No segmento de pagamentos, dado deixou de ser insumo de back-office e virou camada de operação em tempo real. Em 2026, uma instituição de pagamento (IP), uma adquirente, uma subadquirente ou uma carteira digital consome dados cadastrais em dois momentos críticos e contínuos: no credenciamento do lojista — onde KYC e KYB decidem quem entra na base — e no antifraude transacional, onde cada autorização de Pix ou cartão é pontuada em milissegundos. A escala torna o erro caro: o Pix processou 79,8 bilhões de transações e R$ 35,4 trilhões em 2025, ante 63,5 bilhões de operações em 2024 (fonte: Banco Central do Brasil, Estatísticas do Pix, 2026, bcb.gov.br), e os cartões somaram outros R$ 4,5 trilhões em 48,1 bilhões de operações (fonte: ABECS, Balanço do setor de meios de pagamento, 2026, abecs.org.br). Quem decide com dado ruim aprova fraude ou recusa cliente bom — e os dois erros têm preço.

Por que pagamentos é o segmento mais intensivo em dados

Banco Central / Metrópoles e ABECS, 2026

Pagamentos figura entre os segmentos que mais consomem dados no ecossistema de fintechs brasileiras. A razão é estrutural: o segmento opera com baixa margem por transação e altíssimo volume, o que significa que cada ponto de fraude evitada ou de fricção reduzida no credenciamento move o resultado. Com mais de 2.000 fintechs ativas no Brasil — a maior concentração da América Latina (fonte: Distrito, Inside Fintech Report, 2025, distrito.me) — o adensamento competitivo empurra adquirentes e IPs a disputar lojistas com onboarding mais rápido, sem afrouxar o controle.

O contexto regulatório aperta esse mesmo nó. A Resolução BCB nº 494/2025 revogou os critérios de volume que dispensavam autorização prévia: na janela de 1º a 31 de maio de 2026, emissores de moeda eletrônica, emissores de instrumento pós-pago e credenciadoras que operavam sem licença tiveram de pedir autorização ao Banco Central, sob pena de encerrar atividades (fonte: Banco Central do Brasil, Resolução BCB nº 494, de 2025, bcb.gov.br). A Resolução BCB nº 495/2025 elevou a régua de governança e qualificação técnica para obter a licença. Na prática, a supervisão passou a exigir trilha de dados auditável tanto na entrada do lojista quanto no monitoramento contínuo.

O participante de pagamentos não escolhe entre velocidade e controle. Em 2026, ele precisa entregar onboarding instantâneo e defensável perante o supervisor — e isso só se sustenta com dado cadastral verificável, datado e rastreável.

Credenciamento do lojista: KYC, KYB e o risco que entra pela porta

O que é KYC — definição. KYC (Know Your Customer, "conheça seu cliente") é o conjunto de procedimentos para identificar e validar uma pessoa física antes de habilitá-la em um serviço financeiro. O que é KYB — definição. KYB (Know Your Business, "conheça sua empresa") é a versão aplicada a pessoa jurídica: valida a existência da empresa, o quadro societário, a estrutura de controle e os beneficiários finais. No credenciamento de lojista, os dois andam juntos — verifica-se o CNPJ do estabelecimento e os CPFs dos sócios responsáveis.

O credenciamento é o ponto onde o risco entra na carteira. Um lojista fraudulento credenciado vira porta de lavagem, de processamento de transações de terceiros (transaction laundering) e de chargebacks em massa. Por isso a Circular BCB nº 3.978/2020 (PLD/FT) exige, para o cliente PJ, identificação de beneficiário final, checagem de pessoa exposta politicamente (PEP), listas de sanções e monitoramento ao longo do relacionamento — não apenas no cadastro inicial.

