KYC na banca de retalho: prevenir deepfakes e identidades sintéticas
Como os bancos de retalho protegem o onboarding KYC contra deepfakes de selfie e identidades sintéticas: obrigações do Banco de Portugal, Lei 83/2017 e métodos de deteção 2026.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokEste artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulatórias são precisas à data de publicação. Consulte um profissional qualificado para orientação específica à sua situação.
Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.
Em 2026, a banca de retalho enfrenta uma ameaça estrutural no ponto de entrada de clientes: deepfakes de selfie e identidades sintéticas concebidas especificamente para contornar os controlos KYC à distância. Um defraudador com um orçamento de 150 euros consegue gerar um Cartão de Cidadão fotorrealista, produzir um selfie deepfake que ultrapasse a deteção básica de vivacidade e abrir uma conta com um histórico de crédito fabricado — tudo sem existir como pessoa real.
Os ataques de deepfake em verificações de identidade aumentaram mais de 700% desde 2024, de acordo com o relatório «The Battle Against AI-Driven Identity Fraud» da Signicat. Em Portugal, o quadro regulatório estabelece obrigações claras: a Lei n.º 83/2017 de combate ao branqueamento de capitais e ao financiamento do terrorismo e as orientações do Banco de Portugal exigem medidas de diligência devida proporcionais ao risco, que incluem a verificação robusta da identidade do cliente.
O Banco de Portugal intensificou a supervisão sobre os processos de onboarding digital. As entidades que mantêm controlos KYC de primeira geração — sem atualização desde antes da proliferação de ferramentas generativas de IA — operam com mecanismos concebidos para um ambiente de ameaças que já não existe.
Por que o onboarding bancário de retalho é um alvo prioritário
O onboarding bancário de retalho concentra vários fatores que o tornam um alvo privilegiado para organizações criminosas. O benefício financeiro é elevado: uma conta aberta com sucesso desbloqueia linhas de crédito, descobertos autorizados e produtos financeiros adicionais. Os volumes são massivos. A pressão comercial empurra para a redução do atrito, o que frequentemente implica aligeirar os controlos de identidade.
A fraude de identidade sintética é particularmente prejudicial para a banca de retalho pelo padrão de «cultivo» de contas: o defraudador abre uma conta com uma identidade fabricada, constrói um histórico de crédito modesto ao longo de seis a dezoito meses, e depois executa uma fraude em grande escala — esgotando linhas de crédito, realizando transferências fraudulentas — antes de desaparecer. Quando a entidade identifica a fraude, a conta acumulou um histórico limpo que inicialmente oculta a intenção criminosa.
O ambiente digital amplifica a exposição. Uma verificação presencial implica contacto humano e documentos físicos. Uma verificação 100% remota — foto do Cartão de Cidadão e selfie de controlo de vivacidade — pode ser simulada completamente com ferramentas acessíveis por menos de 100 euros.
Ataques deepfake nos processos KYC bancários
Três vetores de ataque documentados em 2026
Injeção de câmara virtual. O atacante substitui o fluxo de vídeo da câmara física do dispositivo por um vídeo gerado ou pré-gravado injetado através de um controlador de software. O vídeo reproduz os movimentos requeridos pelos controlos de vivacidade — piscadelas, rotações de cabeça, sorrisos — necessários para ultrapassar a verificação biométrica.
Deepfake em tempo real. Os modelos de rede generativa adversarial (GAN) sobrepõem o rosto de uma identidade roubada ao rosto real do atacante em tempo real durante uma sessão de selfie de vídeo. Em 2026, os modelos de produção atingem uma fidelidade visual suficiente para enganar os sistemas de deteção de vivacidade de primeira geração.
Selfie sintético estático. Para fluxos de verificação por fotografia simples, os atacantes geram uma imagem facial sintética calibrada para corresponder às características do documento de identidade fabricado apresentado. Ambos os ficheiros são criados em conjunto pelo mesmo processo de geração, maximizando a coerência visual entre eles.
