Os pagamentos ACH (Automated Clearing House) são transferências eletrônicas que movimentam valores entre contas bancárias através da rede ACH nos Estados Unidos. Esse sistema é administrado pela Nacha e viabiliza vários tipos de operações, como depósitos de salários, pagamentos a prestadores de serviço, débitos automáticos e transferências entre pessoas.
Assim como outras formas de pagamento digital, transferências ACH estão sujeitas a fraudes. Trinta por cento das organizações relataram ter enfrentado esse tipo de crime em 2022, em comparação com 24% em 2021. Este guia detalha os principais pontos sobre fraude em ACH, incluindo métodos comuns, responsabilidades em caso de fraude e formas de prevenir e identificar esse tipo de golpe.
O que você encontrará neste artigo?
- Modalidades de fraude em ACH
- Como rastrear pagamentos em ACH
- Responsabilidade em fraudes ACH
- Detecção de fraude em ACH
- Prevenção de fraude em ACH
Tipos de fraude em ACH
A fraude em ACH envolve diferentes estratégias que exploram o processo de transferências eletrônicas de fundos dentro da rede ACH. A seguir, os tipos mais comuns de fraude e as práticas utilizadas:
Modalidades de transações fraudulentas em ACH
Grande parte das fraudes em ACH acontece quando criminosos utilizam débitos ACH para transferir valores a contas que controlam. Para isso, conseguem acesso indevido a dados bancários da vítima ou manipulam sistemas de pagamento para enviar fundos de forma não autorizada. Também podem adotar estratégias de longo prazo, inserindo-se gradualmente nos processos financeiros sem serem notados.
Débitos não autorizados
Criminosos podem efetuar débitos não autorizados ao obter números de conta e de roteamento bancário da vítima, dados que permitem retirar dinheiro daquela conta. Esses detalhes podem ser obtidos por meio de phishing, invasões de dados ou interceptação de documentos físicos como cheques.
Execução: De posse desses dados, fraudadores iniciam débitos ACH fingindo ser o titular ou alguma entidade legítima. As transações costumam ser de baixo valor para evitar atenção.
Detecção e prevenção: Clientes e bancos podem utilizar filtros e bloqueios ACH, que permitem ao correntista definir quais pessoas ou entidades estão autorizadas a debitar. Também é essencial que os clientes monitorem contas regularmente.
Violação de contas
Esse tipo de fraude ocorre quando criminosos conseguem acesso não autorizado às plataformas digitais de uma conta bancária. Para isso, podem empregar malware, phishing ou keyloggers a fim de roubar credenciais.
Execução: Com as informações de acesso, o invasor pode entrar na conta e iniciar transferências ACH para contas sob seu domínio.
Detecção e prevenção: Para reduzir o risco, use autenticação multifator (MFA) no acesso a plataformas bancárias e adote proteções avançadas como biometria comportamental. Além disso, treine funcionários sobre boas práticas de segurança digital.
ACH kiting
O chamado kiting em ACH acontece quando fraudadores exploram o intervalo entre o início da transferência e o momento em que os fundos são efetivamente debitados ou creditados, criando um saldo ilusório.
Execução: Fraudadores movimentam valores entre contas de diferentes bancos sob seu controle para inflar artificialmente o saldo antes que as operações sejam compensadas, permitindo que saquem ou utilizem dinheiro que na prática não existe.
Detecção e prevenção: As instituições financeiras podem empregar ferramentas que identifiquem padrões característicos de kiting, como transferências frequentes entre bancos em valores arredondados. Também é possível aplicar verificações adicionais antes da liberação de fundos.
Pagamentos falsos
Esse golpe consiste em enviar faturas fraudulentas às empresas ou alterar instruções de pagamento já existentes para desviar valores a contas controladas pelos criminosos.
Execução: Fingindo ser fornecedores legítimos ou criando pedidos totalmente inventados, fraudadores induzem as empresas a realizar pagamentos ACH para contas incorretas.
Detecção e prevenção: As companhias devem confirmar mudanças em dados de pagamento com contatos já conhecidos por meio de canal seguro e independente. Treinamentos frequentes para funcionários sobre análise criteriosa de faturas e pedidos de pagamento ajudam a prevenir esse tipo de fraude.
Táticas comuns em fraudes ACH
Criminosos podem utilizar as seguintes práticas para obter acesso aos dados necessários para fraudar ou persuadir pessoas autorizadas a realizar débitos em suas contas. Também podem explorar vulnerabilidades em diferentes sistemas (bancário, de e-mail, de armazenamento de dados) para organizar ataques combinados, dificultando o rastreamento e a prevenção de fraudes por parte de bancos e empresas.
Roubo de dados
O fraudador intercepta ou subtrai informações de clientes que podem ser usadas para iniciar transações fraudulentas. Isso pode incluir invasão de bancos de dados corporativos, roubo físico de documentos ou o uso de engenharia social para coletar dados sigilosos.
Execução: Uma vez em posse das informações, os criminosos podem usá-las para iniciar operações fraudulentas via ACH ou vendê-las em mercados ilegais.
Detecção e prevenção: As empresas podem se proteger criptografando dados sensíveis, mantendo políticas rigorosas de segurança de TI e realizando auditorias periódicas. Também devem garantir armazenamento e descarte seguros de documentos físicos.
Golpes de phishing
Phishing ocorre quando criminosos enganam a vítima para obter informações confidenciais como logins e números de conta, geralmente por meio de e-mails ou sites falsos que simulam entidades legítimas.
Execução: Com esses dados, fraudadores podem realizar acessos não autorizados e transações ilícitas, incluindo débitos ACH.
Detecção e prevenção: A capacitação de usuários para identificar tentativas de phishing e verificar a legitimidade de solicitações de informações reduz o risco. Empresas também devem adotar filtros de e-mail e protocolos de segurança para bloquear mensagens suspeitas.
Comprometimento de e-mail corporativo (BEC)
Nesse golpe mais elaborado, criminosos utilizam técnicas de phishing para se passar por executivos ou fornecedores de uma empresa.
Execução: Fraudadores podem falsificar ou interceptar e-mails que orientam o setor financeiro a alterar dados de pagamentos ACH, redirecionando os valores a contas sob seu controle, ou instruindo transferências para contas fraudulentas.
Detecção e prevenção: Procedimentos de verificação, como exigir uma segunda aprovação de outro colaborador, ajudam a evitar esse golpe. É importante que os funcionários reconheçam sinais de phishing e desconfiem de alterações em dados de pagamento enviadas apenas por e-mail.
Ameaças internas
Em alguns casos, indivíduos de dentro da organização, como empregados ou prestadores de serviço, podem abusar de seus privilégios para obter ganho próprio.
Execução: Esses insiders podem realizar transações não autorizadas ou modificar informações de conta para desviar fundos.
Detecção e prevenção: Auditorias regulares, separação de funções e monitoramento de atividades atípicas reduzem o risco. Também é fundamental cultivar uma cultura de segurança e comportamento ético.
Como rastrear pagamentos ACH
Rastrear pagamentos ACH ajuda a resolver problemas como não recebimento de valores, erros ou suspeitas de fraude. Quanto antes iniciar o rastreamento, maiores as chances de encontrar informações corretas.
Reúna informações
Para rastrear um pagamento ACH, comece reunindo todos os dados relevantes da transação, como valor, data, número de referência ou ID, além das contas e nomes dos bancos de origem e destino.
Contate o banco
Procure o banco de onde partiu a transação (se você for o remetente) ou o banco de destino (se for o recebedor). Para casos urgentes, ligações costumam ser mais eficazes que e-mails. Forneça ao banco todos os detalhes da operação.
Inicie o rastreamento
Seu banco provavelmente pedirá que você preencha um formulário formal para solicitar o rastreamento. Esse pedido é enviado pela rede ACH ao outro banco envolvido, que verificará se a operação foi processada corretamente, o status atual e se houve falhas. Algumas instituições podem cobrar taxas por esse serviço.
O processo pode levar alguns dias úteis. Acompanhe de perto o andamento junto ao banco.
Analise os resultados
Após a conclusão, os bancos envolvidos disponibilizam um relatório detalhando o caminho da transação e os problemas encontrados. Se houver erro, eles podem corrigi-lo reprocessando a operação ou ajustando os saldos. Registre todas as comunicações e resultados obtidos. Essa documentação pode ser útil em disputas ou até como prova em ações judiciais.
Responsabilidade em fraudes ACH
A definição de responsabilidade em fraudes ACH depende dos detalhes de cada situação, embora as normas geralmente protejam mais os consumidores e imponham exigências mais rígidas a bancos e empresas. Leis como a Electronic Fund Transfer Act (EFTA), nos EUA, limitam significativamente a responsabilidade dos clientes por transações eletrônicas não autorizadas, desde que reportem dentro dos prazos previstos. Empresas podem ter que arcar com prejuízos se não comprovarem que tinham controles adequados, e bancos podem ser responsabilizados se seus procedimentos de segurança forem considerados insuficientes ou se descumprirem protocolos acordados.
Na prática, a resolução de casos de fraude ACH pode envolver negociações entre as partes e até recorrer a instâncias jurídicas para determinar responsabilidades. Medidas preventivas fortes e procedimentos claros e documentados para lidar com transações eletrônicas ajudam a reduzir riscos e a esclarecer responsabilidades em caso de fraude.
Veja como, em cenários comuns como débitos não autorizados, BEC ou tomada de conta, a responsabilidade costuma ser definida:
Débitos não autorizados
Normas como a EFTA nos EUA obrigam o banco do cliente a reembolsar débitos indevidos, desde que o cliente comunique a transação não autorizada em até 60 dias após o extrato onde ela aparece.
Comprometimento de e-mail corporativo (BEC)
Nessas situações, a responsabilidade geralmente recai sobre a empresa cujo funcionário autorizou a transferência fraudulenta, sobretudo se houve negligência e descumprimento de protocolos internos de segurança.
Violação de contas
Clientes normalmente não respondem por transações fraudulentas decorrentes de violação de contas se notificarem o banco prontamente. O banco pode ser responsabilizado se não aplicou medidas razoáveis de proteção.
Roubo de dados
Quando dados de uma empresa são violados, ela pode ser responsabilizada caso seja comprovada negligência na proteção, como não seguir padrões de segurança do setor ou não implementar medidas preventivas adequadas.
Golpes de phishing
Se um cliente cair em phishing e relatar rapidamente as transações não autorizadas, o banco costuma cobrir as perdas. Se, porém, o cliente for gravemente negligente (como compartilhar senhas ou PINs), pode arcar com parte ou totalidade do prejuízo.
Ameaças internas
A empresa onde atua o insider normalmente assume a responsabilidade, especialmente se falhas de controle ou supervisão facilitaram o crime. Em alguns casos, os bancos podem buscar reparação contra o indivíduo envolvido.
ACH kiting
O autor do kiting pode ser processado por fraude. Bancos também podem ser responsabilizados se não detectarem e interromperem a atividade suspeita por ausência de monitoramento adequado.
Pagamentos falsos
A responsabilidade pode recair sobre a parte que não verificou a autenticidade da solicitação ou da fatura, principalmente se não houve a devida diligência. Em geral, os bancos não respondem se processaram a operação de acordo com as instruções recebidas.
Detecção de fraude em ACH
Identificar fraudes em ACH exige acompanhamento constante, análise criteriosa e compartilhamento de informações. Veja o que é essencial conhecer.
Monitoramento das transações
Utilize softwares específicos que façam a análise contínua das suas operações ACH em comparação com padrões históricos e parâmetros de referência já definidos. Machine learning e inteligência artificial podem aprender o comportamento comum de pagamentos da sua empresa e destacar operações suspeitas com base em padrões complexos que um ser humano poderia não perceber. Os pontos abaixo podem indicar fraude em andamento:
Endereços de IP ou dispositivos incomuns associados às operações
Alterações no volume ou nos valores das transações em relação às médias anteriores
Pagamentos destinados a beneficiários novos, sobretudo em regiões geográficas de alto risco
Movimentações feitas em horários fora do expediente comercial
Solicitações urgentes (por exemplo, mensagens ou ligações exigindo ação imediata) forçando a empresa a liberar valores ou transferir fundos para contas desconhecidas
Divergências em nomes, números de conta ou outros detalhes constantes em uma solicitação de pagamento
Procedimentos de revisão
Análise manual de transações de risco: Revise com atenção as operações apontadas pelos sistemas de monitoramento. Equipes responsáveis devem confirmar detalhes de beneficiários, histórico de pagamentos e mensagens associadas.
Auditorias aleatórias: Realize checagens inesperadas em parte das transações ACH. Mesmo sem encontrar fraude, a simples possibilidade de fiscalização pode inibir fraudadores.
Avaliação de devoluções ACH: Observe com rigor as devoluções de ACH. Altas taxas de retorno podem sinalizar débitos não autorizados ou informações falsas de beneficiários. Estude as causas e verifique padrões.
Práticas de Conheça Seu Cliente (KYC)
Verificação de clientes: Antes de autorizar pagamentos recorrentes ou cadastrar novos beneficiários, realize a devida diligência. Confirme endereços, legitimidade da empresa e consulte listas de sanções e bases de dados antifraude.
Acompanhamento do relacionamento: Reavalie com frequência alterações no comportamento do recebedor, estilo de comunicação ou atualização de dados bancários que possam indicar comprometimento da conta.
Compartilhamento de informações
Parceria com o banco: Mantenha contato ativo com o setor de prevenção a fraudes da sua instituição financeira. Eles podem alertar sobre novas modalidades e colaborar em investigações.
Redes do setor: Participe de associações e grupos de prevenção a fraudes. O intercâmbio de informações e práticas eficazes fortalece todos contra agentes fraudulentos.
Plano de resposta a fraudes
Não espere que o problema ocorra para decidir o que fazer. Prepare antecipadamente um plano com as etapas abaixo:
Pessoa de contato no banco
Procedimentos internos de comunicação e investigação
Ações para conter prejuízos (por exemplo, congelar contas ou trocar credenciais)
Situações em que é necessário envolver autoridades
Prevenção de fraude em ACH
Fraudes em ACH representam sérios riscos para empresas, causando perdas financeiras e danos à imagem. Veja como reforçar a proteção contra tentativas fraudulentas:
Autenticação multifator (MFA): Exija MFA em todos os acessos e operações financeiras. O processo deve pedir uma etapa extra além de login e senha, reduzindo a chance de invasão mesmo que credenciais sejam roubadas.
Pagamentos pré-autorizados: Esse recurso de verificação de débitos ACH permite autorizar previamente beneficiários e valores. Qualquer diferença gera alerta antes da execução, bloqueando saques indevidos.
Capacitação da equipe: Treine funcionários para identificar tentativas de phishing, engenharia social e outros indícios de fraude. Oriente sobre procedimentos adequados para lidar com operações ACH e denunciar atividades suspeitas.
Segregação de funções: Estruture processos em que colaboradores distintos cuidem de etapas diferentes, como iniciar pagamentos, aprovar transações e conciliar contas. Assim, reduz-se a chance de manipulação por uma única pessoa.
Monitoramento em tempo real: Utilize ferramentas de acompanhamento instantâneo para detectar irregularidades e impedir que operações sejam concluídas.
Procedimentos de conciliação: Estabeleça rotinas de conciliação detalhada para confrontar valores previstos com lançamentos realizados. Analise extratos regularmente e investigue discrepâncias que indiquem fraude.
Criptografia de dados: Garanta que informações sigilosas, como registros financeiros e números de conta, estejam criptografados em repouso e durante a transmissão. Isso dificulta o roubo de dados mesmo em caso de invasão.
Controle de acessos: Defina regras rígidas de acesso a sistemas financeiros e de processamento ACH. Libere permissões apenas para quem realmente precisa e use políticas de senha forte com trocas frequentes.
Serviços especializados: Avalie contratar empresas especializadas em prevenção de fraudes que forneçam inteligência avançada e monitoramento dedicado. Esses serviços agregam camadas extras de segurança.
Participação na rede ACH: Integre iniciativas de mitigação de riscos da rede ACH. Essas ações oferecem ferramentas e orientações para detectar novas ameaças e aplicar práticas de defesa eficazes.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.