top of page
Buscar

Como estelionatários usam fintechs para roubar contas de jogadores em sites de apostas

  • Foto do escritor: Fred Azevedo
    Fred Azevedo
  • 24 de jun.
  • 5 min de leitura

Atualizado: 3 de out.

A nova face da fraude digital no Brasil une três ingredientes letais: vazamentos de dados, plataformas de apostas e fintechs operando via banking as a service. O resultado? Um modelo de roubo silencioso, difícil de rastrear e ainda fora do radar da regulação.



O golpe por dentro: quando a conta no cassino vira porta de entrada


Nos últimos meses, têm crescido os relatos de apostadores brasileiros que viram seus saldos desaparecerem de contas em sites de apostas — mesmo com senha trocada, autenticação de dois fatores ativada e e-mail verificado.


O responsável? Nem sempre é a plataforma, o bug ou o suporte.


Às vezes, é um terceiro com todos os dados em mãos. E com uma conta nova criada em seu nome, em outra empresa.


A engrenagem por trás desse tipo de ataque é engenhosa — e perigosa. Ela combina:


  1. Vazamento de dados cadastrais de jogadores: nome completo, CPF, e-mail, telefone e, em alguns casos, extrato de movimentações.

  2. Acesso não autorizado à conta de apostas: feito com login legítimo, sem disparar alertas automáticos do sistema.

  3. Criação de uma conta falsa em uma fintech: geralmente aberta com dados vazados da vítima, por meio de um serviço de banking as a service.

  4. Solicitação de saque da conta da bet para a nova conta criada: que, tecnicamente, está no nome da própria vítima.


O resultado final? O dinheiro sai da conta da plataforma de apostas e vai para uma conta nova, aberta em segundos — e controlada pelo estelionatário.


Como o “banking as a service” entra no jogo


O modelo de banking as a service (BaaS) permite que empresas sem estrutura bancária tradicional ofereçam contas, cartões, Pix e outros serviços financeiros com marca própria.


Na prática, a tecnologia é fornecida por uma instituição regulada (como um banco ou IP), e a empresa contratante usa a infraestrutura para lançar seu próprio app ou solução.


Esse modelo é, por definição, neutro — mas vem sendo explorado por criminosos.


Com ferramentas automatizadas e validações falhas, estelionatários conseguem criar dezenas de contas digitais em nome de terceiros, bastando para isso ter acesso a um CPF, uma selfie e dados básicos.


Muitos desses dados estão hoje disponíveis na internet em fóruns da dark web e grupos de Telegram, como já revelamos em matérias anteriores.


Em entrevista reservada ao portal, um especialista em antifraude do setor de pagamentos descreveu o modelo assim:


“O que antes exigia uma falsificação manual, hoje se resolve com um script. Eles abrem uma conta falsa, conectam o CPF ao Pix, fazem o saque do cassino e somem. O nome no Pix bate com o CPF da vítima, então nem a plataforma nem a fintech levantam suspeita de imediato.”

Da falha ao crime: as camadas de vulnerabilidade e as fintechs


O sucesso desse tipo de fraude depende de quatro fragilidades sistêmicas:


  1. Vazamentos de dados sem resposta estatal: mesmo após escândalos envolvendo milhões de cadastros de apostas, não houve ação estruturada da ANPD ou da Secretaria de Prêmios e Apostas para exigir notificação e resposta das operadoras.

  2. Ausência de integração com sistemas públicos de verificação: muitas fintechs ainda não usam a base da Receita Federal, Serpro ou biometria de bases públicas para validar documentos. Isso permite que fotos rasas de RGs ou CNHs falsas passem por "KYC".

  3. Plataformas de apostas com verificação limitada no saque: em muitos casos, é possível sacar valores para contas recém-cadastradas, mesmo sem histórico de uso anterior ou confirmação adicional.

  4. Lacunas regulatórias no BaaS: hoje, não há regra clara exigindo que empresas BaaS auditem quem está usando suas licenças para emissão de contas — nem quem responde em caso de uso fraudulento em nome de terceiros.



Evolução do golpe: da invasão à chantagem


Há também um segundo modelo derivado dessa fraude. Nele, os estelionatários obtêm acesso à conta de apostas, mas não conseguem criar uma conta falsa a tempo para sacar.


