Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Guia9 min de leitura

Checklist: sinais de que um documento foi gerado ou alterado por IA

12 sinais concretos — metadados, texto, elementos visuais e verificações cruzadas — para identificar documentos fabricados ou alterados por IA. Guia para equipas de conformidade e KYC.

Equipe CheckFile
Equipe CheckFile·
Illustration for Checklist: sinais de que um documento foi gerado ou alterado por IA — Guia

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Um documento gerado ou alterado por IA deixa traços característicos em quatro camadas: metadados do ficheiro, estrutura textual, coerência visual e exatidão dos dados verificáveis. Esta checklist reúne os 12 sinais mais fiáveis, ordenados por dificuldade de falsificação, para ajudar as equipas de conformidade, KYC e crédito a filtrar dossiês suspeitos antes de qualquer decisão.

De acordo com o Relatório ACFE 2024 Report to the Nations, apenas 37% dos casos de fraude documental são detetados manualmente, com um atraso médio de 87 dias. As ferramentas de IA generativa reduziram o tempo de produção de um documento falsificado convincente a uma questão de minutos — o que torna a verificação sistemática indispensável.

Nível 1 — Metadados do ficheiro: verificação em 90 segundos

Os metadados são a primeira camada a inspecionar, pois a maioria dos geradores de IA os omite ou os preenche de forma incoerente.

Num documento autêntico emitido por um organismo oficial, os metadados refletem a cadeia de produção: software institucional, fila de impressão, certificado digital. Um documento gerado por IA apresenta tipicamente uma ferramenta de consumo no campo Producer ou Creator: ChatGPT PDF Export, Canva, PDFCreator ou uma biblioteca Python (reportlab, fpdf). Este padrão está documentado no ENISA Threat Landscape 2024.

Campos a controlar sistematicamente:

  • Creator / Producer: deve corresponder ao software institucional esperado (p. ex., Microsoft Word para um contrato de trabalho, SAP para o recibo de vencimento de uma grande empresa)
  • CreationDate vs ModDate: uma diferença de apenas alguns segundos é suspeita; documentos legítimos conservam um histórico de modificações
  • Author: frequentemente em branco ou preenchido com um identificador genérico em documentos fabricados
  • Metadados XMP: totalmente ausentes em documentos produzidos com ferramentas de geração básicas

Para fotografias anexas (selfies KYC, comprovativos de morada com fotografia): a ausência de dados EXIF (modelo do dispositivo, GPS, hora da captura) indica uma imagem gerada digitalmente ou com recorte intensivo.

Nível 2 — Anomalias textuais próprias dos LLMs

Os modelos de linguagem como o GPT-4o ou Gemini produzem texto estatisticamente demasiado homogéneo: sem erros tipográficos, sem correções manuais, sem variação estilística entre parágrafos. Este sinal é invisível numa primeira leitura, mas torna-se evidente ao analisar vários campos do mesmo documento.

Sinais a procurar:

  • Densidade lexical uniforme: um recibo de vencimento autêntico contém abreviaturas sectoriais, códigos de instrumento de regulação coletiva de trabalho (IRCT) e designações de funções não normalizadas. Uma falsificação apresenta texto «limpo» sem jargão sectorial autêntico.
  • Frases de transição LLM: «Importa salientar que», «Além disso», «A este respeito» — construções sobre-representadas em textos gerativos face a documentos oficiais reais.
  • Números de referência demasiado regulares: os números de contrato, fatura ou NIF gerados aleatoriamente passam frequentemente a validação de formato, mas falham na verificação do dígito de controlo (NIF: algoritmo específico; IBAN: módulo 97).
  • Datas coerentes em superfície mas impossíveis em profundidade: um contrato assinado «em 15 de março de 2024» que referencia uma versão de IRCT com data de 2025.

Os utilizadores em fóruns de conformidade perguntam frequentemente: «Como saber se um recibo de vencimento foi criado com o ChatGPT?» A resposta passa quase sempre por verificar se o número de identificação da segurança social corresponde ao formato da Segurança Social, se a referência do empregador é real e se as categorias de dedução correspondem às taxas contributivas em vigor no período indicado.

Nível 3 — Sinais visuais e gráficos

As ferramentas de geração de imagens (Midjourney, DALL·E, Stable Diffusion) e os motores de composição automática deixam traços característicos.

Nos termos do Regulamento UE de IA 2024/1689, art. 50, os conteúdos sintéticos devem ser identificados como tal — mas esta obrigação não se aplica retroativamente a documentos já em circulação.

Pontos de controlo visuais:

  • Alinhamento demasiado perfeito: os documentos impressos e digitalizados apresentam uma ligeira rotação (0,5°–2°). Um documento gerado digitalmente é perfeitamente recto, sem distorção de perspetiva.
  • Resolução e compressão incoerentes: logótipos em alta resolução num formulário cujo corpo do texto está desfocado, ou vice-versa.
  • Carimbos e assinaturas: um carimbo oficial apresenta irregularidades de tinta e uma ligeira deformação. Um carimbo gerado por IA é um círculo perfeito com uma tipografia perfeitamente centrada.
  • Ausência de textura de papel: as fotografias de documentos reais mostram o grão do papel, reflexos e sombras. Os documentos IA são uniformemente planos.
  • Fotografias em documentos de identidade: pele demasiado suave, simetria facial excessiva, contornos do cabelo demasiado nítidos — características de uma imagem deepfake. Consulte o nosso artigo sobre a deteção de deepfakes em documentos.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

Nível 4 — Incoerências nos dados cruzados

Um documento não pode ser verificado isoladamente. A coerência entre os campos internos e a realidade verificável externamente é o teste mais difícil de superar para um defraudador.

Verificações cruzadas essenciais:

  • NIF / NIPC: verificação no portal do Registo Comercial ou na Base de Dados de Identificação Civil — o número deve existir, corresponder à entidade designada e estar ativo na data do documento
  • Morada: verificação no portal dos CTT ou no IFAP — uma morada inexistente é um sinal forte
  • Número de IVA intracomunitário: verificação através do sistema VIES da Comissão Europeia
  • IBAN: o código BIC deve corresponder a uma instituição bancária real ativa em Portugal; o IBAN passa o controlo módulo 97

Tabela resumo: sinais por tipo de documento

Tipo de documento Sinal prioritário Verificação recomendada
Recibo de vencimento IRCT coerente, contribuições segundo taxas legais Verificar taxas da Segurança Social na data
Extrato bancário Saldo inicial = saldo final do período anterior Cruzar com outros extratos da mesma conta
Fatura de fornecedor NIPC válido, número IVA ativo Registo Comercial + VIES
Documento de identidade Tipografia oficial, zona MRZ coerente Comparar com amostras de referência ICAO
Comprovativo de morada Morada existente, logótipo autêntico do fornecedor CTT + verificação visual do logótipo
Certidão permanente Número de matrícula coerente, data de constituição Portal do Registo Comercial
Diploma / certificado Número de diploma verificável, assinatura do responsável Verificação com o estabelecimento emissor

Procedimento de verificação sistemática

As equipas de conformidade e KYC que processam grandes volumes de documentação — especialmente no âmbito das obrigações da Lei n.º 83/2017, de 18 de agosto (transposição da AMLD4/5 para Portugal) e das orientações do Banco de Portugal — não podem aplicar manualmente esta checklist completa a cada documento.

O procedimento recomendado segue um modelo de triagem a três níveis:

  1. Filtragem automatizada (níveis 1 + 4): extração de metadados e validação de dígitos de controlo via API — esta etapa pode processar centenas de documentos por hora
  2. Análise forense assistida (níveis 2 + 3): exame visual dirigido aos documentos sinalizados pelo filtro automático
  3. Revisão humana reforçada: para os dossiês de alto risco, verificação direta junto do organismo emissor

A nossa plataforma suporta mais de 3.200 tipos de documentos em 32 jurisdições, permitindo a comparação estrutural em tempo real durante a verificação. Consulte a página de deteção de documentos IA para ver como esta camada de deteção se integra nos seus controlos existentes.

