MyVault
← Back to Blog

É seguro enviar extratos bancários para apps de IA? Uma resposta honesta

O que realmente acontece com seus dados quando você envia um extrato bancário para um app de finanças pessoais com IA, o que procurar na política de privacidade e como avaliar o risco real versus as alternativas.

9 min readTimur Shagiakhmetovprivacy · security · ai

Todo app de finanças pessoais com IA eventualmente enfrenta a mesma pergunta de um usuário cuidadoso: isso é seguro? Essa é a objeção número um na categoria, e faz sentido — extratos bancários têm informações suficientes para imitar, identificar ou até fazer engenharia social com a pessoa a quem pertencem. A resposta honesta é: “depende, e aqui está exatamente o que você deve observar”.

Nós criamos o MyVault, um app de IA que processa extratos bancários enviados. Esta é a resposta que damos a amigos e familiares quando perguntam — escrita da forma mais direta possível.

O que existe de fato em um extrato bancário

Um extrato típico contém:

  • Seu nome e endereço de correspondência.
  • Um número de conta, muitas vezes parcialmente mascarado (últimos quatro dígitos, ou últimos seis).
  • O número de roteamento do banco, geralmente impresso completo.
  • Um histórico de transações linha a linha com datas, descritores do comerciante e valores.
  • Saldos de abertura e fechamento.
  • Possivelmente imagens de conferência, se você digitaliza e elas fazem parte do PDF.

Em termos de sensibilidade, isso é moderadamente sensível — mais do que seu histórico de compras, menos do que uma digitalização de passaporte. O número de conta mascarado, sozinho, geralmente não pode ser usado para acessar sua conta, mas, combinado com informações pessoais de outras fontes, pode apoiar tentativas de engenharia social. Trate os extratos com o mesmo cuidado que você teria ao lidar com uma declaração de imposto.

O que um app de finanças com IA faz de fato com o arquivo

Em nível técnico, processar um extrato bancário envolve quatro etapas:

  1. Enviar — o arquivo sai do seu navegador e vai para o servidor do app, idealmente via HTTPS com TLS 1.2 ou superior. É a mesma criptografia que o seu banco usa para o internet banking.
  2. Analisar (parsing) — o servidor extrai texto do PDF. Essa etapa pode usar uma biblioteca local de PDF, um serviço de OCR de terceiros ou um LLM. A escolha importa para a privacidade: uma biblioteca local mantém os dados no servidor do app; um OCR de terceiros envia o arquivo para outro fornecedor.
  3. Categorização — as linhas de transações extraídas são enviadas para um modelo de IA que retorna rótulos de categoria. Alguns apps executam o modelo em sua própria infraestrutura; a maioria usa OpenAI, Anthropic ou Google. O fluxo exato de dados importa: alguns apps enviam apenas o descritor do comerciante (baixo risco); alguns enviam a transação completa, incluindo valores (risco médio); alguns enviam o arquivo inteiro do extrato (risco maior).
  4. Armazenamento — as transações analisadas são armazenadas no banco de dados do app. O PDF original é excluído, mantido por um período, ou mantido indefinidamente dependendo da política do app.

O que observar antes de enviar

1. HTTPS com certificado válido

A barra de endereço do navegador deve mostrar um certificado válido. Se você vir qualquer aviso durante o envio, pare. Isso é o mínimo.

2. Uma política de privacidade clara e legível

Procure respostas explícitas para estas perguntas:

  • Onde meus dados ficam armazenados e em qual jurisdição?
  • Meu extrato enviado fica retido e por quanto tempo?
  • Transações ou qualquer conteúdo de documento é enviado a provedores de IA de terceiros?
  • Meus dados são usados para treinar modelos de IA?
  • O que acontece com meus dados se eu apagar minha conta?

Uma resposta vaga para qualquer uma dessas é um sinal vermelho. Uma política de privacidade que diz “podemos compartilhar dados com parceiros para qualquer finalidade” é um não firme.

3. Criptografia em repouso (at rest)

O banco de dados do app deve criptografar seus dados em repouso. A maioria dos bancos de dados gerenciados (AWS RDS, Google Cloud SQL, equivalentes) faz isso por padrão; a pergunta é se a camada de aplicação está usando isso.

