Glossário de fraude e antifraude PJ: empresa-fachada, laranja, MED e biometria (2026)

Este glossário reúne 16 termos essenciais de fraude e antifraude no contexto de risco pessoa jurídica (PJ) no Brasil em 2026. Cada verbete traz a definição direta, o vínculo com risco, compliance ou dado cadastral, e o enquadramento regulatório atual. A taxonomia segue a lógica do ciclo de fraude: do veículo (empresa-fachada, laranja, conta-bolsão) ao método (fraude sintética, mula financeira), passando pela defesa (KYC reverso, biometria, device fingerprint) e pela reparação (MED, chargeback).

Por que um vocabulário comum de fraude importa em 2026

MPSP/Brasil 247, CoinLaw, Chargeback.io e Banco Central, 2025-2026

Fraude deixou de ser um problema de varejo para virar um problema de cadeia de dados. A Operação Carbono Oculto, deflagrada em agosto de 2025 e descrita como a maior ação já conduzida contra o crime organizado no país, expôs como o PCC infiltrou a economia formal: o esquema gerou cerca de R$ 52 bilhões em vendas no varejo de combustíveis e movimentou aproximadamente R$ 46 bilhões por meio de fintechs clandestinas entre 2020 e 2024 (fonte: Receita Federal e Polícia Federal, via InfoMoney, 2025, infomoney.com.br). Em uma fase posterior, focada em seis fintechs, a investigação apontou cerca de R$ 26 bilhões atribuídos diretamente à facção entre 2022 e 2024 (fonte: Ministério Público de São Paulo, via Metrópoles, 2025, metropoles.com). O vetor central não foi tecnologia de ponta: foram empresas-fachada registradas em nome de laranjas e contas-bolsão que misturavam recursos de dezenas de origens.

Para o diretor de risco, compliance ou fraude, o problema é de linguagem antes de ser de ferramenta. Termos como KYC reverso, fraude sintética e conta-bolsão descrevem mecanismos distintos que exigem controles distintos. Tratar tudo como "golpe" impede a calibragem de regra, de modelo e de obrigação regulatória. Este glossário padroniza esse vocabulário.

A fraude PJ moderna raramente quebra o sistema. Ela se infiltra pela porta da frente — um CNPJ válido, um sócio formal, uma conta legítima — e usa a própria infraestrutura de pagamentos como camada de ocultação.

Tabela-resumo: os 16 termos por categoria

Veículos e estruturas de fraude

Empresa-fachada

O que é. Pessoa jurídica formalmente constituída na Receita Federal, mas sem operação econômica real — sem funcionários, sem estoque, sem atividade compatível com a movimentação financeira que apresenta. Serve como invólucro legal para emitir notas fiscais falsas e dar aparência de licitude a recursos de origem ilícita. Na Operação Carbono Oculto, empresas de fachada foram registradas em nome de laranjas, em endereços fictícios, para emitir milhares de notas fiscais "espelho" que simulavam venda de nafta (fonte: Receita Federal e Polícia Federal, via InfoMoney, 2025, infomoney.com.br). Para o time de risco, a empresa-fachada é o ponto onde dado cadastral e dado transacional divergem: o cadastro diz "indústria química", o fluxo financeiro diz "lavagem".

Laranja

O que é. Pessoa física que empresta o próprio nome, CPF e documentos para abrir contas, constituir empresas ou figurar como sócia, sem ter relação real com o negócio nem controle sobre os recursos. Muitas vezes são pessoas vulneráveis ou beneficiárias de programas sociais, recrutadas por valores baixos ou sob coação. O laranja é a camada humana que rompe a rastreabilidade: o titular formal não é o titular econômico. No contexto de compliance, a detecção de laranja depende de cruzar perfil socioeconômico declarado com a movimentação observada — incompatibilidade de renda é o sinal clássico, e o ponto onde dados alternativos de bureaus de crédito e cadastro entram.

Conta-bolsão

O que é. Conta bancária única, geralmente aberta sob o CNPJ de uma instituição ou empresa, que reúne recursos de múltiplos titulares cuja separação existe apenas no sistema interno da instituição (as chamadas "contas gráficas"). A estrutura é legítima em alguns arranjos (subadquirência, contas escrow), mas vira instrumento de fraude quando obscurece a origem, o destino e os donos reais do dinheiro. Na investigação das fintechs ligadas à Carbono Oculto, valores de múltiplas origens eram reunidos em contas-bolsão sob CNPJ único, criando camada de ocultação que dificultava o rastreamento pelo BACEN (Banco Central) e pelo COAF (Conselho de Controle de Atividades Financeiras) (fonte: Gazeta do Povo, 2025, gazetadopovo.com.br). Para o compliance, a conta-bolsão é o caso em que a comunicação de operação suspeita ao COAF é dificultada justamente porque o titular formal é único.

