API de deteção de fraude documental: guia de integração 2026
Integre uma API de deteção de falsificação de documentos nos seus workflows. Autenticação OAuth 2.0, endpoints, webhooks, pontuações de confiança e conformidade RGPD.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA integração de uma API de deteção de fraude documental num workflow de verificação de identidade permite automatizar a análise de documentos suspeitos em tempo real, substituindo processos manuais propensos a erros por modelos de aprendizagem automática capazes de identificar falsificações, adulterações e documentos gerados por inteligência artificial. Em 2026, esta capacidade deixou de ser opcional: o volume de fraude documental em Portugal e na União Europeia atingiu níveis que tornam a revisão humana exclusiva economicamente inviável e regulatoriamente insuficiente.
A CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, com OCR em 24 idiomas, o que torna a plataforma adequada para empresas que operam em contextos multilingues e transfronteiriços dentro do espaço europeu. Este guia explica como funciona a integração técnica, que parâmetros devem ser configurados e como garantir a conformidade regulatória no contexto português e europeu.
Por que integrar uma API de deteção de fraude documental?
Integrar uma API de deteção de fraude documental automatiza a identificação de documentos falsificados, adulterados ou gerados por IA, reduzindo a dependência de revisão manual e aumentando a cobertura de deteção em processos de KYC, onboarding e verificação de identidade.
Os dados disponíveis justificam a urgência. Segundo o Relatório às Nações de 2024 da ACFE, a taxa de deteção de fraude por métodos manuais situa-se em apenas 37%, o que significa que mais de seis em cada dez casos passam despercebidos em organizações que não utilizam ferramentas automatizadas. O estudo Global Economic Crime and Fraud Survey 2025 da PwC indica que 69% das empresas foram afetadas por alguma forma de fraude nos últimos dois anos, com a fraude documental a figurar entre os vetores de ataque mais frequentes.
Em Portugal, o quadro regulatório reforça a necessidade de mecanismos robustos. A Lei n.º 83/2017, que transpõe a Quarta Diretiva de Combate ao Branqueamento de Capitais (AMLD4) para o ordenamento jurídico português, impõe obrigações de due diligence aos sujeitos obrigados, incluindo a verificação da autenticidade dos documentos apresentados em processos de identificação. O Banco de Portugal e a Comissão do Mercado de Valores Mobiliários (CMVM) fiscalizam o cumprimento destas obrigações pelas entidades sob a sua supervisão, com capacidade para aplicar coimas e medidas corretivas em caso de incumprimento.
A automação via API não elimina a responsabilidade da entidade, mas fornece uma trilha de auditoria estruturada, pontuações de confiança documentadas e tempos de resposta consistentes que dificilmente são alcançáveis com processos exclusivamente humanos. Consulte também o nosso guia de automatização de verificação para uma visão abrangente da orquestração de workflows de conformidade.
Arquitetura técnica: como funciona a integração
A integração baseia-se numa API REST com autenticação OAuth 2.0, onde os pedidos são enviados como payloads JSON e as respostas contêm pontuações de risco, campos detetados e metadados de análise estruturados.
O fluxo de autenticação segue o padrão Client Credentials do OAuth 2.0: a aplicação cliente apresenta o client_id e o client_secret ao servidor de autorização e recebe um access_token com tempo de expiração configurável. Todos os pedidos subsequentes incluem este token no cabeçalho Authorization: Bearer {token}. Este modelo é preferível à autenticação por chave de API estática porque permite rotação de credenciais sem interrupção de serviço e suporta escopos granulares por operação.
O processamento pode ser síncrono ou assíncrono dependendo do volume e do contexto operacional. No modo síncrono, o pedido aguarda a resposta completa da análise, adequado para volumes baixos e interfaces de utilizador em tempo real. No modo assíncrono, a API devolve imediatamente um job_id e o resultado fica disponível via polling ou via webhook quando o processamento termina. Para fluxos de onboarding com elevado volume, o modo assíncrono com webhooks é a abordagem recomendada, pois evita timeouts e permite processar múltiplos documentos em paralelo.
Os callbacks por webhook são configurados a nível de conta. Quando uma análise é concluída, a plataforma envia um POST HTTP para o endpoint registado com o resultado completo, incluindo o job_id, a pontuação de confiança e os campos extraídos. A resposta do servidor destinatário deve incluir um código HTTP 200 para confirmar a receção; em caso de falha, o sistema tenta reenviar com backoff exponencial.
Para uma introdução mais detalhada à integração técnica de APIs de verificação de identidade, consulte o artigo API de verificação de documentos: guia de integração para programadores.
Endpoints principais e formato dos pedidos
O endpoint principal para submissão de documentos é POST /v1/documents/analyze, que aceita o ficheiro codificado em base64 ou um URL assinado; para consulta de resultados em modo assíncrono utiliza-se GET /v1/results/{id}.
| Endpoint | Método | Descrição | Tempo de resposta típico |
|---|---|---|---|
/v1/documents/analyze |
POST | Submete um documento para análise de autenticidade | 800 ms – 3 s (síncrono) |
/v1/results/{id} |
GET | Consulta o resultado de uma análise assíncrona | 50 – 150 ms |
/v1/documents/batch |
POST | Submete até 50 documentos num único pedido | 2 – 10 s |
/v1/webhooks |
POST | Regista ou atualiza um endpoint de callback | 100 ms |
/v1/audit/{id} |
GET | Obtém a trilha de auditoria de uma análise | 100 – 300 ms |
Um pedido típico ao endpoint de análise tem a seguinte estrutura:
{
"document": {
"content": "<base64_encoded_file>",
"mime_type": "application/pdf",
"filename": "cartao_cidadao.pdf"
},
"options": {
"document_type": "national_id",
"issuing_country": "PT",
"async": false
},
"metadata": {
"reference_id": "onboarding_2026_00342",
"operator_id": "kyc_team_lisboa"
}
}
A resposta síncrona inclui o campo confidence_score (0-100), o risk_level classificado em quatro níveis, os campos OCR extraídos (nome, NIF, data de nascimento, NIB quando aplicável) e uma lista de signals com os indicadores de fraude detetados, como inconsistências de fonte tipográfica, metadados PDF adulterados ou padrões de compressão incompatíveis com o emitente declarado.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoInterpretação de respostas e pontuações de confiança
A pontuação de confiança da API varia entre 0 e 100, onde valores acima de 80 indicam documento provavelmente autêntico; o campo risk_level qualifica o resultado em quatro categorias — baixo, médio, alto e crítico — cada uma associada a uma ação recomendada no workflow.
| Pontuação | Nível de risco | Ação recomendada |
|---|---|---|
| 80 – 100 | Baixo | Aprovação automática, registo na trilha de auditoria |
| 60 – 79 | Médio | Revisão humana opcional, manter na fila de supervisão |
| 40 – 59 | Alto | Revisão humana obrigatória antes de qualquer decisão |
| 0 – 39 | Crítico | Bloqueio automático, escalada para equipa de compliance |
A pontuação não deve ser lida de forma isolada. O campo signals detalha os indicadores específicos que influenciaram o resultado, como font_inconsistency, metadata_mismatch, ai_generated_content ou compression_artifact. Esta granularidade é relevante para as decisões de escalada: um documento com pontuação 55 e apenas um sinal de baixa severidade pode ter tratamento distinto de um documento com a mesma pontuação e três sinais de alta severidade.
Para casos-limite, a plataforma oferece um modo de revisão assistida que apresenta ao operador humano os campos suspeitos destacados com anotações, reduzindo o tempo médio de revisão manual. Este modo é configurável por tipo de documento e por jurisdição, o que permite adaptar os limiares de escalada às exigências regulatórias locais.
Casos de uso por setor
A API é aplicável em qualquer setor que processe documentos de identidade ou financeiros, sendo os principais casos de uso nos setores financeiro, seguros, KYC e imobiliário, cada um com tipos de documento e sinais de fraude específicos.
| Setor | Tipo de documento | Sinal tipicamente detetado |
|---|---|---|
| Banca e crédito | Cartão de Cidadão, Passaporte, Comprovativo de IBAN/NIB | Substituição de fotografia, adulteração de dados pessoais |
| Seguros | Declaração amigável, relatório médico, recibo de vencimento | Campos editados digitalmente, inconsistência de data |
| KYC / Fintech | Documento de identificação, prova de morada, extrato bancário | Documento gerado por IA, metadados adulterados |
| Imobiliário | Caderneta predial, certidão de registo, contrato de arrendamento | Assinatura falsificada, número de registo inválido |
| Recursos humanos | Certificado de habilitações, declaração de IRS | Selos e carimbos inconsistentes, tipografia incorreta |
No setor financeiro supervisionado pelo Banco de Portugal, a integração da API nos processos de abertura de conta e concessão de crédito permite documentar o cumprimento das obrigações de identificação previstas na Lei 83/2017 e nas orientações da Autoridade Bancária Europeia. A CheckFile oferece soluções específicas para KYC bancário com templates pré-configurados para os tipos de documento mais frequentes em Portugal.
Para uma análise aprofundada das técnicas de deteção subjacentes, consulte o artigo técnicas de deteção de fraude documental com IA.
Conformidade: RGPD, Banco de Portugal e requisitos regulatórios
O Regulamento UE 2024/1689 (AI Act) classifica os sistemas de verificação de identidade como IA de alto risco, o que implica obrigações de transparência, registo de logs, avaliação de conformidade e supervisão humana para as entidades que os implementem na União Europeia.
No plano da proteção de dados, o RGPD (Regulamento UE 2016/679) estabelece no artigo 5.º o princípio da minimização de dados: apenas devem ser recolhidos e processados os dados estritamente necessários para a finalidade declarada. Na prática, isto significa que a API deve ser configurada para não armazenar imagens de documentos além do período estritamente necessário para a análise, e que os dados extraídos devem ser pseudonimizados ou eliminados após o prazo de conservação legalmente previsto.
A Lei n.º 83/2017 define os prazos de conservação dos registos de identificação para os sujeitos obrigados: os documentos e informações recolhidos no âmbito de medidas de due diligence devem ser conservados durante pelo menos cinco anos após o término da relação de negócio ou da transação ocasional. A API da CheckFile suporta políticas de retenção configuráveis que permitem o cumprimento automático destes prazos, com eliminação segura e certificada ao fim do período definido.
O Banco de Portugal e a CMVM exigem que as entidades supervisionadas mantenham evidência documentada dos controlos de identificação aplicados. A trilha de auditoria gerada pela API — que inclui timestamps, versão do modelo utilizado, pontuação de confiança e sinais detetados — constitui essa evidência num formato estruturado e exportável, adequado para responder a pedidos de inspeção regulatória.
Para implementações de maior escala, a CheckFile disponibiliza planos com SLA dedicado e suporte à conformidade regulatória que incluem assistência na configuração das políticas de retenção e na documentação necessária para auditorias.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, regulatório ou técnico. As obrigações de conformidade variam consoante o setor, a jurisdição e o perfil de risco da entidade. Recomenda-se a consulta de profissionais especializados em direito da proteção de dados, regulação financeira e cibersegurança antes de implementar qualquer solução de verificação de identidade automatizada.
Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.
Perguntas frequentes
O que é exatamente uma API de deteção de fraude documental?
Uma API de deteção de fraude documental é um serviço web que recebe imagens ou ficheiros de documentos e devolve uma avaliação automatizada da sua autenticidade, incluindo uma pontuação de confiança, indicadores de adulteração e campos extraídos por OCR. Ao contrário da revisão manual, a API aplica modelos de aprendizagem automática treinados em milhões de documentos de referência, identificando inconsistências de impressão, adulterações digitais e conteúdo gerado por IA em milissegundos.
Como a API gere os falsos positivos?
A API minimiza os falsos positivos através de um sistema de confiança em camadas: documentos com pontuação superior a 80 são aprovados automaticamente, enquanto os que se situam entre 40 e 79 são encaminhados para revisão humana antes de qualquer decisão. As organizações podem ajustar os limiares de escalada em função do seu apetite de risco e das exigências regulatórias do setor. Adicionalmente, o campo signals permite ao revisor humano avaliar a relevância dos indicadores detetados e registar a decisão final na trilha de auditoria, o que alimenta o ciclo de melhoria contínua do modelo.
A API é compatível com o RGPD e o AI Act europeu?
Sim. A plataforma foi concebida para operar em conformidade com o RGPD, com políticas de retenção configuráveis, pseudonimização de dados extraídos e registos de processamento exportáveis para o Registo de Atividades de Tratamento. No que respeita ao AI Act (Regulamento UE 2024/1689), a solução inclui logs de decisão, documentação técnica do modelo e mecanismos de supervisão humana obrigatória para os níveis de risco alto e crítico, em conformidade com os requisitos aplicáveis a sistemas de IA de alto risco.
Quanto tempo demora a integrar uma API de deteção de fraude documental?
Uma integração básica — submissão de documentos, receção de resultados e encaminhamento por nível de risco — pode estar operacional em dois a cinco dias úteis utilizando os SDKs disponíveis para Python, Node.js e Java. Uma integração completa com webhooks, políticas de retenção automática, painel de revisão humana e exportação de trilhas de auditoria requer tipicamente duas a quatro semanas, dependendo da complexidade do workflow existente e do número de tipos de documento a configurar.
Que formatos de ficheiro aceita uma API de deteção de fraude documental?
Os formatos suportados incluem PDF, JPEG, PNG, TIFF e WebP, com tamanho máximo de ficheiro de 20 MB por pedido. Para documentos digitalizados, recomenda-se uma resolução mínima de 300 DPI para garantir a qualidade da extração OCR. O endpoint de batch aceita até 50 ficheiros por pedido, o que permite processar volumes elevados sem múltiplas chamadas individuais. Ficheiros protegidos por palavra-passe devem ser desencriptados antes de serem submetidos, uma etapa que pode ser automatizada no pipeline de pré-processamento.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.