KYC en bancos de Brasil: requisitos, normas del BCB y cómo frenar el fraude en 2025

Key takeaways
 

Brasil registró 3,47 M intentos de fraude en el 1T-2025; el sector bancario concentró el 54% del total.

Tras los ataques de julio de 2025, el BCB fijó un tope de R$ 15.000 por operación para ciertos participantes y exige rechazar pagos con sospecha fundada.

La defensa eficaz combina verificación documental, biometría con liveness, señales de dispositivo (IN 491) y monitoreo continuo.

Didit reduce fraude con más automatización, flujos no-code/APIs y un plan KYC gratuito e ilimitado con precios transparentes.

Brasil afronta un nivel de fraude preocupante: 3,47 millones de intentos solo en el primer trimestre de 2025, es decir, uno cada 2,2 segundos. En ese mismo período, bancos y tarjetas concentraron el 54% de los intentos, lo que confirma que las instituciones financieras siguen siendo el principal blanco. Además, el país sufrió en julio de 2025 un ciberataque a gran escala contra un proveedor conectado al ecosistema Pix, con al menos R$ 400 millones desviados y varias instituciones afectadas, lo que puso en evidencia fragilidades en conexiones críticas con el SPB.

La respuesta no se hizo esperar: el Banco Central do Brasil (BCB) endureció las reglas con un límite de R$ 15.000 por transacción para ciertos participantes y con el rechazo obligatorio de pagos a cuentas con “fundada sospecha de fraude”.

Si te preocupa el fraude bancario en Brasil, este artículo ofrece una guía clara sobre procesos KYC/AML, la evolución de la normativa y cómo fortalecer una defensa antifraude sin deteriorar la experiencia de cliente.

Qué es KYC y la diferencia con el CIP en el contexto brasileño

Aunque suelen ir de la mano, KYC (Know Your Customer) y CIP (Customer Identification Program) son dos cuestiones diferentes. El KYC es el marco de identificación, verificación y perfilado de riesgo de un cliente a lo largo de su vida; mientras que el CIP es el procedimiento específico de identificación que verifica los datos ofrecidos por el cliente, como nombre, fecha de nacimiento, etc.

Poniendo el foco en el sector bancario brasileño, el término CIP se equipara a los procedimentos de identificação do cliente exigidos por el marco PLD/FT y sienta las bases para el proceso de KYC continuo que exigen los reguladores.

El encaje normativo brasileño refuerza esta lógica basada en riesgo. La Circular BCB 3.978/2020 y ajustes posteriores (como la Resolução BCB 119/2021) obligan a mantener políticas y controles PLD/FT que cubran la identificación/verificación del cliente y el monitoreo durante todo su ciclo de vida. En la práctica: saber quién es el cliente en el alta y seguir conociéndolo después (cambios de comportamiento, revalidaciones, evidencias de auditoría).

A esta base se suman normas específicas que impactan la ejecución del KYC en Brasil. La Resolução Conjunta nº 6/2023 institucionaliza el compartir datos sobre indicios de fraude entre instituciones, cerrando huecos y acelerando bloqueos coordinados; el BCB mantiene una FAQ pública con su alcance práctico.

En el ecosistema Pix, la Instrução Normativa BCB nº 491/2024 añade una capa operativa crítica: registro y gestión de dispositivos que inician transacciones y gestionan claves. Para reducir fraude, dispositivos no registrados tienen limitaciones por transacción (R$ 200) y límites diarios (R$ 1.000).

Finalmente, tras los incidentes de 2025, el BCB aprobó la Resolução BCB nº 501/2025: obliga a rechazar pagos dirigidos a cuentas con fundada sospecha de fraude y a comunicar la decisión al cliente; ver también la Nota 20832 con alcance y plazos.

Radiografía del fraude bancario en Brasil

El robo de móviles sigue siendo la principal puerta de entrada al crimen financiero. Por eso, frenar el fraude en el sector de la telefonía en Brasil es clave. El modus operandi es claro: una vez tienen el dispositivo, fuerzan accesos mediante ingeniería social, credenciales filtradas o incluso extorsión al legítimo dueño. Con el control del dispositivo, los delincuentes pueden interceptar SMS, correos y otros OTP para entrar en plataformas financieras. Ahí comienza la pesadilla para usuarios y bancos.

La magnitud no es marginal: entre enero y marzo de 2025, Brasil registró 3.468.255 intentos de fraude (≈1 cada 2,2 s) y el sector bancario/tarjetas acumuló 1.871.979 intentos (54% del total). Mirando el daño en personas y dinero, más de 24 millones de brasileños fueron víctimas de golpes con Pix o boletos falsos entre junio de 2024 y junio de 2025, con una pérdida media de R$ 1.198 por persona y un impacto agregado cercano a R$ 29.000 millones.

¿Qué son “boletos falsos” y por qué importan?

En Brasil, el boleto bancario es un documento de cobro con código de barras o QR. En los boletos falsos, ese código está manipulado para que el pago vaya a la cuenta del estafador, aunque el PDF o la maquetación parezcan legítimos. Para mitigarlo, los bancos deben validar el beneficiario (nombre y CNPJ), el banco emisor y QR en canales autenticados, además de reforzar el KYC del destinatario (cuentas nuevas o atípicas).

Deepfakes, SIM swap y suplantación: las soluciones actuales no bastan

La biometría aislada (un selfie puntual) no es suficiente frente a falsificaciones y deepfakes. Funciona mejor integrada en una defensa en profundidad: verificación documental, Face Match 1:1, liveness, señales de dispositivo y comportamiento para autorizar operaciones sensibles.

Sabida la teoría, toca cerrar huecos. Algunas plataformas muy extendidas en Brasil han demostrado límites: IDWall depende en exceso de revisiones manuales (más lentitud, más coste), mientras que Unico se centra en riesgo binario foto y CPF y no ofrece una plataforma end-to-end con verificación documental, AML y workflows flexibles.

En un entorno de fraude masivo, estas carencias se traducen en pérdidas y fricción.

Marco regulatorio para bancos: las principales normativas de 2025

• **Resolução Conjunta nº 6/2023 (BCB/CMN).** Obliga a compartir datos e indicios de fraude entre instituciones de forma estandarizada, acelerando respuestas coordinadas. El BCB mantiene una FAQ específica con orientaciones prácticas.
• **Instrução Normativa BCB nº 491/2024.** Directrices para registrar y gestionar dispositivos que inician transacciones Pix/gestionan claves. Dispositivos no registrados: R$ 200 por transacción y R$ 1.000 diarios.
• Paquete BCB — septiembre de 2025 (Res. 496, 497, 498). Tope de R$ 15.000 por operación (Pix/TED) cuando el proveedor de cuenta del pagador sea una IP no autorizada o el participante se conecte a la RSFN vía PSTI; el límite puede levantarse si se acreditan controles. La Res. 498 define requisitos de credenciamiento de PSTI (gobernanza, seguridad, monitoreo, auditoría).
• **Res. BCB nº 501/2025 (11 sep).** Obliga a rechazar pagos dirigidos a cuentas con fundada sospecha; vigencia inmediata y adecuación de sistemas en plazo breve. Ver Nota 20832.

Cómo se combate el fraude: defensa en profundidad aplicada al KYC bancario

1. Verificación documental cruzada. OCR y análisis con IA para detectar alteraciones; validaciones en fuentes oficiales y correlación geográfica/IP.
2. Biometría. Face Match 1:1, Liveness Detection y autenticación biométrica para reutilizar credenciales en operaciones de riesgo.
3. Monitorización continua. Chequeos contra listas de sanciones/PEP, medios adversos, listas negativas compartidas (RC 6/2023) y alertado en tiempo real.
4. Consentimiento trazable y auditable. Historial verificable y revocable de consentimientos (cambios de dispositivo, claves Pix, límites).
5. Integración con Celular Seguro. Botón de bloqueo inmediato tras robo del móvil e intercambio ágil de señales con bancos/autoridades.

Buenas prácticas para el ecosistema Pix

El incidente de julio de 2025 contra un proveedor de conectividad del ecosistema Pix reveló debilidades de terceros críticos; los reportes apuntan a ≥ R$ 400 millones desviados y varias instituciones afectadas. La reacción del regulador fue inmediata: tope de R$ 15.000 para IPs no autorizadas o conectadas vía PSTI (Provedor de Serviços de Tecnologia da Informação), y, días después, un mandato para rechazar pagos a cuentas sospechosas, reforzando la responsabilidad de los bancos en la decisión y su fundamentación.

Cómo ayuda Didit a los bancos brasileños a reducir el fraude

Para equipos de compliance que necesitan reducir fraude sin atascar el onboarding, Didit aporta más señales, más automatización y menos revisión manual. La plataforma combina verificación documental, biometría con liveness y Face Match 1:1, validación en fuentes oficiales y AML Screening para cortar suplantaciones, identidades sintéticas y deepfakes con una profundidad que los flujos manuales no alcanzan.

El núcleo de Didit se apoya en tres capas:

1. Documento + biometría (ID Verification, Face Match 1:1 y Liveness Detection), para garantizar que se trata de una persona con identidad real y está presente en el momento de la verificación.
2. Validación con fuentes oficiales/gubernamentales, siempre y cuando estén disponibles, para reforzar lo que captura la cámara.
3. AML Screening y monitoreo continuo, para evaluar a usuarios contra listas globales de sanciones/PEP/medios adversos y reevalúa el riesgo en tiempo real.

Juntas, estas capas reducen fraude y falsos positivos, con trazabilidad para auditoría. La orquestación es otro diferencial: workflows no-code para lanzar en minutos y APIs/SDKs abiertos para personalizar a demanda. Nuestro modelo de precios también es transparente: ofrecemos el primer y único plan de KYC gratuito e ilimitado, con funciones premium sin suscripciones, mínimos y créditos prepago que no caducan. Solo pagarás por verificaciones completadas para tener un control minucioso del gasto.

El resultado para compliance: menos revisión manual, altas más rápidas, mejor conversión y control desde el primer segundo —sin sacrificar la UX y con despliegue inmediato en sandbox.