Métodos de fraude

Mula financeira

O que é. Pessoa ou empresa que recebe fundos de origem ilícita e os repassa adiante, fragmentando a trilha e dificultando o rastreamento. Diferente do laranja — que empresta identidade de forma estática —, a mula executa movimento: ela é nó ativo na rede de transferências. No Pix, mulas formam as "contas intermediárias" que o MED 2.0 passou a perseguir em 2026. A detecção depende de análise de grafo transacional: contas que recebem e esvaziam em janelas curtas, com baixa retenção de saldo, são candidatas típicas. A entrada de dado é o padrão de fluxo, não o cadastro.

Fraude sintética (identidade sintética)

O que é. Identidade fabricada que combina dados reais (um CPF válido, por exemplo) com dados fictícios (nome, endereço, data de nascimento inventados), criando um "cliente" que não corresponde a nenhuma pessoa existente, mas passa em verificações cadastrais superficiais. É hoje o vetor de mais difícil detecção porque não há vítima individual que reclame — a identidade nunca existiu. O Federal Reserve dos EUA classifica a fraude sintética como um dos crimes financeiros de crescimento mais rápido e ainda pouco compreendidos, com estimativas de perda anual na casa dos US$ 30 a 35 bilhões na economia americana (fonte: Federal Reserve, white paper sobre synthetic identity payments fraud, 2019, federalreserve.gov). Dados do bureau TransUnion mostram que credores norte-americanos acumularam mais de US$ 3,3 bilhões em exposição a identidades sintéticas em contas abertas no ano encerrado em 2024 (fonte: TransUnion, 2025, newsroom.transunion.com). No risco PJ, a versão sintética aparece como empresa-fantasma com sócio sintético — combate exige cruzamento de múltiplas bases cadastrais e comportamentais.

Nota espelho e empréstimo-fantasma

O que é. Documento fiscal ou contrato que registra uma operação que nunca ocorreu, usado para justificar movimentação de recursos. A "nota espelho" replica dados de uma operação real para legitimar uma falsa; o "empréstimo-fantasma" simula crédito entre partes para mover dinheiro sob aparência contratual. Na máfia do combustível, milhares de notas espelho simularam venda de nafta a empresas de fachada (fonte: Receita Federal e Polícia Federal, via InfoMoney, 2025, infomoney.com.br). O sinal de alerta é a incompatibilidade entre nota fiscal eletrônica e capacidade operacional real da empresa emissora.

Mecanismos de reparação

MED 2.0 (Mecanismo Especial de Devolução)

O que é. Mecanismo do Pix, obrigatório a todas as instituições participantes por determinação do BACEN, que permite solicitar a devolução de valores transferidos em casos de fraude, suspeita de fraude ou falha operacional. A versão MED 2.0 entrou em vigor em 11 de maio de 2026 e trouxe duas mudanças centrais: a devolução deixou de se restringir à conta que recebeu o valor inicialmente, passando a rastrear repasses a contas intermediárias (mulas), e todos os participantes passaram a ser obrigados a bloquear automaticamente valores suspeitos por até 11 dias durante a análise (fonte: Agência Brasil, 2026, agenciabrasil.ebc.com.br). A eficácia ainda é limitada: até fevereiro de 2026, menos de R$ 14 a cada R$ 100 desviados por fraude no Pix eram devolvidos à vítima, uma taxa de recuperação de cerca de 13,31%, ante pouco mais de 9% em 2025 (fonte: Banco Central, via Matera, 2026, matera.com). Os prazos-chave do MED 2.0: até 80 dias para registrar a contestação, até 11 dias para análise entre instituições, até 96 horas para executar a devolução após confirmação e até 90 dias para novos bloqueios. Importante: o MED não é garantia universal de ressarcimento — a Conjur registrou que o mecanismo se aplica a fraude e falha, não a arrependimento de pagamento legítimo (fonte: Conjur, 2026, conjur.com.br).

