Verificação de Conformidade Financeira
A Apple e o Goldman Sachs tinham milhares de engenheiros, bilhões em receita e um fluxo de resolução de disputas que silenciosamente jogava dezenas de milhares de avisos válidos de erro de cobrança em um vácuo técnico. O CFPB descobriu. Eles pagaram US$ 89 milhões.
Construímos sistemas de verificação formal que provam matematicamente que seus fluxos de disputa cumprem a Reg Z, a Reg E e os prazos das redes de cartões. Não é teste. Não é monitoramento. É prova.
US$ 89 mi
Acordo de consentimento Apple-Goldman por falhas no sistema de disputas
CFPB, outubro de 2024
337 mi
Estorno (chargebacks) anuais projetados globalmente até 2026
Chargebacks911
42%
Dos bancos ainda dependem de processos manuais de conformidade
Wolters Kluwer, 1º tri de 2026
A falha da Apple-Goldman não foi um acidente isolado. É o padrão ao qual todo banco com um fluxo de disputas em múltiplos sistemas está exposto neste exato momento.
Em junho de 2020, a Apple adicionou um "recurso de formulários" ao fluxo de disputas do Apple Card. Antes da mudança, o consumidor tocava em "Reportar um Problema", entrava em uma conversa do Mensagens com o Goldman Sachs e a disputa era transmitida. Após a mudança, os consumidores eram solicitados a preencher um formulário secundário depois do envio inicial.
Aqui está o bug: se um consumidor enviasse a disputa inicial pelo Mensagens, mas não preenchesse o formulário secundário, a lógica do sistema tratava a disputa como incompleta. Nenhuma transmissão ao Goldman Sachs. Nenhuma investigação. Nenhuma carta de confirmação. O consumidor era responsabilizado pela cobrança contestada.
Sob a Seção 1026.13 da Regulation Z, esses envios iniciais pelo Mensagens muitas vezes constituíam Avisos de Erro de Cobrança válidos. A regulação exige que o credor confirme o aviso em até 30 dias e o resolva em até dois ciclos de faturamento. Em vez disso, as disputas ficavam em um estado morto: enviadas, mas nunca roteadas.
Este é um problema de máquina de estados. O fluxo de disputa tinha um estado alcançável (FormA_Submitted AND FormB_Pending) a partir do qual não existia transição para (Investigation_Initiated). Um verificador de modelos TLA+ teria encontrado esse estado morto em segundos, ao explorar exaustivamente cada estado alcançável do fluxo e checar a invariante: toda disputa enviada deve chegar à investigação em até 30 dias.
A Apple e o Goldman tinham um ponto de integração entre dois sistemas. A maioria dos grandes emissores tem de 10 a 15 sistemas envolvidos em uma única disputa: o portal da rede de cartões (Visa VROL/Mastercard GCMS), a plataforma de gestão de casos, o razão (ledger) bancário central, o sistema de geração de cartas, o sistema de reporte aos birôs de crédito, o motor de crédito provisório e várias filas internas de roteamento.
Toda mudança de sistema, atualização de API ou integração com parceiros cria novos caminhos por esse fluxo. Qualquer um desses caminhos pode introduzir um estado morto. O teste verifica os caminhos que você antecipa. A verificação formal verifica todos eles.
Sua equipe de disputas está lidando com quatro regimes de prazos regulatórios e de rede sobrepostos simultaneamente. Quando eles entram em conflito, a conformidade depende de a sua equipe saber qual prazo prevalece.
| Regime | Confirmação | Resolução | Crédito Provisório | Rege |
|---|---|---|---|---|
| Reg Z (1026.13) | 30 dias | 2 ciclos de faturamento (máx. 90 dias) | Não exigido durante a investigação | Erros de cobrança de cartão de crédito |
| Reg E (1005.11) | N/A | 10 dias úteis (prorrogável para 45 dias corridos) | Em até 10 dias úteis | Erros de débito/EFT |
| Visa VCR | N/A | 30-70-100 dias (varia por tipo) | Regras específicas da rede | Transações com a bandeira Visa |
| Mastercard DR | N/A | 45-120 dias (varia por ciclo) | Regras específicas da rede | Transações com a bandeira Mastercard |
Uma única disputa de cartão de dupla bandeira pode acionar simultaneamente as exigências da Reg Z, da Visa VCR e da Mastercard DR. Processos manuais não conseguem garantir que todos os prazos sejam cumpridos para cada caminho de disputa possível.
