obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

APP fraud

Authorised Push Payment fraud (fraude por transferência autorizada)

Fraude na qual a vítima é manipulada para autorizar ela mesma uma transferência para uma conta controlada pelo fraudador. Alvo nº 1 das transferências instantâneas e do SCT Inst, com teto previsto pelo PSR / reforma de 2026.

Veja também:PSRSCAVoPSCT InstTransaction monitoringChargeback

Definição

A APP fraud (Authorised Push Payment fraud, ou fraude por transferência autorizada) designa uma fraude em que a vítima é manipulada para autorizar ela mesma uma transferência para uma conta controlada pelo fraudador.

A transferência é tecnicamente legítima — a vítima informa o valor, valida a SCA, confirma — mas ela foi enganada quanto à identidade do beneficiário. Tornou-se a principal fraude em transferências na Europa e no Reino Unido desde 2020, impulsionada pela generalização da transferência instantânea (SCT Inst).

APP fraud vs fraude de cartão

A diferença é fundamental:

  • Fraude de cartão (clonagem, card not present): a transação não é autorizada pelo portador. O liability shift do 3DS2 ou a PSD2 protege a vítima, geralmente reembolsada.
  • APP fraud: a transação é autorizada pelo pagador, que fez sua SCA. Sem regulação específica, a vítima não é reembolsada. É esse desequilíbrio que o PSR visa corrigir.

Os principais modos de operação

  • Falso gerente do banco: um fraudador se passa pelo setor de fraude do banco e pede para transferir os fundos para uma "conta segura" que é a dele. O mais comum na França e no Reino Unido.
  • Falsos dados bancários / falso fornecedor: interceptação de uma fatura, alteração dos dados bancários; o pagador (muitas vezes uma PME ou um particular pagando um prestador) transfere para a conta errada.
  • Romance scam: relação virtual de vários meses, depois transferências "urgentes". Perdas às vezes enormes (€ 50 a € 500 mil por vítima).
  • Investment scam: falsas plataformas de cripto ou FX prometendo retornos milagrosos; a vítima transfere e não recupera nada.
  • Conta de laranja (mula): a conta beneficiária costuma ser aberta por uma mula (ela própria recrutada por golpe). Os fundos transitam por ela e são lavados em cascata.
  • Phishing + transferência: falso e-mail (receita, impostos, entrega) que dispara uma "pequena" transferência de regularização.

Por que ela explode

Três fatores se combinam:

  • Transferência instantânea: os fundos são irrevogáveis em poucos segundos, contra 1 a 2 dias para sustar um SCT clássico.
  • SCA forte: paradoxalmente, a autenticação reforça a confiança — tendo validado, a vítima não suspeita do engano.
  • Engenharia social potencializada pela IA: deepfake de voz, spoofing do número do banco, bots de conversa — o ataque se industrializa.

Na França, o Observatoire de la sécurité des moyens de paiement (Banque de France) destaca o forte crescimento da fraude por transferência ligada à manipulação do pagador, que se tornou uma parcela significativa da fraude escritural.

A regulação: VoP e PSR

Duas grandes ferramentas em resposta:

  • VoP (Verification of Payee): desde outubro de 2025 (regulamento IPR), todo PSP deve verificar a concordância nome + IBAN antes de executar uma transferência, o que bloqueia os ataques de falsos dados bancários.
  • PSR (Payment Services Regulation, proposto em 2023, aplicação 2026-2027): prevê um reembolso obrigatório do pagador em certos casos de APP fraud (em especial o spoofing), repartido entre os PSP do pagador e do beneficiário.

No Reino Unido, o PSR impõe, desde 7 de outubro de 2024, um reembolso obrigatório de até £ 85.000 por vítima nos Faster Payments, repartido 50/50 entre os dois PSP — um precedente acompanhado de perto na Europa.

Do lado do banco: transaction monitoring

Os bancos investem no transaction monitoring (Hawk, ComplyAdvantage, Sardine, Featurespace, Feedzai) para:

  • detectar beneficiários incomuns (primeira transferência para um novo IBAN, sobretudo estrangeiro);
  • detectar os patterns de ataque (transferências próximas, valores redondos atípicos);
  • identificar as contas de laranja (conta recente, pouco ativa, súbito afluxo);
  • disparar fricção (pop-up de aviso, verificação por telefone, prazo na primeira transferência a um novo beneficiário).

O que a APP fraud não é

  • Não é uma fraude técnica: nenhum comprometimento, nenhuma transferência não autorizada — é uma fraude humana e social.
  • Não é coberta pelo regime de fraude da PSD2: a diretiva protege os pagamentos não autorizados, não os autorizados sob golpe — daí o PSR.
  • Não é sinônimo de fraude do presidente: esta é uma forma dela no lado empresarial; a APP fraud abrange particulares e empresas.
  • Não é um caso de chargeback: não há chargeback em uma transferência; a vítima deve reclamar ao seu PSP, que decide.

No ecossistema PSD2

A APP fraud é o grande ponto cego da PSD2: a diretiva protegeu a autorização (SCA), mas não a real intenção do pagador. PSR, VoP, transaction monitoring e educação do cliente formam o arsenal de resposta de 2025-2027 — um dos temas mais quentes da regulação de pagamentos na Europa.

Exemplos concretos

  • Falso gerente do banco: "sou do setor de fraude do seu banco, detectamos uma operação suspeita, transfira seus fundos para esta conta segura". Vítimas de todas as idades, sobretudo acima de 60 anos, para valores médios de € 3 a € 30 mil.
  • Romance scam: em forte crescimento desde 2020; relação mantida por 3 a 12 meses antes de transferências repetidas, às vezes mais de € 100 mil no total.
  • Investment scam: falsas plataformas de cripto prometendo 10% ao mês; transferências crescentes e depois desaparecimento no momento do saque. AMF e Banque de France publicam listas negras.
  • Reino Unido: desde 7 de outubro de 2024, reembolso 50/50 entre PSP de até £ 85.000 — com, em contrapartida, muita fricção adicional (cooling-off, pop-up).
  • VoP na zona do euro: desde 9 de outubro de 2025, os bancos exibem um aviso quando o nome do beneficiário não corresponde ao IBAN; o efeito real sobre a fraude por falsos dados bancários ainda está por medir.
  • Transaction monitoring: Revolut, N26 e Lydia investiram em motores proprietários acoplados a Sardine ou Featurespace; os pop-ups "este beneficiário é novo, você tem certeza?" tornam-se a norma.
  • Tensão de fundo: o PSR final, esperado em 2026, aumentará a fricção nas transferências (prazos, cooling-off) ao custo da UX — o equilíbrio entre prevenção da fraude e simplicidade do pagamento.

Fontes

Voltar ao glossário