Skip to content
Deteção IA & DeepfakeNovo

Sinais IA, sintéticos, deepfakes

Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Dados10 min de leitura

O seu fornecedor KYC deteta documentos gerados por IA? O que o OCR não vê

Como avaliar se o seu fornecedor KYC deteta documentos de identidade gerados por IA em 2026 — limitações do OCR, sinais forenses e conformidade com AMLD6 e Banco de Portugal.

Equipe CheckFile
Equipe CheckFile·
Illustration for O seu fornecedor KYC deteta documentos gerados por IA? O que o OCR não vê — Dados

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Os modelos generativos de IA produzem em 2026 documentos de identidade, recibos de vencimento e extratos bancários cuja fidelidade visual supera muitos documentos auténticos digitalizados. O OCR standard — tecnologia que serve de base à maioria das plataformas KYC do mercado — não deteta estas falsificações. Extrai dados, não os autentica. Esta distinção, ignorada por muitos compradores de soluções KYC, expõe as entidades obrigadas a riscos regulatórios e financeiros graves.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico ou regulatório. As referências regulatórias são precisas à data de publicação: 21 de junho de 2026.

O que o OCR pode e não pode detetar

O OCR (Reconhecimento Ótico de Caracteres) é um motor de transcrição. Converte imagens de texto em dados estruturados — nomes, datas de nascimento, números de documento. O seu valor reside na velocidade e precisão de extração para fluxos KYC de alto volume.

O OCR transcreve o conteúdo de um documento; não consegue avaliar se esse documento é autêntico.

Um documento gerado por IA contém exatamente os mesmos tipos de dados que um documento autêntico. O nome é plausível, a data de nascimento é coerente com a fotografia, o número do Cartão de Cidadão apresenta o formato correto. O OCR transcreve esses campos sem erros. A fraude passa despercebida.

O que o OCR deteta O que o OCR não deteta
Texto mal formado ou ilegível Documentos visualmente perfeitos mas sintéticos
Dados ausentes ou truncados Inconsistências nos metadados PDF/JPEG
Formatos de campo não conformes Padrões de segurança gerados algoritmicamente
Alterações grosseiras em zonas de texto Assinaturas espectrais dos modelos de difusão
Carimbos ou menções em falta Validação cruzada entre documentos

Os artefactos que os modelos de IA generativa deixam para trás

Os modelos generativos — GANs, modelos de difusão, LLMs multimodais — produzem artefactos detetáveis por métodos de análise forense, mas invisíveis a olho nu e totalmente ignorados pelo OCR.

Metadados inconsistentes. Um documento alegadamente digitalizado em 2022 cujos metadados EXIF ou PDF indicam uma data de criação recente é um sinal forte. Os modelos generativos criam ficheiros em tempo real; a sua marca temporal denuncia a origem sintética. A ENISA (Agência da UE para a Cibersegurança) identificou os metadados como um dos vetores de identificação mais fiáveis no seu relatório Threat Landscape 2024.

Artefactos de compressão anómalos. As imagens geradas por IA apresentam perfis de ruído e compressão diferentes dos documentos fotografados ou digitalizados. As técnicas de Análise de Nível de Erro (ELA) revelam estas inconsistências. Os documentos autênticos digitalizados exibem pixelização progressiva nas zonas comprimidas; os documentos sintéticos não.

Padrões de segurança matematicamente perfeitos. Os padrões de segurança dos documentos oficiais — guilhoché, microimpressão — são reproduzidos com excessiva regularidade pelos modelos generativos. Num documento autêntico, estes padrões incluem variações mínimas devidas ao processo de impressão física. Um zoom a 400% revela frequentemente repetições exatas em documentos sintéticos.

Dígitos de controlo da MRZ inconsistentes. Os documentos de identidade contêm uma Zona de Leitura Mecânica (MRZ) cujos dígitos de controlo seguem algoritmos precisos. Um documento sintético pode ter uma MRZ visualmente correta mas com dígitos de controlo inválidos. O OCR não verifica estes algoritmos de controlo; uma solução forense dedicada faz-o.

O que o quadro regulatório exige aos fornecedores KYC em Portugal

O Banco de Portugal supervisa o cumprimento das obrigações de prevenção de branqueamento de capitais e financiamento do terrorismo (PBCFT) pelas entidades financeiras supervisionadas. As suas orientações de supervisão indicam que as entidades obrigadas devem manter sistemas de verificação documental atualizados face às técnicas de fraude emergentes, incluindo a geração de documentos por IA.