Tenha esta tabela em mãos na próxima vez que alguém propuser um fornecedor de automação de conformidade. A pergunta não é se eles automatizam disputas. É se eles conseguem provar que a automação é conforme.
| Abordagem | O Que Faz | Garantia de Conformidade | Lacuna |
|---|---|---|---|
| FINBOA | Rastreamento de disputas Reg E, alertas de prazo, automação de crédito provisório | Acompanha os prazos depois que as disputas entram no sistema | Nenhuma verificação de que as disputas não podem se perder antes de entrar no sistema. Alertas reativos, não prova proativa. |
| Quavo | Automação de disputas ponta a ponta, taxa de automação de 87% em cooperativas de crédito | Automatiza as etapas de processamento de disputas | Automatiza o caminho feliz. Nenhuma garantia de que a automação lida com cada caso extremo. Nenhuma verificação de prazos entre regimes. |
| Imandra | Verificação formal para lógica de casamento de ordens em bolsas, protocolos de negociação | Provas matemáticas de correção de protocolos | Apenas mercado de capitais. Não trata de conformidade ao consumidor, Reg Z/E ou fluxos de disputa. |
| SymphonyAI Sensa | Plataforma de AML/sanções/crimes financeiros nativa de IA, redução de 91,8% de falsos positivos | Forte para AML e triagem de sanções | Focada em crimes financeiros. Não lida com conformidade de resolução de disputas nem com verificação de prazos regulatórios. |
| Bretton AI (anteriormente Greenlite) | Automação de KYC/AML, US$ 75 mi em Série B (fev de 2026), atende bancos regulados pelo OCC | Design regulatório em primeiro lugar para conformidade de onboarding | Onboarding e crimes financeiros. Nenhuma resolução de disputas. Nenhuma verificação formal. |
| FIS Disputes Direct | Processamento de estornos, integração com portais de redes de cartões (VROL, Mastercom) | Processa estornos conforme as regras da rede | Processamento mecânico, não verificação de conformidade. Desafios de integração conhecidos: customização cara, manutenção de TI pesada. |
| Big 4 / Grandes Integradores | Desenho de programa de conformidade, reengenharia de processos, remediação regulatória | Consultoria de políticas e processos | Eles redesenham processos, mas não os verificam matematicamente. Os projetos custam de US$ 500 mil a mais de US$ 5 mi e produzem documentação, não provas. O processo que eles desenham ainda pode ter estados mortos. |
| Equipe interna + testes | QA manual, testes de cenário, auditorias periódicas de conformidade | Testa cenários conhecidos | Verifica apenas os caminhos que você antecipa. Não pode provar a ausência de violações. A Apple-Goldman tinha alertas internos e ainda assim deixou passar o bug dos formulários. Limitação honesta: nenhuma abordagem de teste pode ser exaustiva para fluxos complexos. |
Toda abordagem acima ou automatiza o processamento de disputas ou gerencia programas de conformidade. Nenhuma prova matematicamente que o fluxo é conforme.
Cada projeto é sob medida. Estas são as capacidades às quais recorremos com base em onde o risco de conformidade das suas disputas é mais alto.
