Fraude bancária por IA: detetar extratos e provas de identidade falsificados
Como os bancos detetam em 2026 extratos bancários e documentos de identidade falsificados por IA — técnicas, Banco de Portugal e ferramentas de verificação automatizada.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA inteligência artificial gera hoje extratos bancários e documentos de identidade indistinguíveis dos originais a olho nu. Modelos de difusão latente, redes generativas adversariais e grandes modelos de linguagem permitem produzir, em poucos minutos, documentos que reproduzem com exatidão os formatos bancários, os hologramas dos documentos de identidade e a tipografia oficial. Os bancos e entidades financeiras devem combinar análise forense, modelos de aprendizagem automática e processos de KYC reforçado para detetar estas falsificações antes de o dano se concretizar.
Este artigo tem carácter meramente informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulatórias são exatas à data de publicação.
Na análise de mais de 840 000 processos KYC tratados pela nossa plataforma no setor bancário, 5,1 % apresentavam indicadores de fraude de identidade. A proporção de documentos bancários falsificados com componente de IA passou de 3 % em 2024 para 12 % em 2025, segundo a nossa análise de tendências de fraude documental. Estes números confirmam que a fraude com IA deixou de ser um risco teórico: é uma realidade operacional que exige respostas técnicas e regulatórias concretas.
Como a IA falsifica documentos bancários
Os modelos generativos modernos utilizam três técnicas principais para criar documentos bancários fraudulentos que superam os controlos visuais básicos.
Modelos de difusão e redes GAN aplicados a documentos
Os modelos de difusão latente (Stable Diffusion, DALL-E 3, Midjourney) e as redes generativas adversariais (GAN) conseguem reproduzir com elevada fidelidade o aspeto visual de um extrato bancário autêntico, incluindo logótipos, cabeçalhos, tipografias proprietárias e até códigos QR. Um modelo GAN treinado sobre um corpus de extratos bancários de uma determinada instituição consegue gerar documentos visualmente coerentes em menos de dez segundos. Os documentos resultantes reproduzem a paleta de cores corporativa, o espaçamento característico e os campos de formato das instituições visadas.
Esta tecnologia está disponível comercialmente a baixo custo, o que democratiza o acesso a ferramentas de falsificação que antes exigiam conhecimentos técnicos avançados. Os mercados especializados da dark web oferecem kits de geração de extratos por instituição bancária, atualizados periodicamente para refletir as alterações de formato das instituições.
Manipulação de PDF e falsificação de metadados
Para além da geração completa de imagens, os defraudadores utilizam técnicas de manipulação direta de ficheiros PDF. A injeção de conteúdo em camadas invisíveis do PDF, a modificação de fluxos de dados internos e a regeneração seletiva de fragmentos do documento permitem alterar valores, datas e IBANs sem que o documento apresente artefactos visuais detetáveis a olho nu. A assinatura digital do documento modificado fica automaticamente inválida, mas muitos sistemas de verificação manual não verificam de forma sistemática a integridade criptográfica do PDF.
Os grandes modelos de linguagem (LLM) completam a cadeia: conseguem gerar o texto completo de um extrato bancário com transações sintéticas coerentes, saldos acumulados corretos e referências de operações que passam as validações de formato. Um LLM ajustado sobre corpus bancários produz extratos com coerência interna em todos os campos em menos de um minuto.
Falsificação de documentos de identidade vinculados ao processo KYC
A fraude bancária com IA não se limita aos documentos financeiros. Os processos KYC fraudulentos combinam um extrato bancário gerado por IA com um documento de identidade sintético: um Cartão de Cidadão ou passaporte produzido por GAN que reproduz as especificações técnicas do documento oficial, incluindo microimpressões, elementos de segurança simulados e números de documento que passam a validação por dígito de controlo.
O Cartão de Cidadão português incorpora elementos de segurança físicos que não podem ser reproduzidos em documentos impressos: chip NFC, tintas de segurança e hologramas de difração. No entanto, nos processos de onboarding digital em que apenas se verifica uma imagem do documento, estes elementos físicos não são verificáveis diretamente. Para aprofundar as técnicas de deteção de identidades sintéticas, consulte a nossa análise sobre fraude de identidade sintética em processos KYC.
Técnicas de deteção de documentos bancários falsificados por IA
Detetar documentos bancários gerados ou modificados por IA requer uma abordagem multicamada que combine análise forense de imagem, análise de metadados, coerência semântica e modelos de aprendizagem automática especializados.
Análise de metadados e impressão técnica do documento
Cada documento autêntico gerado pelo sistema informático de uma instituição bancária tem uma impressão técnica característica: software de criação específico, cadeia de processamento de imagem, perfil de cor ICC, resolução de origem e metadados EXIF coerentes com o fluxo de produção bancária. Um extrato bancário autêntico gerado pelo sistema core bancário de uma instituição tem uma assinatura técnica radicalmente diferente da de um ficheiro produzido por um modelo generativo ou editado manualmente.
A análise de metadados deteta anomalias como: software de criação inconsistente com o tipo de documento, cadeias de compressão atípicas, datas de modificação posteriores à data do documento, ou ausência de perfil ICC corporativo. O Banco de Portugal inclui nas suas orientações de supervisão a verificação da autenticidade técnica dos documentos como componente dos procedimentos de diligência devida.
Análise de coerência semântica e verificação cruzada
Um extrato bancário gerado por IA pode ser visualmente convincente mas semanticamente inconsistente. A verificação cruzada entre o extrato bancário, o documento de identidade, os comprovativos de rendimentos e os dados declarados na candidatura deteta incoerências com uma taxa de sucesso superior a 95 % quando o processo inclui quatro ou mais documentos.
Os campos sujeitos a verificação cruzada incluem: coerência entre o IBAN do extrato e o titular declarado, consistência entre saldos mensais e movimentos listados, coerência entre o código BIC da instituição emissora e o formato do documento, e correspondência entre a morada do extrato e a morada declarada no Cartão de Cidadão. Para uma análise alargada das técnicas forenses, consulte o nosso guia sobre deteção de fraude documental por IA em 2026.
Modelos de aprendizagem automática forenses
Os modelos de ML forenses treinados sobre corpus mistos de documentos autênticos e sintéticos detetam as assinaturas estatísticas características dos geradores de IA. Os modelos GAN produzem artefactos periódicos no domínio das frequências — detetáveis por análise de transformada de Fourier — e padrões de ruído característicos ausentes em imagens autênticas. Os modelos de difusão latente deixam padrões de ruído de difusão inversa distintos, igualmente detetáveis algoritmicamente.
A plataforma CheckFile integra modelos forenses atualizados trimestralmente para incorporar os padrões dos geradores mais recentes, alcançando uma taxa de deteção de 94,8 % com uma taxa de falsos positivos de 3,2 % sobre o corpus bancário.
Marcas de água digitais e rastreabilidade de documentos
As instituições bancárias avançadas incorporam marcas de água digitais imperceptíveis nos extratos que emitem, o que permite verificar a sua autenticidade e rastreabilidade. Estas marcas de água robustas, baseadas em esteganografia espectral, sobrevivem à impressão, digitalização e compressão de imagem, e são detetáveis por sistemas de verificação autorizados. A sua ausência num documento que se apresenta como um extrato oficial de uma instituição que as implementa é um indicador direto de fraude.
A CMVM e o Banco de Portugal recomendam explicitamente o uso de sistemas de verificação de autenticidade documental para processos de alto risco nas suas orientações de supervisão.
Quadro regulatório português: obrigações para entidades financeiras
A Lei n.º 83/2017 como quadro base
A Lei n.º 83/2017, de 18 de agosto, relativa à prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo, obriga as entidades financeiras a estabelecer procedimentos de diligência devida para a identificação e verificação da identidade dos seus clientes. O artigo 24.º exige que a identificação inclua a comprovação da identidade mediante documentos fidedignos, o que implica a verificação da autenticidade dos documentos apresentados e não apenas a confirmação da sua existência formal.
O Aviso do Banco de Portugal n.º 5/2013 sobre diligência devida de clientes desenvolve os procedimentos práticos de verificação e estabelece os requisitos mínimos de identificação para os diferentes segmentos de clientes. As entidades com níveis de risco elevados devem aplicar medidas de diligência devida reforçada, que incluem a verificação independente dos documentos apresentados.
O limiar de declaração de operações suspeitas ao Banco de Portugal situa-se nos 15 000 euros para operações em numerário, mas a obrigação de verificar a identidade aplica-se independentemente do montante quando existe suspeita de fraude ou branqueamento.
