Fraudes com IA e Open Finance: consentimento ativo, engenharia social e riscos em Pix e boletos falsos
A digitalização do sistema financeiro trouxe conveniência real, mas também elevou o valor econômico e criminoso dos dados pessoais e financeiros. Hoje, golpes não dependem apenas de senhas vazadas ou links falsos. Eles podem explorar engenharia social, uso indevido de dados compartilhados, perfis financeiros e até recursos de IA, como voz sintética e simulações cada vez mais convincentes. O problema jurídico, portanto, não está no avanço tecnológico em si, mas na combinação entre excesso de exposição informacional, consentimentos ativos mal geridos e manipulação da vítima.
No caso do Open Finance, a premissa oficial continua sendo a de controle pelo cliente: o sistema é apresentado como ambiente em que a pessoa decide como, quando e com qual instituição compartilhar suas informações, podendo inclusive cancelar a qualquer tempo. Além disso, os consentimentos têm prazo compatível com a finalidade, limitado a 12 meses, e podem ser revogados em qualquer um dos ambientes envolvidos.
O risco aparece quando esse controle deixa de ser exercido na prática. Consentimentos antigos, apps pouco usados, múltiplas integrações e falta de revisão periódica podem ampliar a superfície de exposição do cliente. Isso não significa que o Open Finance seja, por definição, inseguro ou que o Banco Central o relacione automaticamente a fraude. Significa que, num ambiente em que o próprio BC reforça mecanismos contra engenharia social e endurece o tratamento de transações com indícios de fraude, manter compartilhamentos ativos sem necessidade passa a ser uma vulnerabilidade prática relevante.
O que é Open Finance e por que o consentimento é o centro do sistema
O Open Finance foi estruturado para permitir o compartilhamento padronizado de dados e serviços financeiros entre instituições autorizadas, com participação do cliente. A própria regulamentação conjunta do BC e do CMN dispõe sobre a implementação do Open Finance, e a governança oficial do sistema destaca que o usuário é quem decide o compartilhamento e pode cancelá-lo quando quiser.
No plano prático, isso quer dizer que a chave jurídica do sistema não é o “acesso livre” das instituições, mas sim o consentimento válido, delimitado e controlável. As FAQs e materiais oficiais do Open Finance informam que esse consentimento pode durar até 12 meses e ser revogado a qualquer momento. A Instrução Normativa BCB nº 637/2025 também registra que o consentimento pode ser revogado a qualquer tempo, em qualquer um dos ambientes envolvidos.
Esse ponto é decisivo porque o risco do cliente não nasce apenas de uma invasão externa. Ele pode nascer de um ecossistema de permissões legítimas no início, mas que deixam de ser necessárias com o tempo. Quando o usuário perde visibilidade sobre quem ainda acessa seus dados ou ignora consentimentos antigos, cresce a dificuldade de perceber onde termina a conveniência e começa a vulnerabilidade.
Open Finance não é fraude, mas pode ampliar a superfície de exposição
É importante ser tecnicamente correto: não há base para afirmar que o Open Finance, por si só, produz fraudes de Pix ou boletos falsos. O sistema foi desenhado com regras, padronização e governança próprias. A comunicação oficial do ecossistema insiste justamente em segurança, consentimento e possibilidade de cancelamento.
O problema está em outro lugar: quanto mais amplo o ecossistema de dados acessados por consentimento, maior pode ser a utilidade dessas informações para abordagens de engenharia social, perfis de consumo e tentativas de fraude personalizadas. A LGPD já reconhece a sensibilidade de decisões baseadas em perfil de consumo e crédito ao assegurar ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado.
Em outras palavras, o Open Finance não deve ser tratado como vilão automático, mas também não pode ser visto como simples detalhe técnico sem impacto na gestão de risco pessoal. Consentimento não é um ato que se dá uma vez e se esquece. Em ambiente digital, ele precisa ser gerido.
O que o Banco Central mostra sobre golpes, engenharia social e endurecimento regulatório
O Banco Central vem reforçando sua regulação e seus mecanismos de prevenção a fraudes em meios de pagamento há alguns anos. A Resolução BCB nº 142/2021 trata de procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, e a Resolução Conjunta nº 6/2023 disciplinou o compartilhamento de dados e informações sobre indícios de fraude entre instituições financeiras e de pagamento.
