A arquitetura criada para prevenir fraudes no sistema financeiro vem sendo reinterpretada, retrospectivamente, como suporte à imputação penal de instituições e administradores.
O sistema financeiro brasileiro registrou doze ataques cibernéticos relacionados ao ecossistema do Pix nos primeiros quatro meses de 2026 — uma média de três por mês, segundo a Associação Brasileira de Bancos. A resposta institucional é coerente com o desafio: relatório da Brasscom projeta que o mercado brasileiro de segurança da informação movimentará cerca de R$ 104,6 bilhões entre 2025 e 2028. O Banco Central, em paralelo, ampliou exigências regulatórias sobre as instituições participantes do Pix, com regras mais rígidas de supervisão, capital mínimo e penalidades administrativas crescentes.
O ponto que merece análise técnica, contudo, é outro — e tem efeitos sistêmicos que ainda não foram dimensionados pelo debate público: a mesma arquitetura construída para prevenir, monitorar e documentar operações suspeitas vem se convertendo, na prática investigativa contemporânea, em material permanente de reconstrução acusatória. Forma-se, assim, dinâmica de imputação retrospectiva: a documentação produzida para fins de conformidade regulatória passa a ser reinterpretada, posteriormente, como elemento de suporte à imputação penal de administradores e instituições.
A arquitetura regulatória contemporânea
Bancos, sociedades de crédito direto, fintechs e instituições de pagamento operam sob aparato normativo extenso: deveres de identificação de clientes, monitoramento transacional contínuo, comunicação de operações suspeitas ao Coaf, segregação de funções, governança formalizada de risco. A Resolução BCB nº 142, de 2021, obriga as instituições a manter registros diários das ocorrências de fraudes e tentativas de fraude na prestação de serviços de pagamento, e a elaborar, a partir desses registros, relatório mensal consolidado das ocorrências e das medidas preventivas e corretivas adotadas. O relatório deve ser encaminhado, para ciência, aos comitês de auditoria e de risco, à auditoria interna, à diretoria executiva e ao conselho de administração — quando esses órgãos existirem na estrutura institucional.
A camada se aprofunda. O Mecanismo Especial de Devolução do Pix, em sua nova versão, permite rastrear recursos desviados por até cinco instituições financeiras consecutivas. Sistemas de inteligência artificial vêm substituindo, em parte, regras binárias de bloqueio por análise comportamental em tempo real — geolocalização, horário, perfil do destinatário, padrão histórico. Plataformas de compartilhamento interbancário, regulamentadas pela Resolução Conjunta CMN/BCB nº 6, de 2023, permitem o intercâmbio estruturado de informações sobre indícios de fraude entre instituições do sistema financeiro. A Lei 15.397, sancionada em 30 de abril de 2026 e publicada em 4 de maio de 2026, reforça normativamente esse ecossistema, ao tipificar a cessão de conta laranja no art. 171, § 2º, VII, do Código Penal e ampliar a fraude eletrônica qualificada no § 2º-A.
O traço comum desse aparato é a hiperprodução documental. Cada operação monitorada gera log. Cada alerta gera registro. Cada decisão de governança gera ata. Cada comunicação ao Coaf gera comprovante. Cada relatório mensal gera apreciação formal pelos órgãos de governança da instituição. O sistema regulatório, por desenho, exige que a instituição produza prova de que está cumprindo a regulação — e essa prova fica documentada, datada, assinada, arquivada.
O paradoxo
Esse desenho cumpre sua função regulatória primária. Permite ao Banco Central supervisionar, identificar gargalos, exigir correção, aplicar sanções administrativas proporcionais. Permite ao Coaf receber, analisar e disseminar inteligência financeira. Permite ao mercado se autocorrigir em ciclo contínuo de aprendizado operacional.
Mas a mesma documentação produz efeito colateral pouco percebido. Toda essa massa documental — construída para cumprir a regulação — fica disponível para reinterpretação posterior em chave criminal. O investigador, meses ou anos depois, lê os relatórios internos, examina as atas dos comitês, recupera os logs de monitoramento, e formula a pergunta: se a instituição identificou os sinais de risco e mesmo assim manteve a operação, não se sustentaria, ao menos, narrativa de dolo eventual? Se o relatório mensal consolidado previsto na Resolução BCB nº 142 — encaminhado para ciência ao conselho de administração — documentava alertas operacionais, os administradores não tinham, ao menos, conhecimento dos riscos?
A pergunta está mal colocada, mas é a pergunta que tem orientado parte relevante da prática investigativa contemporânea. O dever institucional de identificar, documentar e reportar segue fluxos regulatórios próprios — monitoramento, comunicação ao órgão competente, tratamento da ocorrência conforme protocolo —, o que não se confunde automaticamente com dever penal de bloqueio absoluto de toda operação que apresente sinais de risco. A documentação dos alertas é dever — não confissão.
Confundir cumprimento de dever regulatório com indício de conluio criminal é, antes de erro investigativo, falha estrutural de imputação. Converte cumprimento regulatório em prova material de dolo, em movimento que desautoriza toda a lógica da regulação setorial.
Os mecanismos da reutilização
A imputação retrospectiva opera por camadas. Documentação de operação suspeita — produzida em conformidade com normativo regulatório expresso — é reinterpretada, em momento posterior, como evidência de que “a instituição sabia ou deveria saber”. Falha pontual em rotina de KYC, naturalmente sujeita a sanção administrativa proporcional, é apresentada como cegueira deliberada institucional — figura dogmaticamente concebida para a esfera individual e cognitiva, transposta agora para o ambiente corporativo em desvirtuamento da matriz teórica. Comunicação tardia ao Coaf, conduta cuja consequência prevista em lei é multa administrativa, é invocada como dolo eventual em tipo penal autônomo. Alerta de inteligência artificial sobre operação atípica que, mesmo assim, foi liberada pelo sistema sob critérios técnicos definidos é apresentado como conhecimento concreto do risco.
E a camada final: a posição estatutária do administrador, somada à constatação de que o relatório mensal consolidado previsto no normativo regulatório foi encaminhado à diretoria executiva e ao conselho, é tratada como demonstração suficiente de que houve conhecimento, decisão e consentimento sobre o ato específico investigado. A documentação produzida em conformidade com o regulador converte-se em prova material da imputação pessoal.
Cada uma dessas operações, isoladamente, pode soar tecnicamente plausível. Em conjunto, formam aparato de imputação que dispensa demonstração concreta de conduta culpável — porque a documentação regulatória, exigida em cumprimento da norma, sustenta inferências sucessivas que substituem a análise específica de tipicidade, dolo e participação.
Uma camada operacional ignorada: golpe não é fraude
A prática operacional contemporânea distingue, com precisão técnica, fraude e golpe. Fraude envolve invasão de sistemas — vulnerabilidade explorada por terceiro contra a instituição e seus clientes. Golpe, no vocabulário operacional do setor, envolve transação realizada pela própria vítima, mas viciada por engenharia social. Em volume, o que predomina hoje no mercado brasileiro é golpe, não fraude. A transação é autorizada pela vítima — com senha, com confirmação biométrica, com aceite expresso de alertas que o sistema apresenta —, ainda que sob influência de manipulação praticada por terceiro.
A imputação retrospectiva ignora essa distinção. A instituição financeira é cobrada por não ter impedido transação que a própria vítima autorizou, sob influência de engenharia social praticada por terceiro. O dever da instituição é monitorar e alertar — e ela monitorou e alertou, conforme registro documental do próprio sistema. Mas a transação aconteceu porque a vítima, diante do alerta, prosseguiu. Apresentar essa configuração como falha institucional passível de imputação penal aos administradores é confundir dever de cuidado regulatório com responsabilidade objetiva por transação autorizada sob vício de consentimento provocado por terceiro.
O efeito sistêmico sobre administradores
A consequência mais relevante dessa configuração recai sobre os administradores estatutários — diretores, conselheiros, membros de comitês — das instituições reguladas. A Resolução BCB nº 142, ao prever que relatórios mensais sejam encaminhados, para ciência, ao conselho de administração — quando este órgão existir —, cumpre função regulatória legítima: assegura que a alta administração tenha visibilidade sobre o panorama agregado dos riscos operacionais. Mas a mesma exigência produz, na lógica da imputação retrospectiva, presunção de conhecimento que substitui a demonstração concreta de participação consciente em ato específico.
A construção investigativa funciona, em síntese, assim: o relatório mensal consolidado foi encaminhado ao conselho. Logo, os conselheiros tinham conhecimento dos riscos operacionais. Logo, se nada foi feito para impedir o evento posteriormente investigado, houve, ao menos, dolo eventual. A equação ignora deliberadamente o fato de que relatórios mensais consolidados apresentam panorama agregado de ocorrências e medidas, não detalhe operação por operação — e que conhecimento de risco genérico não equivale, em qualquer ordem dogmática rigorosa, a conhecimento concreto de ato específico. A diferença entre situar e imputar é, juridicamente, a fronteira entre o devido processo e a responsabilidade objetiva.
Quando o cargo estatutário, somado à existência de documentação regulatória que obrigatoriamente passa por ele, é tratado como base autônoma de imputação penal, a responsabilização individual deixa de exigir demonstração de conduta culpável. A presunção decorrente da posição substitui a análise da culpabilidade. É exatamente o que o ordenamento penal brasileiro proíbe.
O risco estrutural
A tendência é de aprofundamento. Quanto mais o setor avança em direção a monitoramento contínuo, rastreabilidade ampliada, integração interbancária e inteligência artificial preditiva, mais material documental fica disponível para reinterpretação retrospectiva. O investimento bilionário em segurança da informação, necessário e legítimo, produz como efeito colateral a expansão da matéria-prima de reconstrução acusatória.
A correção desse desequilíbrio não exige reforma legislativa nem redução do aparato regulatório. Exige rigor técnico na aplicação das categorias jurídicas existentes — e, sobretudo, da diferença entre documentar operações suspeitas em cumprimento de dever legal e participar conscientemente de ilícito. Sem essa diferenciação, a infraestrutura antifraude, construída com investimento e propósito legítimos, continuará operando, em sentido inverso ao seu desenho institucional, como infraestrutura de imputação penal expansiva sobre instituições e administradores que cumpriram, em cada etapa, exatamente o que a regulação lhes impunha cumprir.
Luiz Felipe Mallmann de Magalhães
Advogado. Sócio-Fundador e Diretor do LFMM Advogados. Especializado na defesa jurídica de instituições financeiras, fintechs e instituições de pagamento, nas esferas cível, criminal, regulatória e de gestão de crise. Conselheiro Seccional Titular da OAB/RS e ex-Vice-Presidente da Comissão Nacional de Direito Penal Econômico do Conselho Federal da OAB.