Por que a revisão manual e o OCR básico são insuficientes
A Association of Certified Fraud Examiners (ACFE) estabelece no seu relatório de 2024 que a taxa de deteção manual de fraude em todas as categorias não ultrapassa 37%. Face a conteúdo gerado por IA — onde os artefactos visuais clássicos de manipulação documental não existem — esta taxa cai ainda mais. Um documento de identidade sintético não contém inconsistências de tipo de letra, traços de compressão ou elementos desalinhados: foi criado como um todo coerente pelo mesmo modelo generativo.
Identidade sintética: uma ameaça sistémica para a banca de retalho
O que é a identidade sintética no contexto bancário português
Uma identidade sintética combina dados reais fragmentários com informações completamente inventadas, criando um perfil impossível de vincular a uma pessoa física existente. Ao contrário do roubo de identidade clássico — onde uma vítima real deteta e denuncia o uso indevido —, a fraude de identidade sintética não gera nenhum sinal externo de uma parte lesada. A deteção depende exclusivamente dos controlos internos da entidade.
O esquema mais frequente: um Número de Identificação Fiscal (NIF) real, obtido através de uma fuga de dados, associado a um nome, data de nascimento e morada inventados. A identidade é utilizada discretamente durante vários meses antes de executar a fraude principal.
A escalada da ameaça em 2026
Segundo o Entrust Cybersecurity Institute 2025 Identity Fraud Report, os documentos de identidade gerados por IA aumentaram 281% entre 2024 e 2025. As falsificações digitais representam agora 57,46% de toda a fraude documental detetada, superando pela primeira vez as fraudes físicas. A CMVM e o Banco de Portugal têm registado uma progressão significativa das comunicações de operações suspeitas relacionadas com documentos de identidade falsificados no setor bancário nos últimos dois anos.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoMétodos de deteção: comparativo de abordagens
| Método de deteção | Eficácia contra deepfakes | Eficácia contra identidade sintética | Complexidade de integração |
|---|---|---|---|
| Revisão visual humana | Baixa | Baixa | Nenhuma |
| OCR + regras de negócio | Baixa | Baixa a média | Baixa |
| Deteção de vivacidade padrão | Média | N/A | Baixa |
| Deteção de vivacidade IA avançada | Alta | N/A | Média |
| Análise forense documental | Alta | Alta | Média |
| Validação cruzada multi-documento | Alta | Muito alta | Alta |
| Verificação contra registos oficiais | Média | Alta | Média |
| Abordagem multicamada combinada | Muito alta | Muito alta | Alta |
A validação cruzada multi-documento oferece a proteção mais robusta contra identidades sintéticas. Gerar um Cartão de Cidadão falso convincente é possível; gerar um Cartão de Cidadão, um recibo de vencimento, um comprovativo de morada e um extrato bancário perfeitamente coerentes entre si em dezenas de pontos de dados é exponencialmente mais difícil.
Quadro regulatório português: Banco de Portugal e Lei 83/2017
Obrigações de diligência devida ao abrigo da Lei 83/2017
A Lei n.º 83/2017, que transpõe a Quarta Diretiva de Branqueamento de Capitais, impõe às instituições de crédito a obrigação de identificar e verificar a identidade dos seus clientes antes do estabelecimento da relação de negócio. O artigo 27.º estabelece que a verificação deve ser realizada com base em «documentos, dados ou informações obtidos de fonte fidedigna e independente».
Para os canais de onboarding 100% digitais, o Banco de Portugal considera que as medidas adequadas incluem a verificação biométrica ativa e a análise forense documental automatizada. As entidades que mantêm controlos exclusivamente manuais para este canal devem documentar medidas compensatórias de risco equivalente.
Supervisão do Banco de Portugal sobre os processos KYC digitais
O Banco de Portugal exerce a supervisão prudencial das instituições de crédito portuguesas. As suas orientações de supervisão em matéria de prevenção do branqueamento de capitais identificam o onboarding digital como um canal de risco elevado e exigem controlos proporcionais. As entidades com volumes elevados de onboarding digital que não disponham de controlos tecnológicos ativos de deteção de fraude documental podem ser objeto de recomendações supervisoras.
A transposição da AMLD6 e o horizonte de 2027
A Diretiva (UE) 2024/1640 (AMLD6) deve ser transposta pelos Estados-Membros até 10 de julho de 2027. A diretiva reforça as obrigações de diligência devida, exigindo medidas «proporcionais ao risco» e reconhecendo explicitamente o risco tecnológico nos processos de verificação à distância. Os bancos de retalho portugueses têm interesse em antecipar esta transposição atualizando os seus sistemas durante 2026.