Mais recentemente, o BC ampliou o tratamento regulatório de fraudes ligadas a engenharia social. A Instrução Normativa BCB nº 655/2025 registrou a inclusão de golpes de engenharia social no manual operacional relacionado ao Pix, retirando restrições anteriores de enquadramento. Em agosto de 2025, o BC também aprimorou o Mecanismo Especial de Devolução do Pix para vítimas de fraudes, golpes ou coerção. E, em setembro de 2025, aprovou norma obrigando instituições a rejeitar transações de pagamento quando o destinatário estiver marcado por suspeita de fraude.
Além disso, em análise regulatória publicada pelo próprio BC sobre compartilhamento de dados de fraude, o órgão citou levantamento setorial que apontou crescimento de 165% nos golpes de engenharia social em determinado período, justamente destacando a manipulação psicológica do usuário como vetor relevante de perdas. Ou seja: ainda que nem todo golpe dependa de Open Finance, o ambiente regulatório brasileiro já trata engenharia social como ameaça central ao sistema.
Onde entram IA, deepfakes e perfis financeiros
Os golpes mais sofisticados de hoje não dependem só de dados brutos. Eles dependem de contexto. Saber com quem a vítima se relaciona financeiramente, que tipo de produto ela usa, como ela costuma transacionar e em qual momento está mais vulnerável torna a fraude muito mais convincente. É nesse ponto que ferramentas de IA e simulações de identidade elevam o risco.
Nas fontes oficiais consultadas, encontrei confirmação institucional de que fraudes digitais estão se sofisticando e de que dados pessoais funcionam como insumos valiosos para golpes. Em 2025, o Serpro destacou publicamente que dados pessoais são insumos para fraudes e que o tratamento inadequado dessas informações amplia riscos. Já documento da Enccla de 2025 descreve golpes em que criminosos usam dados pessoais obtidos por vazamentos ou compra ilegal, combinados com spoofing e falsa identidade bancária, para induzir vítimas a realizar operações financeiras.
Não encontrei, porém, uma fonte oficial do BC afirmando especificamente que deepfakes são hoje o vetor predominante em Open Finance. O que se pode afirmar com segurança é que fraudes de engenharia social estão em alta, que o ecossistema financeiro vem reforçando seus controles e que dados pessoais e financeiros ampliam a capacidade de personalização do golpe. A referência a deepfakes, portanto, deve ser lida como risco emergente plausível, não como conclusão estatística fechada do BC.
Por que consentimentos ativos esquecidos podem virar problema
O Open Finance opera com consentimentos delimitados, mas esses consentimentos podem permanecer ativos por até 12 meses. Isso significa que um cliente que autorizou o compartilhamento de dados para testar um app, buscar crédito, consolidar informações ou acessar uma funcionalidade específica pode continuar com esse fluxo ativo mesmo depois de perder interesse no serviço.
Sob a ótica jurídica e prática, isso importa muito. Quanto mais instituições e aplicações permanecem legitimamente conectadas ao histórico financeiro do titular, maior a necessidade de governança pessoal. Não porque toda instituição receptora vá agir de forma irregular, mas porque o cliente passa a depender de uma cadeia mais longa de segurança, comunicação e transparência.
Por isso, a recomendação oficial de que o usuário pode cancelar a qualquer tempo não é mero detalhe operacional. É uma ferramenta concreta de redução de risco. Em ambiente de golpes por falsa central, boleto adulterado, Pix induzido e abordagens altamente personalizadas, revisar e revogar consentimentos desnecessários é medida básica de higiene digital financeira.
Fraude de Pix e boleto falso: qual é a conexão real com dados compartilhados
O Banco Central mantém orientação específica sobre boleto fraudado e sobre o Mecanismo Especial de Devolução do Pix, justamente porque esses golpes seguem relevantes no cotidiano do sistema financeiro. O BC orienta vítimas de boleto fraudado a procurar a polícia e registrar reclamação, e informa que o MED pode ser acionado em casos de fraude, golpe ou crime envolvendo Pix, com pedido formulado à instituição em até 80 dias.
A conexão com dados compartilhados não é automática nem uniforme. O que existe, na prática, é que golpes de boleto falso, falsa central, falso funcionário e Pix induzido costumam funcionar melhor quando o criminoso já possui dados suficientes para parecer legítimo. A Enccla descreveu precisamente esse modelo: uso de dados pessoais obtidos de forma ilícita para mascarar contato e convencer a vítima a realizar operações financeiras.