Modelamos todo o seu fluxo de resolução de disputas como uma máquina de estados formal em TLA+. Cada estado que sua disputa pode ocupar, cada transição entre estados, cada repasse entre sistemas. Em seguida, executamos a verificação de modelos para confirmar exaustivamente duas propriedades: nenhuma disputa pode chegar a um estado morto (o bug da Apple-Goldman), e todo caminho de disputa satisfaz as exigências de prazo da Reg Z.
Quando o verificador encontra uma violação, ele produz um contraexemplo: uma sequência específica de eventos que leva à falha. Esse contraexemplo informa à sua equipe de engenharia exatamente o que corrigir.
Uma disputa de cartão de crédito em um cartão de bandeira Visa aciona simultaneamente a Reg Z (confirmação em 30 dias, resolução em 90 dias) e a Visa VCR (resposta do adquirente em 30 dias, alocação em 70 dias). Uma disputa de débito acrescenta a Reg E (crédito provisório em 10 dias, resolução em 45 dias). Codificamos todos os regimes de prazo aplicáveis em um único modelo e verificamos que nenhum caminho de disputa viola nenhum deles.
Quando a Visa ou a Mastercard atualizam seus prazos de disputa, reexecutamos a verificação contra as novas restrições. Você sabe em poucas horas se o seu fluxo ainda está em conformidade, em vez de descobrir uma lacuna durante o seu próximo exame.
Toda mudança de sistema cria risco. Um novo campo de formulário, uma atualização de versão de API, uma mudança na integração com um parceiro. Integramos a verificação formal ao seu processo de gestão de mudanças. Antes de qualquer modificação no fluxo de disputas entrar em produção, reverificamos toda a máquina de estados.
Se a mudança introduzir um caminho que possa violar um prazo regulatório, a implantação é bloqueada com um contraexemplo. Sua equipe de conformidade vê exatamente qual regulação seria violada e sob quais condições, antes de um único cliente ser afetado.
O caso Apple-Goldman foi uma falha de fronteira. Disputas se perderam entre o sistema da Apple e o sistema do Goldman. Modelamos cada ponto de repasse no seu fluxo de disputas: os portais das redes de cartões (VROL, Mastercom, GCMS), a integração com o banco central, o serviço de geração de cartas, o feed de reporte aos birôs de crédito.
Verificamos que nenhuma disputa pode ser descartada em qualquer fronteira, mesmo sob modos de falha: timeouts de rede, envios parciais, atrasos de processamento em lote, atualizações concorrentes. Cada fronteira recebe uma especificação formal do que deve ser verdadeiro antes e depois do repasse.
O Boletim 2025-26 do OCC exige que sistemas de IA que orientam decisões de conformidade sejam validados como modelos sob a SR 11-7. O EU AI Act classifica a IA financeira como de alto risco, com prazo de conformidade em 2 de agosto de 2026. A verificação formal produz o artefato de validação mais robusto possível: uma prova matemática, não um relatório de testes.
Geramos documentação que mapeia diretamente as expectativas de exame do OCC e os requisitos de avaliação de conformidade do EU AI Act, incluindo as propriedades específicas do sistema comprovadas, a metodologia de verificação e quaisquer limitações identificadas com contraexemplos.
Quando os examinadores do CFPB executam o Módulo 4 (Resolução de Erros de Cobrança) dos seus procedimentos de exame da Reg Z, eles avaliam a qualidade do seu sistema de gestão de conformidade e dos controles internos. Um painel que mostra o status de verificação em tempo real de cada propriedade do fluxo de disputas substitui o típico fichário de políticas e resultados de testes.
Cada propriedade exibe seu status de verificação (comprovada, contraexemplo encontrado, reverificação pendente), a data da última verificação e quaisquer mudanças de modelo desde a última prova. O examinador vê exatamente quais exigências regulatórias foram verificadas matematicamente e quais ainda estão em análise.
A verificação formal não é uma camada rápida sobreposta. Ela exige entender seus sistemas profundamente antes de modelá-los. Somos transparentes sobre o cronograma e sobre o que cada fase exige da sua equipe.