Por que a deteção humana sozinha é insuficiente

As ferramentas de IA geram agora documentos que superam a verificação visual da maioria dos analistas, conforme documentado no ENISA Threat Landscape 2024. O dígito de controlo de um NIF, a estrutura da zona MRZ de um passaporte, a coerência das contribuições num recibo de vencimento — estas verificações exigem cálculos algorítmicos que o olho humano não consegue realizar em segundos.

O Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 assinala um aumento acentuado das tentativas de fraude documental assistida por IA no sector financeiro europeu, visando especialmente os processos de onboarding digital e crédito em linha.

Para aprofundar as técnicas de geração, consulte a nossa análise sobre como a IA gera documentos falsos e as ameaças ligadas aos LLM como o ChatGPT.

A automatização destas verificações através de uma solução especializada — com soluções adaptadas ao seu sector — reduz a fraude não detetada mantendo uma experiência de utilizador fluida. Explore o nosso guia de verificação de documentos para uma visão geral dos métodos disponíveis e consulte os nossos preços.

Perguntas frequentes

Uma ferramenta de deteção de IA consegue identificar todos os documentos falsos?

Não. As ferramentas de deteção de IA têm um bom desempenho em tipos de documentos conhecidos, mas apresentam limitações face a formatos completamente novos ou documentos gerados com ferramentas muito recentes. A deteção multicamada (metadados + estrutura + verificações cruzadas) continua a ser o método mais robusto.

Um NIF válido num documento prova a sua autenticidade?

Não. Um defraudador pode copiar um NIF existente de uma entidade real. A verificação deve cruzar o número com o nome da entidade, morada e atividade nos registos oficiais — não apenas validar o formato do número.

Os extratos bancários em PDF são fáceis de falsificar com IA?

Sim. Os LLM conseguem gerar extratos sintaticamente coerentes em segundos. Os sinais de falsificação incluem: saldos não cumulativos entre meses, referências de transações demasiado curtas ou longas, e ausência de números de referência bancária em formato SEPA.

Que regulamentação portuguesa rege a verificação de documentos no contexto do KYC?

As obrigações de verificação documental em KYC decorrem da Lei n.º 83/2017, das orientações do Banco de Portugal e da CMVM, bem como da transposição em curso da 6.ª Diretiva Antibranqueamento (AMLD6). Qualquer entidade obrigada deve conservar as provas de verificação durante cinco anos após o término da relação de negócio.

Como comunicar às autoridades um documento suspeito de ser falso?

Em Portugal, a suspeita de branqueamento de capitais ligada a um documento fraudulento deve ser comunicada à Unidade de Informação Financeira (UIF) da Polícia Judiciária. A deteção de um documento gerado por IA pode constituir indício suficiente para desencadear este procedimento.

Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Guia11 min

Documentos falsos com LLM e ChatGPT: a nova ameaça de fraude

ChatGPT e modelos de linguagem geram documentos textuais falsos indetectáveis. Como funciona esta ameaça, que documentos são falsificados e como proteger a sua organização.

Ler
Guia11 min

Como a IA gera documentos falsos — e como detetá-los

Os modelos de IA generativa (GAN, difusão, LLM) fabricam recibos de vencimento, BI e extratos bancários indistinguíveis dos originais. Guia completo sobre técnicas de fabricação e deteção em 2026.

Ler
Guia9 min

Deteção de vivacidade vs fraude documental: diferenças essenciais

Deteção de vivacidade e deteção de fraude documental cobrem vetores de ataque distintos. Compreenda as diferenças, o enquadramento regulatório e como integrá-las no KYC.

Ler