AMLD6 e a incorporação do risco de fraude documental por IA
A Diretiva (UE) 2024/1640 — AMLD6 —, em vigor desde janeiro de 2025, introduz pela primeira vez referências explícitas a documentos gerados por IA como fator de risco nos processos de verificação de identidade. As entidades obrigadas devem atualizar as suas avaliações de risco para incorporar este vetor específico e documentar os controlos implementados face ao mesmo.
O Banco de Portugal e a CNPD têm incorporado nas suas orientações supervisoras referências aos documentos sintéticos como fator de risco específico nas avaliações de diligência devida. A Diretiva (UE) 2024/1640 exige ainda que as entidades obrigadas implementem formação periódica dos seus colaboradores sobre os riscos de fraude documental, incluindo os emergentes da utilização de IA.
Proteção de dados e RGPD no processamento de documentos KYC
O Regulamento Geral sobre a Proteção de Dados — Reg. (UE) 2016/679 impõe obrigações específicas no tratamento dos documentos de identidade recolhidos no âmbito dos processos KYC. Os dados biométricos, incluindo as fotografias dos documentos de identidade utilizadas para verificação facial, constituem dados pessoais de categoria especial que exigem base legal adequada e medidas de segurança reforçadas.
As entidades devem garantir que os sistemas de verificação documental que utilizam cumprem os requisitos do RGPD: minimização de dados, limitação da finalidade, prazo de conservação definido e medidas técnicas de segurança adequadas. A CNPD supervisiona o cumprimento destas obrigações em Portugal e pode aplicar sanções até 20 milhões de euros ou 4 % do volume de negócios global.
NIF e Cartão de Cidadão como documentos de identificação principais
O Cartão de Cidadão e o NIF, este último regulado pelo Decreto-Lei n.º 14/2013, são os documentos de identificação principais nos processos KYC em Portugal. A verificação do NIF implica a sua confirmação junto da Autoridade Tributária e Aduaneira para garantir a sua validade e correspondência com o titular declarado.
Nos processos de onboarding digital sem presença física, as orientações do Banco de Portugal exigem controlos adicionais de verificação de vivacidade e análise de autenticidade do documento digitalizado ou fotografado para clientes classificados como de risco médio ou elevado. A leitura eletrónica do chip NFC do Cartão de Cidadão proporciona o nível mais elevado de garantia para os processos remotos.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoDeteção manual versus automatizada: análise comparativa
| Critério | Deteção manual | Deteção automatizada (IA) |
|---|---|---|
| Velocidade de processamento | 8-15 minutos por processo | 30-90 segundos por processo |
| Taxa de deteção de fraude IA | 20-35 % | 88-95 % |
| Taxa de falsos positivos | 5-12 % | 2-4 % |
| Consistência | Variável conforme o operador | Uniforme e auditável |
| Custo por processo | 4-12 € | 0,15-0,80 € |
| Escalabilidade | Limitada por recursos humanos | Ilimitada |
| Atualização face a novas técnicas | Requer formação periódica | Atualizações de modelo automáticas |
| Rastreabilidade e auditoria | Registo manual, incompleto | Log completo e conforme |
A deteção manual continua a ser necessária para os casos complexos que requerem julgamento contextual, mas a sua utilização como único mecanismo de controlo é estruturalmente insuficiente face ao volume e sofisticação atuais da fraude com IA. Para uma análise detalhada do retorno sobre o investimento da automatização, consulte a nossa secção de preços e planos.
Implementação em 4 passos: guia prático
Passo 1 — Avaliar a exposição atual ao risco
O primeiro passo consiste em quantificar a exposição real da entidade: volume de processos KYC tratados mensalmente, proporção com documentos bancários, canais de onboarding utilizados (presencial, remoto, digital) e resultados históricos dos controlos de fraude. Esta avaliação permite dimensionar a solução necessária e priorizar os segmentos de maior risco.
Passo 2 — Selecionar e integrar a plataforma de verificação
A integração técnica de uma plataforma de verificação documental como a CheckFile realiza-se através de API REST com documentação completa. A integração nos sistemas de onboarding existentes completa-se habitualmente em duas a quatro semanas, com a possibilidade de tratar documentos em tempo real durante o processo de candidatura ou em modo batch para a revisão de processos históricos. Consulte a nossa página de segurança para os detalhes técnicos da arquitetura de dados.