As fontes de dados que sustentam um KYB robusto no segmento de pagamentos incluem:

  1. Dados cadastrais e societários: situação do CNPJ, quadro de sócios e administradores, cadeia de controle até a pessoa física e tempo de constituição — o núcleo do dado cadastral institucional que provedores como a Datahub fornecem via API.
  2. Bureaus de crédito e restritivos: Serasa, Boa Vista/Equifax, SPC, Quod e TransUnion para score, negativações e indicadores de risco do estabelecimento.
  3. Listas regulatórias e reputacionais: PEP, sanções nacionais e internacionais, mídias adversas.
  4. Sinais de risco operacional: compatibilidade entre CNAE declarado e volume esperado, vínculo entre o lojista e dispositivos/contas já marcados por fraude.

O critério de compra aqui é preço por consulta efetiva e flexibilidade de API. Validação cadastral negocia-se na faixa de R$ 0,05 a R$ 0,50 por consulta, enquanto bureau com score robusto pode passar de R$ 30. Como o gasto com dados costuma representar de 1% a 5% da receita de uma fintech, o subadquirente que credencia milhares de lojistas por mês otimiza esse custo desenhando uma cascata: começa pelo dado cadastral barato e só escala para o bureau caro quando o risco justifica.

Antifraude transacional: pontuar cada Pix e cada cartão

Composição das fraudes no Brasil em 2025

Cartões clonados ou usado…47,9%Boletos falsos e transaçõ…32,8%Phishing21,6%
Equifax BoaVista / GEFF, 2026

Depois do credenciamento, o dado volta a trabalhar em cada transação. O que é antifraude transacional — definição. É o monitoramento em tempo real que avalia, para cada operação, a probabilidade de fraude antes ou imediatamente após a autorização, combinando dados do pagador, do recebedor, do dispositivo e do comportamento histórico. A latência manda: em pagamento instantâneo, a decisão precisa caber em uma janela de p99 medida em dezenas de milissegundos, sem derrubar a experiência.

O volume de fraude justifica o investimento. O Brasil contabilizou 10,9 milhões de tentativas de fraude entre janeiro e setembro de 2025, alta de 28,6% sobre o mesmo período do ano anterior, em ritmo que projetava ultrapassar 14 milhões de registros no fechamento do ano (fonte: Serasa Experian, Indicador de Tentativas de Fraude, 2025, serasaexperian.com.br). O alvo é concentrado: bancos e emissores de cartões responderam por cerca de 52% de todas as tentativas detectadas no país no primeiro semestre, segundo o mesmo indicador. Entre os golpes mais relatados pelos clientes, a falsa venda somou 174 mil ocorrências e a falsa central de atendimento, 139 mil, com altas de 314% e 195,7% na comparação anual (fonte: FEBRABAN, balanço de golpes do 1º semestre, 2025, portal.febraban.org.br).

A ameaça que mais cresce não é a clonagem clássica, e sim a identidade sintética — perfis montados com IA generativa que misturam dados reais e fictícios para passar pela verificação tradicional dos bureaus, já que CPF e nome são tecnicamente válidos. Como esses cadastros são aprovados na entrada, o antifraude transacional vira a segunda linha de defesa: o que o KYC não barrou, o monitoramento comportamental precisa capturar pelo padrão de uso.

MomentoPergunta de riscoDados consumidosMétrica do comprador
Credenciamento (onboarding)Esse lojista é real, legítimo e elegível?Cadastral/societário, beneficiário final, PEP, sanções, bureauCusto por proposta aprovada, taxa de credenciamento fraudulento
Autorização (Pix/cartão)Esta transação é legítima agora?Dispositivo, comportamento, vínculos, listas de fraudeTaxa de captura, falso positivo, latência p99
Pós-transação (MED/chargeback)Como recuperar o valor desviado?Rastreamento de fluxo, grafos de transferência, contas intermediáriasTaxa de recuperação, tempo de bloqueio

MED 2.0: o dado que persegue o dinheiro depois da fraude

O que é MED — definição. O Mecanismo Especial de Devolução (MED) é o recurso do Pix que permite à instituição bloquear e tentar devolver valores em casos de fraude ou falha operacional. A versão revisada, o MED 2.0, entrou em vigor em fevereiro de 2026 e teve ativação plena em produção em 11 de maio de 2026 (fonte: Banco Central do Brasil, via Agência Brasil, 2026, agenciabrasil.ebc.com.br).

A mudança central do MED 2.0 é de natureza de dado: o rastreamento passou a seguir o dinheiro por múltiplos níveis de transferência, com grafos de profundidade, alcançando contas intermediárias para onde o golpista pulveriza o valor — não apenas a primeira conta recebedora. Pelo desenho do Banco Central, o pagador passa a abrir uma única solicitação, e o próprio BC, via DICT, encaminha automaticamente as notificações ao longo da cadeia de rastreio, com prazo de resposta encurtado de 24 horas para 6 horas na maior parte dos casos (fonte: Banco Central do Brasil, via Agência Brasil, 2026). O objetivo declarado pelo regulador é elevar a taxa de recuperação de ativos, hoje baixa — o problema que o mecanismo ataca é justamente a fragmentação do valor em "contas-laranja" sucessivas, que esvaziava a devolução.

Para o participante de pagamentos, o MED 2.0 transforma análise de grafo de transferências e qualidade de dado cadastral das contas envolvidas em requisito operacional. Rastrear o caminho do dinheiro depende de resolver entidades — saber que duas contas pertencem ao mesmo beneficiário final, ou que um CNPJ recém-aberto recebe valores incompatíveis com seu porte. É onde dado societário e enriquecimento cadastral encontram o antifraude.

Quem é quem na cadeia e onde cada um consome dado

Os três momentos em que o dado decide na cadeia de pagamentos

  1. 1
    Credenciamento (onboarding)

    KYC e KYB decidem quem entra na base: valida-se o CNPJ do estabelecimento, os CPFs dos sócios, beneficiário final, PEP e sanções.

  2. 2
    Autorização (Pix/cartão)

    Cada transação é pontuada em milissegundos com dados de dispositivo, comportamento e vínculos, medindo taxa de captura, falso positivo e latência p99.

  3. 3
    Pós-transação (MED 2.0)

    Quando a fraude passa, grafos de transferência perseguem o dinheiro por múltiplos níveis até as contas intermediárias para recuperar o valor desviado.

Os papéis na cadeia de pagamentos consomem dados em pontos distintos:

  • Instituição de pagamento (IP): emite moeda eletrônica ou instrumentos de pagamento; após a Resolução 494/2025, opera sob autorização e responde por PLD/FT integral, com KYC/KYB e monitoramento.
  • Adquirente (credenciadora): habilita o lojista a aceitar cartões e liquida as transações; concentra o KYB de credenciamento e o antifraude por estabelecimento.
  • Subadquirente (subcredenciadora): opera sob a licença de uma adquirente parceira e agrega vários lojistas; ganha velocidade no onboarding com sistema antifraude próprio, mas herda a obrigação de conhecer cada estabelecimento.
  • Carteira digital (wallet): intermedeia pagamentos do usuário final; combina KYC de pessoa física com antifraude transacional contínuo em Pix e cartão.

Em todos esses papéis, o dado cadastral institucional funciona como complemento aos bureaus, não como substituto: enquanto o bureau decide score de crédito, o provedor DaaS (Data as a Service) sustenta validação cadastral, KYB, dados societários e enriquecimento — exatamente onde preço por consulta e flexibilidade de API definem a escolha. A POC (prova de conceito) comparativa, o bake-off entre fornecedores com SLA de latência e uptime, virou rito padrão de compra, com ciclo de venda típico de 30 a 90 dias.

Como o comprador de dados em pagamentos decide em 2026

Para o head de risco, de fraude ou de dados de uma IP, adquirente ou carteira, três disciplinas separam quem compra bem de quem só compra caro:

  1. Cascata de validação: ordenar consultas da mais barata e cadastral para a mais cara e analítica, escalando apenas quando o risco da etapa anterior justificar — controla o gasto de dados na faixa de 1% a 5% da receita.
  2. Resolução de entidade auditável: exigir que o provedor entregue não só o dado, mas a trilha — fonte, data e vínculo — porque o supervisor e o MED 2.0 cobram rastreabilidade da decisão.
  3. Bake-off com métrica de negócio: medir cada fornecedor por taxa de captura, falso positivo, latência p99 e custo por proposta aprovada, não por promessa de catálogo.