Catalogamos cada sistema envolvido no seu fluxo de disputas. APIs do banco central, integrações com portais de redes de cartões, plataformas de gestão de casos, sistemas de geração de cartas, feeds de reporte aos birôs de crédito. Para cada sistema, documentamos seu comportamento: síncrono vs. em lote, características de latência, modos de falha, lógica de retentativa.
Para mainframes COBOL e sistemas centrais legados, trabalhamos com a sua equipe técnica para entender o comportamento real, não o comportamento documentado. O FIS Code Connect e o Temenos Transact têm limitações específicas em relação à sincronização de estado em tempo real que precisamos capturar com precisão.
Envolvimento da sua equipe: 2-3 horas por semana de um líder de operações de disputas e um arquiteto técnico que conheça a camada de integração. Também precisamos de acesso de leitura à documentação do seu fluxo de disputas e aos diagramas de arquitetura do sistema.
Codificamos o seu fluxo de disputas como uma especificação de máquina de estados em TLA+. Cada estado, cada transição, cada restrição regulatória. A especificação é legível pela sua equipe de conformidade (o TLA+ está mais próximo do inglês estruturado do que de código), e a conduzimos por ela para confirmar que o modelo corresponde à realidade.
Em seguida, executamos o verificador de modelos TLA+. Ele explora exaustivamente cada estado alcançável do fluxo e verifica as propriedades de segurança: nenhum estado morto, todas as exigências de prazo da Reg Z satisfeitas, todas as exigências da Reg E satisfeitas quando aplicáveis, todos os prazos das redes de cartões cumpridos.
O que esperar: A primeira execução de verificação de modelos quase sempre produz contraexemplos. Esse é o ponto. Cada contraexemplo é um caminho de violação específico que sua equipe pode avaliar e corrigir. Instituições sob monitoramento ativo de acordo de consentimento podem usar esses resultados imediatamente para demonstrar melhoria proativa de conformidade.
Uma vez verificado o modelo base, acrescentamos em camadas as restrições entre regimes: os prazos de alocação/colaboração da Visa VCR, as janelas de resolução de disputas da Mastercard e os efeitos de interação quando múltiplos regimes se aplicam à mesma disputa. É aqui que mora a complexidade, e onde a gestão manual de conformidade mais frequentemente falha.
Também integramos a verificação ao seu fluxo de gestão de mudanças. Isso significa conectar o modelo formal ao seu pipeline de CI/CD ou processo de aprovação de mudanças, de modo que as modificações de sistema sejam reverificadas antes da implantação.
Ressalva honesta: A explosão do espaço de estados é uma restrição real na verificação formal. Para fluxos com muitos sistemas concorrentes e altos fatores de ramificação, usamos técnicas de abstração (verificação composicional, redução por simetria) para manter o modelo tratável. Somos francos sobre quais propriedades podemos verificar exaustivamente e quais exigem verificação limitada (bounded checking).
As exigências regulatórias mudam. As regras das redes de cartões mudam. Seus sistemas mudam. O modelo formal é um artefato vivo que mantemos e reverificamos à medida que seu ambiente evolui. Quando o CFPB atualiza o comentário da Reg Z, quando a Visa ajusta os prazos da VCR, quando você atualiza a API do seu banco central, atualizamos o modelo e reexecutamos a verificação.
Durante os exames: Fornecemos os artefatos de verificação, o painel de conformidade e, se necessário, um passo a passo técnico para os examinadores. O objetivo é mudar a sua postura de conformidade de "acreditamos que estamos em conformidade" para "podemos demonstrar, com prova matemática, que nosso fluxo satisfaz essas exigências regulatórias específicas."
Responda a estas perguntas sobre a sua infraestrutura atual de resolução de disputas. A avaliação identifica onde a verificação formal trataria das suas lacunas de maior risco e onde outras melhorias devem vir primeiro.
