A escolha de um fornecedor de API de dados de risco não se decide no preço por consulta nem no slide comercial. Decide-se em três planilhas: a taxa de acerto sobre a sua própria base de clientes, a curva de latência no percentil 99 (p99) sob carga real e a trilha de auditoria que sobrevive a uma inspeção do Banco Central (BACEN). Quem inverte essa ordem — assina pelo preço e descobre a cobertura depois — paga a diferença em proposta aprovada de fraudador, em timeout no fluxo de aprovação e em apontamento de PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo). Este guia organiza a avaliação em critérios mensuráveis e fecha com um checklist de POC (Proof of Concept, prova de conceito) comparativa.

Por que 2026 muda a régua de avaliação

Serasa Experian, 2025; Finsiders Brasil, 2026

O contexto regulatório e de fraude elevou o custo do erro. A Resolução BCB 494/2025, em vigor desde 5 de setembro de 2025, abriu uma janela única e improrrogável — de 1º a 31 de maio de 2026 — para que instituições de pagamento (IPs) não autorizadas solicitem autorização ao BACEN, sob pena de cessação compulsória das atividades (fonte: NDM Advogados, 2026, ndmadvogados.com.br). Para quem opera no Pix, o pedido de acreditação correu entre 1º de janeiro e 1º de maio de 2026. Isso significa que a régua de KYC (Know Your Customer) e KYB (Know Your Business) de muitas fintechs migrou de "boa prática" para "condição de licença".

No outro lado da balança, a fraude escalou. A Serasa Experian registrou quase 7 milhões de tentativas de fraude no primeiro semestre de 2025 — 6.937.832 ocorrências, alta de 29,5% sobre o mesmo período anterior, uma tentativa a cada 2,3 segundos (fonte: Serasa Experian, 2025, serasaexperian.com.br). A identidade sintética — combinação de dados reais com informações fictícias para criar perfis "novos" que escapam ao KYC convencional — tornou-se vetor dominante, inclusive na variante Repeaters, que altera levemente cada perfil para driblar bloqueios sem disparar falso positivo (fonte: Kronoos, 2026, kronoos.com). Uma API de dados que erra a validação cadastral em 2026 não erra de graça.

Uptima apenas indica se uma API está acessível; uma API pode estar tecnicamente "up" enquanto está lenta, retornando dados incompletos ou falhando durante fluxos críticos. (fonte: Dotcom-Monitor, 2026, dotcom-monitor.com)

Cobertura e qualidade da base: o critério que ninguém testa antes de assinar

Cobertura é a proporção de consultas que retornam dado útil; qualidade é a proporção desse dado que está correto e atualizado. São métricas distintas e ambas só têm significado contra a sua base, não contra o universo do fornecedor.

O que é match rate — definição

O match rate (taxa de correspondência) é o percentual de consultas em que o fornecedor encontra o registro buscado e devolve atributos preenchidos. Um match rate de 95% no universo nacional pode virar 78% no seu nicho — uma carteira de PJ recém-aberta, microempreendedores ou um recorte regional. Por isso a avaliação correta usa uma amostra cega da sua própria base, com resultado já conhecido (ground truth), e mede acerto, não cobertura bruta.

  • Frescor (recência): qual a data média de atualização do atributo? Endereço, situação cadastral na Receita e quadro societário envelhecem em ritmos diferentes.
  • Profundidade societária: para KYB, a base resolve a cadeia de participação até o beneficiário final (pessoa física no topo)? A Circular BCB 3.978/2020 exige análise da cadeia societária até identificar a pessoa natural caracterizada como beneficiário final (fonte: BACEN, 2020, normativos.bcb.gov.br).
  • Listas e enriquecimento: cobertura de PEP (Pessoa Exposta Politicamente), sanções e mídia adversa, com data de cada fonte.
  • Falso positivo e falso negativo: para uso antifraude, medir taxa de captura e taxa de falso positivo lado a lado — bloquear fraudador sem barrar bom cliente.

Latência p99 e uptime: a métrica de produção, não a de brochura

A latência média mente. O fluxo de aprovação de crédito ou de onboarding sofre na cauda da distribuição — nos 1% de chamadas mais lentas que, em volume, viram milhares de propostas travadas por dia. As métricas de produção mais úteis são percentis de tempo de resposta (p95 e p99), taxas de erro, disponibilidade e throughput, analisados em conjunto (fonte: Dotcom-Monitor, 2026, dotcom-monitor.com).

O modelo de monitoramento de resiliência do Open Finance brasileiro, referência madura de SLA no setor, mede sobrecarga de servidor, latência das APIs, disponibilidade de curto prazo (30 dias) e de longo prazo (90 dias) — e, desde janeiro de 2026, desempenho por modalidade de produto (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br). Use essa estrutura como gabarito ao negociar o seu contrato.