Comunicações ao Departamento de Combate ao Branqueamento de Capitais
Quando uma entidade deteta indícios de uso de identidade sintética ou documentação deepfake, está obrigada a apresentar uma comunicação de operação suspeita ao abrigo da Lei n.º 83/2017. A documentação das anomalias detetadas pelos sistemas automatizados constitui a base desta comunicação. A proibição de divulgação aplica-se: não deve ser informado o cliente de que foi apresentada tal comunicação.
Abordagem CheckFile: deteção multicamada para KYC em banca de retalho
CheckFile aplica uma abordagem de deteção multicamada adaptada às restrições do onboarding bancário de retalho, com prazos curtos e volumes elevados.
Análise forense documental. Deteção de anomalias na estrutura interna dos ficheiros — hierarquia de objetos PDF, padrões de incorporação de tipos de letra, assinaturas de compressão de imagem — que distinguem os documentos gerados por IA dos autênticos, mesmo quando os metadados superficiais foram falsificados.
Validação cruzada entre documentos. Verificação automática da coerência entre todos os documentos apresentados: concordância de identidades, coerência financeira, verificação temporal e coerência de entidades referenciadas, com dezenas de pontos de controlo simultâneos.
Verificação contra registos oficiais. Contraste dos dados extraídos com registos oficiais — NIF, IBAN, registo comercial, registo de entidades — para validar a existência real das entidades e contas referenciadas.
A plataforma CheckFile suporta mais de 3.200 tipos de documentos para verificação KYC no setor bancário, cobrindo 32 jurisdições. A solução para banca KYC concentra a revisão humana nos processos realmente suspeitos, reduzindo o tempo de processamento do volume global.
Para uma visão abrangente da fraude de identidade sintética, consulte a nossa análise do fraude de identidade sintética em KYC com IA, e o nosso artigo sobre deteção de vivacidade e prevenção de usurpação de identidade.
Explore as nossas opções de preços ou contacte a nossa equipa para uma avaliação dos seus controlos KYC atuais.
Consulte também o nosso guia de verificação setorial para uma perspetiva mais alargada.
Perguntas frequentes
Qual é a diferença entre roubo de identidade e identidade sintética na banca?
O roubo de identidade utiliza os dados completos de uma pessoa real existente, que sofre o prejuízo diretamente e normalmente o denuncia em semanas. A identidade sintética combina fragmentos de dados reais com informação fictícia, criando um perfil sem contrapartida real — o que significa que nenhuma vítima denuncia a fraude. Esta ausência de sinais externos prolonga consideravelmente os prazos de deteção e aumenta a exposição das entidades bancárias.
Os sistemas padrão de deteção de vivacidade são suficientes para bloquear deepfakes em 2026?
Não. Os sistemas de primeira geração baseados em instruções de movimento simples são vulneráveis à injeção de câmara virtual e a deepfakes em tempo real. Os sistemas avançados que incorporam análise comportamental, deteção de artefactos de geração por IA e verificação criptográfica oferecem uma resistência notavelmente superior. A sua eficácia multiplica-se quando combinados com a validação forense dos documentos apresentados.
O que exige a Lei 83/2017 em relação aos canais de onboarding digital?
A Lei 83/2017 exige que as medidas de verificação para o onboarding à distância sejam obtidas de «fonte fidedigna e independente» e sejam proporcionais ao risco. Para canais digitais de alto risco, o Banco de Portugal interpreta isto como a necessidade de controlos tecnológicos ativos: verificação biométrica com deteção de vivacidade avançada e análise forense documental automatizada.
Como deve ser documentada a deteção de fraude para uma comunicação de operação suspeita?
A comunicação deve detalhar os indicadores de suspeita: incoerências documentais detetadas, anomalias forenses, falhas na verificação contra registos oficiais e anomalias na deteção de vivacidade durante as verificações biométricas. Os sistemas automatizados como CheckFile geram um relatório de análise estruturado que facilita a redação da comunicação pelas equipas de conformidade.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.