Passo 3 — Estabelecer limiares e fluxos de escalonamento
Nem todos os documentos assinalados como suspeitos requerem a mesma resposta. A implementação deve definir: limiar de pontuação de risco para aprovação automática, limiar para revisão manual, e limiar para rejeição ou solicitação de documentação adicional. Os processos com indicadores de fraude elevados devem ser escalonados para as equipas de conformidade com toda a evidência forense gerada automaticamente.
Passo 4 — Documentar os controlos para a auditoria regulatória
O Banco de Portugal exige que as entidades financeiras documentem os controlos realizados nos processos de verificação de identidade. A plataforma deve gerar automaticamente um registo de auditoria que inclua: que documentos foram verificados, que controlos foram aplicados, que resultado produziram, e que decisão tomou o sistema ou o operador humano. Esta rastreabilidade é indispensável para demonstrar a conformidade em caso de inspeção regulatória.
Para um quadro de referência completo sobre os processos de verificação documental no setor financeiro, consulte o nosso guia setorial de verificação.
Perguntas frequentes
Como distinguir um extrato bancário real de um gerado por IA?
Um extrato bancário autêntico apresenta várias características técnicas que os documentos gerados por IA reproduzem com dificuldade: metadados de ficheiro coerentes com o sistema de produção documental do banco, assinatura digital válida no PDF, perfil de cor ICC corporativo, e marcas de água digitais imperceptíveis quando a instituição as implementa. A nível de conteúdo, a coerência perfeita entre IBAN, código BIC, titular, morada e transações é verificável de forma automatizada. A inconsistência em qualquer destes campos, detetada por verificação cruzada com outros documentos do processo, é o indicador mais fiável de fraude. Os sistemas de deteção automatizados como a CheckFile combinam estas análises em tempo real durante o processo de onboarding.
Que obrigações impõe o Banco de Portugal em matéria de verificação de documentos bancários?
O Banco de Portugal, nas suas orientações de supervisão e no Aviso n.º 5/2013, exige que as entidades obrigadas implementem procedimentos de verificação da autenticidade documental proporcionais ao risco do cliente e da operação. Para clientes de risco elevado ou em processos de onboarding digital, são necessários controlos adicionais que incluam a verificação tecnológica dos documentos apresentados, não apenas a verificação visual. O incumprimento destas obrigações pode dar lugar à aplicação de medidas corretivas ou sanções administrativas previstas na Lei n.º 83/2017.
Que documentos de identidade têm maior risco de falsificação no setor bancário português?
O Cartão de Cidadão português, o passaporte e a Autorização de Residência para clientes estrangeiros são os documentos de identidade com maior índice de falsificação nos processos KYC do setor bancário, segundo os dados da plataforma CheckFile. O Cartão de Cidadão tem elementos de segurança físicos difíceis de reproduzir (chip NFC, hologramas), mas nos processos de onboarding digital apenas se verifica uma imagem do documento, o que elimina a proteção dos elementos físicos. A verificação do chip NFC por leitura eletrónica do documento proporciona o nível mais elevado de garantia para os processos remotos.
Quais são as sanções por incumprimento das obrigações de verificação KYC em Portugal?
A Lei n.º 83/2017 estabelece um regime sancionatório com três categorias de infrações. As infrações muito graves podem dar lugar a coimas até 5 milhões de euros para pessoas singulares e até 5 % do volume de negócios anual para pessoas coletivas, bem como à suspensão ou revogação da autorização para operar. As infrações graves implicam coimas entre 25 000 euros e 2,5 milhões de euros. O Banco de Portugal é a autoridade de supervisão principal para as instituições financeiras, em coordenação com a CMVM para as entidades sob a sua supervisão.
É suficiente a verificação visual de documentos para cumprir a regulação AML em Portugal?
A verificação visual por si só não é suficiente em 2026 para cumprir os requisitos da Lei n.º 83/2017 e da AMLD6 para os processos de risco médio ou elevado. As orientações do Banco de Portugal e o Aviso n.º 5/2013 exigem controlos proporcionais ao risco que, para clientes ou transações de risco elevado, incluem necessariamente a verificação tecnológica da autenticidade documental. Além disso, a taxa de deteção de fraude da verificação visual oscila entre 20 e 35 %, face aos 88-95 % dos sistemas automatizados, o que representa um risco operacional inaceitável no contexto atual de sofisticação da fraude com IA.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.