Falha no SEPA permite addebito de €1.218 no partido de Vannacci usando IBAN público

Por Giuseppe Borgo — Um episódio que parece pequena vingança expôs uma fragilidade prática nos alicerces dos pagamentos europeus. Um cliente de uma plataforma de recrutamento da restauração inseriu, deliberadamente, o IBAN público do partido de Roberto Vannacci como meio de pagamento e o sistema executou o débito automático: resultado, um saque de €1.218,78 na conta do movimento político.

O relato foi publicado por Luca Lotterio, fundador da plataforma Restworld, em um post no LinkedIn. Tudo começou com uma PEC endereçada à empresa — remetente, um consultor do partido pedindo explicações sobre um lançamento bancário inesperado. Lotterio, que garante nunca ter mantido relações com partidos políticos, conta que ficou incrédulo diante do pedido.

Após apurações internas, a origem ficou clara: um usuário, ao inserir o método de pagamento para um serviço, colocou o IBAN do partido — disponível publicamente para doações. Segundo o empreendedor, a ação foi intencional, com objetivo de fazer um despette ao movimento. O provedor de pagamentos, operando via Stripe, processou a operação por meio do SEPA Direct Debit sem qualquer checagem prévia de posse da conta.

O efeito prático: o partido sofreu o débito e precisou formalizar um pedido de esclarecimento por PEC. Internamente, conta Lotterio, o episódio gerou risos, mas também acendeu um alerta sobre um problema estrutural: no modelo atual do SEPA Direct Debit, basta inserir um IBAN e autorizar o pagamento; não há, na entrada, uma verificação robusta de que o número pertença ao pagador. O titular da conta tem a possibilidade de contestar e obter reembolso dentro dos prazos legais, mas o saque é executado.

Em uma era de open banking, PSD2 e mecanismos de strong customer authentication, Lotterio questiona por que o débito direto ficou ancorado numa lógica de confiança. A pergunta é prática e urgente para quem constrói sistemas de pagamentos e assinaturas: como derrubar essa brecha sem sufocar a usabilidade?

Entre soluções possíveis, citadas no debate, estão a limitação de pagamentos recorrentes a cartões, a introdução de verificações adicionais de titularidade para débitos em conta e a adoção de mecanismos de autorização que associem o mandato SEPA a uma identidade previamente validada. Cada alternativa exige alterar parte da arquitetura atual dos fluxos de cobrança — uma verdadeira obra na construção das normas que regem a circulação de dinheiro.

O caso do partido de Vannacci é sintomático: revela como um único campo de formulário, sem validação, pode desabar sobre os cofres de uma organização. Para cidadãos, partidos e pequenas empresas, a mensagem é clara: a infraestrutura de pagamentos precisa de reformas que misturem segurança técnica com procedimentos jurídicos eficazes, garantindo que o peso da caneta (ou do clique) não cause prejuízos evitáveis.

Como repórter que acompanha a ponte entre decisões de Roma e a vida real, alerto: enquanto a arquitetura regulatória não se ajustar, episódios assim continuarão a acontecer. É preciso agir — e rápido — para solidificar os alicerces do sistema de pagamentos e proteger tanto doadores quanto beneficiários.