4. Autenticação em dois fatores

Qualquer conta que mantenha seu histórico de transações deve oferecer 2FA, idealmente com um app autenticador em vez de SMS. Use.

5. Exclusão de conta que realmente apaga

Uma opção de exclusão que apenas “esconde” seus dados sem removê-los não é exclusão. A política de privacidade deve dizer explicitamente que a exclusão da conta remove arquivos enviados e linhas do banco de dados, não apenas o registro da conta.

Como apps de IA se comparam às alternativas

É tentador avaliar “isso é seguro?” em termos absolutos, mas a comparação correta é com as alternativas — porque fazer nada também é uma escolha com risco.

Agregadores baseados no Plaid

Apps como Mint (historicamente), Monarch, Copilot e YNAB usam Plaid ou um agregador semelhante para ler os dados do seu banco. Para fazer isso, você fornece ao Plaid o login do seu banco. O Plaid armazena essas credenciais e as usa para ler suas contas de forma recorrente. Agregadores têm um histórico de segurança forte, mas o modelo de ameaça é diferente de apps baseados em envio: uma violação no Plaid expõe suas credenciais bancárias; uma violação em um app de envio de extrato expõe dados do extrato sem as credenciais.

Planilhas e e-mail

Muitas pessoas guardam PDFs dos extratos no e-mail indefinidamente ou colam dados de transações no Google Sheets e esquecem. Isso não é mais seguro do que um app de IA bem executado — possivelmente é menos seguro, já que violações de e-mail e de armazenamento em nuvem para consumidores são comuns.

Fazer nada

A alternativa mais comum para usar um app de finanças é não ter nenhum sistema — o que também tem custo: cobranças fraudulentas perdidas, assinaturas esquecidas e gastos não monitorados. Em alguns anos, o custo financeiro de não acompanhar gastos costuma superar o pior custo de privacidade de usar um rastreador confiável.

O que o MyVault faz especificamente

Nós vamos explicar o que fazemos para você comparar com outros apps que está avaliando:

  • Nunca pedimos suas credenciais bancárias. Não há Plaid no nosso fluxo. O arquivo que você envia é o mesmo arquivo que você baixaria para preparar impostos.
  • Os extratos enviados são processados uma vez para extrair transações. Mantemos as transações analisadas; excluímos o arquivo original depois do processamento, a menos que você opte por mantê-lo (alguns usuários querem extratos armazenados como arquivos pesquisáveis).
  • Os descritores e valores das transações são enviados a um modelo de linguagem grande para categorização. Nunca enviamos seu nome, endereço ou número de conta ao modelo. O provedor do modelo não retém entradas para treinamento.
  • A exclusão da conta remove os seus arquivos enviados, as transações analisadas e o registro da conta dos nossos sistemas (sujeito a janelas curtas de retenção legal).
  • Oferecemos 2FA. Recomendamos fortemente ativá-la.

Conselhos práticos

Se você ainda estiver em dúvida:

  • Comece enviando um único extrato recente, e não todo o seu histórico. Veja como funciona antes de se comprometer.
  • Use uma senha única e forte e ative o 2FA assim que criar a conta.
  • Leia a política de privacidade de verdade. Ela geralmente é curta.
  • Se algo parecer errado — política vaga, nenhuma exclusão de conta, hospedagem suspeita, falta de 2FA — escolha outro app.

Se feito com cuidado, enviar extratos bancários para um app de finanças com IA confiável é um risco gerenciável que compra clareza real sobre seus gastos. A pergunta errada é “é 100% seguro?” (nada é). A pergunta certa é “o risco é menor do que o valor, e menor do que as alternativas?”

Leia a política de privacidade do MyVault antes de enviar qualquer coisa. Se algo não estiver claro, pergunte diretamente — respondemos. MyVault’s privacy policy. Leia a política de privacidade do MyVault antes de enviar qualquer coisa. Se algo não estiver claro, pergunte diretamente — respondemos. ask us directly — we answer.