Serasa é acusada de acessar dados biométricos de 22 milhões de brasileiros

A Unico, empresa brasileira especializada em identidade digital e biometria facial, acusou a Serasa Experian de realizar o que classifica como "o maior roubo de dados biométricos do país". Segundo a acusação, a Serasa teria acessado indevidamente a tecnologia da Unico para realizar milhões de consultas a dados biométricos e faciais de clientes de bancos brasileiros. O caso, que tramita em segredo de justiça nas esferas cível e criminal, resultou na realização de busca e apreensão contra a Serasa por peritos criminais em São Paulo na quarta-feira (11).

Como o esquema teria funcionado

De acordo com pessoas com conhecimento da acusação, os dados acessados pela Serasa são de reconhecimento facial e biométrico de milhões de clientes de bancos brasileiros que utilizam a plataforma da Unico. Não se tratam de dados bancários, mas de informações biométricas e faciais — ou seja, o mapeamento do rosto de pessoas reais, usado para autenticação em transações financeiras.

A prática teria como objetivo contribuir para o aprimoramento dos sistemas de identificação oferecidos pela Serasa e pela ClearSale — empresa de inteligência de dados incorporada e adquirida pela Serasa em abril de 2025 —, além de aumentar a base de identidades válidas das empresas.

O acesso teria ocorrido por meio da Skill Tecnologia, firma que possuía autorização para utilizar a plataforma da Unico exclusivamente em operações do Banco do Brasil. Segundo a acusação, a Serasa e a ClearSale teriam se beneficiado desse canal privilegiado para processar consultas relacionadas a outros clientes, não apenas às operações do banco público.

A descoberta: crescimento incomum nas consultas

A Unico identificou um crescimento incomum no volume de consultas atribuídas ao Banco do Brasil. Ao questionar a instituição financeira, foi informada de que não havia aumento equivalente em suas operações. A partir daí, a empresa iniciou uma investigação própria.

A investigação apontou que consultas relacionadas a outros clientes estariam sendo processadas por um canal destinado exclusivamente ao banco público. A suspeita é que esse mecanismo tenha permitido o uso não autorizado da tecnologia e de dados gerados nas validações biométricas realizadas pela Unico.

Um laudo pericial contratado pela acusação identificou ao menos 1,4 milhão de transações consideradas irregulares. A estimativa da empresa é de que o potencial de consultas envolvidas possa alcançar dados de até 22 milhões de brasileiros.

"A Unico acusa a Serasa de concorrência desleal, uso indevido de informações confidenciais e obtenção irregular de vantagem tecnológica."

As acusações e a resposta da Serasa

Na esfera judicial, a Unico acusa a Serasa Experian de concorrência desleal, uso indevido de informações confidenciais e obtenção irregular de vantagem tecnológica. A empresa considera o caso como o maior roubo de dados biométricos já registrado no país.

Em nota, a Serasa Experian negou a acusação. "O processo tramita em segredo de Justiça e, por isso, ainda não teve acesso a ele para saber exatamente do que se trata", afirmou a empresa. "A empresa reforça que atua com estrita observância à legislação aplicável e que se manifestará oportunamente no processo, momento em que esclarecerá tudo o que for necessário."

A Serasa não detalhou quais serão suas defesas específicas, mas indicou que contestará as acusações quando tiver acesso aos autos do processo.

O contexto: biometria facial no sistema financeiro brasileiro

O caso ganha dimensão estratégica quando se considera o papel central da biometria facial no sistema financeiro brasileiro. Sete em cada dez bancos brasileiros (75%) utilizam atualmente a biometria facial na identificação de seus clientes, segundo levantamento de 2024. A tecnologia se tornou padrão para autenticação em transações digitais, abertura de contas remotas e prevenção a fraudes.

A Unico é uma das líderes nesse mercado. Em 2022, a empresa barrou mais de 4,4 milhões de tentativas de fraude usando biometria facial. O Banco do Brasil, por exemplo, incorporou o Unico IDPay em 2024, tecnologia que autentica usuários por meio de biometria facial combinada com outros fatores.

A ClearSale, adquirida pela Serasa em abril de 2025, também atua no segmento de prevenção a fraudes e autenticação. A aquisição foi apresentada como estratégica para tornar a Serasa líder no segmento antifraude, com previsão de evitar R$ 84 bilhões em fraudes no ano fiscal de 2026.

O que está em jogo: governança de dados biométricos

O caso expõe uma vulnerabilidade estrutural na governança de dados biométricos no Brasil. Quando um cliente de banco faz autenticação facial, seus dados biométricos são processados por empresas como a Unico. Esses dados são sensíveis — não podem ser alterados como uma senha, e seu vazamento tem consequências permanentes.

A acusação sugere que esses dados podem ter sido acessados por empresas que não tinham autorização para tanto, usando um canal destinado exclusivamente a um cliente específico (o Banco do Brasil). Se comprovado, isso representa não apenas violação contratual entre empresas, mas potencial violação da Lei Geral de Proteção de Dados (LGPD) em relação aos titulares dos dados — os milhões de brasileiros cujos rostos foram mapeados.

A LGPD estabelece que dados biométricos são dados pessoais sensíveis, sujeitos a proteções reforçadas. O tratamento desses dados exige consentimento explícito ou base legal específica, e seu uso deve estar limitado às finalidades informadas ao titular.

"Dados biométricos são sensíveis e permanentes. Diferente de uma senha, você não pode trocar seu rosto."

O precedente e as implicações

Se a acusação prosperar, o caso pode estabelecer um precedente importante sobre responsabilidade no compartilhamento de dados biométricos entre empresas. A questão central é: quando uma empresa autoriza outra a acessar sua plataforma para finalidades específicas, quem é responsável por garantir que os dados dos titulares não serão desviados?

A Unico, como controladora da plataforma, argumenta que tomou medidas de segurança. Mas a acusação sugere que essas medidas foram insuficientes para impedir o acesso não autorizado. A Serasa, por sua vez, nega ter agido irregularmente.

No centro da disputa estão 22 milhões de brasileiros cujos dados biométricos podem ter sido acessados sem seu conhecimento ou consentimento. Esses titulares não são parte no processo — pelo menos não ainda. Mas podem vir a ser, se decidirem buscar reparação por danos morais ou materiais.

O que vem pela frente

O processo tramita em segredo de justiça, o que limita o acesso público aos detalhes. Mas a busca e apreensão realizada indica que há indícios suficientes para justificar a investigação criminal. Os peritos criminais que executaram o mandado devem produzir laudos que podem confirmar ou refutar as acusações.

Enquanto isso, o mercado de identidade digital observa com atenção. A disputa entre Unico e Serasa não é apenas uma briga comercial — é um teste sobre os limites da governança de dados biométricos no Brasil. A resposta que a Justiça der a esse caso vai moldar como empresas tratam os dados mais sensíveis de milhões de brasileiros.

A pergunta que fica não é apenas sobre quem acessou o quê, mas sobre quem é responsável quando os dados mais íntimos de uma pessoa — seu rosto — são usados sem autorização. A biometria promete segurança. Mas segurança contra quem?

Versão em áudio disponível no topo do post