Pergunta 1 de 6
O teste verifica cenários específicos que você imagina. A verificação formal verifica todos os cenários possíveis, incluindo os que você não antecipou. Sua equipe de QA pode testar 200 caminhos de disputa e considerá-los conformes. Um verificador formal explora cada estado alcançável do fluxo e ou prova que a conformidade vale universalmente, ou produz um contraexemplo concreto mostrando exatamente como uma violação ocorre.
O bug dos formulários da Apple-Goldman é um exemplo de manual: o caminho de formulário-incompleto-mais-disputa-válida nunca esteve em nenhum plano de testes, mas um verificador de modelos TLA+ o teria encontrado em segundos.
A diferença prática é que o teste lhe dá confiança, enquanto a verificação lhe dá prova. Quando um examinador do CFPB pergunta como você sabe que o seu fluxo de disputas satisfaz a exigência de confirmação em 30 dias, o teste permite dizer "verificamos 200 cenários". A verificação permite dizer "provamos que vale para todas as entradas, estados de sistema e modos de falha possíveis". Essa distinção importa quando o examinador já viu o acordo de consentimento da Apple-Goldman e está procurando os mesmos padrões nos seus sistemas.
Sim, e essa é uma preocupação comum que tratamos na primeira fase do projeto. A verificação formal não exige substituir ou modificar a sua infraestrutura bancária central. Modelamos o comportamento dos seus sistemas existentes conforme eles participam do fluxo de disputas, incluindo suas características de latência, janelas de processamento em lote e modos de falha.
Para mainframes COBOL especificamente, catalogamos as APIs e os esquemas de dados durante a avaliação inicial (normalmente de 6 a 8 semanas), e então construímos o modelo formal em torno de como esses sistemas realmente se comportam, não de como deveriam se comportar. O FIS Code Connect, o Temenos Transact e os sistemas centrais proprietários têm, todos, limitações específicas em relação à sincronização de estado de disputa em tempo real. Modelamos essas limitações explicitamente.
Se o seu mainframe processa as atualizações de disputa em lotes noturnos, essa janela de lote torna-se um parâmetro no modelo formal, e verificamos que o atraso do lote não pode causar uma violação de prazo da Reg Z sob nenhuma combinação de horários de envio de disputas e cargas de processamento. O modelo formal fica ao lado dos seus sistemas existentes como uma camada de verificação. Ele não substitui nada.
O Boletim 2025-26 do OCC e o arcabouço existente da SR 11-7 são claros: qualquer método quantitativo que influencie materialmente decisões de risco ou conformidade é um "modelo" que exige validação. Isso inclui explicitamente sistemas de IA e aprendizado de máquina usados em fluxos de conformidade.
Os requisitos de validação abrangem solidez conceitual, monitoramento contínuo e análise de resultados. A maioria dos bancos valida a IA de conformidade por meio de back-testing e revisão periódica. A verificação formal vai além. Ela fornece prova matemática de que o sistema satisfaz suas especificações, que é a forma mais robusta possível de validação de solidez conceitual.
Para a IA de resolução de disputas, isso significa provar que o fluxo automatizado não pode perder um prazo da Reg Z, não pode descartar uma disputa entre sistemas e não pode rotear erroneamente um aviso de erro de cobrança. O manual do examinador do OCC busca especificamente evidências de que as limitações do modelo são compreendidas e documentadas. A verificação formal produz contraexemplos quando há limitações, mostrando exatamente quais casos extremos o sistema não consegue tratar. Esse nível de transparência é o que os examinadores querem ver.
O primeiro resultado comprovável normalmente chega dentro de 12 a 16 semanas. Durante a fase de avaliação (semanas 1-8), mapeamos a máquina de estados do seu fluxo de disputas e identificamos as restrições regulatórias a verificar. Durante a fase de modelagem (semanas 8-16), codificamos essas restrições em TLA+ e executamos o verificador de modelos. A primeira execução de verificação ou produz uma prova de que o seu fluxo satisfaz as exigências de prazo da Reg Z, ou gera contraexemplos mostrando caminhos de violação específicos.
Qualquer um dos resultados é imediatamente útil para as conversas com examinadores. Os contraexemplos são, possivelmente, mais valiosos no início: eles mostram exatamente onde o seu fluxo pode falhar antes que um examinador do CFPB descubra.
Para instituições sob exame ativo ou monitoramento de acordo de consentimento, priorizamos primeiro os fluxos de maior risco. Se a sua maior exposição é o prazo de confirmação da disputa, podemos ter um modelo verificado dessa propriedade específica dentro de 8 a 10 semanas. A verificação completa entre regimes, cobrindo Reg Z, Reg E, Visa VCR e os prazos da Mastercard simultaneamente, leva de 16 a 24 semanas, dependendo da complexidade do fluxo.
Sim, e a interseção entre Reg Z/Reg E é uma das fontes mais comuns de erros de conformidade que observamos. A Reg E exige crédito provisório em até 10 dias úteis e resolução final em até 45 dias corridos (ou 90 dias para certas transações). A Reg Z exige confirmação em até 30 dias e resolução em até dois ciclos completos de faturamento, não excedendo 90 dias.
Quando uma disputa envolve tanto um cartão de crédito quanto um cartão de débito ou conta corrente vinculados, a instituição deve aplicar a regulação correta a cada componente. A equipe frequentemente aplica indevidamente os prazos da Reg E a transações de crédito ou vice-versa.
O modelo formal codifica ambos os arcabouços regulatórios e suas regras de aplicabilidade. Para uma dada disputa, o verificador determina qual regulação rege com base nas características da transação e prova que o fluxo satisfaz as exigências de prazo corretas. Ele também sinaliza casos em que o seu fluxo aplica prazos da Reg E a uma transação regida pela Reg Z, o que é um achado comum em exames.
O EU AI Act classifica os sistemas de IA usados para avaliação de capacidade de crédito e pontuação de crédito como de alto risco sob o Anexo III. O prazo de conformidade é 2 de agosto de 2026. Para bancos que operam na UE ou atendem clientes da UE, qualquer sistema de IA envolvido em decisões de resolução de disputas que afetem o reporte de crédito enquadra-se nessa classificação.
Os sistemas de IA de alto risco devem demonstrar acurácia, robustez, cibersegurança e supervisão humana. O Ato exige documentação técnica que comprove que o sistema atende a esses requisitos. A verificação formal produz a documentação técnica mais robusta possível: provas matemáticas de que o sistema se comporta conforme especificado sob todas as condições.
A Autoridade Bancária Europeia publicou sua análise das implicações do AI Act para o setor bancário em novembro de 2025, e ela destaca especificamente a necessidade de propriedades de sistema comprováveis. Produzimos documentação de conformidade com o EU AI Act como um entregável padrão do projeto de verificação, incluindo as evidências exigidas de avaliação de conformidade.
A pesquisa por trás desta página de solução, incluindo a análise técnica completa da falha da Apple-Goldman e a abordagem de verificação formal.
Engenheirando Conformidade Absoluta: Deep AI Após a Falha da Apple-Goldman SachsVerificação formal de máquinas de estados financeiras, arquiteturas de conformidade multiagente e o argumento regulatório para sistemas de resolução de disputas comprovadamente corretos.
O acordo de consentimento médio do CFPB por falhas de resolução de disputas custa de US$ 50 mi a US$ 89 mi em penalidades e remediação.
A verificação formal do seu fluxo de disputas custa uma fração disso e produz prova matemática de que o seu sistema satisfaz as exigências de prazo da Reg Z, da Reg E e das redes de cartões. Os primeiros resultados de verificação chegam dentro de 12 a 16 semanas.