Nos últimos dias, o mercado brasileiro de segurança cibernética ganhou um amparo legal inédito e que pode ser referido, sem exageros, como “histórico” para o combate aos meliantes virtuais. A Lei nº 15.397, publicada em 30 de abril de 2026, altera o Código Penal para endurecer a repressão a furtos, roubos, estelionatos, receptação e interrupções de serviços essenciais, além de tipificar a fraude bancária e inserir, de forma expressa, a chamada cessão de conta laranja como conduta penalmente relevante.
Em termos simples, o legislador passou a tratar o uso de contas bancárias por interpostas pessoas não apenas como um efeito colateral das fraudes, mas como parte central da engrenagem criminosa.
Essa mudança é importante porque o cibercrime moderno raramente termina no momento em que a vítima é enganada. O golpe digital, em regra, é apenas a primeira etapa de uma cadeia que inclui captação de dados, invasão de contas, engenharia social, desvio de valores e, por fim, a fase mais sensível: a circulação do dinheiro por contas de terceiros para dificultar rastreamento, bloqueio e recuperação. É nesse ponto que a conta laranja ganha protagonismo.
O que a lei efetivamente alterou
O núcleo da Lei 15.397/2026 está no art. 171 do Código Penal. A nova redação passou a prever a fraude eletrônica em faixa mais severa, com reclusão de 4 a 8 anos e multa, e incluiu expressamente a conduta de ceder, gratuita ou onerosamente, conta bancária para que nela transitem recursos destinados ao financiamento de atividade criminosa ou que dela sejam fruto.
A técnica legislativa é clara: o texto não limita a punição a quem executa o golpe final, mas alcança também quem empresta a infraestrutura financeira para a fraude prosperar. Isso tem duas consequências práticas. A primeira é simbólica, mas importante: a conta laranja deixa de ser vista como mera peça acessória e passa a ser tratada como instrumento típico de persecução penal.
A segunda é operacional: a investigação ganha um tipo penal mais direto para enquadrar titulares que permitem o uso de sua conta em operações ilícitas, sem depender exclusivamente de teses mais amplas e por vezes mais difíceis de demonstrar, como participação em associação criminosa, receptação, lavagem de dinheiro ou coautoria no estelionato. Em outras palavras, a lei tenta reduzir a distância entre a fraude e o fluxo financeiro que a sustenta.
A reforma também endureceu o tratamento de outras condutas ligadas ao ambiente digital. O art. 155 recebeu agravamento para furto mediante fraude cometido por meio de dispositivo eletrônico ou informático, com ou sem violação de mecanismo de segurança ou uso de programa malicioso, e o art. 266 passou a prever pena em dobro em hipóteses específicas envolvendo calamidade pública ou ataque a equipamentos de telecomunicações.
Isso mostra que a lei não foi pensada apenas para punir golpes pontuais, mas para enfrentar a arquitetura mais ampla das infraestruturas digitais e de comunicação que os criminosos exploram.
Por que a conta laranja é tão importante para o cibercrime?
No imaginário comum, o golpe digital termina quando alguém clica em um link falso, entrega uma senha ou autoriza uma transferência indevida. Na prática, é só o começo. O problema dos cibercrimes financeiros é que eles precisam ser monetizados. O dinheiro desviado precisa sair da conta da vítima, atravessar camadas intermediárias e se dissipar em uma rede de repasses que dificulta a recuperação.
É exatamente isso que a conta laranja oferece: um ponto de passagem em que o valor deixa de estar vinculado ao fraudador principal e entra em contas usadas para pulverizar, converter ou esconder recursos. O Banco Central já registrava, em seus materiais sobre fraude e meios de pagamento, que a utilização de contas de terceiros é parte relevante desse ecossistema.
A conta laranja costuma funcionar por incentivos simples e perigosos. Em muitos casos, o titular aceita “emprestar” a conta por pagamento, comissão ou promessa de ganho fácil. Em outros, a pessoa afirma que apenas “deixou movimentar” sua conta sem compreender a extensão do risco. Há ainda casos em que a conta é aberta já com o objetivo de servir ao esquema. O ponto comum é que, sem essa ponte bancária, grande parte das fraudes perderia velocidade e eficiência.
O crime digital depende de escala, e a escala depende de canais de escoamento. Quando esses canais encarecem ou ficam mais arriscados, o modelo econômico do golpe começa a se enfraquecer. Essa é a lógica por trás da nova tipificação.
A relevância do tema ficou ainda mais evidente com o endurecimento regulatório do próprio setor bancário. A Federação Brasileira de Bancos (Febraban) informou, em outubro de 2025, que a autorregulação passou a adotar regras mais rigorosas para cancelar movimentações suspeitas e encerrar imediatamente contas de passagem, conhecidas como contas laranja, além de contas frias usadas em golpes e fraudes.