A Lei n.º 83/2017, de 18 de agosto, que transpõe a Diretiva 2015/849/UE para o ordenamento jurídico português, exige no seu artigo 26.º que as entidades obrigadas adotem medidas de diligência devida em relação ao cliente, verificando a identidade mediante documentos, dados ou informações fidedignas. A utilização exclusiva de OCR para esta verificação não satisfaz este requisito quando o risco de documentos sintéticos é material.

A CMVM emitiu igualmente recomendações em 2025 para que as entidades por si supervisionadas reavaliem os seus dispositivos KYC à luz da ameaça dos documentos sintéticos gerados por IA.

A transposição da Diretiva AMLD6 (UE) 2024/1640 reforça adicionalmente a obrigação de uma abordagem baseada no risco que tenha em conta a evolução das técnicas de fraude documental.

Cinco critérios para avaliar o seu fornecedor KYC

1. Análise de metadados para além do OCR

O seu fornecedor deve analisar os metadados do ficheiro fonte (PDF, JPEG, PNG) para além do conteúdo visual. A data de criação, o software que gerou o PDF, os perfis ICC das imagens incorporadas: estes dados revelam a origem sintética. Pergunte diretamente: "A sua solução analisa os metadados do ficheiro fonte?"

2. Deteção de sinais de geração por IA

A deteção forense de documentos sintéticos envolve modelos treinados com conjuntos de dados de documentos gerados por IA. Estes modelos analisam padrões de ruído, coerência de frequências espaciais e artefactos de compressão anómalos. Segundo o ACFE 2024 Report to the Nations, os métodos de deteção automatizada identificam fraudes documentais que os controlos manuais por si sós omitem em 63% dos casos. Exija ao seu fornecedor a documentação da metodologia de deteção de IA.

3. Validação cruzada entre documentos

Um fraudador que gera um recibo de vencimento sintético normalmente também produz um extrato bancário coerente. A validação cruzada — comparar o nome do empregador entre o recibo de vencimento e o extrato bancário, os valores salariais com as transferências bancárias — deteta inconsistências que a verificação documento a documento passa sistematicamente em branco. Consulte a nossa análise sobre validação cruzada de documentos para além do OCR para as técnicas associadas.

4. Base de dados de modelos oficiais atualizada

Os documentos de identidade oficiais têm especificações precisas: dimensões, zonas de leitura mecânica, localização exata dos elementos de segurança. Um fornecedor com uma base de dados de modelos documentais atualizada pode verificar a conformidade estrutural contra o modelo oficial. O Cartão de Cidadão português, por exemplo, tem especificações de chip e elementos holográficos verificáveis. Uma solução forense verifica isto; o OCR não.

5. Cobertura dos tipos de documentos relevantes para a sua atividade

Um fornecedor KYC só consegue detetar os documentos que modelou. Se a sua atividade envolve documentos de identidade de múltiplos países, o seu fornecedor deve cobrir esses tipos. Um benchmark realista deve utilizar os seus documentos reais — não apenas os 10 tipos mais comuns na Europa Ocidental.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

Perguntas que as equipas de compliance colocam na prática

Os profissionais de compliance colocam regularmente dois problemas em fóruns especializados e na comunidade profissional.

"A nossa solução KYC atual é suficiente para passar uma inspeção do Banco de Portugal?"

Uma solução que apenas realiza OCR geralmente não é suficiente para uma instituição de crédito ou prestador de serviços de pagamento em 2026. O Banco de Portugal espera documentação explícita da metodologia de deteção de documentos sintéticos. Se o seu fornecedor não consegue fornecer esta documentação, é uma lacuna que deve ser refletida na sua avaliação de risco de criminalidade financeira.

"Como distinguir um documento sintético de uma digitalização de má qualidade?"

Esta é precisamente a dificuldade. Um documento autêntico digitalizado com uma câmara de telemóvel de baixa qualidade pode apresentar artefactos visuais que superficialmente se assemelham a certos defeitos de geração por IA. Os sistemas forenses de alto desempenho baseiam-se numa combinação de sinais — não num único indicador — e ponderam cada sinal de acordo com o contexto: tipo de documento, país emissor, qualidade esperada do suporte físico.

