‏اعرف عميلك (KYC) في بنوك البرازيل: المتطلبات، قواعد البنك المركزي (BCB) وكيف نحدّ من الاحتيال في ٢٠٢٥

Key takeaways
 

سجّل البرازيل ٣٫٤٧ مليون محاولة احتيال في الربع الأول ٢٠٢٥ (≈ واحدة كل ٢٫٢ ثانية)؛ وتركّز ٥٤٪ منها في القطاع المصرفي/البطاقات.

بعد هجمات يوليو ٢٠٢٥، فرض BCB حدًا أقصى بقيمة ‏R$‏ ١٥٬٠٠٠ لكل عملية لبعض المشاركين، وألزم برفض المدفوعات إلى الحسابات ذات الاشتباه المبرّر.

الدفاع الفعّال يجمع بين التحقق من المستندات، القياسات الحيوية مع اختبار الحيوية، إشارات الجهاز (IN 491) والمراقبة المستمرة.

Didit تقلّل الاحتيال عبر أتمتة أكبر، تدفقات لا-كود/APIs، وخطة KYC مجانية وغير محدودة بأسعار شفافة.

يواجه البرازيل مستوى مقلقًا من الاحتيال: ٣٫٤٧ مليون محاولة في الربع الأول ٢٠٢٥ وحده — أي واحدة كل ٢٫٢ ثانية. وخلال الفترة نفسها، تركّز ٥٤٪ من المحاولات في البنوك والبطاقات، ما يؤكد أن المؤسسات المالية هي الهدف الأبرز. إضافةً إلى ذلك، تعرّضت البلاد في يوليو ٢٠٢٥ إلى هجوم سيبراني واسع على مزوّد متصل بمنظومة Pix، مع تحويل ما لا يقل عن ‏R$‏ ٤٠٠ مليون وتضرّر عدة مؤسسات، كاشفًا هشاشة وصلات حرجة مع ‏SPB‏.

جاء الرد سريعًا: فقد شدّد البنك المركزي البرازيلي (BCB) القواعد بفرض حد ‏R$‏ ١٥٬٠٠٠ للعملية الواحدة على بعض المشاركين، وإلزام رفض المدفوعات إلى الحسابات ذات الاشتباه المبرّر بالاحتيال.

إذا كان الاحتيال المصرفي في البرازيل يثير قلقك، فهذه المقالة تقدّم دليلاً واضحًا حول عمليات KYC/AML، وتطوّر الإطار التنظيمي، وكيفية بناء دفاع ضد الاحتيال دون الإضرار بتجربة العميل.

ما هو KYC وما الفرق عن CIP في السياق البرازيلي؟

رغم اقترانهما غالبًا، فإن KYC (اعرف عميلك) وCIP (برنامج تعريف العملاء) مفهومان مختلفان. KYC هو إطار التعرّف على العميل والتحقق منه وتقييم مخاطرِه طوال دورة حياته؛ بينما CIP هو إجراء تعريف محدّد يتحقق من بيانات يقدّمها العميل (الاسم، تاريخ الميلاد، إلخ).

في القطاع المصرفي البرازيلي، يُعادِل مصطلح CIP إجراءات تعريف العميل (procedimentos de identificação do cliente) ضمن إطار مكافحة غسل الأموال وتمويل الإرهاب (AML/CFT)، وهو ما يؤسّس لـKYC مستمر يتوقّعه المنظمون.

يعزّز الإطار التنظيمي البرازيلي هذه المنهجية القائمة على المخاطر. فـالتعميم BCB 3.978/2020 وتعديلاته (مثل القرار BCB 119/2021) يفرضان سياسات وضوابط AML/CFT تغطّي التعرّف/التحقق من العميل والمراقبة طوال دورة حياته. عمليًا: تعرف على العميل عند الإعداد واستمر بمعرفته لاحقًا (تغيّر السلوك، إعادة التحقّق، أدلة تدقيق).

تضاف إلى ذلك قواعد تؤثر مباشرة في تنفيذ KYC بالبرازيل. تُؤسِّس القرار المشترك رقم ٦/٢٠٢٣ لمشاركة مؤشّرات الاحتيال بين المؤسسات بشكلٍ موحّد، ما يسدّ الثغرات ويُسرّع الحظر المنسّق؛ ويحتفظ BCB بـأسئلة شائعة عملية حول نطاقه.

وفي منظومة Pix، تضيف التعليمات التنظيمية BCB رقم ٤٩١/٢٠٢٤ طبقة تشغيلية حاسمة: تسجيل وإدارة الأجهزة التي تُطلق المعاملات وتدير المفاتيح. ولتقليل الاحتيال، تخضع الأجهزة غير المسجّلة لحدود ‏R$‏ ٢٠٠ لكل عملية و‏R$‏ ١٬٠٠٠ يوميًا.

وأخيرًا، بعد حوادث ٢٠٢٥، أقرّ BCB القرار رقم ٥٠١/٢٠٢٥: إذ يُلزِم برفض المدفوعات المتّجهة إلى حسابات يُشتبَه منطقيًا في احتيالها وبـإبلاغ العميل؛ راجع أيضًا المذكرة 20832 للنطاق والمواعيد.

صورة بانورامية للاحتيال المصرفي في البرازيل

يبقى سرقة الهواتف المحمولة المدخل الرئيس للجريمة المالية. لذا فإن كبح الاحتيال في قطاع الاتصالات البرازيلي أمرٌ محوري. النمط واضح: بمجرد السيطرة على الجهاز، يفرض المجرمون الوصول عبر الهندسة الاجتماعية وبيانات اعتماد مُسرّبة أو حتى ابتزاز المالك الشرعي. ومع التحكم في الجهاز، يمكنهم اعتراض SMS والبريد الإلكتروني وأكواد OTP للولوج إلى المنصّات المالية — وهنا تبدأ المعاناة للمستخدمين والبنوك.

الحجم ليس بسيطًا: بين يناير ومارس ٢٠٢٥، سجّل البرازيل ٣٬٤٦٨٬٢٥٥ محاولة (≈ واحدة كل ٢٫٢ ثانية) وجمَع قطاع البنوك/البطاقات ١٬٨٧١٬٩٧٩ محاولة (٥٤٪). وعلى مستوى الضحايا والخسائر، فقد تعرّض أكثر من ٢٤ مليون برازيلي لعمليات احتيال عبر Pix أو بوﻻتو مزوّر بين يونيو ٢٠٢٤ ويونيو ٢٠٢٥، بمتوسط خسارة ‏R$‏ ١٬١٩٨ للشخص وأثرٍ إجمالي يقترب من ‏R$‏ ٢٩ مليارًا.

ما هو “البوﻻتو المزوّر” ولماذا يهم؟

في البرازيل، الـboleto bancário هو سند تحصيل يحوي باركود أو QR. في البوﻻتو المزوّر، يُعدَّل ذلك الرمز بحيث تذهب الدفعة إلى حساب المُحتال حتى لو بدا ملف PDF أو التنسيق شرعيًا. للمكافحة، ينبغي على البنوك التحقق من المستفيد (الاسم وCNPJ) والمصرف المُصدِر ورمز QR عبر قنوات موثّقة، إضافةً إلى تشديد KYC للمستفيد (حسابات جديدة/غير نمطية).

التزييف العميق، تبديل الشريحة (SIM swap) وانتحال الهوية: الحلول الأحادية لا تكفي

إن القياسات الحيوية منفردةً (سيلفي واحد) لا تكفي أمام التزوير والتزييف العميق. تعمل بأفضل صورة ضمن دفاع متعدّد الطبقات: تحقق مستندي + مطابقة وجه 1:1 + اختبار الحيوية + إشارات الجهاز والسلوك لتفويض العمليات الحساسة.

وعند التطبيق، تظهر فجوات. فبعض المنصّات المنتشرة في البرازيل تكشف حدودًا: IDWall تعتمد مفرطًا على المراجعات اليدوية (أبطأ وأعلى كلفة)، بينما Unico تركّز على مخاطر ثنائية للصور وCPF ولا تقدّم منصة متكاملة طرفًا لطرف تشمل التحقق المستندي وAML وتدفقات عمل مرنة.

في بيئة احتيالٍ كثيفة، تتحوّل هذه الثغرات إلى خسائر واحتكاك.

الإطار التنظيمي للبنوك: أهم لوائح ٢٠٢٥

• القرار المشترك رقم ٦/٢٠٢٣ (BCB/CMN). يُلزم بمشاركة مؤشرات/بيانات الاحتيال بين المؤسسات بطريقة موحّدة، ما يُسرّع الاستجابة المنسّقة. يحتفظ BCB بـأسئلة شائعة عملية.
• التعليمات التنظيمية BCB رقم ٤٩١/٢٠٢٤. إرشادات لتسجيل وإدارة الأجهزة التي تُطلق معاملات Pix/تُدير المفاتيح. الأجهزة غير المسجّلة: ‏R$‏ ٢٠٠ لكل عملية و‏R$‏ ١٬٠٠٠ يوميًا.
• حزمة BCB — سبتمبر ٢٠٢٥ (Res. 496، 497، 498). حد ‏R$‏ ١٥٬٠٠٠ للعملية (Pix/TED) إذا كان مزوّد حساب الدافع مؤسسة دفع غير مُرخّصة (IP) أو كان الاتصال بـ‏RSFN‏ عبر ‏PSTI‏؛ يمكن رفع الحد عند إثبات الضوابط. تُحدّد Res. 498 متطلبات اعتماد PSTI (الحوكمة، الأمن، المراقبة، التدقيق).
• القرار BCB رقم ٥٠١/٢٠٢٥ (١١ سبتمبر). يُلزم برفض المدفوعات المتجهة إلى حسابات ذات اشتباه مبرّر؛ سريان فوري ومهلة وجيزة لملاءمة الأنظمة. انظر المذكرة 20832.

كيف نكافح الاحتيال: دفاع متعدد الطبقات ضمن KYC المصرفي

1. تحقق مستندي متقاطع. OCR وتحليلات بالذكاء الاصطناعي لكشف العبث؛ تحقق عبر مصادر رسمية وربط الموقع/IP.
2. القياسات الحيوية. مطابقة وجه 1:1 واختبار الحيوية ومصادقة حيوية لإعادة استخدام الاعتمادات في العمليات الحساسة.
3. مراقبة مستمرة. فحوص ضد قوائم العقوبات/PEP والأخبار السلبية والقوائم السوداء المشتركة (RC 6/2023) مع إنذارات لحظية.
4. موافقات قابلة للتتبع والتدقيق. سجل قابل للتحقق والإلغاء (تغيّر الجهاز، مفاتيح Pix، الحدود).
5. تكامل مع Celular Seguro. زر قفل فوري بعد سرقة الهاتف وتبادل سريع للإشارات مع البنوك/السلطات.

أفضل الممارسات لمنظومة Pix

كشف حادث يوليو ٢٠٢٥ ضد مزوّد اتصال بمنظومة Pix عن ضعف لدى أطراف ثالثة حرجة؛ وتشير التقارير إلى ≥ ‏R$‏ ٤٠٠ مليون محوّلة وتضرّر عدة مؤسسات. جاء رد المنظّم سريعًا: حد ‏R$‏ ١٥٬٠٠٠ للمؤسسات غير المُرخّصة أو الاتصالات عبر ‏PSTI‏، وبعد أيام إلزام رفض المدفوعات إلى الحسابات المشتبه بها، مُعزِّزًا مسؤولية البنوك عن القرار وتبريره.

كيف تُساعِد Didit بنوك البرازيل على تقليل الاحتيال

لـفرق الامتثال التي تحتاج إلى خفض الاحتيال دون إبطاء الإعداد، تقدّم Didit إشارات أكثر، أتمتة أوسع، ومراجعات يدوية أقل. فهي تدمج التحقق المستندي، والقياسات الحيوية مع اختبار الحيوية ومطابقة 1:1، والتحقق عبر مصادر رسمية، وAML Screening لقطع انتحال الهوية والهوية التركيبية والتزييف العميق بعمق يتجاوز التدفقات اليدوية.

يرتكز نواة Didit على ثلاث طبقات:

1. المستند + القياسات الحيوية (التحقق من الهوية، مطابقة وجه 1:1، اختبار الحيوية) لضمان أن الشخص حقيقي وموجود لحظة التحقق.
2. التحقق عبر مصادر حكومية/رسمية (حيثما توافرت) لتعزيز ما تلتقطه الكاميرا.
3. فحص AML ومراقبة مستمرة لتقييم المستخدمين مقابل قوائم العقوبات/PEP/الأخبار السلبية وإعادة تقييم المخاطر لحظيًا.

معًا، تُقلّل هذه الطبقات الاحتيال والإيجابيات الكاذبة مع قابلية تتبّع للتدقيق. والتميّز أيضًا في الأوركسترة: تدفّقات لا-كود للإطلاق خلال دقائق وواجهات/SDK مفتوحة للتخصيص. كما أن نموذج التسعير شفاف: نقدّم أول خطة KYC مجانية وغير محدودة، مع مزايا متقدمة بلا اشتراكات أو حد أدنى، وأرصدة مدفوعة مسبقًا لا تنتهي. تدفع فقط مقابل عمليات التحقق المكتملة لضبط أدق للتكاليف.

نتيجة الامتثال: مراجعات يدوية أقل، إعداد أسرع، تحويل أفضل وتحكم منذ الثواني الأولى — دون التضحية بتجربة المستخدم، ومع نشر فوري في sandbox.