KYC im brasilianischen Bankensektor: Anforderungen, BCB-Regeln und wie sich Betrug 2025 stoppen lässt

Key takeaways
 

3,47 Mio. Betrugsversuche im 1. Quartal 2025 (≈ alle 2,2 Sekunden einer); der Bank-/Karten-Sektor bündelte 54 %.

Nach den Angriffen im Juli 2025 setzte die BCB für bestimmte Teilnehmer einen Höchstbetrag von R$ 15.000 pro Transaktion fest und verpflichtet zur Ablehnung von Zahlungen an Konten mit begründetem Betrugsverdacht.

Wirksam ist eine Defense-in-Depth aus Dokumentenprüfung, Biometrie mit Liveness, Gerätesignalen (IN 491) und kontinuierlichem Monitoring.

Didit senkt Betrug durch mehr Automatisierung, No-Code/API-Workflows und einen kostenlosen, unbegrenzten KYC-Plan mit transparenten Preisen.

Brasilien sieht sich mit einem besorgniserregenden Betrugsniveau konfrontiert: 3,47 Mio. Versuche allein im 1. Quartal 2025 – das sind etwa alle 2,2 Sekunden einer. Im selben Zeitraum vereinten Banken und Karten 54 % aller Versuche – Finanzinstitute bleiben damit Primärziel. Zusätzlich traf im Juli 2025 eine groß angelegte Cyberattacke auf einen mit dem Pix-Ökosystem verbundenen Anbieter das Land: mindestens R$ 400 Mio. wurden abgezweigt, mehrere Institute waren betroffen – Schwachstellen in kritischen Verbindungen zum SPB wurden sichtbar.

Die Antwort folgte umgehend: Die Banco Central do Brasil (BCB) verschärfte die Regeln mit einem Limit von R$ 15.000 pro Transaktion für bestimmte Teilnehmer und dem verpflichtenden Ablehnen von Zahlungen an Konten mit „begründetem Betrugsverdacht“.

Wenn Sie sich um Bankbetrug in Brasilien sorgen, bietet dieser Artikel eine klare Anleitung zu KYC/AML-Prozessen, zur Entwicklung der Regulierung und dazu, wie Sie eine Anti-Fraud-Verteidigung ohne Reibung für Kund:innen aufbauen.

Was ist KYC – und worin liegt im brasilianischen Kontext der Unterschied zu CIP?

Obwohl sie oft zusammenfallen, sind KYC (Know Your Customer) und CIP (Customer Identification Program) nicht dasselbe. KYC ist das Rahmenwerk zur Identifizierung, Verifizierung und Risikoprofilierung eines Kunden über dessen gesamten Lebenszyklus; CIP ist das konkrete Identifizierungsverfahren, das die vom Kunden bereitgestellten Daten (Name, Geburtsdatum etc.) prüft.

Im brasilianischen Bankensektor entspricht CIP den „procedimentos de identificação do cliente“ im PLD/FT-(AML/CFT-)Rahmen und bildet die Grundlage für das kontinuierliche KYC, das die Aufsicht erwartet.

Das brasilianische Regelwerk stärkt diese risikobasierte Logik. Die Circular BCB 3.978/2020 und spätere Anpassungen (z. B. Resolução BCB 119/2021) verlangen PLD/FT-Politiken und Kontrollen, die Kundenidentifizierung/-verifizierung und Monitoring über den gesamten Lebenszyklus abdecken. In der Praxis heißt das: den Kunden bei der Kontoeröffnung kennen und danach weiter kennen (Verhaltensänderungen, Revalidierungen, Audit-Nachweise).

Darauf aufbauend wirken spezifische Normen auf die KYC-Umsetzung in Brasilien. Die Resolução Conjunta nº 6/2023 institutionalisiert den standardisierten Austausch von Betrugsindizien zwischen Instituten, schließt Lücken und beschleunigt koordinierte Sperren; die BCB stellt eine öffentliche FAQ mit praktischer Reichweite bereit.

Im Pix-Ökosystem fügt die Instrução Normativa BCB nº 491/2024 eine kritische operative Ebene hinzu: Registrierung und Verwaltung der Geräte, die Transaktionen initiieren und Schlüssel verwalten. Zur Betrugsreduktion gelten für nicht registrierte Geräte Grenzen von R$ 200 je Transaktion und R$ 1.000 pro Tag.

Schließlich verabschiedete die BCB nach den Vorfällen 2025 die Resolução BCB nº 501/2025: Sie verpflichtet zum Ablehnen von Zahlungen an Konten mit begründetem Betrugsverdacht sowie zur Mitteilung der Entscheidung an den Kunden; siehe auch die Nota 20832 zu Umfang und Fristen.

Röntgenbild des Bankbetrugs in Brasilien

Handydiebstahl ist weiterhin das wichtigste Einfallstor für Finanzkriminalität. Deshalb ist es entscheidend, Betrug im brasilianischen Telekom-Sektor zu drosseln. Das Muster ist klar: Sobald sie das Gerät haben, erzwingen Täter Zugänge per Social Engineering, geleakten Zugangsdaten oder sogar Erpressung. Mit Gerätekontrolle lassen sich SMS, E-Mails und andere OTPs abfangen, um in Finanzplattformen einzudringen – der Albtraum beginnt.

Die Größenordnung ist erheblich: Zwischen Januar und März 2025 registrierte Brasilien 3.468.255 Versuche (≈ alle 2,2 s einer); der Bank-/Karten-Sektor vereinte 1.871.979 (54 %). Zu Menschen und Geld: über 24 Mio. Brasilianer wurden zwischen Juni 2024 und Juni 2025 Opfer von Pix-Maschen oder gefälschten Boletos, mit durchschnittlich R$ 1.198 Verlust pro Person und einem aggregierten Schaden von nahe R$ 29 Mrd..

Was sind „gefälschte Boletos“ – und warum zählen sie?

In Brasilien ist der boleto bancário ein Zahlungsbeleg mit Barcode oder QR. Beim Fake-Boleto ist dieser Code manipuliert, sodass die Zahlung auf das Konto des Betrügers geht – selbst wenn PDF/Layout legitim wirken. Gegenmaßnahmen: Begünstigten (Name & CNPJ), Emittentenbank und QR in authentifizierten Kanälen validieren – und das KYC des Empfängers (neue/atypische Konten) verstärken.

Deepfakes, SIM-Swap & Spoofing: Einzelläufe reichen nicht

Isolierte Biometrie (nur ein Selfie) reicht gegen Fälschungen und Deepfakes nicht aus. Sie wirkt am besten als Teil einer Defense-in-Depth: Dokumentenprüfung, 1:1-Face-Match, Liveness, Geräte-/Verhaltenssignale zur Freigabe sensibler Aktionen.

In der Praxis gibt es Lücken. Einige in Brasilien verbreitete Plattformen zeigen Grenzen: IDWall verlässt sich zu stark auf manuelle Reviews (langsamer, teurer), während Unico binär auf Foto & CPF fokussiert und keine End-to-End-Plattform mit Dokumentenprüfung, AML und flexiblen Workflows bietet.

Im Umfeld massiver Betrugswellen werden diese Defizite zu Verlusten und Reibung.

Regulatorischer Rahmen für Banken: die wichtigsten Normen 2025

• Resolução Conjunta nº 6/2023 (BCB/CMN). Verpflichtet zum standardisierten Austausch von Betrugsindizien/Daten zwischen Instituten; beschleunigt koordinierte Reaktionen. Die BCB pflegt eine praktische FAQ.
• Instrução Normativa BCB nº 491/2024. Leitlinien zur Registrierung/Verwaltung von Geräten, die Pix-Transaktionen starten/Schlüssel verwalten. Unregistrierte Geräte: R$ 200 je Transaktion, R$ 1.000 täglich.
• BCB-Paket — September 2025 (Res. 496, 497, 498): R$ 15.000-Deckel pro Operation (Pix/TED), wenn der Kontenanbieter des Zahlers eine nicht autorisierte IP ist oder der Teilnehmer via PSTI ans RSFN angebunden ist; das Limit kann aufgehoben werden, wenn Kontrollen nachgewiesen sind. Res. 498 definiert Anerkennungsanforderungen an PSTI (Governance, Sicherheit, Monitoring, Audit).
• Res. BCB nº 501/2025 (11. Sep.). Verpflichtet zur Ablehnung von Zahlungen an Konten mit begründetem Verdacht; sofort wirksam, kurze Frist für Systemanpassungen. Siehe Nota 20832.

So bekämpft man Betrug: Defense-in-Depth für Bank-KYC

1. Kreuzvalidierte Dokumentenprüfung. OCR & KI zur Fälschungserkennung; Abgleich mit offiziellen Quellen und Geo/IP-Korrelation.
2. Biometrie. 1:1-Face-Match, Liveness Detection und biometrische (Re-)Authentifizierung für sensible Vorgänge.
3. Kontinuierliches Monitoring. Checks gegen Sanktions-/PEP-Listen, neg. Medien, gemeinsam gepflegte Negativlisten (RC 6/2023) mit Echtzeit-Alerts.
4. Nachvollziehbare, auditierbare Einwilligungen. Prüf- und widerrufbare Historie (Gerätewechsel, Pix-Keys, Limits).
5. Integration mit Celular Seguro. Sofortsperre nach Handydiebstahl und schneller Signal­austausch mit Banken/Behörden.

Best Practices fürs Pix-Ökosystem

Der Vorfall im Juli 2025 gegen einen Konnektivitätsanbieter im Pix-Ökosystem legte Risiken kritischer Dritter offen; Berichte nennen ≥ R$ 400 Mio. Abflüsse und mehrere betroffene Institute. Die Aufsicht reagierte prompt: R$ 15.000-Deckel für nicht autorisierte IPs oder PSTI-Verbindungen, wenige Tage später die Pflicht zur Ablehnung verdächtiger Zahlungen – mit stärkerer Verantwortung der Banken für Entscheidung und Begründung.

Wie Didit brasilianischen Banken hilft, Betrug zu senken

Für Compliance-Teams, die Betrug reduzieren wollen, ohne das Onboarding zu bremsen, liefert Didit mehr Signale, mehr Automatisierung, weniger manuelle Prüfung. Die Plattform kombiniert Dokumentenprüfung, Biometrie mit Liveness & 1:1-Face-Match, Abgleich mit offiziellen Quellen und AML-Screening, um Impersonation, synthetische Identitäten und Deepfakes tiefer zu unterbinden als manuelle Flows.

Der Kern von Didit ruht auf drei Schichten:

1. Ausweis + Biometrie (ID-Verifikation, 1:1 Face Match, Liveness Detection) für echte Person & Präsenz im Prüfzeitpunkt.
2. Validierung gegen staatliche/offizielle Quellen (wo verfügbar) zur Verstärkung der Kamerasignale.
3. AML-Screening & kontinuierliches Monitoring für Abgleiche mit Sanktions-/PEP-/Negativmedien-Listen und Risikoneubewertung in Echtzeit.

Gemeinsam reduzieren diese Schichten Betrug und False Positives bei voller Audit-Nachvollziehbarkeit. Orchestrierung ist weiteres Plus: No-Code-Workflows für Go-Live in Minuten und offene APIs/SDKs für maßgenaue Anpassungen. Unser Preismodell ist transparent: Wir bieten den ersten kostenlosen, unbegrenzten KYC-Plan; Premium-Funktionen ohne Abo/Minimum, Prepaid-Credits verfallen nicht, abgerechnet wird nur für abgeschlossene Verifikationen – für maximale Kostentransparenz.

Ergebnis für Compliance: weniger manuelle Prüfungen, schnelleres Onboarding, höhere Conversion und Kontrolle ab der ersten Sekunde – ohne UX-Einbußen und mit sofort einsatzbereitem Sandbox.