Como apps de orçamento revendem seus dados de transação em silêncio

19/05/2026 · leitura de 12 minutos · Investigação

A cadeia de fornecimento

Quando um app de orçamento anuncia conexão de conta bancária, três empresas costumam ficar entre você e o app:

• O agregador que conversa com o seu banco (no Brasil, via Open Finance; nos EUA, Plaid é o dominante; MX, Yodlee e Finicity competem)
• O próprio app de orçamento
• Compradores de dados à jusante — instituições financeiras, fundos fazendo pesquisa de dados alternativos, fintechs treinando modelos, afiliados de produtos de crédito

O fluxo de dados é direto: seu banco → agregador → app → compradores à jusante. Cada salto é descrito numa política de privacidade que você não leu. A política do agregador diz que pode compartilhar dados anonimizados com o app. A política do app diz que pode compartilhar dados anonimizados com parceiros. À jusante é onde fica mais difícil de rastrear.

O que "anonimizado" significa na prática

As políticas de privacidade prometem, de praxe, que o dado compartilhado é "anonimizado" — sem o seu nome e o número da conta. Mas dado de transação com datas, valores e nomes de estabelecimento é notoriamente difícil de anonimizar de verdade. Um estudo do MIT de 2015 mostrou que quatro transações arbitrárias de cartão bastam para identificar 90% das pessoas num conjunto de milhões, mesmo depois de remover os nomes.

O dado não precisa estar ligado a você especificamente para ter valor. Dado de transação agregado mostra que o gasto em restaurantes subiu 12% em São Paulo neste trimestre; que o churn de assinaturas está subindo para o Disney+; que um certo tipo de consumidor tem mais chance de dar calote num empréstimo. Nenhum desses insights exige o seu nome — mas todos exigem as suas transações.

Como apps de orçamento "gratuitos" continuaram gratuitos

O Mint, no auge, exibia anúncios ao lado dessa receita de venda de dados. Os dois estavam claros na política de privacidade. O acordo implícito: você ganha um rastreador de orçamento grátis, o app ganha os seus dados de transação e uma superfície de anúncio para vender. Por 14 anos esse acordo funcionou para os dois lados — até a Intuit consolidar e a relação custo-benefício mudar.

Os sucessores pós-Mint dividiram o modelo. Alguns mantiveram o fluxo de dados e adicionaram uma assinatura por cima (Monarch, Copilot, Empower). Outros rejeitaram o fluxo de dados e cobraram uma assinatura limpa (YNAB). Alguns rejeitaram a arquitetura inteira e cobraram uma taxa única (Penno, Buddy, Actual Budget).

O agregador é a peça que sustenta tudo

A decisão mais consequente que um app de orçamento toma é se integra ou não a um agregador (Open Finance, Plaid ou equivalente). Uma vez integrado, o seu dado de transação flui pela infraestrutura do agregador a cada sincronização. A política de privacidade do agregador costuma ser ampla: ele pode usar os dados que processa para "melhorar seus serviços", o que a própria política detalha que pode incluir desenvolver produtos financeiros e pesquisa.

O Plaid é hoje uma empresa de US$13 bilhões, avaliada pela última vez em 2021. Essa avaliação não se justifica pelas taxas que o serviço de agregação cobra — se justifica pelo fluxo de dados. O Plaid é, por algumas medidas, o maior custodiante de dados de transação de consumidores nos EUA fora dos próprios grandes bancos.

O que você de fato pode verificar

Se o marketing de um app de orçamento promete "não vendemos seus dados", verifique três coisas:

1. A política de privacidade. Procure por termos como "prestadores de serviço", "insights agregados", "pesquisa com parceiros". Isso não é mentira — é a divulgação do fluxo real.
2. A política do agregador. Se o app usa um agregador, o seu dado flui pelos termos dele independentemente do que a política do app diga.
3. A ficha de privacidade da App Store da Apple. A Apple exige que apps divulguem que dados coletam e o que ligam à identidade. A ficha de um app de orçamento conectado ao banco costuma mostrar que dado de transação é coletado e pode ser ligado à identidade.

A alternativa arquitetural

O único jeito de ter certeza de que nada disso está acontecendo é usar um app que não tenha integração com agregador nenhum. Essa é a escolha de design por trás do Penno: o binário não contém SDK de Open Finance, nem Plaid, nem MX, nem Yodlee, nem Finicity. Não existe infraestrutura que poderia transmitir dado de transação, mesmo se quiséssemos. O caminho do dado não existe.

O custo é real: você lança cada transação você mesmo. A comodidade some. O que você recebe de volta é a certeza de que a arquitetura bate com o marketing.

O que de fato fazer

Se você quer continuar usando um app conectado ao banco, tudo bem — milhões usam, e o risco de venda de dados é real, mas não catastrófico para o indivíduo. Dá para mitigar:

• Leia as políticas de privacidade do app e do agregador
• Limite quais contas você conecta (não conecte contas de investimento se você só faz orçamento na corrente)
• Revogue o acesso no nível do banco (no Open Finance, dá para ver e revogar os consentimentos nas configurações do seu banco)
• Apague a conta no app de orçamento quando parar de usar — e confirme nas configurações de exclusão de dados do app, não só desinstalando

Se você decidiu que a troca não vale a pena, as opções de lançamento manual existem. São mais lentas por transação, mas eliminam o fluxo de dados por completo.

Uma nota sobre este texto

Eu (o desenvolvedor do Penno) tenho um interesse óbvio neste argumento. Tentei manter o texto factual — toda afirmação acima é verificável contra as políticas de privacidade das empresas citadas. Se algo soar exagerado ou injusto, me escreva e eu corrijo.