Nos últimos dias, uma notícia chamou a atenção do país: funcionários do Banco Santander estão sendo investigados por desviar mais de R$ 11 milhões de contas empresariais.

A operação policial mobilizou equipes em quatro estados e revelou um esquema que começou dentro da própria instituição, justamente onde se espera o maior nível de controle e segurança.

Mas o que isso significa na prática?

E, principalmente: por que esse tipo de fraude pode acontecer em qualquer empresa, seja grande, média ou pequena?

O que aconteceu no caso Santander

Segundo investigações da Polícia Civil de São Paulo, funcionários do banco teriam:

• Criado acessos internos (IDs corporativos) de forma irregular;
• Permitido que terceiros tivessem acesso indevido a contas bancárias;
• Desviado milhões para contas de “laranjas” e empresas de fachada;
• Convertido parte do dinheiro em criptomoedas, dificultando o rastreamento.

O banco informou às autoridades que identificou o problema, comunicou a polícia e está colaborando com as investigações.

O que isso revela? Um problema comum em muitas empresas

A primeira reação de muita gente é pensar: “Isso só acontece em banco”…

Mas a verdade é bem diferente.

Fraudes internas são uma das maiores causas de prejuízo corporativo, e elas surgem exatamente nos mesmos pontos fracos presentes em 90% das empresas:

• Acesso demais nas mãos de poucas pessoas: Quando alguém dentro da empresa consegue criar, alterar ou aprovar acessos sem supervisão, abre-se a porta para abusos.
• Falta de revisão periódica dos acessos: Colaboradores mudam de setor, trocam de função ou deixam a empresa — e seus acessos continuam ativos.
• Processos sem dupla verificação: Se uma pessoa sozinha consegue autorizar algo que movimenta recursos ou dados sensíveis, o risco é imenso.
• Pouca cultura de segurança e responsabilidade: Muitas empresas não explicam aos colaboradores o peso legal e ético do acesso aos sistemas.
• Ausência de monitoramento inteligente: Se a empresa não acompanha padrões de comportamento, transações incomuns passam despercebidas.

Não é o tamanho da empresa que define o risco. É o tamanho da fragilidade nos processos.

“Mas e a LGPD, onde entra nessa história?”

A Lei Geral de Proteção de Dados (LGPD) exige que empresas protejam dados pessoais e respondam por incidentes causados tanto por ataques externos quanto por ações internas de funcionários.

Quando uma fraude envolve dados pessoais, a empresa deve:

• Comunicar a ANPD;
• Avisar os titulares afetados;
• Demonstrar que possuía medidas de segurança adequadas.

Ou seja:

• Além do prejuízo financeiro, pode haver multa, desgaste de imagem, processos e responsabilidade administrativa.

O que empresas de qualquer porte podem aprender com o caso

Aqui estão lições práticas, sem linguagem técnica, para qualquer empresa adotar:

Controle rigoroso de acessos

• Quem pode acessar o quê?
• E por quê?
  Isso precisa ser claro, revisado e documentado.

Dupla verificação

• Sempre que houver movimentação de valores, liberação de acesso ou decisão sensível, duas pessoas devem validar.

Monitoramento real

• Não basta “ter sistema”.
• É preciso acompanhar comportamentos estranhos, acessos incomuns e mudanças não explicadas.

Auditorias internas frequentes

• Verificar logs, permissões e atividades evita que problemas cresçam.

Cultura de ética e responsabilidade

• Gente bem treinada e consciente reduz riscos mais do que qualquer tecnologia.

Conclusão: se aconteceu em um banco, pode acontecer em qualquer empresa

O caso envolvendo funcionários do Santander é grave, mas ele escancara um ponto essencial:

A maior ameaça de segurança de uma empresa nem sempre vem de fora, muitas vezes, ela está dentro.

Fraudes internas são silenciosas, sofisticadas e, quando descobertas, já causaram estragos enormes.

Por isso, empresas de todos os tamanhos precisam:

• Garantir controles fortes;
• Tratar acesso como assunto sério;
• Cumprir a LGPD;
• Criar uma cultura de integridade e segurança.

Essa é a verdadeira prevenção.

Fontes: CNN Brasil; Band/Rádio Bandeirantes; Itatiaia; Portal do Bitcoin (UOL); TV Brasil/EBC; O Bastidor — todas com reportagens publicadas entre 28 e 31/10/2025 sobre a operação que investigou o desvio de R$ 11 milhões no Santander.

ANDERSON OLIVEIRA: Especialista em Tecnologia da Informação, Proteção de Dados e Governança. Criador do Ecossistema LGPDLITE, da plataforma ÓRION e autor da série LGPD ESSENCIAL, desenvolve conteúdos e soluções que tornam a LGPD prática, acessível e aplicável a qualquer organização. Atua orientando empresas e profissionais a alcançarem maturidade digital, segurança e conformidade de forma simples e eficiente. É vice-presidente de Cibersegurança e Compliance da Federação Assespro-MG.