Início/Blog/Confiança digital
Arquitetura de Segurança Fintech

Confiança digital na América Latina: fraude, identidade e APIs de pagamento

Pagamentos instantâneos e finanças orientadas a APIs comprimem o tempo para detectar abuso. O produto precisa saber quem está agindo, qual contexto de dispositivo e rede existe, qual movimentação foi pedida e como bloquear ou recuperar fraude sem impedir usuários legítimos.

Confiança digital é uma cadeia de evidências e controles

Prova de identidade, autenticação, recuperação, device intelligence, sinais telco, comportamento, autorização do pagamento, segurança de API, monitoramento e disputa resolvem problemas diferentes. Reduzir tudo a um score opaco esconde qual evidência existe e qual controle autorizou a ação.

O NIST SP 800-63-4 separa assurance de prova, autenticação e federação. Pagamentos adicionam outra pergunta: mesmo com autenticação válida, beneficiário, valor, dispositivo, sessão e comportamento são compatíveis com uma transação autorizada?

Evidência de identidadeDocumento, fonte oficial, tempo de conta, atributos verificados, método e confiança.
Evidência de autenticaçãoPasskey, sessão, resistência a phishing, recuperação e resultado do step-up.
Evidência contextualBinding do device, troca de SIM/device, IP, localização, rede, velocidade, comportamento e incidentes.
Evidência transacionalRail, beneficiário, valor, moeda, finalidade, merchant, agenda, limites e settlement.

Rails rápidos exigem decisão antes e depois da autorização

Pix no Brasil, SPEI e CoDi no México e Bre-B na Colômbia mostram a transição regional para movimentação interoperável e quase imediata. A velocidade melhora experiência e competição, mas reduz a janela de intervenção. Controles precisam existir antes da iniciação, na autorização, execução, settlement e recuperação.

A documentação do Banco Central descreve o Mecanismo Especial de Devolução do Pix para eventos de fraude. Recuperação não substitui prevenção: risco do beneficiário, limites, confirmação clara, anomalias comportamentais, alertas de golpe e operação de investigação continuam necessários.

O pipeline deve preservar evidência e reason codes

Pipeline de fraude e pagamento
01 IntençãoDefina a açãoLogin, cadastro, recuperação, novo beneficiário, pagamento, saque, compartilhamento ou limite.
02 IdentidadeVerifique ator e autoridadeProofing, estado da conta, passkey, sessão, delegação, consentimento e assurance.
03 ContextoColete sinais mínimosDevice binding, SIM/device swap, IP, rede, localização, comportamento, velocidade e abuso.
04 PagamentoEnriqueça a transaçãoIdade e reputação do beneficiário, valor, limite, rail, merchant, agenda e settlement.
05 AvaliaçãoRegras e modelos calibradosHard blocks, allowlists, anomalia, fraude, grafo, incerteza e versão da policy.
06 DecisãoAplique fricção proporcionalPermitir, passkey step-up, confirmar depois, limitar, revisar, negar ou congelar.
07 ExecuçãoVincule decisão e açãoIdempotência, request assinado, autorização, estado atômico, auditoria e notificação.
08 AprendizadoMonitore e recupereSettlement, contestação, MED, análise, falso positivo, remediação e feedback.

Use autenticação resistente a phishing e proteja a recuperação

Passkeys usam credenciais de chave pública vinculadas ao domínio e resistentes a phishing. Elas removem exposição de senha e SMS OTP de jornadas críticas. O benefício desaparece se o atacante usa uma recuperação fraca, troca telefone com pouca evidência ou cadastra novo autenticador em sessão comprometida.

Separe políticas de login, autorização transacional e recuperação. Exija evidência maior para novo device, beneficiário, pagamento alto, reset e troca de contato. Notifique por canal independente e aplique cooling period quando o negócio e o rail permitirem.

APIs telco são sinais contextuais, não verdade de identidade

CAMARA Number Verification confirma a relação entre sessão e número sem depender apenas de SMS. SIM Swap e Device Swap revelam mudanças recentes ligadas a takeover. Implantações do GSMA Open Gateway em Argentina, Chile, Colômbia, Paraguai e Peru mostram operadoras regionais expondo capacidades antifraude.

O sinal pode estar indisponível, desatualizado, limitado por consentimento ou representar uma troca legítima. Trate como evidência temporal com proveniência. Defina fallback, cache, finalidade, cobertura por operadora, interpretação e reason code.

APIs financeiras precisam de garantias maiores

O Open Finance Brasil protege recursos críticos com perfis Financial-grade API. FAPI 2.0 e OAuth Security BCP oferecem padrões para autorização, tokens sender-constrained, autenticação forte de clientes, redirects exatos e defesa contra ataques práticos. Testes de conformidade importam porque a segurança depende dos detalhes entre authorization server, client, chaves, certificados e resource server.

Use acesso curto e escopado; vincule consentimento a recurso, propósito e duração; valide issuer, audience, algoritmos e authorization details; proteja webhooks contra replay; mantenha state machine imutável. API gateway não corrige autorização por objeto quebrada no recurso.

Escolha a fricção pelo risco e consequência

Sinal ou condiçãoPossível significadoResposta útilFalha a evitar
Device conhecido, passkey, beneficiário e valor normaisComportamento consistente de baixo risco.Permitir, notificar e monitorar depois.Fricção repetitiva que treina aprovação automática.
Troca recente de SIM ou deviceUpgrade legítimo, recuperação ou preparação de takeover.Aumentar risco, step-up resistente a phishing, limitar mudanças e buscar evidência independente.Bloquear toda migração legítima ou tratar telefone como identidade.
Novo beneficiário e valor/velocidade anormaisGolpe, conta laranja, coerção ou urgência legítima.Confirmação clara, contexto, atraso/review, limite inicial e alerta específico.Alerta genérico ignorado e modelo baseado só em fraude passada.
Login válido com sessão anormalSessão roubada, golpe por acesso remoto, malware ou automação.Reautenticar, vincular detalhes, avaliar integridade e revisar ambiguidade.Assumir que login autoriza todas as ações seguintes.
Client de API ou consentimento anormalClient comprometido, redirect, scope excessivo, replay ou autorização quebrada.Negar, revogar tokens/consentimento, rotacionar e investigar chamadas.Usar score para compensar defeito de protocolo.
Fraude confirmada após settlementPrevenção falhou ou engenharia social venceu controles.Congelar caminhos, iniciar recuperação, preservar evidência e investigar grafo.Treinar imediatamente com rótulo não verificado ou apagar evidência.

Cartão, pagamento instantâneo e open finance exigem controles próprios

EMV 3-D Secure troca contexto de dispositivo e transação para autenticação baseada em risco no cartão não presente. PCI DSS estabelece baseline de proteção de dados de cartão. Pagamentos account-to-account têm propriedades diferentes de autorização, settlement, alias, beneficiário e recuperação. Iniciação via open finance adiciona clients, consentimento, tokens, redirects e mensagens assinadas.

Normalize evidência comum de identidade e device, mas preserve campos, state machines, disputas, deadlines e reason codes próprios de cada rail.

Modelos em tempo real precisam de regras e operação humana

Hard controls tratam estados impossíveis ou proibidos: assinatura inválida, client revogado, conta bloqueada, limite regulatório ou autorização ausente. Modelos servem para padrões como velocidade, grafo, mudança comportamental, anomalia de device e novidade do beneficiário.

Versione features, labels, modelo, thresholds e policy. Meça precision e recall por tipo de fraude, país, rail, device, tempo de conta, faixa de valor e acessibilidade. Analise falsos positivos e recursos. Fraude é adversarial e labels históricos carregam atrasos e inconsistência.

O sistema precisa continuar inclusivo

Usuários operam com aparelhos baratos, telefones compartilhados, SIM trocado, conectividade intermitente, migração, trabalho informal, canais assistidos e documentos diferentes. Um controle que presume um device permanente, número estável, endereço fixo e conexão perfeita rejeita usuários legítimos de forma desigual.

Ofereça alternativas seguras, explicações acessíveis, revisão assistida, recuperação clara e funcionalidade limitada quando a confiança estiver incompleta. Meça desafios, abandono, negações e quantos depois foram confirmados como legítimos.

Observabilidade liga decisão ao outcome

Cada decisão registra evento imutável: correlation ID, ação, referências, proveniência e idade dos sinais, versão de features, regras, modelo, threshold, decisão, fricção, estado da API e pagamento, analista e outcome. Minimize e proteja esse ledger.

Dashboards devem mostrar perda, valor evitado, falso positivo, conclusão do challenge, abandono, latência de review, recuperação, tempo de freeze, erros de API, disponibilidade dos sinais, falhas de consentimento, drift e impacto no suporte.

O que eu construiria

Eu construiria uma plataforma regional de decisão com evento canônico, identidade e consentimento, passkeys, adapters telco, device binding, adapters de rails, features em tempo real, regras e modelos, reason codes, case management e recuperação.

Política por país e rail seria configuração. Um simulador reproduziria takeover, SIM swap, golpe de pagamento, conta laranja, client comprometido e migração legítima. Produto compararia fraude evitada, fricção, custo e recuperação antes do release.

O princípio de design

Confiança digital não é “identificar uma vez” nem “calcular um score”. É autorização contínua baseada em evidência, com fricção proporcional, execução segura, decisão explicável e recuperação. O sistema funciona quando bloqueia abuso sem tornar participação legítima impossível.