Prevenção da fraude de identidade: técnicas de detecção
Técnicas de detecção da fraude de identidade para empresas no Brasil: deepfakes, documentos falsificados
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokEm 2024, a Polícia Federal registrou mais de 6.200 inquéritos por crimes de falsificação de documentos e estelionato com uso de identidade falsa no Brasil, um aumento de 28% em relação ao ano anterior. O Anuário Brasileiro de Segurança Pública 2024 indica que a fraude de identidade digital é o tipo de criminalidade cibernética com maior crescimento no país. Para as empresas brasileiras, essas cifras traduzem um risco operacional e jurídico crescente.
A Lei nº 9.613/1998, de prevenção à lavagem de dinheiro, e a Circular Bacen nº 3.978/2020 impõem às instituições reguladas a verificação da identidade de seus clientes. O descumprimento dessa obrigação acarreta sanções administrativas e penais. Simultaneamente, as técnicas de falsificação evoluíram: documentos gerados por IA, deepfakes biométricos e identidades sintéticas superam as capacidades dos controles manuais tradicionais.
Este artigo analisa as principais tipologias de fraude de identidade no Brasil, as técnicas de detecção disponíveis e o quadro normativo aplicável.
Este artigo tem caráter informativo e não constitui assessoria jurídica, financeira ou regulatória.
Tipologias de fraude de identidade no Brasil
A fraude de identidade abrange técnicas diversas, com níveis de sofisticação e frequência muito diferentes. A tabela a seguir resume as principais tipologias, sua prevalência no mercado brasileiro e a dificuldade de detecção por processos manuais.
| Tipo de fraude | Prevalência no Brasil | Dificuldade de detecção manual | Vetor principal |
|---|---|---|---|
| Falsificação de RG/CNH/CPF | Alta | Média | Digitalizações, PDF |
| Documentos sintéticos (gerados por IA) | Em crescimento rápido | Muito alta | IA generativa |
| Uso de identidade real roubada | Muito alta | Alta | Phishing, vazamentos de dados |
| Identidade sintética (dados misturados) | Em crescimento | Muito alta | Bases de dados comprometidas |
| Deepfake biométrico (vídeo/selfie) | Emergente | Muito alta | Câmera virtual |
| Documentos justificativos falsos (holerites, comprovantes) | Alta | Média | Modelos, IA |
Fontes: Polícia Federal, ANPD.
Falsificação documental clássica e sintética
A falsificação de RG, CNH e CPF é a forma mais comum de fraude de identidade no Brasil. Tradicionalmente, consistia na alteração de documentos autênticos: modificação da fotografia, alteração de dados pessoais ou manipulação da data de validade. Desde 2024, os modelos de IA generativa produzem documentos completos que replicam os elementos de segurança da nova Carteira de Identidade Nacional (CIN), incluindo hologramas simulados e a zona de leitura mecanizada (MRZ).
A nova Carteira de Identidade Nacional (CIN), padronizada pelo Decreto nº 10.977/2022, incorpora um QR Code com dados biométricos e assinatura digital desde 2023. A leitura desse QR Code constitui uma camada de verificação mais robusta contra falsificações gráficas.
O Código Penal brasileiro sanciona a falsificação de documentos nos artigos 297 a 301, com penas que podem atingir seis anos de reclusão para a falsificação de documento público.
Identidades sintéticas
A identidade sintética combina dados reais e fictícios: um CPF autêntico, um nome inventado, um endereço real de um imóvel desocupado. Esse tipo de fraude é particularmente problemático porque cada elemento individual pode superar uma verificação isolada.
Segundo dados da ANPD (Autoridade Nacional de Proteção de Dados), os incidentes de segurança envolvendo dados pessoais aumentaram 52% entre 2023 e 2025, impulsionados por vazamentos massivos de dados pessoais que alimentam a criação de identidades sintéticas. O Serasa Experian reportou que o Brasil registra uma tentativa de fraude de identidade a cada 8 segundos.
Técnicas de detecção eficazes
A detecção da fraude de identidade requer uma abordagem por camadas. Nenhuma técnica isolada cobre todas as tipologias. As três camadas fundamentais são a análise documental, a verificação biométrica e a verificação de dados.
Análise documental automatizada
A análise documental automatizada examina os elementos estruturais de um documento de identidade: coerência tipográfica, integridade dos elementos de segurança, conformidade da zona MRZ, detecção de manipulações ao nível do pixel e análise de metadados. Os sistemas avançados estão treinados com milhares de modelos de documentos autênticos de cada estado emissor.