Isso indica que o sistema financeiro já vinha reconhecendo o problema como estrutural, antes mesmo da resposta penal mais explícita dada pela Lei 15.397. A lei, nesse contexto, complementa um movimento que já estava em curso no plano regulatório e operacional.
O que muda na estratégia de combate às fraudes
A principal mudança é o deslocamento do foco do combate. Durante muito tempo, a resposta institucional às fraudes digitais ficou concentrada na vítima, no canal usado para o golpe e no executor mais visível. Só que o ecossistema criminoso é muito mais distribuído.
Há quem colete dados, quem faça engenharia social, quem invada contas, quem lave o dinheiro e quem ofereça a conta para receber e repassar os valores. Ao punir expressamente a cessão da conta laranja, o legislador passa a atingir uma camada intermediária que sempre foi indispensável para o funcionamento do sistema, mas nem sempre era fácil de responsabilizar de forma direta.
Isso pode mudar o comportamento de mercado do próprio crime. Se antes a conta laranja era uma peça barata, abundante e relativamente “segura” para quem a cedia, o novo enquadramento penal tende a aumentar o custo de adesão. A promessa de ganho rápido continua existindo, mas o risco jurídico fica mais claro. Para o fraudador, isso significa mais dificuldade para recrutar intermediários; para o titular da conta, significa maior exposição penal; para bancos e autoridades, significa um parâmetro jurídico mais nítido para repressão e prevenção.
Há também um ganho probatório. Quando a lei descreve a cessão da conta como conduta típica, a investigação passa a dispor de um ponto de partida mais objetivo. Em vez de depender exclusivamente de uma construção complexa para demonstrar que o titular da conta sabia de todo o esquema, a autoridade investigativa pode olhar para a finalidade da cessão, a origem dos recursos, a repetição das movimentações, o padrão de uso da conta e a distância entre o titular formal e o real beneficiário.
A lei basta?
A legislação em si, sozinha, não é o suficiente para erradicar o cibercrime e isso precisa ser dito com clareza. Nenhuma alteração penal, por si só, é capaz de derrubar as fraudes digitais em um ambiente em que os criminosos se adaptam rapidamente.
O Banco Central já vinha aprimorando mecanismos de devolução no Pix, inclusive com o desenvolvimento de versões mais robustas do MED, voltadas a fraudes e falhas operacionais, justamente porque o combate ao golpe exige velocidade, cooperação e rastreabilidade. Sem isso, a resposta penal chega tarde demais para recuperar o dinheiro e, muitas vezes, apenas formaliza a punição depois que o dano já se consolidou.
Também é importante lembrar que a conta laranja não é um fenômeno isolado. Ela se conecta a fraudes na abertura de contas, à contratação de produtos financeiros com dados falsos, à engenharia social e ao uso de aplicativos e mensagens para induzir a vítima ao erro. Isso significa que o combate efetivo depende de uma combinação de direito penal, supervisão bancária, inteligência transacional e educação financeira.
Ainda assim, a nova lei tem valor real. Ela corrige uma assimetria importante entre a sofisticação do cibercrime e a fragmentação da resposta estatal. Ao reconhecer a cessão de conta bancária como um comportamento penalmente relevante, o ordenamento passa a atacar não apenas o golpe, mas também a engrenagem que o sustenta. E isso importa muito, porque o cibercrime financeiro não sobrevive apenas de tecnologia; ele sobrevive de intermediação.
O fraudador precisa de uma conta para receber, dispersar e ocultar. Se essa conta deixa de ser um recurso fácil e passa a ser um risco jurídico concreto, o ecossistema inteiro perde eficiência.
Um grande passo para a cibersegurança
A Lei 15.397/2026 não inaugura o combate às fraudes digitais no Brasil, mas eleva esse combate a um novo patamar. Ela endurece penas, amplia a repressão ao furto e à fraude eletrônica e, sobretudo, dá nome e consequência jurídica a uma peça-chave do crime financeiro contemporâneo: a conta laranja.
Essa escolha legislativa é relevante porque reconhece que, no cibercrime, o dinheiro precisa circular para o golpe se completar. Punir quem cede a conta significa atingir a infraestrutura de escoamento do ilícito e não apenas o momento visível da fraude. No longo prazo, o impacto da lei dependerá menos do seu texto isolado e mais da sua aplicação coordenada com bancos, reguladores e investigadores.
Mas a direção está correta: se o objetivo é enfraquecer fraudes e cibercrimes no setor financeiro, faz sentido atacar o ponto em que o crime se transforma em dinheiro utilizável. E é exatamente isso que a nova lei tenta fazer: tirar da conta laranja o papel de engrenagem discreta e colocá-la no centro da responsabilidade penal.
2º PAINEL ESKIVE - Cibercrime e a Epidemia de Insiders
Inscreva-se no debate multifacetado entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre A “febre” das ameaças internas e como o ecossistema de segurança está lidando com o fenômeno.⭣