Chargeback (estorno de cartão)

O que é. Estorno de uma transação com cartão acionado pelo portador junto ao emissor, contestando a cobrança. É o equivalente do cartão ao MED do Pix, mas com lógica de bandeira (Visa, Mastercard) e janela de disputa própria. O chargeback divide-se em legítimo (compra não reconhecida, produto não entregue) e fraudulento — o chamado first-party fraud ou "fraude amigável", em que o próprio comprador contesta uma compra que de fato fez. A Juniper Research projeta que as perdas globais com fraude de cartão não presente (CNP), categoria que concentra o chargeback fraudulento, alcancem US$ 28,1 bilhões em 2026, alta de cerca de 40% sobre os US$ 20 bilhões de 2023 (fonte: Juniper Research, via Rippleshot, 2026, rippleshot.com). A própria taxa de disputa importa em termos operacionais: bandeiras impõem programas de monitoramento quando a razão de chargebacks de um lojista ultrapassa limiares próprios — o patamar e a metodologia variam por bandeira (Visa e Mastercard mantêm programas e gatilhos distintos), de modo que o número exato deve ser confirmado no contrato de credenciamento. Para o e-commerce PJ, o chargeback é simultaneamente prejuízo direto e sinal de qualidade do antifraude na ponta da autorização.

Defesa no onboarding

KYC (Conheça Seu Cliente)

O que é. Conjunto de procedimentos de identificação e verificação de pessoa física na entrada de relacionamento — documento de identidade, CPF, prova de vida e histórico financeiro. É exigência regulatória derivada das normas de prevenção à lavagem de dinheiro do BACEN e do COAF. O KYC é a primeira linha de defesa contra laranja e identidade sintética, mas sozinho é insuficiente: validação documental superficial é justamente o que a fraude sintética contorna.

KYB (Conheça Sua Empresa)

O que é. Versão do KYC aplicada a pessoa jurídica — verifica CNPJ, contrato social, licenças de operação e, sobretudo, quem está por trás da empresa. Um fluxo real de KYB em 2026 exige mais que consulta de CNPJ: requer validação da entidade legal, análise do QSA (Quadro de Sócios e Administradores), identificação de beneficiário final, classificação de risco e trilha de escalonamento documentada (fonte: VoveID, 2026, blog.voveid.com). No Brasil, a Receita Federal é a fonte oficial para validação de CNPJ, mas não oferece API pública de uso amplo — o que sustenta o mercado de bureaus de dado cadastral institucional.

KYC reverso

O que é. Inversão do fluxo de verificação: em vez de a instituição validar o cliente, o cliente valida a legitimidade da instituição antes de fornecer dados ou autorizar transação. É prática emergente, não obrigação regulatória formal no Brasil em 2026 — ao contrário de KYC e KYB, que têm base normativa do BACEN e do COAF. Ganhou relevância contra golpes de falso atendimento e falso aplicativo, em que o fraudador se passa pela instituição. Mecanismos de KYC reverso incluem canais oficiais de confirmação, selos verificáveis e tokens que o cliente pode checar de forma independente. É a resposta de confiança ao fato de que, com IA generativa, clonar a aparência de um banco ficou trivial. Para o risco PJ, o KYC reverso protege tanto a empresa-cliente quanto a marca da instituição contra uso indevido de identidade corporativa.

Defesa na autenticação

Device fingerprint

O que é. Identificação única de um dispositivo a partir da combinação de atributos técnicos — modelo, sistema operacional, resolução, fontes instaladas, configuração de rede, comportamento de navegador. Não depende de cookie nem de login, o que o torna útil para detectar quando o mesmo dispositivo opera dezenas de contas (sinal de fazenda de fraude) ou quando uma conta legítima é acessada de hardware nunca visto. A captura de telemetria de dispositivo via SDK móvel ou biblioteca JavaScript é hoje componente padrão das estratégias antifraude e de detecção de deepfake (fonte: BIBlue, 2026, biblue.com.br). O device fingerprint é o dado comportamental que complementa o dado cadastral: liga identidade declarada a contexto de acesso.

Biometria

O que é. Extração de um template numérico único a partir de traço físico — face, digital, voz, íris. A biometria facial opera em dois modos: verificação 1:1, que confirma identidade comparando o template com um registro anterior, e reconhecimento 1:N, que busca correspondência em grande base (fonte: Nextcode, 2026, nxcd.com.br). Sob a LGPD (Lei Geral de Proteção de Dados) e a regulação da ANPD (Autoridade Nacional de Proteção de Dados), dado biométrico é dado pessoal sensível — sua coleta exige base legal específica e governança reforçada. Para o compliance, biometria é defesa potente e passivo regulatório ao mesmo tempo.

FaceMatch

O que é. Comparação direta entre duas imagens faciais — tipicamente a selfie do onboarding contra a foto do documento — para confirmar que são a mesma pessoa. É uma operação de verificação 1:1 e responde a uma pergunta estreita: "estes dois rostos são da mesma pessoa?". O FaceMatch não confirma, sozinho, que há uma pessoa viva diante da câmera — por isso precisa ser combinado com prova de vida. A distinção entre FaceMatch, prova de vida, biometria e autenticação é decisiva para desenhar fluxos de KYC ágeis e resistentes a fraude (fonte: Nextcode, 2026, nxcd.com.br).

Prova de vida (liveness)

O que é. Verificação de que existe uma pessoa real e presente no momento da captura, e não uma foto, vídeo ou deepfake. Divide-se em passiva (análise de textura, profundidade e micromovimentos sem ação do usuário) e ativa (desafios aleatórios definidos no servidor, como virar a cabeça ou piscar). Em 2026, a prova de vida com desafios aleatórios server-side é a principal defesa contra deepfake na concessão de crédito e no onboarding digital (fonte: BIBlue, 2026, biblue.com.br). A prova de vida é o que fecha a lacuna que o FaceMatch sozinho deixa aberta: sem ela, um deepfake pode passar na comparação facial.

Defesa pelo dado cadastral

Beneficiário final (e-BEF)

O que é. Pessoa física que efetivamente controla ou se beneficia de uma pessoa jurídica, ainda que não conste formalmente no quadro societário. É o conceito que desmonta a empresa-fachada: por trás do laranja-sócio há um beneficiário final real. Em janeiro de 2026, a Receita Federal operacionalizou a declaração de beneficiário final pelo sistema e-BEF, tornando obrigatório, para entidades obrigadas, o reporte de quem está por trás da estrutura (fonte: VoveID, 2026, blog.voveid.com). Para o risco PJ, identificar o beneficiário final é a diferença entre verificar um CNPJ e verificar uma empresa — e é o núcleo do dado cadastral institucional auditável.

Como usar este glossário no desenho de controles

Os 16 termos não são equivalentes nem intercambiáveis. Um programa de antifraude PJ maduro mapeia cada um a um controle específico:

1. No onboarding: KYB com análise de QSA e beneficiário final (e-BEF) detecta empresa-fachada e laranja antes da entrada.
2. Na autenticação: a combinação de FaceMatch, prova de vida e device fingerprint barra identidade sintética e deepfake.
3. No monitoramento: análise de grafo transacional identifica conta-bolsão e mula financeira pelo padrão de fluxo.
4. Na reparação: MED 2.0 (Pix) e chargeback (cartão) recuperam valores, com eficácia limitada — daí a prioridade na prevenção.
5. No dado: bureaus de dado cadastral institucional cruzam declaração e realidade, sinalizando incompatibilidade.

A lição estrutural é que prevenção vale mais que reparação: com o MED recuperando cerca de 13% dos valores desviados no Pix, o dinheiro perdido raramente volta. A defesa eficaz acontece no dado cadastral, antes da transação.

Perguntas frequentes

Qual a diferença entre laranja e mula financeira?

O laranja empresta identidade de forma estática — seu nome figura em uma conta ou empresa que ele não controla. A mula financeira executa movimento: recebe fundos de origem ilícita e os repassa adiante, fragmentando a trilha. Um laranja pode ser usado como mula, mas os conceitos são distintos: um é cadastro, o outro é fluxo. A detecção do laranja parte da incompatibilidade entre perfil socioeconômico e movimentação; a da mula parte da análise de grafo transacional.

O MED 2.0 garante a devolução do dinheiro em caso de golpe no Pix?

Não. O MED 2.0, em vigor desde 11 de maio de 2026, ampliou o rastreamento para contas intermediárias e tornou obrigatório o bloqueio automático de valores suspeitos por até 11 dias, mas a recuperação efetiva permanece baixa: até fevereiro de 2026, menos de R$ 14 a cada R$ 100 desviados eram devolvidos (fonte: Banco Central, via Matera, 2026). O mecanismo também não se aplica a pagamento legítimo do qual a pessoa se arrependeu — apenas a fraude, suspeita de fraude e falha operacional.

FaceMatch e prova de vida são a mesma coisa?

Não. O FaceMatch compara duas imagens faciais para confirmar que são da mesma pessoa (verificação 1:1). A prova de vida (liveness) confirma que há uma pessoa real e presente no momento da captura, e não uma foto ou deepfake. O FaceMatch pode aprovar um deepfake bem-feito; a prova de vida existe justamente para fechar essa lacuna. Por isso, fluxos antifraude robustos combinam os dois (fonte: Nextcode, 2026).

Como identificar uma empresa-fachada antes de aprovar um cliente PJ?

A empresa-fachada é detectada pela divergência entre cadastro e realidade operacional: CNPJ ativo com atividade declarada incompatível com a movimentação financeira, endereço fictício, ausência de funcionários ou estrutura, e QSA composto por sócios sem capacidade econômica (laranjas). Um fluxo de KYB em 2026 cruza dados da Receita Federal, juntas comerciais, beneficiário final (e-BEF) e bureaus de dado cadastral institucional para identificar essas inconsistências antes da aprovação.

Por que a fraude sintética é tão difícil de detectar?

Porque não há vítima individual que reclame: a identidade fabricada combina dados reais com fictícios e nunca correspondeu a uma pessoa existente. Ela passa em verificações cadastrais superficiais e só se revela em cruzamentos profundos de múltiplas bases. O Federal Reserve a classifica como um dos crimes financeiros de crescimento mais rápido nos EUA, e o bureau TransUnion registrou mais de US$ 3,3 bilhões em exposição a identidades sintéticas em contas abertas até 2024 (fonte: Federal Reserve, 2019, e TransUnion, 2025).

Conta-bolsão é ilegal?

Não necessariamente. Arranjos legítimos como subadquirência e contas escrow usam estruturas de conta única com segregação interna. A conta-bolsão vira instrumento de fraude quando obscurece deliberadamente origem, destino e titulares reais dos recursos, dificultando o rastreamento pelo BACEN e pelo COAF — foi o caso das fintechs investigadas na Operação Carbono Oculto, em que contas sob CNPJ único misturavam recursos de múltiplas origens (fonte: Gazeta do Povo, 2025). A linha entre arranjo válido e fraude está na transparência e na rastreabilidade do beneficiário final.

Leia também no DataHub

• Fraude de empresa-fachada e MEI-laranja em 2026: perguntas e respostas — Mercado 2026
• Onboarding digital e biometria: prevenir fraude na entrada em 2026 — Compliance 2026
• Operational Health Index PJ: a empresa está viva ou é fachada? — Produtos DataHub
• Glossário de Cadastro e Risco de Crédito: CNPJ, CNAE, PEFIN, REFIN e Scoring — Glossário DataHub
• Glossário de compliance: KYC, AML, PEP, sanções e beneficiário final — Glossário DataHub

Fontes

1. Banco Central via Matera — MED 2.0: guia do Mecanismo Especial de Devolução em 2026 (2026)
2. Agência Brasil — Novas regras de segurança do Pix entram em vigor (2026)
3. Conjur — Mecanismo Especial de Devolução não é garantia universal (MED 2.0) (2026)
4. Tribuna NF — Operação Carbono Oculto: lavagem de dinheiro do PCC com fintechs e máfia do nafta (2025)
5. Estadão MT — Fintechs suspeitas por esquema com PCC movimentaram R$ 26 bilhões (contas-bolsão) (2025)
6. Brasil 247 — Faria Lima lavou R$ 26 bilhões para o PCC, aponta o Ministério Público (2025)
7. CoinLaw — Synthetic Identity Fraud Statistics 2026 (2026)
8. BIIA — Synthetic Identity Fraud Statistics 2026: Hard Numbers, Big Threats (2026)
9. Chargeback.io — Chargeback Statistics 2026 (2026)
10. Chargebacks911 — Chargeback Stats 2026 (taxa de vitória Brasil) (2026)
11. Nextcode — Face Match vs Prova de Vida vs Biometria e Autenticação (2026)
12. BIBlue — Deepfake na Concessão de Crédito: Como Detectar em 2026 (2026)
13. VoveID — KYB in Brazil 2026: Business Verification Requirements (e-BEF, QSA) (2026)