Assim, o argumento juridicamente mais forte não é que “Open Finance causa golpe”, mas que ambientes com mais dados ativos, mais integrações e menor gestão de consentimentos podem aumentar o valor operacional das informações para engenharia social, sobretudo se houver vazamentos, uso indevido ou falhas de governança.
O que a LGPD acrescenta a essa discussão
A LGPD exige finalidade, adequação, necessidade e transparência no tratamento de dados pessoais. Também assegura ao titular o direito de revogar consentimento e de solicitar revisão de decisões automatizadas que afetem seus interesses, inclusive as destinadas a definir perfil de consumo e crédito.
Isso significa que a discussão sobre Open Finance e fraude não é apenas bancária ou tecnológica. Ela também é uma discussão sobre governança de dados, ciclo de vida do consentimento e minimização de exposição. Se o usuário já não precisa mais do compartilhamento, a manutenção daquele fluxo pode perder sua justificativa prática, ainda que permaneça formalmente válida até o fim do prazo.
Em linguagem simples: dados financeiros compartilhados legitimamente também precisam ser geridos legitimamente ao longo do tempo.
O que o cliente deve fazer agora
O primeiro passo é mapear consentimentos ativos. Os materiais oficiais do Open Finance deixam claro que o cliente pode cancelar o compartilhamento a qualquer momento. Isso deve ser tratado como rotina, não como medida excepcional.
O segundo passo é reforçar a leitura crítica de contatos recebidos. O próprio BC e documentos oficiais sobre fraudes destacam a centralidade da engenharia social, isto é, da manipulação do usuário para que ele próprio entregue credenciais ou faça pagamentos indevidos.
O terceiro passo é agir rápido diante do golpe. Em caso de Pix fraudulento, a orientação é acionar imediatamente a instituição e pedir abertura do MED dentro do prazo. Em caso de boleto falso, a orientação oficial do BC é registrar ocorrência policial e formalizar a reclamação cabível.
Conclusão
A explosão de fraudes digitais não autoriza simplificações. Open Finance não é sinônimo de fraude, e não encontrei fonte oficial do Banco Central afirmando que ele seja, por si, causa de golpes de Pix ou boletos falsos. O que as fontes mostram é algo mais importante: o sistema depende de consentimento controlado pelo cliente, esses consentimentos podem permanecer ativos por até 12 meses e ser revogados a qualquer tempo, e o próprio BC vem endurecendo suas regras contra fraudes e engenharia social.
Por isso, a melhor leitura jurídica e prática é esta: em um ambiente de golpes cada vez mais personalizados, consentimentos desnecessários e dados excessivamente expostos aumentam a superfície de risco. Revisar acessos ativos, reduzir compartilhamentos e reagir rapidamente a sinais de fraude deixou de ser cautela opcional. Virou parte da proteção patrimonial cotidiana.
FAQ
1. Open Finance é inseguro?
Não necessariamente. A estrutura oficial do sistema foi desenhada com base em consentimento, padronização e possibilidade de cancelamento a qualquer tempo. O risco cresce quando o cliente não gerencia consentimentos ativos ou quando há engenharia social e uso indevido de dados.
2. Posso revogar o consentimento do Open Finance?
Sim. Os materiais oficiais do Open Finance e a regulamentação aplicada informam que o consentimento pode ser revogado a qualquer tempo.
3. O Banco Central relaciona engenharia social a fraudes no Pix?
Sim. O BC ampliou o tratamento regulatório de golpes de engenharia social no contexto do Pix e reforçou mecanismos de devolução e rejeição de transações com suspeita de fraude.
4. Open Finance causa golpe de Pix ou boleto falso?
Não encontrei fonte oficial do BC afirmando isso diretamente. O ponto mais correto é dizer que dados e compartilhamentos ativos podem aumentar a utilidade das informações para golpes de engenharia social, especialmente quando o cliente não revisa consentimentos e quando há uso indevido de dados.
5. O que fazer se caí em golpe de Pix?
Acione imediatamente sua instituição e solicite o MED. O BC informa que o pedido deve ser registrado em até 80 dias da transação, quando houver fraude, golpe ou crime.