Para o contexto brasileiro, a verificação da nova CIN oferece uma camada adicional: a leitura do QR Code permite confirmar a autenticidade do documento e a integridade dos dados armazenados. O portal Gov.br proporciona uma verificação de identidade digital com nível de garantia elevado, complementando a verificação documental.
Para uma visão completa das tecnologias de verificação, consulte o nosso guia de métodos de verificação de identidade.
Verificação biométrica e detecção de vida
A verificação biométrica compara a fotografia do documento com uma captura em tempo real do titular. A detecção de vida (liveness detection) confirma que a pessoa está fisicamente presente e que não se trata de uma fotografia, máscara ou vídeo deepfake.
Três níveis de detecção de vida estão disponíveis:
- Liveness passivo: analisa uma imagem única procurando artefatos como reflexos de tela, textura de pele artificial ou iluminação plana. Eficaz contra fotografias impressas; insuficiente contra deepfakes avançados.
- Liveness ativo: solicita ao usuário que realize ações (girar a cabeça, piscar os olhos). Mais robusto, mas vulnerável a geradores de deepfake em tempo real.
- Liveness certificado: conforme a norma ISO/IEC 30107-3, combina análise ativa e passiva com avaliação do fluxo de vídeo em tempo real. O nível adequado para verificações KYC reguladas.
A ameaça dos deepfakes biométricos é analisada em profundidade no nosso artigo sobre deepfakes e documentos de identidade sintéticos.
Verificação cruzada de dados
A terceira camada verifica a coerência dos dados declarados contra fontes externas oficiais: bases de dados da Receita Federal (CPF e CNPJ), DETRAN (CNH), Serasa/SPC e registros eleitorais (TSE). No Brasil, o acesso às bases de dados da Receita Federal e do INSS permite contrastar os dados de identidade declarados.
A verificação cruzada é especialmente eficaz contra identidades sintéticas. Um documento visualmente perfeito cujo CPF não corresponde à data de nascimento declarada será detectado por esse tipo de controle.
Matriz de decisão: escolher o nível de verificação adequado
A escolha do método de verificação depende do nível de risco da operação, do quadro regulatório aplicável e do canal de interação com o cliente.
| Nível de risco | Abordagem recomendada | Verificação documental | Biometria | Verificação dados | Norma |
|---|---|---|---|---|---|
| Baixo | OCR + coerência | Sim | Não | Não | Política interna |
| Padrão | Documento + selfie | Sim | Liveness passivo | Opcional | Lei 9.613/1998 básica |
| Elevado (KYC) | Documento + vídeo + dados | Sim | Liveness ativo | Sim | Circular Bacen 3.978 reforçada |
| Muito elevado (PEP/sanções) | Multicamada completo | Sim | Liveness certificado | Sim + DD reforçada | Bacen + COAF |
Para orientação específica por tipo de documento, consulte o nosso guia de verificação de passaporte e documento de identidade.
Aprofundar o tema
Descubra os nossos guias práticos e recursos para dominar a conformidade documental.
Explorar os guiasEnquadramento jurídico brasileiro
Lei nº 9.613/1998 de prevenção à lavagem de dinheiro
A Lei nº 9.613/1998, alterada pela Lei nº 12.683/2012, estabelece as obrigações de prevenção à lavagem de dinheiro e impõe às instituições reguladas — instituições financeiras, seguradoras, corretoras, imobiliárias, entre outras — a identificação e verificação da identidade de seus clientes antes de estabelecer relações de negócio. A Circular Bacen nº 3.978/2020 detalha os deveres de identificação e diligência para as instituições supervisionadas pelo Bacen.
O descumprimento das obrigações de identificação constitui infração administrativa grave, com multas que podem atingir R$ 20 milhões ou o dobro do valor da operação irregular (art. 12 da Lei nº 9.613/1998).
CPF, RG e CNH como ferramentas de verificação
O CPF (Cadastro de Pessoas Físicas), emitido pela Receita Federal, é o principal identificador fiscal de pessoas físicas no Brasil e permite a validação cruzada com diversas bases de dados governamentais. A CNH (Carteira Nacional de Habilitação) e o RG (Registro Geral) complementam a verificação, especialmente quando combinados com a biometria facial. A nova CIN, com QR Code e dados biométricos, constitui a ferramenta de verificação de identidade mais robusta disponível no Brasil.
LGPD e proteção de dados de identidade
A LGPD (Lei nº 13.709/2018) regula o tratamento de dados pessoais e biométricos no Brasil. A coleta de dados biométricos para fins de verificação de identidade é classificada como tratamento de dados pessoais sensíveis (art. 5º, II) e requer base legal específica — como cumprimento de obrigação legal ou regulatória, ou consentimento específico e destacado do titular. A ANPD (Autoridade Nacional de Proteção de Dados) fiscaliza o cumprimento dessas obrigações, podendo aplicar multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração.
Diferentemente do RGPD europeu (com multas de até 4% do faturamento global), a LGPD possui um teto absoluto de R$ 50 milhões por infração e adota um modelo de enforcement mais gradual, com advertências e publicização das infrações como instrumentos de pressão antes da aplicação de multas. A ANPD atua como regulador único, diferentemente do modelo europeu de múltiplas autoridades nacionais.
Implementação prática na empresa
Mapear os pontos de verificação
O primeiro passo consiste em identificar todos os pontos da jornada do cliente onde a identidade é estabelecida ou utilizada: abertura de conta, assinatura de contrato, acesso a serviços regulados. Cada ponto representa uma superfície de ataque potencial.
Combinar camadas de detecção
Nenhum método isolado oferece proteção suficiente. O consenso normativo e técnico no Brasil indica que a combinação de análise documental, biometria e verificação de dados é necessária para operações de risco padrão e superior.
Treinar as equipes
A tecnologia não substitui a vigilância humana. As equipes em contato com os clientes devem ser treinadas para reconhecer sinais de alerta: incoerências entre o documento apresentado e as declarações do cliente, comportamento anormal durante a verificação por vídeo, relutância em fornecer documentos complementares.
Para uma visão setorial dos requisitos de verificação, consulte o nosso guia de verificação por setor.
Para uma visão completa, consulte nosso guia de verificação documental por setor.
FAQ
Quantas denúncias por fraude de identidade são registradas no Brasil por ano?
A Polícia Federal registrou mais de 6.200 inquéritos por crimes de falsificação de documentos e estelionato com uso de identidade falsa em 2024. As estimativas do setor indicam que o volume real é três a cinco vezes superior ao denunciado, dado que muitos casos não são detectados ou reportados. O Serasa Experian estima uma tentativa de fraude de identidade a cada 8 segundos no país.
A verificação biométrica é obrigatória para empresas no Brasil?
Não existe uma obrigação legal geral de utilizar verificação biométrica. No entanto, a Lei nº 9.613/1998 e a Circular Bacen nº 3.978/2020 exigem que as instituições reguladas verifiquem a identidade de seus clientes por meios confiáveis e independentes. Para verificações remotas, a combinação de análise documental e biometria com detecção de vida é a prática recomendada pelo Bacen.
Como funciona a verificação do QR Code da nova CIN?
A verificação do QR Code da Carteira de Identidade Nacional (CIN) lê os dados biométricos e a assinatura digital incorporados no documento e valida sua autenticidade junto à base do Gov.br. Esse processo confirma que o documento é autêntico e que os dados não foram alterados. A verificação é mais resistente a falsificações gráficas do que a análise visual tradicional.
O que é uma identidade sintética e por que é difícil de detectar?
Uma identidade sintética é construída combinando dados reais e fictícios: por exemplo, um CPF autêntico com um nome e endereço inventados. Como cada elemento individual pode ser válido, a fraude supera verificações que analisam cada dado isoladamente. Apenas a verificação cruzada de múltiplas fontes — Receita Federal, DETRAN, TSE — identifica as inconsistências.
Qual o custo de não detectar uma fraude de identidade?
O custo médio de uma fraude de identidade não detectada para empresas brasileiras é estimado entre R$ 15.000 e R$ 200.000 por incidente, dependendo do setor. Além dos prejuízos financeiros diretos, as penalidades por descumprimento da Lei nº 9.613/1998 podem atingir R$ 20 milhões, e os danos reputacionais são frequentemente irreversíveis.
Para aprofundar seus conhecimentos sobre os requisitos de verificação no seu setor, consulte o nosso guia de verificação por setor. Descubra como o CheckFile.ai automatiza a verificação documental para empresas, ou visite a nossa página de preços para comparar as opções disponíveis.
Nossos dados de mais de 180.000 documentos processados mensalmente no setor de segurança confirmam uma taxa de detecção de fraude de 94,8% e uma taxa de falsos positivos de 2,8%.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.