O fio condutor é simples: em pagamentos, dado bom é dado que decide rápido, custa pouco por consulta e se defende depois. Quem trata o credenciamento e o antifraude transacional como um único fluxo de dados — e não como caixas separadas de cadastro e de monitoramento — captura mais fraude, recusa menos cliente legítimo e chega ao supervisor com a trilha pronta.

Perguntas frequentes

Qual a diferença entre KYC e KYB no credenciamento de lojista?

KYC (Know Your Customer) valida a pessoa física — identidade, CPF, situação cadastral. KYB (Know Your Business) valida a pessoa jurídica — existência do CNPJ, quadro societário, cadeia de controle e beneficiário final. No credenciamento de um lojista PJ, a adquirente ou subadquirente faz os dois: KYB do estabelecimento e KYC dos sócios responsáveis, conforme exige a Circular BCB nº 3.978/2020.

O que mudou com o MED 2.0 em 2026?

O MED 2.0 passou a rastrear o valor desviado por múltiplos níveis de transferência, com grafos de profundidade, alcançando contas intermediárias e não apenas a primeira conta recebedora. Entrou em vigor em fevereiro de 2026 e foi ativado plenamente em produção em 11 de maio de 2026, com o objetivo de elevar a taxa de recuperação de valores e encurtar os prazos de resposta (fonte: Banco Central do Brasil, via Agência Brasil, 2026).

Qual foi o volume do Pix em 2025?

O Pix processou 79,8 bilhões de transações e movimentou R$ 35,4 trilhões em 2025, ante 63,5 bilhões de operações em 2024 (fonte: Banco Central do Brasil, Estatísticas do Pix, 2026). A escala torna o antifraude transacional inviável sem decisão automatizada por dados em milissegundos.

Provedor de dados cadastrais substitui o bureau de crédito em pagamentos?

Não. O provedor DaaS atua como complemento: sustenta validação cadastral, KYB, dados societários e enriquecimento, onde preço por consulta e flexibilidade de API decidem. O bureau permanece referência em score de crédito. A prática comum é uma cascata que começa no dado cadastral barato e só escala para o bureau quando o risco justifica.

Por que a identidade sintética é o maior risco de fraude para 2026?

Porque combina dados reais e fictícios com IA generativa, criando cadastros com CPF e nome tecnicamente válidos que passam pela verificação tradicional dos bureaus. Como são aprovados no onboarding, o antifraude transacional vira a segunda linha de defesa, capturando a fraude pelo padrão de comportamento e pelos vínculos do dispositivo.

O que a Resolução BCB nº 494/2025 exige das instituições de pagamento?

Ela revogou os critérios de volume que dispensavam autorização prévia. Emissores de moeda eletrônica, emissores de instrumento pós-pago e credenciadoras que operavam sem licença tiveram de pedir autorização ao Banco Central entre 1º e 31 de maio de 2026, sob pena de encerrar atividades. A Resolução 495 elevou a régua de governança, o que torna a trilha de dados de KYC/KYB e monitoramento um requisito de supervisão.

Leia também no DataHub

Fontes

  1. Pix bate recorde em 2025 e movimenta R$ 35,4 trilhões — Metrópoles / Banco Central (2026)
  2. Pagamentos com cartões atingem R$ 4,5 trilhões em 2025 — Panorama ABECS (2026)
  3. Novas regras de segurança do Pix entram em vigor (MED 2.0) — Agência Brasil (2026)
  4. MED 2.0: um guia do Mecanismo Especial de Devolução — Matera (2026)
  5. Mudanças no regime de autorização de instituições de pagamento (Res. BCB 494 e 495) — Capital Aberto (2026)
  6. Antifraude 2026: identidade sintética e ticket médio de fraude — GEFF / Equifax BoaVista (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos