KYC als bancs del Brasil: requisits del BCB i com frenar el frau el 2025

Key takeaways
 

El Brasil va registrar 3,47 M d’intents de frau al 1T-2025 (un cada 2,2 segons); el sector bancari va concentrar el 54% del total.

Després dels atacs de juliol de 2025, el BCB va fixar un límit de R$ 15.000 per operació per a determinats participants i exigeix rebutjar pagaments amb sospita fonamentada de frau.

La defensa eficaç combina verificació documental, biometria amb liveness, senyals de dispositiu (IN 491) i monitoratge continu.

Didit redueix el frau amb més automatització, workflows no-code/APIs i un pla KYC gratuït i il·limitat amb preus transparents.

El Brasil afronta un nivell de frau preocupant: 3,47 milions d’intents només al primer trimestre de 2025 (un cada 2,2 s). En el mateix període, bancs i targetes van concentrar el 54% dels intents, fet que confirma que les institucions financeres continuen sent l’objectiu principal. A més, el país va patir el juliol de 2025 un ciberatac a gran escala contra un proveïdor connectat a l’ecosistema Pix, amb almenys R$ 400 milions desviats i diverses institucions afectades, cosa que va posar en evidència fragilitats en connexions crítiques amb l’SPB.

La resposta no es va fer esperar: el Banco Central do Brasil (BCB) va endurir les regles amb un límit de R$ 15.000 per transacció per a certs participants i amb el rebuig obligatori de pagaments a comptes amb “sospita fonamentada de frau”.

Si et preocupa el frau bancari al Brasil, aquesta guia ofereix una visió clara dels processos KYC/AML, l’evolució de la normativa i com enfortir una defensa antifrau sense deteriorar l’experiència del client.

Què és el KYC i en què es diferencia del CIP al context brasiler

Tot i que sovint van de la mà, KYC (Know Your Customer) i CIP (Customer Identification Program) no són el mateix. El KYC és el marc d’identificació, verificació i perfil de risc al llarg del cicle de vida del client; mentre que el CIP és el procediment específic d’identificació que verifica les dades aportades pel client (nom, data de naixement, etc.).

En el sector bancari brasiler, el terme CIP s’equipara als procedimentos de identificação do cliente exigits pel marc PLD/FT (AML/CFT) i posa les bases per al KYC continu que demanen els reguladors.

L’encaix normatiu brasiler reforça aquesta lògica basada en el risc. La Circular BCB 3.978/2020 i ajustos posteriors (com la Resolução BCB 119/2021) obliguen a mantenir polítiques i controls PLD/FT que cobreixin la identificació/verificació del client i el monitoratge durant tot el seu cicle de vida. En la pràctica: conèixer el client en l’alta i continuar coneixent-lo després (canvis de comportament, revalidacions, evidències d’auditoria).

A aquesta base s’hi sumen normes específiques que impacten l’execució del KYC al Brasil. La Resolução Conjunta nº 6/2023 institucionalitza el compartiment de dades sobre indicis de frau entre institucions, tancant forats i accelerant bloquejos coordinats; el BCB manté una FAQ pública amb l’abast pràctic.

A l’ecosistema Pix, la Instrução Normativa BCB nº 491/2024 afegeix una capa operativa crítica: registre i gestió de dispositius que inicien transaccions i gestionen claus. Per reduir el frau, els dispositius no registrats tenen limitacions per transacció (R$ 200) i límits diaris (R$ 1.000).

Finalment, després dels incidents de 2025, el BCB va aprovar la Resolução BCB nº 501/2025: obliga a rebutjar pagaments dirigits a comptes amb sospita fonamentada de frau i a comunicar la decisió al client; vegeu també la Nota 20832 amb l’abast i els terminis.

Radiografia del frau bancari al Brasil

El robatori de mòbils continua sent la porta d’entrada principal del crim financer. Per això, frenar el frau al sector de la telefonia al Brasil és clau. El modus operandi és clar: un cop tenen el dispositiu, forcen accessos mitjançant enginyeria social, credencials filtrades o fins i tot extorsió al propietari legítim. Amb el control del dispositiu, els delinqüents poden interceptar SMS, correus i altres OTP per entrar en plataformes financeres. Aquí comença la malson per a usuaris i bancs.

La magnitud no és menor: entre gener i març de 2025, el Brasil va registrar 3.468.255 intents de frau (≈1 cada 2,2 s) i el segment bancari/targetes en va acumular 1.871.979 (54% del total). Mirant el dany en persones i diners, més de 24 milions de brasilers van ser víctimes d’estafes amb Pix o boletos falsos entre juny de 2024 i juny de 2025, amb una pèrdua mitjana de R$ 1.198 per persona i un impacte agregat proper als R$ 29.000 milions.

Què són els “boletos falsos” i per què importen?

Al Brasil, el boleto bancário és un rebut de pagament amb codi de barres o QR. En els boletos falsos, aquest codi es manipula perquè el pagament vagi al compte de l’estafador, encara que el PDF o la maquetació semblin legítims. Per mitigar-ho, els bancs han de validar el beneficiari (nom i CNPJ), el banc emissor i el QR en canals autenticats, a més de reforçar el KYC del destinatari (comptes nous o atípics).

Deepfakes, SIM swap i suplantació: les solucions puntuals no n’hi ha prou

La biometria aïllada (un selfie puntual) no és suficient davant falsificacions i deepfakes. Funciona millor integrada en una defensa en profunditat: verificació documental, Face Match 1:1, liveness, i senyals de dispositiu i comportament per autoritzar operacions sensibles.

Un cop clara la teoria, cal tancar forats. Algunes plataformes molt esteses al Brasil mostren límits: IDWall depèn massa de revisions manuals (més lentitud, més cost), mentre que Unico se centra en risc binari (foto i CPF) i no ofereix una plataforma end-to-end amb verificació documental, AML i workflows flexibles.

En un entorn de frau massiu, aquestes mancances es tradueixen en pèrdues i fricció.

Marc regulador per a bancs: les principals normatives del 2025

• Resolução Conjunta nº 6/2023 (BCB/CMN). Obliga a compartir dades i indicis de frau entre institucions de manera estandarditzada, accelerant respostes coordinades. El BCB manté una FAQ específica amb orientacions pràctiques.
• Instrução Normativa BCB nº 491/2024. Directrius per registrar i gestionar dispositius que inicien transaccions Pix/gestionen claus. Dispositius no registrats: R$ 200 per transacció i R$ 1.000 diaris.
• Paquet BCB — setembre de 2025 (Res. 496, 497, 498). Topall de R$ 15.000 per operació (Pix/TED) quan el proveïdor de compte del pagador sigui una IP no autoritzada o el participant es connecti a l’RSFN via PSTI; el límit es pot aixecar si s’acrediten controls. La Res. 498 defineix requisits d’acreditació de PSTI (governança, seguretat, monitoratge, auditoria).
• Res. BCB nº 501/2025 (11 set). Obliga a rebutjar pagaments dirigits a comptes amb sospita fonamentada; vigència immediata i terminis breus d’adequació de sistemes. Vegeu la Nota 20832.

Com es combat el frau: defensa en profunditat aplicada al KYC bancari

1. Verificació documental creuada. OCR i anàlisi amb IA per detectar alteracions; validacions en fonts oficials i correlació geogràfica/IP.
2. Biometria. Face Match 1:1, Liveness Detection i autenticació biomètrica per reutilitzar credencials en operacions de risc.
3. Monitoratge continu. Screening contra llistes de sancions/PEP, mitjans adversos, llistes negatives compartides (RC 6/2023) i alertes en temps real.
4. Consentiment traçable i auditable. Historial verificable i revocable de consentiments (canvis de dispositiu, claus Pix, límits).
5. Integració amb Celular Seguro. Botó de bloqueig immediat després d’un robatori del mòbil i intercanvi àgil de senyals amb bancs/autoritats.

Bones pràctiques per a l’ecosistema Pix

L’incident de juliol de 2025 contra un proveïdor de connectivitat de l’ecosistema Pix va revelar debilitats de tercers crítics; els informes apunten a ≥ R$ 400 milions desviats i diverses institucions afectades. La reacció del regulador va ser immediata: topall de R$ 15.000 per a IP no autoritzades o connexions via PSTI (Provedor de Serviços de Tecnologia da Informação) i, pocs dies després, mandat per rebutjar pagaments a comptes sospitosos, reforçant la responsabilitat dels bancs en la decisió i la seva fonamentació.

Com ajuda Didit els bancs brasilers a reduir el frau

Per a equips de compliance que necessiten reduir el frau sense encallar l’onboarding, Didit aporta més senyals, més automatització i menys revisió manual. La plataforma combina verificació documental, biometria amb liveness i Face Match 1:1, validació en fonts oficials i AML Screening per tallar suplantacions, identitats sintètiques i deepfakes amb una profunditat que els fluxos manuals no assoleixen.

El nucli de Didit se sustenta en tres capes:

1. Document + biometria (ID Verification, Face Match 1:1 i Liveness Detection) per garantir que és una persona real i present en el moment de la verificació.
2. Validació amb fonts oficials/governamentals, sempre que estiguin disponibles, per reforçar el que captura la càmera.
3. AML Screening i monitoratge continu, per avaluar usuaris contra llistes globals de sancions/PEP/mitjans adversos i reavaluar el risc en temps real.

Plegades, aquestes capes redueixen frau i falsos positius, amb traçabilitat per a auditoria. L’orquestració és un altre diferencial: workflows no-code per llançar en minuts i APIs/SDKs oberts per personalitzar sota demanda. El nostre model de preus és transparent: oferim el primer i únic pla de KYC gratuït i il·limitat, amb funcions premium sense subscripcions ni mínims i crèdits prepago que no caduquen. Només pagaràs per les verificacions completades per tenir un control minuciós de la despesa.

El resultat per a compliance: menys revisió manual, altes més ràpides, millor conversió i control des del primer segon —sense sacrificar la UX i amb desplegament immediat en sandbox.