Skip to content
Caso de estudoPreçosSegurançaComparativoBlog

Europe

Americas

Oceania

Indústria11 min de leitura

Dados bancários falsos com IA: como detetar fraude a fornecedores

Dados bancários falsos gerados por IA alimentam fraudes de alteração de pagamentos a fornecedores. Veja como as equipas financeiras os detetam antes de pagar.

Equipe CheckFile
Equipe CheckFile·
Illustration for Dados bancários falsos com IA: como detetar fraude a fornecedores — Indústria

Resumir este artigo com

Os dados bancários falsos gerados por inteligência artificial tornaram-se a peça final de um esquema de fraude já conhecido das equipas financeiras portuguesas: a alteração de dados bancários de um fornecedor, muitas vezes combinada com a fraude do CEO ou um ataque de Business Email Compromise (BEC). O atacante já não precisa de dominar edição de imagem — um modelo generativo produz, em minutos, um comprovativo bancário ou uma carta de mudança de IBAN visualmente idêntica à de um banco real. Este artigo explica como o esquema funciona em Portugal e como as equipas de contas a pagar podem detetar o documento falso antes de autorizar a transferência.

Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico ou regulamentar.

O que é a fraude de alteração de dados bancários com documento gerado por IA

A fraude de alteração de dados bancários consiste em induzir uma empresa a substituir o IBAN de um fornecedor legítimo pelo de uma conta controlada pelo atacante, normalmente através de um e-mail ou carta que parece vir do próprio fornecedor ou de um administrador interno. O documento bancário falso — um comprovativo de IBAN, uma carta em papel timbrado ou um extrato adulterado — serve para dar credibilidade ao pedido e reduzir a probabilidade de confirmação telefónica. Em Portugal, o Centro Nacional de Cibersegurança (CNCS) descreve este vetor como uma das formas mais comuns de fraude do CEO: pedidos de "alteração do IBAN de fornecedor" enviados por e-mail comprometido ou falsificado, muitas vezes com urgência artificial associada.

As campanhas de fraude do CEO e BEC corresponderam a 18% dos incidentes de engenharia social reportados ao CERT.PT em 2025, segundo o alerta do CNCS sobre o contexto atual da fraude do CEO, publicado em abril de 2026. O organismo identifica explicitamente os pedidos de mudança de IBAN de fornecedor e os ataques ao departamento de recursos humanos como os dois padrões mais recorrentes.

Como o esquema funciona: do e-mail comprometido ao documento bancário falso

O esquema segue tipicamente três fases: comprometimento ou imitação de um canal de confiança, envio de um documento bancário falso como prova, e pressão de urgência para evitar verificação.

A entrada pelo e-mail: BEC e fraude do CEO

O atacante compromete a caixa de correio de um fornecedor real, regista um domínio quase idêntico ou falsifica o remetente de um administrador, e envia um pedido de alteração de dados bancários — muitas vezes ligado a uma fatura pendente ou a uma transferência já agendada — invocando urgência ou confidencialidade. O CNCS nota que estes ataques exploram informação pública sobre organogramas e contactos internos para personalizar a mensagem e torná-la mais convincente.

O papel do documento bancário gerado por IA

O documento falso — comprovativo de IBAN, carta bancária em papel timbrado ou printscreen de homebanking — é o elemento que transforma um pedido suspeito num pedido "verificado" aos olhos de um colaborador apressado. Ferramentas de geração de imagem e modelos de linguagem produzem hoje logótipos, tipografias e formatações bancárias com fidelidade suficiente para superar uma inspeção visual rápida. O documento raramente precisa de ser perfeito: só precisa de ser convincente o tempo suficiente para que o pagamento seja processado antes de alguém confirmar com o fornecedor.

As perdas com fraude em cartões e transferências no primeiro semestre de 2024 atingiram 8,9 milhões de euros em Portugal, contra cerca de 5 milhões no mesmo período de 2023, segundo dados do Banco de Portugal citados pela RTP; no mesmo período, o número de transferências fraudulentas por milhão de operações subiu de 6 para 16, com um valor médio de fraude de 3.118 euros.

Sinais de alerta num documento bancário suspeito

Um documento bancário falso apresenta quase sempre algum desvio detetável, mesmo quando a aparência visual é convincente. A tabela seguinte resume os sinais mais frequentes e onde procurá-los.

Sinal de alerta O que verificar Nível de risco
IBAN diferente do registado no cadastro do fornecedor Comparar dígito a dígito com o histórico de pagamentos anteriores Crítico
Pedido de mudança recebido apenas por e-mail Ausência de confirmação por canal independente já validado Crítico
Metadados do PDF inconsistentes com o emissor declarado Software de criação, data de modificação, ausência de assinatura digital válida Elevado
Papel timbrado ou logótipo com resolução ou cor ligeiramente diferentes do histórico Comparação lado a lado com documentos anteriores do mesmo banco/fornecedor Elevado
Urgência ou confidencialidade invocadas explicitamente Pedido associado a prazo apertado, ameaça de corte de fornecimento ou pedido de sigilo Elevado
Domínio de e-mail com variação subtil (troca de letra, extensão diferente) Verificação manual do domínio completo, não apenas do nome exibido Médio
Código BIC ou nome do banco incoerente com o formato do IBAN Validação cruzada entre o prefixo do IBAN (ex.: PT50) e a instituição declarada Médio

A combinação de dois ou mais sinais desta tabela — sobretudo IBAN alterado associado a pedido exclusivo por e-mail — deve bloquear automaticamente o pagamento até confirmação independente, uma prática recomendada nas próprias orientações do Banco de Portugal sobre fraude por alteração do IBAN em transferências. Para os critérios técnicos de validação de formato do IBAN português, consulte o nosso artigo sobre verificação de conta bancária e IBAN.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

O que perguntam as equipas de tesouraria e contas a pagar

Nos fóruns especializados de finanças e contabilidade em Portugal, as dúvidas das equipas de tesouraria repetem-se: como confirmar uma mudança de IBAN sem ofender um fornecedor real nem atrasar pagamentos legítimos; se vale a pena telefonar sempre que chega este tipo de pedido, mesmo com volumes elevados de faturas; e como distinguir uma reestruturação bancária genuína — comum em fusões e aquisições — de um esquema fraudulento com aparência semelhante.

A resposta prática converge com a recomendação regulatória: nenhuma alteração de dados bancários deve ser aceite com base apenas no documento recebido, por mais oficial que pareça. A confirmação telefónica através de um número já registado, independente do canal que originou o pedido, continua a ser o controlo mais barato e eficaz — e é precisamente o que a pressão de urgência tenta contornar.

Protocolo de verificação em 5 passos para contas a pagar

A implementação de um protocolo formal reduz a dependência do julgamento individual de cada colaborador perante um pedido de mudança de IBAN.

  1. Isolar o pedido. Nenhuma alteração de dados bancários é processada no mesmo dia em que é recebida, independentemente da urgência invocada.
  2. Confirmar por canal independente. Contactar o fornecedor por um número já registado — nunca o indicado no e-mail ou documento recebido — e exigir confirmação verbal explícita.
  3. Validar formato e titularidade do IBAN. Verificar os dígitos de controlo MOD 97-1 e, sempre que disponível, a concordância entre o IBAN e o nome do beneficiário antes da primeira transferência.
  4. Analisar o documento recebido. Comparar metadados do ficheiro, tipografia e formatação com comunicações anteriores autênticas do fornecedor; qualquer inconsistência bloqueia o processo.
  5. Exigir dupla aprovação e documentar. A alteração só é ativada após aprovação de dois responsáveis distintos, com registo escrito indispensável em caso de auditoria.

Este protocolo complementa o protocolo de deteção de faturas falsas geradas por IA já descrito noutro artigo desta série, aplicável ao momento de receção da fatura e não apenas à mudança de dados bancários.

Quadro regulatório em Portugal: Banco de Portugal e obrigações de diligência

O quadro regulatório português já trata a fraude por alteração de dados bancários como um risco a mitigar ativamente. O Banco de Portugal implementou desde maio de 2024 o serviço de confirmação de beneficiário, que mostra o nome do titular da conta antes da autorização final da transferência. Este mecanismo, combinado com o sistema SPIN, contribuiu para reduzir em 77% as operações fraudulentas por manipulação do ordenante nos três primeiros meses após o lançamento, segundo dados do Banco de Portugal citados pelo Observador; a fatia de fraude por manipulação do pagador nas transferências fraudulentas totais caiu de 60% em 2023 para 16% em 2025.

Para além do mecanismo técnico, a Lei n.º 83/2017, de 18 de agosto, obriga entidades financeiras e determinadas empresas a implementar procedimentos de diligência devida que incluem a verificação da titularidade de contas em operações de risco. O aumento do volume de casos reforça a pressão sobre estas obrigações: o Gabinete de Cibercrime do Ministério Público recebeu 3.973 denúncias de cibercrime em 2024, um aumento de 36% face às 2.916 registadas em 2023, segundo dados divulgados pela Procuradoria-Geral da República.

A nível internacional, o padrão é semelhante: apenas 37% das fraudes ocupacionais são detetadas através de mecanismos formais de controlo, com um atraso médio de deteção de 87 dias, segundo o ACFE 2024 Report to the Nations. Um atraso desta ordem, aplicado a um esquema de alteração de IBAN, significa tipicamente vários pagamentos já processados para a conta fraudulenta antes de a fraude ser identificada.

Automatizar a verificação sem substituir o julgamento humano

A verificação manual de cada pedido de mudança de dados bancários não escala quando uma empresa gere centenas de fornecedores e processa pagamentos diariamente. A plataforma CheckFile integra a validação de formato do IBAN, a comparação com o cadastro histórico do fornecedor e a análise forense de metadados do documento recebido numa única verificação, disparando um alerta sempre que um pedido de alteração não corresponde ao padrão esperado. A nossa abordagem inclui uma camada adicional de sinais de geração por IA, disponível segundo a configuração e o nível de risco do processo, como complemento aos controlos estruturais existentes — não como substituto da confirmação telefónica com o fornecedor.

Esta verificação integra-se com os fluxos de KYC bancário e com a arquitetura descrita na nossa página de segurança. Os planos disponíveis constam da página de preços, e o guia de verificação documental por setor situa este risco no conjunto mais amplo de controlos documentais que uma empresa deve manter.

Nenhum sistema automatizado garante deteção de 100% dos documentos falsificados — a sofisticação dos geradores de IA evolui continuamente. A CheckFile analisa os seus processos e sinaliza indícios de geração por IA em complemento aos seus controlos existentes; para aprofundar esta camada específica de análise, consulte a verificação de documentos gerados por IA e deepfakes.

Perguntas frequentes

Como sei se um comprovativo bancário enviado por um fornecedor é falso?

Não existe um único sinal definitivo, mas a combinação de IBAN diferente do registado, pedido recebido exclusivamente por e-mail e metadados do PDF inconsistentes com o emissor declarado é fortemente indicativa de fraude. A confirmação por telefone através de um número já validado no sistema, e não o indicado no documento, continua a ser o método mais fiável para resolver a dúvida antes de pagar.

A fraude do CEO e a fraude por alteração de IBAN são o mesmo esquema?

São esquemas relacionados mas distintos. A fraude do CEO usurpa a identidade de um administrador para ordenar uma transferência urgente; a fraude por alteração de dados bancários visa mudar o IBAN de um fornecedor legítimo para redirecionar pagamentos futuros. Muitas campanhas combinam os dois: um e-mail que imita o fornecedor ou um superior, reforçado por um documento bancário falso, gerado ou não por IA.

O que fazer imediatamente ao detetar um documento bancário falso já usado num pagamento?

Suspenda qualquer pagamento adicional para a conta em causa, preserve o e-mail original com cabeçalhos completos e o ficheiro sem o editar, e contacte o banco emissor para tentar recuperar os fundos. Em paralelo, apresente queixa na Polícia Judiciária e comunique o incidente às autoridades de supervisão relevantes.

É obrigatório reportar este tipo de fraude a alguma entidade em Portugal?

As entidades sujeitas à Lei n.º 83/2017, incluindo instituições financeiras e determinados prestadores de serviços, têm obrigação de comunicar operações suspeitas de branqueamento de capitais quando existem indícios fundados. Para as demais empresas, a participação à Polícia Judiciária e ao banco envolvido é fortemente recomendada, tanto para tentar recuperar fundos como para ajudar a identificar redes de fraude organizada.

A automatização elimina a necessidade de confirmação telefónica com o fornecedor?

Não. A automatização acelera e sistematiza a deteção de inconsistências no documento e no IBAN, mas a confirmação por um canal independente já validado continua a ser o controlo decisivo para qualquer alteração de dados bancários, sobretudo quando os sinais de risco identificados automaticamente são elevados.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.