O nosso artigo sobre deteção de deepfakes em documentos examina técnicas para discriminar entre defeitos genuínos de digitalização e artefactos sintéticos.

Como avaliar concretamente o seu fornecedor atual

Em vez de confiar em afirmações de marketing, realize uma avaliação às cegas:

  1. Prepare um corpus de teste: reúna 20 documentos autênticos e 20 documentos gerados com ferramentas publicamente disponíveis. Não revele a composição ao seu fornecedor.
  2. Submeta os 40 documentos através da API de produção ou interface padrão.
  3. Meça a taxa de deteção de documentos sintéticos e a taxa de falsos positivos nos autênticos.
  4. Solicite os registos forenses: o seu fornecedor deve conseguir explicar por que cada documento foi ou não sinalizado.

Uma solução que não deteta uma proporção significativa de documentos sintéticos neste tipo de teste merece reavaliação. A plataforma CheckFile de deteção de documentos IA implementa análise multicamada combinando sinais forenses, análise de metadados e validação estrutural, concebida como complemento aos seus controlos KYC existentes.

Para aprofundar

O nosso guia completo sobre dados de fraude documental cobre tipologias de fraude, técnicas de deteção forense e obrigações de documentação para entidades reguladas.

Para o desenvolvimento das capacidades da equipa, o nosso artigo sobre formação de equipas para detetar documentos IA oferece um programa estruturado em três níveis adaptado a analistas KYC.

Perguntas frequentes

O OCR consegue detetar um documento gerado por IA?

Não. O OCR transcreve o conteúdo textual de um documento sem avaliar a sua autenticidade. Um documento gerado por IA contém dados textuais plausíveis que o OCR transcreve sem erros. A deteção requer análise forense de metadados, artefactos de geração e coerência estrutural — dimensões que o OCR por si só não examina.

Que regulamentação portuguesa obriga à deteção de documentos IA nos processos KYC?

A Lei n.º 83/2017 de prevenção do branqueamento de capitais exige medidas de diligência devida baseadas em documentos fidedignos. O Banco de Portugal espera que os sistemas de verificação documental se atualizem face às novas técnicas de fraude, incluindo documentos sintéticos. A Diretiva AMLD6 (2024/1640) reforça adicionalmente a obrigação de uma abordagem baseada no risco.

Que documentos são mais difíceis de detetar pelas ferramentas KYC baseadas em OCR?

Os extratos bancários e recibos de vencimento sintéticos são os mais difíceis de detetar apenas com OCR: não contêm elementos de segurança físicos verificáveis. Os documentos gerados por LLM com dados numericamente coerentes — IBANs válidos, valores plausíveis, históricos de transações credíveis — passam na grande maioria dos controlos de coerência de dados.

Como avaliar se o meu fornecedor KYC atual deteta documentos IA?

Realize um teste às cegas: submeta uma mistura de documentos autênticos e sintéticos sem revelar a composição ao fornecedor. Meça as taxas de deteção e falsos positivos. Solicite também a documentação da metodologia forense — um fornecedor rigoroso deve conseguir explicá-la claramente e fornecer registos de análise por documento.

Qual é o tempo médio de deteção de uma fraude documental não intercetada?

Segundo o ACFE 2024 Report to the Nations, o tempo médio de deteção de fraude é de 87 dias. Para a fraude documental relacionada com a identidade, esta janela pode estender-se além da duração da relação comercial. Para além da perda financeira direta, as entidades sujeitas a supervisão do Banco de Portugal ou da CMVM podem enfrentar medidas regulatórias se forem estabelecidas falhas nos controlos KYC.

Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Dados10 min

Build vs Buy: deteção IA de fraude documental — desenvolver internamente ou comprar solução especializada?

Desenvolver a sua própria deteção IA de documentos falsos ou comprar uma solução especializada? Custos reais, prazos, conformidade AMLD6/RGPD — guia completo 2026.

Ler
Dados11 min

Software de deteção de fraude documental com IA: como escolher em 2026

Como escolher um software de deteção de fraude documental com IA em 2026: critérios essenciais, erros a evitar, comparação de abordagens e modelos de preços.

Ler
Dados10 min

Tendências identidade digital 2026: o futuro da verificação online e do e-ID

As principais tendências da identidade digital em 2026: carteira europeia eIDAS 2.0, biometria IA, identidade auto-soberana SSI e novas obrigações regulatórias para as empresas.

Ler