O que fazem, então? Mandam mensagem para a vítima. No WhatsApp.


“Estamos com acesso à sua conta da [nome da bet], temos R$ 3.200, vamos apostar e sacar, mas podemos dividir com você”, diz uma das mensagens reais recebidas por um apostador, que procurou o SOS Jogador após notar movimentações não autorizadas.

Em outros casos, a ameaça é direta: se a vítima não pagar “resgate”, os criminosos apostam todo o saldo, perdem de propósito e zeram a conta.


Em todos os casos, o acesso se dá com credenciais legítimas — o que torna difícil para as operadoras distinguirem entre um golpe e uma sessão normal do usuário.


O rastro do crime: por onde passa o dinheiro?


Segundo levantamento de uma consultoria especializada em compliance para operadoras, os principais destinos dos saques fraudulentos são contas em bancos digitais intermediados por empresas com sede em São Paulo, Paraná e Goiás — muitas delas utilizando CNPJs criados recentemente com CNAEs genéricos.


Em ao menos três dos casos mapeados pela reportagem, os golpistas usaram o mesmo padrão:


  • Criaram a conta com nome real da vítima (via BaaS);

  • Vincularam um Pix para saque automático;

  • Apagaram o app da plataforma após a transferência.


O silêncio das plataformas e o buraco da regulação


Até agora, nenhuma grande casa de apostas licenciada reconheceu oficialmente esse tipo de golpe em seus canais.


Também não há registros de ações públicas da SPA ou da ANPD sobre o uso indevido de BaaS em fraudes ligadas a apostas. O Banco Central, por sua vez, ainda não exigiu auditoria pública dos modelos de BaaS utilizados por fintechs.


É um vácuo regulatório que favorece a impunidade.


A falta de cooperação técnica entre os órgãos que regulam apostas (SPA), dados (ANPD) e fintechs (BC) faz com que o crime corra solto entre três mundos que não se falam.


E enquanto isso, quem paga o preço é o jogador honesto — que perde o saldo, o acesso e a confiança no sistema.


O que pode (e deve) ser feito


  1. Exigir notificação de incidentes de segurança pelas casas de apostas, inclusive acessos não autorizados, movimentações incomuns e alterações de conta.

  2. Criar um protocolo obrigatório de verificação antifraude nas fintechs BaaS, com validação cruzada de documentos, biometria e base da Receita Federal.

  3. Registrar como “fraude de identidade” os saques realizados por terceiros, mesmo que com dados aparentemente válidos, para que vítimas possam recorrer judicialmente.

  4. Estabelecer regra de “autorização prévia de conta” para saques em plataformas de apostas, com período de carência para alteração de titularidade.

  5. Integrar o sistema antifraude nacional, com compartilhamento de alertas entre SPA, BC, fintechs e operadoras licenciadas.



Conclusão: um sistema que protege o fraudador e pune a vítima


É preciso dizer com todas as letras: o modelo atual é cúmplice do estelionatário.


Ele permite que uma pessoa, com um CPF vazado, acesse uma conta de apostas, saque para uma conta falsa criada em 5 minutos — e suma.


Tudo isso sem que a vítima seja avisada, sem que a operadora se manifeste e sem que o Estado se responsabilize.


Se o Brasil quer ter um mercado de apostas confiável, precisa urgentemente garantir que o elo mais fraco da cadeia — o apostador honesto — não seja também o mais vulnerável.


Nenhum sistema é seguro se os bandidos navegam nele com mais facilidade que os usuários legais.


A gente só consegue manter esse trabalho com a ajuda da Geralbet. Se você tem mais de 18 anos, gosta de cassino e sabe jogar com responsabilidade, cria uma conta lá e dá essa força para mantermos o patrocínio. Clique aqui para se cadastrar e jogar na Geralbet. Valeu pelo apoio e lembre-se: se precisar de ajuda, venha para o SOS Jogador!



Atenção

Jogue com moderação e dentro de suas possibilidades. O jogo é uma forma de lazer, não uma solução financeira.

© 2025 por Frederico de Azevedo Aranha

Me encontre nas redes sociais:

  • Telegram
  • LinkedIn
  • Instagram
  • X
  • Youtube

ACESSAR MEDIA KIT

bottom of page