MétricaO que medirFaixa de referência de mercadoComo validar
Latência p99Tempo dos 1% mais lentos sob carga realValidação cadastral síncrona costuma exigir < 800 msTeste de carga na POC com volume de pico projetado
Latência p95Cauda intermediária no fluxo críticoTipicamente abaixo de 400-500 ms em consulta simplesMonitorar por endpoint, não agregado
UptimeDisponibilidade contratual (SLA)99,9% (≈ 43 min/mês de queda) como piso B2BExigir histórico de 90 dias + status page pública
Taxa de erroHTTP 5xx e timeouts< 0,5% sob carga normalMedir na janela da POC, não em ambiente vazio
ThroughputRequisições/segundo sustentadasAcima do seu pico com folga de 2xTeste de saturação com rate limit declarado

Exija no contrato o p99 e não só o uptime: uma API com 99,95% de disponibilidade e p99 de 4 segundos é inútil num fluxo síncrono de aprovação. E confirme se o SLA prevê crédito ou multa por descumprimento — antes de fechar parceria, é preciso avaliar políticas de segurança, certificações e histórico de incidentes, com responsabilidades de cada parte explícitas em contrato (fonte: Celcoin, 2026, pulse.celcoin.com.br).

Sandbox, documentação e facilidade de integração

O custo de integração é o custo oculto que mais distorce o business case. Um fornecedor com base excelente e documentação ambígua consome semanas de engenharia que não aparecem no preço por consulta.

  1. Sandbox com dados representativos: ambiente de testes que devolve casos reais — registro encontrado, não encontrado, PEP, sanção, erro de validação — e não apenas um "200 OK" feliz. Sem casos de borda, a integração quebra em produção.
  2. Documentação versionada: referência de cada campo, dicionário de dados, códigos de erro completos, exemplos por linguagem e changelog de versões. Documentação sem changelog é sinal de quebra de contrato sem aviso.
  3. Contrato de API estável: versionamento semântico, política de depreciação com prazo e webhooks ou idempotência para consultas assíncronas.
  4. Padrões de mercado: REST com autenticação OAuth 2.0/mTLS, paginação previsível e rate limits documentados — não descobertos em produção via HTTP 429.
  5. Observabilidade: a API devolve request id rastreável e o fornecedor expõe métricas de uso e latência por chave, para você auditar o SLA em vez de acreditar nele.

Conformidade LGPD e trilha de auditoria

O dado de risco trafega informação pessoal sensível e regulada. A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) admite a proteção ao crédito como base legal que dispensa consentimento — entendimento consolidado pelo STJ —, mas isso não dispensa a governança: finalidade declarada, minimização, segregação e trilha. A Circular BCB 3.978/2020 exige que as informações fiquem disponíveis ao Banco Central por dez anos, por serem fundamentais à identificação de eventos de risco (fonte: BACEN, 2020, normativos.bcb.gov.br).

  • Base legal por consulta: o fornecedor registra a finalidade de cada chamada e separa o uso de proteção ao crédito de outros usos?
  • Procedência do dado: exija a origem de cada atributo (fonte pública, bureau, Open Finance) e a data — sem isso não há defesa numa fiscalização.
  • Encadeamento de operador/controlador: o contrato de tratamento (DPA) define papéis LGPD, subprocessadores e local de processamento.
  • Certificações: ISO 27001, SOC 2 Tipo II e, quando aplicável, aderência ao arcabouço de cibersegurança da Res. CMN 4.893.
  • Retenção e descarte: política compatível com os dez anos de retenção regulatória e com o direito de eliminação da LGPD para dados fora da exceção de crédito.

Checklist de POC: o bake-off comparativo

O bake-off de POC: etapas para decidir sobre dados reais, não sobre o slide

  1. 1
    Amostra cega com ground truth

    De 2.000 a 10.000 registros da sua própria base, com resultado já conhecido, anonimizados conforme a LGPD e cobrindo o seu nicho real.

  2. 2
    Métricas de aceite definidas antes

    Match rate mínimo, precisão mínima, p99 máximo e taxa de erro máxima escritos antes de ver qualquer resultado.

  3. 3
    Teste de latência sob pico

    Reproduza o volume projetado e meça p95 e p99 por endpoint, não a média agregada.

  4. 4
    Casos de borda no sandbox

    Registro não encontrado, PJ recém-aberta, PEP, sanção, CPF/CNPJ irregular e beneficiário final de cadeia profunda.

  5. 5
    Custo por consulta efetiva e plano de saída

    Compare o preço por consulta que retorna dado útil e exija exportação, prazo de depreciação e ausência de aprisionamento.

Iniciação de pagamentos via Pix quase quintuplicou em um ano

2024R$ 3,2 bilhões2025R$ 15,3 bilhões
Pluggy, 2026

A decisão final sai de uma POC desenhada como bake-off — os fornecedores finalistas testados em paralelo, sobre a mesma amostra cega da sua base, com critérios de aceite definidos antes de ver o resultado. Um ciclo de venda de fornecedor de dados costuma levar de 30 a 90 dias; reserve duas a três semanas para a POC dentro dessa janela.

  1. Amostra cega com ground truth: 2.000 a 10.000 registros da sua base com resultado já conhecido, anonimizada conforme a LGPD, cobrindo seu nicho real e não o universo nacional.
  2. Métrica de aceite definida antes: match rate mínimo, precisão mínima, p99 máximo e taxa de erro máxima escritos antes do teste — sem isso a POC vira torcida.
  3. Teste de latência sob carga de pico: reproduza o volume projetado, meça p95/p99 por endpoint, não a média agregada.
  4. Casos de borda no sandbox: não encontrado, PJ recém-aberta, PEP, sanção, CPF/CNPJ irregular na Receita, beneficiário final de cadeia profunda.
  5. Custo por consulta efetiva: compare o preço por consulta que retorna dado útil — não a tabela bruta. Validação cadastral simples gira em R$ 0,05 a R$ 0,50; bureau com score chega a R$ 30+; o gasto total com dados fica tipicamente entre 1% e 5% da receita.
  6. Auditoria da trilha: verifique se cada consulta da POC gerou registro de finalidade, procedência e request id rastreável.
  7. Plano de saída: exportação de dados, prazo de depreciação e ausência de aprisionamento contratual antes de assinar.

O posicionamento de provedores de DaaS (Data as a Service, dados como serviço) como a Datahub é de complemento aos grandes bureaus em validação cadastral, KYB, dados societários e enriquecimento — território onde preço e flexibilidade de API decidem a disputa. A escala do ecossistema sustenta essa demanda: o Open Finance brasileiro completou cinco anos em fevereiro de 2026 com mais de 154 milhões de consentimentos ativos e 100 milhões de clientes conectados (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br), e a iniciação de pagamentos via Pix movimentou R$ 15,3 bilhões em 2025, quase cinco vezes os R$ 3,2 bilhões de 2024 (fonte: Pluggy, 2026, pluggy.ai). Volume dessa ordem não perdoa fornecedor mal avaliado.

Perguntas frequentes

Por que medir latência p99 e não a média?

A média esconde a cauda. Num fluxo síncrono de aprovação, são os 1% de chamadas mais lentas (o p99) que travam propostas e geram timeout para o usuário final. As referências de produção recomendam analisar p95 e p99, taxas de erro e disponibilidade em conjunto, justamente porque a média isolada dá uma falsa sensação de saúde da API.

Match rate alto do fornecedor garante bom resultado na minha base?

Não. Um match rate de 95% no universo nacional pode cair para a casa dos 70% no seu nicho — PJ recém-aberta, microempreendedor ou recorte regional. A única medida confiável vem de uma amostra cega da sua própria base, com ground truth, medindo acerto contra resultado conhecido, e não cobertura bruta divulgada pelo fornecedor.

Preciso de consentimento do titular para consultar dados de risco?

Para finalidade de proteção ao crédito, o entendimento consolidado pelo STJ é de que a LGPD dispensa o consentimento. Isso não elimina a governança: é obrigatório declarar a finalidade, minimizar o dado, registrar a procedência e manter trilha de auditoria — inclusive porque a Circular BCB 3.978/2020 exige retenção das informações por dez anos.

O que avaliar especificamente para KYB e beneficiário final?

A capacidade do fornecedor de resolver a cadeia de participação societária até a pessoa física no topo. A Circular BCB 3.978/2020 exige a análise da cadeia até identificar o beneficiário final, então a base precisa devolver quadro societário com profundidade, datas de atualização e cruzamento com listas de PEP e sanções.

Por que o sandbox é decisivo na avaliação?

Porque a integração quebra nos casos de borda, não no caminho feliz. Um sandbox que só devolve "200 OK" esconde o comportamento real em registro não encontrado, PEP, sanção ou erro de validação. Sem testar esses casos antes, o custo de integração — o custo oculto que mais distorce o business case — aparece tarde demais, já em produção.

Quanto tempo reservar para a POC?

De duas a três semanas dentro do ciclo de venda, que costuma levar de 30 a 90 dias. O formato eficaz é o bake-off: finalistas testados em paralelo, sobre a mesma amostra cega, com métricas de aceite (match rate, precisão, p99, taxa de erro) definidas antes de ver qualquer resultado.

Leia também no DataHub

Fontes

  1. Serasa Experian — Recorde de quase 7 milhões de tentativas de fraude no 1º semestre de 2025 (2025)
  2. NDM Advogados — Novas regras do BACEN para IP: Resoluções 494, 495, 496 e 497 (2026)
  3. Kronoos — Tendências de fraudes digitais para 2026 (2026)
  4. BACEN — Circular nº 3.978, de 23 de janeiro de 2020 (PLD/FT, KYC, KYB, beneficiário final) (2020)
  5. Dotcom-Monitor — API Performance Monitoring in Production (2026)
  6. Dotcom-Monitor — API Uptime Monitoring: Measure True API Availability (2026)
  7. Finsiders Brasil — Open Finance: monitoramento de qualidade e dados das instituições (2026)
  8. Finsiders Brasil — Open Finance supera 100 milhões de clientes (2026)
  9. Pluggy — Open Finance 2026: novidades em Pix, crédito e ERP (2026)
  10. Celcoin — Segurança de dados e solução de API para Open Finance (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos