R$ 3 bilhões em valores potencialmente perdidos, com ticket médio fraudulento de R$ 1.072,33 (fonte: ClearSale, Mapa da Fraude 2025, br.clear.sale). No sistema financeiro como um todo, as perdas com fraude alcançaram R$ 10,1 bilhões em 2024, alta de 17% sobre 2023 (fonte: FEBRABAN, 2025, serasaexperian.com.br). Boa parte dessa fraude não nasce no checkout: nasce no cadastro do recebedor.

Aprovar um lojista em segundos sem verificar a saúde da pessoa jurídica por trás dele é transferir o custo da fraude do onboarding para o chargeback — onde ele é dez vezes mais caro e chega com atraso de meses.

O que é KYB — definição em 1-2 frases

KYB (Know Your Business, ou "conheça seu negócio") é o conjunto de procedimentos de verificação e diligência aplicado a pessoas jurídicas antes e durante o relacionamento comercial. É o equivalente corporativo do KYC (Know Your Customer), porém voltado a empresas: confirma existência, situação cadastral, atividade econômica, beneficiários finais e sinais de risco do CNPJ.

No credenciamento de adquirência, KYB significa responder, antes de habilitar o lojista, a perguntas como: o CNPJ está ativo na Receita Federal? O CNAE declarado bate com a atividade real e com o perfil de transação esperado? A empresa foi aberta há poucos dias só para receber? Há sócios ligados a outras empresas com histórico de fraude? O endereço existe? O quadro societário esconde um beneficiário final problemático?

Anatomia da fraude de seller na adquirência

A fraude de seller não é monolítica. Ela se apresenta em padrões reconhecíveis, e quase todos têm uma assinatura na saúde cadastral da PJ que o KYB consegue capturar antes do prejuízo.

Empresa-fachada e CNPJ de aluguel

A empresa-fachada é a tipologia mais cara. Um CNPJ é aberto — ou comprado — apenas para credenciar-se, transacionar volume artificial ou fraudulento e desaparecer antes que os chargebacks cheguem. O alvo direto costuma ser a antecipação de recebíveis: o fraudador transaciona, antecipa o valor à vista, saca e fecha a empresa. Quando o estorno chega, não há saldo nem empresa para responder. Esse padrão tem assinatura clara — empresa recém-aberta, capital social irrisório, CNAE genérico, endereço inexistente ou compartilhado com dezenas de outros CNPJs, sócio com participação em múltiplas empresas problemáticas.

Transaction laundering e desvio de MCC

No transaction laundering, um lojista legítimo na aparência processa, por baixo, transações de um negócio proibido ou de alto risco — jogo ilegal, produto contrafeito, atividade não declarada. O CNAE credenciado não corresponde ao que realmente transaciona. Esse desalinhamento entre atividade declarada e comportamento transacional é exatamente o sinal que o COAF e os arranjos passaram a perseguir.

Bust-out e degradação programada

O bust-out é a fraude paciente: o seller constrói histórico limpo por meses, ganha limites e confiança, e então explode o volume em uma janela curta antes de sumir. Aqui o KYB de credenciamento sozinho não basta — é preciso reavaliação periódica da saúde da PJ, porque o risco muda ao longo do ciclo de vida.

O elo com o chargeback: por que 2026 muda o cálculo

O chargeback — o estorno de uma transação contestada — é onde a fraude de seller se converte em prejuízo contábil. E a regulação de 2026 redistribuiu essa conta.

A Resolução BCB nº 522/2025 estabeleceu prazo-limite de 180 dias, contados da autorização da transação, para a responsabilização financeira dos participantes nos casos de chargeback; após esse prazo, a responsabilidade recai sobre os instituidores dos arranjos, conforme seus regulamentos (fonte: Banco Central do Brasil, Resolução BCB nº 522/2025, via Finsiders Brasil, finsidersbrasil.com.br). O Banco Central encerrou ainda em novembro de 2025 a Consulta Pública nº 104, revisando o gerenciamento de risco nos arranjos e as políticas de estorno indevido, com debate explícito sobre falência e recuperação judicial de recebedores (fonte: Banco Central do Brasil / Finsiders Brasil, 2025, finsidersbrasil.com.br).

A leitura prática para a adquirência é dura: prazos definidos de responsabilidade financeira significam que o risco de uma carteira mal credenciada tem agora um relógio e um endereço de cobrança. A jurisprudência reforça que o lojista pode ser responsabilizado por chargeback em caso de fraude (fonte: Delivar de Mattos & Castor, 2025, delivardemattos.com.br) — mas quando o lojista é uma fachada que evaporou, a conta sobe na cadeia até o adquirente ou sub-adquirente. Credenciar mal deixou de ser um problema de carteira e virou um problema de balanço.

A pressão regulatória de 2026: COAF, ABECS e o fim da tolerância

O credenciamento descuidado não é só caro — é cada vez mais arriscado do ponto de vista regulatório. Três vetores de 2026 deixam isso evidente.

Primeiro, o COAF (Conselho de Controle de Atividades Financeiras), órgão de inteligência financeira do Brasil, bateu recorde em 2025: 3,1 milhões de comunicações recebidas, alta de 20% sobre o ano anterior, e 20.548 Relatórios de Inteligência Financeira (RIFs) produzidos, média de 56 por dia (fonte: ConJur, fevereiro de 2026, conjur.com.br). As instituições de pagamento estão sendo classificadas como segmento de risco aumentado em prevenção à lavagem. Em março de 2026, COAF, FEBRABAN e ABBC firmaram acordo técnico para modernizar sistemas com inteligência artificial (fonte: ConJur, 2026, conjur.com.br).

Segundo, a ABECS (Associação Brasileira das Empresas de Cartões de Crédito e Serviços) estruturou a Gestão Unificada de Fraudes e, sob a Normativa 32, a Watchlist — ferramenta centralizada de compartilhamento de informações de fraude e irregularidade entre participantes do arranjo (fonte: ABECS, 2026, abecs.org.br). O Selo de Conformidade ABECS preserva o poder de monitoramento dos instituidores, abrindo caminho para vigiar com mais cuidado práticas ilícitas, sobretudo lavagem e fraude (fonte: Panorama Abecs, 2026, panoramaabecs.com.br).

Terceiro, a LGPD e a atuação da ANPD impõem que toda essa verificação seja feita com base legal, minimização de dados e rastreabilidade. KYB robusto e privacidade não são opostos — são a mesma disciplina de governança de dado.

Onde dados de saúde de PJ em API e MCP entram

A tese central deste artigo é simples: a triagem de risco no credenciamento só escala se a inteligência sobre a pessoa jurídica chegar ao fluxo de onboarding de forma programática, em tempo real e auditável. É aqui que dados cadastrais institucionais consumidos por API e, cada vez mais, por MCP (Model Context Protocol, o protocolo aberto que padroniza como sistemas de IA consultam fontes de dados) mudam o jogo.

O padrão operacional é o seguinte: no momento em que o lojista submete o cadastro, o sistema dispara consultas automáticas que cruzam o CNPJ contra bases públicas, situação na Receita Federal, quadro societário, beneficiário final, listas de sanção e sinais de mídia adversa. A decisão de aprovar, recusar ou enviar a análise manual sai em segundos, com trilha de auditoria.

Um sinal de mercado: plataformas de onboarding já incorporam o BC Protege+, iniciativa do Banco Central para fortalecer a prevenção a fraude no sistema financeiro, ao lado do KYC e do KYB (fonte: Transfeera, 2026, transfeera.com). A automação deixou de ser diferencial e virou requisito de operação.

Por que o MCP importa para risco

A diferença entre API e MCP não é técnica apenas — é de arquitetura de decisão. A API entrega o dado; o MCP permite que um agente de IA orquestre a consulta, combine múltiplas fontes de saúde de PJ, raciocine sobre os sinais e proponha a decisão de credenciamento dentro do mesmo fluxo. Em um cenário de triagem em escala — milhares de sellers por dia —, isso transfere o trabalho repetitivo de correlação de sinais para a máquina e reserva o analista humano para os casos de fronteira, que são justamente os que importam.

Triagem manual, API e MCP: o que muda na prática

DimensãoTriagem manualKYB via APIKYB orquestrado por MCP
Tempo por sellerMinutos a horasSegundosSegundos, com correlação multi-fonte
Escala diáriaDezenasMilharesMilhares, com priorização automática
Detecção de empresa-fachadaDepende do analistaRegras sobre dados cadastraisInferência sobre padrões combinados
Trilha de auditoriaFrágil e inconsistenteEstruturada por consultaEstruturada e explicável por decisão
Custo marginalAlto (pessoas)Baixo (por consulta)Baixo, com analista só na exceção
Reavaliação no ciclo de vidaRaríssimaPossível, agendadaContínua e orientada a sinal

Um modelo de decisão de credenciamento orientado a saúde de PJ

A esteira de decisão de credenciamento orientada a saúde de PJ

  1. 1
    Captura e normalização

    Receber CNPJ, CNAE, endereço e dados bancários do lojista e normalizá-los antes de qualquer consulta.

  2. 2
    Existência e situação

    Confirmar CNPJ ativo na Receita Federal, idade da empresa, capital social e coerência do endereço.

  3. 3
    Quadro societário e beneficiário final

    Mapear sócios, participações cruzadas e o beneficiário final efetivo contra histórico de fraude e mídia adversa.

  4. 4
    Coerência de atividade e listas

    Confrontar o CNAE com o perfil de transação esperado e cruzar CNPJ e sócios contra listas restritivas e PEP.

  5. 5
    Escore, roteamento e reavaliação

    Consolidar sinais em um escore que aprova, recusa ou envia à análise humana, e reexecutar a diligência por gatilho.

Operacionalizar KYB em escala exige uma esteira de decisão clara. A sequência abaixo é um esqueleto conceitual aplicável a adquirentes e sub-adquirentes, independentemente do fornecedor de dados.

  1. Captura e normalização. Receber CNPJ, CNAE, endereço e dados bancários do lojista e normalizá-los antes de qualquer consulta — lixo na entrada gera falso risco na saída.
  2. Verificação de existência e situação. Confirmar CNPJ ativo na Receita Federal, idade da empresa, capital social e coerência do endereço.
  3. Quadro societário e beneficiário final. Mapear sócios, participações cruzadas e o beneficiário final efetivo, cruzando contra histórico de fraude e mídia adversa.
  4. Coerência de atividade. Confrontar o CNAE declarado com o perfil de transação esperado para detectar desvio de MCC e indício de transaction laundering.
  5. Listas e sanções. Cruzar CNPJ e sócios contra listas restritivas, watchlists setoriais e bases de PEP.
  6. Escore e roteamento. Consolidar os sinais em um escore que decide aprovação automática, recusa ou análise humana — e calibrar o corte pelo apetite de risco da carteira.
  7. Reavaliação contínua. Reexecutar a diligência periodicamente e por gatilho de comportamento, porque o risco do seller muda após o credenciamento.

O equilíbrio entre conversão e risco

Há uma tensão real e legítima: cada camada de verificação adiciona fricção e derruba conversão de lojista. O erro comum é tratar isso como dilema binário entre crescer e proteger. Não é.

A saída é a verificação proporcional ao risco. Para o seller de baixo risco — CNPJ maduro, CNAE coerente, beneficiário limpo — o KYB via API aprova em segundos sem fricção perceptível. A diligência mais profunda e a análise humana ficam reservadas à fração de cadastros que acende sinais. Em uma operação com milhares de credenciamentos diários, isso significa preservar a conversão da maioria legítima enquanto se barra a minoria tóxica antes que ela transacione.

O custo dessa abordagem é marginal por consulta. O custo de não tê-la aparece, com meses de atraso, na curva de chargeback, no RIF que chega ao COAF e — a partir de 2026 — na responsabilização financeira datada pelo arranjo. Para um mercado que vai transacionar mais de R$ 5 trilhões e onde os pagamentos não presenciais já passaram de R$ 1 trilhão, com alta superior a 18% em 2025 (fonte: Abecs, 2026, panoramaabecs.com.br), a aritmética favorece a triagem desde o cadastro.

Em adquirência, a verificação de saúde de PJ no onboarding não é um centro de custo de compliance — é o sistema imunológico da carteira de recebíveis.

Perguntas frequentes

Qual a diferença entre KYB e KYC no credenciamento de lojistas?

KYC (Know Your Customer) verifica pessoas físicas; KYB (Know Your Business) verifica pessoas jurídicas. No onboarding de seller em adquirência, o KYB confirma existência, situação cadastral, CNAE, quadro societário e beneficiário final do CNPJ, enquanto o KYC valida os indivíduos por trás dele — sócios e representantes. Os dois são complementares e, em 2026, frequentemente disparados na mesma esteira automatizada.

Como o KYB identifica uma empresa-fachada antes do prejuízo?

A empresa-fachada deixa rastros cadastrais: abertura recente, capital social irrisório, CNAE genérico, endereço inexistente ou compartilhado com muitos CNPJs, e sócios ligados a outras empresas problemáticas. O KYB via API cruza esses sinais em segundos e os consolida em um escore de risco. O objetivo é barrar o credenciamento antes da primeira transação e da antecipação de recebíveis — quando ainda há como evitar o chargeback futuro.

O que muda com as regras de chargeback de 2026 para adquirentes?

A Resolução BCB nº 522/2025 fixou prazo de 180 dias para a responsabilização financeira dos participantes nos casos de chargeback, com a responsabilidade migrando para os instituidores após esse prazo (fonte: Banco Central do Brasil, 2025, finsidersbrasil.com.br). Na prática, o risco de uma carteira mal credenciada passou a ter prazo e endereço de cobrança, elevando o custo de credenciar empresas-fachada e tornando a triagem no onboarding uma decisão de balanço.

Por que o COAF importa para o onboarding de seller?

O COAF recebeu 3,1 milhões de comunicações em 2025, recorde com alta de 20%, e produziu 20.548 RIFs no ano (fonte: ConJur, 2026, conjur.com.br). Instituições de pagamento estão classificadas como segmento de risco aumentado em prevenção à lavagem. Credenciar sellers sem verificar coerência de atividade e beneficiário final expõe o arranjo a transaction laundering e a comunicações obrigatórias — risco que a diligência cadastral no onboarding ajuda a mitigar.

API ou MCP: o que usar para triagem de saúde de PJ?

A API entrega o dado cadastral consultado em tempo real e é suficiente para regras determinísticas de aprovação. O MCP (Model Context Protocol) permite que um agente de IA orquestre múltiplas fontes, correlacione sinais e proponha a decisão dentro do fluxo, reservando o analista humano para casos de fronteira. Em volumes de milhares de credenciamentos diários, o MCP reduz o trabalho repetitivo de correlação sem abrir mão da trilha de auditoria.

Verificar mais não derruba a conversão de lojistas?

Só se a verificação for indiscriminada. A boa prática é a diligência proporcional ao risco: sellers de baixo risco são aprovados em segundos via API, sem fricção perceptível, enquanto a análise profunda fica restrita à minoria que acende sinais. Assim se preserva a conversão da maioria legítima e se barra a minoria tóxica antes da primeira transação — o oposto de pagar a conta meses depois, no chargeback.

Leia também no DataHub

Fontes

  1. Abecs — Setor de cartões deve ultrapassar R$ 5 trilhões em transações em 2026 (2026)
  2. ClearSale — Mapa da Fraude 2025 (2025)
  3. FEBRABAN / Serasa Experian — perdas com fraude no sistema financeiro (2025)
  4. Finsiders Brasil — Resolução BCB nº 522/2025 e novas regras de chargeback (2025)
  5. ConJur — Coaf produz mais RIFs em 2025 e recorde de comunicações suspeitas (2026)
  6. ABECS — Gestão Unificada de Fraudes e Watchlist (Normativa 32) (2026)
  7. Transfeera — Prevenção de fraudes no e-commerce: guia 2026 e BC Protege+ (2026)
  8. Delivar de Mattos & Castor — Lojista pode ser responsabilizado por chargeback em caso de fraude (2025)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos