Empresa-fachada é o CNPJ aberto sem atividade econômica real, usado para emitir notas frias, lavar dinheiro ou blindar patrimônio; o MEI-laranja é a versão de baixo custo desse esquema, em que o dado pessoal de um terceiro vira a face formal do crime. Em 2026 o tema deixou de ser nicho de compliance: a Operação Carbono Oculto expôs R$ 26 bilhões movimentados por fintechs, o COAF bateu recorde de comunicações suspeitas e a Resolução Conjunta nº 16/2025 proibiu as contas-bolsão. Esta página responde, de forma direta, as perguntas que diretores de risco e empreendedores fazem sobre o assunto.

Conceitos e definições

Finsiders Brasil, Agência Brasil, CNN Brasil e Conjur, 2025-2026

O que é uma empresa-fachada?

Empresa-fachada é uma pessoa jurídica registrada formalmente que não exerce a atividade declarada — existe no papel para dar aparência lícita a operações ilícitas. Ela serve para emitir notas fiscais sem lastro de mercadoria, simular compras e vendas, receber recursos de origem criminosa e dificultar o rastreio do dinheiro. Na Operação Carbono Oculto, deflagrada em agosto de 2025, empresas-fachada simularam a compra de nafta de empresas do setor químico, sob pretexto de uso industrial, para mascarar a cadeia do combustível adulterado (fonte: Finsiders Brasil, 2025, finsidersbrasil.com.br). A diferença para uma empresa de fato inativa é a intenção: a fachada finge operar.

O que é um CNPJ laranja?

Um CNPJ laranja é o registro empresarial cujos sócios formais — o quadro societário declarado à Receita Federal — não são os reais controladores do negócio. O "laranja" é a pessoa que empresta nome e dados para figurar como dono, enquanto o beneficiário final, quem manda e lucra, permanece oculto. Na Operação Oasis 14, a Polícia Federal identificou pessoas de baixa renda usadas como laranjas para ocultar bens e transações de terceiros, em um esquema com mais de 330 empresas de fachada (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br). O CNPJ laranja é o veículo; o laranja é a pessoa que o assina.

O que é MEI-laranja?

O MEI-laranja é o Microempreendedor Individual aberto em nome de um terceiro — com ou sem o consentimento dele — para servir de fachada barata. Como o registro de MEI é gratuito, feito em minutos e sem burocracia (fonte: Sebrae, 2026, sebrae.com.br), ele se tornou o ponto de entrada predileto de quadrilhas que precisam de muitos CNPJs descartáveis. O criminoso usa dados vazados ou aliciamento de pessoas vulneráveis para abrir dezenas de MEIs, emitir notas e movimentar valores até que cada registro seja queimado e abandonado.

O MEI nasceu para formalizar 16 milhões de empreendedores e virou, na mão do crime, a impressora mais barata de CNPJs descartáveis do país. O mesmo atributo que o torna inclusivo — abertura instantânea e gratuita — é o que o crime explora.

Qual a diferença entre laranja, empresa-fachada e empresa de fachada digital?

São camadas do mesmo esquema. O laranja é a pessoa física que dá o rosto; a empresa-fachada é o CNPJ sem operação real; a fachada digital acrescenta site, perfil em rede social e até maquininha para simular movimento e enganar verificações automáticas. Em 2026, esquemas sofisticados combinam os três: um laranja aliciado, um CNPJ aberto com endereço de coworking ou residência, e uma vitrine online que dá verniz de legitimidade. A tabela abaixo separa os papéis.

ElementoO que éFunção no esquemaSinal de alerta nos dados
LaranjaPessoa física que empresta nome e CPFAssinar o contrato social e abrir contasRenda incompatível, idade extrema, mesmo CPF em muitos QSAs
Empresa-fachadaCNPJ sem atividade econômica realEmitir notas frias e receber recursosFaturamento alto com zero funcionários e capital irrisório
MEI-laranjaMicroempreendedor aberto em nome de terceiroFachada descartável de baixo custoVários MEIs no mesmo endereço ou telefone
Conta-bolsãoConta coletiva que mistura titularesOcultar quem movimenta o dinheiroVedada desde a Res. Conjunta nº 16/2025

Como o esquema funciona

As cinco etapas de uma rede de empresas-fachada

  1. 1
    Captação de identidades

    Dados vazados ou pessoas vulneráveis aliciadas como laranjas para dar o rosto formal ao esquema.

  2. 2
    Constituição em massa

    Abertura de CNPJs e MEIs descartáveis com endereços e contatos compartilhados.

  3. 3
    Bancarização

    Abertura de contas em fintechs, historicamente em contas-bolsão que ocultavam a titularidade.

  4. 4
    Operação

    Emissão de notas frias, simulação de compra e venda e movimentação cruzada entre dezenas de empresas.

  5. 5
    Blindagem e descarte

    Recursos passam por fundos de investimento e os CNPJs são abandonados antes da fiscalização.

Finsiders Brasil e Agência Brasil, 2025

Como os criminosos montam uma rede de empresas-fachada?

O ciclo costuma ter cinco etapas: (1) aliciar ou usar dados de laranjas; (2) abrir CNPJs — muitos como MEI — em endereços de fachada; (3) abrir contas em instituições financeiras, historicamente em contas-bolsão que misturavam vários titulares; (4) emitir notas frias e movimentar recursos cruzando dezenas de empresas para diluir o rastro; e (5) descartar os registros antes que a fiscalização chegue. Veja a sequência típica:

  1. Captação de identidades: dados vazados ou pessoas vulneráveis aliciadas como laranjas.
  2. Constituição em massa: abertura de CNPJs e MEIs com endereços e contatos compartilhados.
  3. Bancarização: abertura de contas, com uso de fintechs e antes de contas-bolsão para ocultar titularidade.
  4. Operação: emissão de notas frias, simulação de compra e venda, movimentação cruzada.
  5. Blindagem e descarte: recursos passam por fundos de investimento e os CNPJs são abandonados.

Na Carbono Oculto, a investigação identificou ao menos 40 fundos de investimento, com cerca de R$ 30 bilhões em ativos, usados para blindar patrimônio e ocultar os verdadeiros donos dos recursos (fonte: Finsiders Brasil, 2025, finsidersbrasil.com.br).

Qual o papel das fintechs e das contas-bolsão nesses esquemas?

Algumas fintechs foram usadas como camada de bancarização porque ofereciam abertura rápida de contas e, no modelo de Banking as a Service (BaaS), operavam contas-bolsão — contas coletivas em que muitos clientes finais ficavam escondidos atrás de um único titular institucional. Na Carbono Oculto e em seu desdobramento, a Fluxo Oculto, seis fintechs movimentaram mais de R$ 26 bilhões entre 2022 e 2025 dentro do esquema de sonegação, lavagem e adulteração de combustível (fonte: Finsiders Brasil, 2025, finsidersbrasil.com.br). É importante separar o instrumento da intenção: a fintech e o BaaS são lícitos; o desvio estava no uso da conta coletiva para ocultar o beneficiário final.

Por que a fraude de empresa-fachada e MEI-laranja cresce em 2026?

Três forças se somam. Primeiro, o baixo custo de entrada: abrir MEI é gratuito e instantâneo, o que barateia a produção de fachadas. Segundo, o volume de dados pessoais em circulação após sucessivos vazamentos, que alimenta o aliciamento e o roubo de identidade. Terceiro, a digitalização dos pagamentos, que dá velocidade à movimentação. O reflexo aparece nos números do COAF: as comunicações de operações suspeitas saltaram 766,6% entre 2015 e 2024, de 296.183 para mais de 2,5 milhões de registros (fonte: CNN Brasil, 2026, cnnbrasil.com.br). Em 2025, o órgão recebeu volume recorde de comunicações e produziu 20.548 relatórios de inteligência financeira (RIFs), média de 56 por dia (fonte: Conjur, 2026, conjur.com.br).

Riscos e impacto

Quanto cada operação mapeou, em R$ bilhões

Ativos em fundos de blind…~R$ 30 bilhõesMovimentado por seis fint…R$ 26 bilhõesPrejuízo ao sistema finan…> R$ 100 milhões
Finsiders Brasil e Agência Brasil, 2025

Quanto dinheiro esses esquemas movimentam no Brasil?

A escala é bilionária e, por natureza, subestimada. A Operação Carbono Oculto mapeou R$ 26 bilhões movimentados por seis fintechs entre 2022 e 2025 e cerca de R$ 30 bilhões em ativos em fundos de investimento usados para blindagem (fonte: Finsiders Brasil, 2025, finsidersbrasil.com.br). Já na Operação Oasis 14, focada em fraude bancária com 330 empresas de fachada e laranjas, o prejuízo ao sistema financeiro nacional ultrapassou R$ 100 milhões (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br). Esses são apenas os casos mapeados por operações específicas; o estoque total transita pela economia disfarçado de comércio legítimo.

Que riscos uma empresa legítima corre ao contratar um fornecedor-fachada?

Contratar, pagar ou receber de uma empresa-fachada contamina a contraparte legítima. Os riscos concretos são: glosa de créditos fiscais por nota fria; responsabilização por lavagem de dinheiro quando há sinais que deveriam ter sido percebidos; bloqueio de valores em investigações; e dano reputacional ao aparecer em uma cadeia investigada. O COAF (Conselho de Controle de Atividades Financeiras) e os setores obrigados a comunicar operações suspeitas vigiam justamente essas relações — e a empresa que não fez a devida diligência mínima sobre o parceiro entra no radar junto com o fraudador. Por isso a verificação de fornecedores deixou de ser formalidade e virou controle de risco.

Posso ter aberto um MEI sem saber e virar laranja? Como descobrir?

Sim. Com dados vazados, criminosos abrem MEI em nome de vítimas que só descobrem ao serem cobradas por dívidas ou ao ter o CPF apontado em investigações. Para checar, consulte o Portal do Empreendedor e o e-CAC da Receita Federal com seu CPF e veja se há CNPJ associado. Cuidado, porém, com o golpe inverso: criminosos enviam mensagens falsas por WhatsApp ou SMS dizendo que "seu CNPJ foi suspenso" para induzir pagamentos — órgãos públicos não fazem cobrança nem comunicação por esses canais, e dívidas com a Receita não cancelam o CNPJ (fonte: FDR, 2026, fdr.com.br). Se encontrar um MEI que não abriu, registre boletim de ocorrência e formalize a contestação na Receita.

Detecção por dados

Como os dados cadastrais ajudam a detectar empresas-fachada e laranjas?

A fraude de fachada deixa rastro nos dados: o que falta de operação real aparece como anomalia cadastral. Plataformas de dados cadastrais cruzam o quadro societário (QSA) da Receita Federal, endereços, vínculos, faturamento declarado e histórico para revelar o beneficiário final — quem de fato controla a empresa. O QSA registra nome, percentual de participação, tipo de vínculo e a cadeia de controle direto e indireto, o que permite chegar ao controlador real (fonte: Kronoos, 2026, kronoos.com). Os principais sinais que os dados acendem são:

  • O mesmo CPF figurando como sócio em dezenas de CNPJs sem nexo entre os setores.
  • Endereço compartilhado por muitas empresas — coworking genérico ou residência com dezenas de registros.
  • Faturamento alto incompatível com capital social irrisório e zero funcionários.
  • Sócios com perfil de renda, idade ou domicílio incompatíveis com o porte do negócio.
  • CNPJ recém-aberto já movimentando volumes expressivos.
  • Telefone e e-mail repetidos entre empresas teoricamente independentes.

O que é KYC PJ e por que o beneficiário final é o ponto central?

O KYC PJ — "Know Your Customer" para pessoa jurídica — é o processo de conhecer de verdade a empresa com quem se faz negócio, indo além do nome na ficha cadastral até o beneficiário final. Padrões de KYC, due diligence e prevenção à lavagem de dinheiro (PLD/FT) exigem conhecer a estrutura societária, incluindo o controlador último (fonte: Kronoos, 2026, kronoos.com). O beneficiário final é o ponto central porque toda a engenharia da fachada existe para escondê-lo: o laranja assina, mas não decide. Identificar quem realmente lucra é o que separa um cliente legítimo de um veículo de crime. Bureaus de dado cadastral como Serasa Experian, Quod e a própria Datahub sustentam essa verificação ao integrar bases públicas e privadas em consultas estruturadas.

Dado cadastral resolve sozinho, ou precisa de monitoramento comportamental?

Dado cadastral é a primeira trava, não a última. Ele filtra a entrada — identifica o laranja, o endereço suspeito, o vínculo oculto — antes de a relação começar. Mas a fraude evolui: a Operação Fluxo Oculto investigou seis fintechs que passaram a ser usadas pelo crime depois que as anteriores foram bloqueadas (fonte: Finsiders Brasil, 2025, finsidersbrasil.com.br). Por isso a defesa madura combina dado cadastral confiável na admissão com monitoramento transacional contínuo, que percebe quando um cliente aprovado começa a movimentar fora do padrão. A inteligência cadastral diz quem é a empresa; o monitoramento diz o que ela está fazendo agora.

Regulação 2026

O que muda com a proibição das contas-bolsão pela Resolução Conjunta nº 16/2025?

A Resolução Conjunta nº 16, de 28 de novembro de 2025, do Banco Central (BACEN) e do Conselho Monetário Nacional (CMN), regulamentou o Banking as a Service e proibiu as contas-bolsão — também chamadas contas-ônibus. Toda conta passa a exigir identificação do cliente final, com titular definido, e só pode ser movimentada pelo próprio cliente (fonte: Agência Brasil, 2025, agenciabrasil.ebc.com.br). Na prática, fecha-se a camada que permitia esconder o beneficiário final dentro de uma conta coletiva — exatamente o recurso visto na Carbono Oculto. As instituições têm até o fim de 2026 para adequar contratos (fonte: GSGA, 2025, gsga.com.br).

O que a Receita Federal faz com CNPJs de fachada e MEIs irregulares?

A Receita Federal declara um CNPJ inapto quando há omissão prolongada de obrigações acessórias — em regra, dois anos de declarações não entregues, como a DASN-Simei no caso do MEI. Decorridos 180 dias da inaptidão, o CNPJ é baixado e eventuais débitos podem ser transferidos para a pessoa física responsável (fonte: Serasa Experian, 2026, serasaexperian.com.br). Esse é justamente o ponto que pune o laranja: o débito da fachada abandonada cai sobre o nome de quem emprestou o CPF. A inaptidão é sanção declaratória; a baixa é a extinção definitiva e irreversível do registro.

O que uma empresa deve fazer em 2026 para não ser usada por uma fachada?

A resposta operacional tem quatro frentes: verificar o beneficiário final de todo fornecedor e cliente relevante antes de contratar; cruzar QSA, endereço e vínculos com bureaus de dado cadastral confiáveis; manter rotina de comunicação de operações suspeitas ao COAF quando aplicável; e revisar contas e parcerias de BaaS para eliminar qualquer estrutura de conta-bolsão antes do prazo de adequação ao fim de 2026. Com 20.548 RIFs produzidos pelo COAF em 2025 (fonte: Conjur, 2026, conjur.com.br), a fiscalização tem dados em volume inédito — e a empresa que não fez a sua diligência aparece na mesma rede que o fraudador.

Perguntas frequentes

Qual a diferença entre empresa-fachada e empresa inativa?

A empresa inativa simplesmente não opera e pode estar regular. A empresa-fachada finge operar: emite notas, movimenta contas e simula negócios para dar aparência lícita a recursos ilícitos. A intenção de ocultar é o que define a fachada.

Ser laranja é crime mesmo sem ter recebido dinheiro?

Sim. Emprestar nome e CPF para figurar como sócio de empresa que não controla pode configurar participação em lavagem de dinheiro, fraude e falsidade ideológica, ainda que o laranja não tenha lucrado. E o débito da fachada baixada recai sobre a pessoa física responsável.

Como os dados detectam um laranja antes de fechar negócio?

Cruzando o quadro societário da Receita com endereços, vínculos e perfil de renda. Sinais como o mesmo CPF em dezenas de CNPJs, endereço compartilhado por muitas empresas ou faturamento alto com capital irrisório acendem o alerta antes da contratação.

As contas-bolsão ainda são permitidas em 2026?

Não. A Resolução Conjunta nº 16/2025 do BACEN e do CMN proibiu as contas-bolsão e exige identificação do cliente final em toda conta. As instituições têm até o fim de 2026 para adequar seus contratos.

Leia também no DataHub

Fontes

  1. Finsiders Brasil — Fluxo Oculto: fintechs, contas-bolsão, fundos e R$ 26 bi (2025)
  2. Agência Brasil — PF prende quadrilha que criou 330 empresas de fachada (Oasis 14) (2025)
  3. Agência Brasil — BC fecha cerco a contas-bolsão e regulamenta serviços bancários (2025)
  4. GSGA — Resolução Conjunta nº 16/2025: as regras que reestruturam o BaaS (2025)
  5. Conjur — COAF produz mais RIFs em 2025 e tem recorde de comunicações suspeitas (2026)
  6. CNN Brasil — COAF registrou aumento de 766% nas comunicações de operações suspeitas (2026)
  7. Kronoos — Quadro societário (QSA): por que e como analisar com tecnologia (2026)
  8. Serasa Experian — CNPJ inapto: o que é e como regularizar (2026)
  9. Sebrae — 8 golpes que atingem o MEI (2026)
  10. FDR — Golpe do falso aviso do MEI: 'seu CNPJ foi suspenso' (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos