KYC dans les banques brésiliennes : exigences du BCB et comment freiner la fraude en 2025

Key takeaways
 

Le Brésil a enregistré 3,47 millions de tentatives de fraude au 1er trimestre 2025 (≈ 1 toutes les 2,2 s) ; le secteur banques/cartes a concentré 54 %.

Après les attaques de juillet 2025, le BCB a fixé un plafond de 15 000 R$ par opération pour certains participants et impose le refus des paiements vers des comptes à soupçon fondé.

Une défense efficace combine vérification documentaire, biométrie avec liveness, signaux de l’appareil (IN 491) et surveillance continue.

Didit réduit la fraude avec plus d’automatisation, des workflows no-code/API et un plan KYC gratuit et illimité à prix transparents.

Le Brésil fait face à un niveau de fraude préoccupant : 3,47 millions de tentatives au seul 1er trimestre 2025 — soit une toutes les 2,2 secondes. Sur la même période, banques et cartes ont concentré 54 % des tentatives, confirmant les institutions financières comme cible prioritaire. En juillet 2025, le pays a subi une cyberattaque à grande échelle contre un prestataire connecté à l’écosystème Pix, avec au moins 400 millions R$ détournés et plusieurs institutions touchées, révélant des fragilités dans des connexions critiques avec le SPB.

La réponse ne s’est pas fait attendre : la Banco Central do Brasil (BCB) a durci les règles avec un plafond de 15 000 R$ par transaction pour certains participants et le refus obligatoire des paiements vers des comptes présentant une « soupçon fondée de fraude ».

Si la fraude bancaire au Brésil vous préoccupe, cet article propose un guide clair des processus KYC/AML, de l’évolution de la réglementation et de la manière de renforcer une défense anti-fraude sans détériorer l’expérience client.

Qu’est-ce que le KYC et en quoi diffère-t-il du CIP dans le contexte brésilien ?

Bien qu’ils aillent souvent de pair, KYC (Know Your Customer) et CIP (Customer Identification Program) sont distincts. Le KYC est le cadre d’identification, de vérification et de profilage du risque tout au long du cycle de vie client ; le CIP est la procédure spécifique d’identification qui vérifie les données fournies (nom, date de naissance, etc.).

Dans la banque brésilienne, le terme CIP équivaut aux “procedimentos de identificação do cliente” exigés par le cadre PLD/FT (AML/CFT) et fonde le KYC continu attendu par les régulateurs.

L’architecture normative brésilienne renforce cette logique fondée sur le risque. La Circular BCB 3.978/2020 et ses ajustements (comme la Resolução BCB 119/2021) imposent des politiques et contrôles PLD/FT couvrant l’identification/vérification et le monitoring sur tout le cycle de vie. En pratique : connaître le client à l’onboarding et continuer de le connaître ensuite (changements de comportement, revalidations, preuves d’audit).

À cette base s’ajoutent des normes qui impactent l’exécution du KYC au Brésil. La Résolution conjointe nº 6/2023 institutionnalise le partage standardisé des indices de fraude entre institutions, comblant des failles et accélérant les blocages coordonnés ; le BCB publie une FAQ pratique.

Dans l’écosystème Pix, l’Instrução Normativa BCB nº 491/2024 ajoute une couche opérationnelle clé : enregistrement et gestion des appareils qui initient des transactions et gèrent des clés. Pour limiter la fraude, les appareils non enregistrés sont plafonnés à 200 R$ par opération et 1 000 R$ par jour.

Enfin, après les incidents de 2025, le BCB a approuvé la Resolução BCB nº 501/2025 : elle oblige à refuser les paiements destinés à des comptes à soupçon fondé de fraude et à informer le client ; voir également la Nota 20832 pour la portée et les délais.

Radiographie de la fraude bancaire au Brésil

Le vol de téléphones portables demeure la principale porte d’entrée du crime financier. D’où l’importance de freiner la fraude dans les télécoms au Brésil. Le mode opératoire est clair : une fois l’appareil dérobé, les criminels forcent l’accès via ingénierie sociale, identifiants divulgués ou chantage. Avec le contrôle du device, ils interceptent SMS, e-mails et autres OTP pour entrer sur des plateformes financières — le cauchemar commence pour les usagers et les banques.

L’ampleur est significative : entre janvier et mars 2025, le Brésil a comptabilisé 3 468 255 tentatives (≈ 1 toutes les 2,2 s) et le segment banques/cartes en a cumulé 1 871 979 (54 %). Côté victimes et montants, plus de 24 millions de Brésiliens ont été piégés par des arnaques Pix ou des boletos falsifiés entre juin 2024 et juin 2025, avec 1 198 R$ de perte moyenne par personne et un impact agrégé proche de 29 milliards R$.

Qu’est-ce qu’un “boleto” falsifié et pourquoi c’est important ?

Au Brésil, le boleto bancário est un document de paiement avec code-barres ou QR. Dans un boleto falsifié, ce code est manipulé pour rediriger le paiement vers le compte de l’escroc, même si le PDF/la mise en page semblent légitimes. Pour le prévenir, les banques doivent valider le bénéficiaire (nom & CNPJ), la banque émettrice et le QR dans des canaux authentifiés, et renforcer le KYC du destinataire (comptes nouveaux ou atypiques).

Deepfakes, SIM swap et usurpation : les solutions ponctuelles ne suffisent pas

La biométrie isolée (un selfie ponctuel) ne suffit pas face aux falsifications et deepfakes. Elle excelle intégrée dans une défense en profondeur : vérification documentaire, Face Match 1:1, liveness, signaux appareil/comportement pour autoriser les opérations sensibles.

Côté mise en œuvre, des lacunes demeurent. Certaines plateformes très répandues au Brésil montrent des limites : IDWall dépend excessivement des revues manuelles (plus lentes et coûteuses) ; Unico se focalise sur un risque binaire photo/CPF et n’offre pas une plateforme end-to-end avec vérification documentaire, AML et workflows flexibles.

Dans un environnement de fraude massive, ces manques se traduisent en pertes et en friction.

Cadre réglementaire pour les banques : les principales normes 2025

• Résolution conjointe nº 6/2023 (BCB/CMN). Oblige au partage standardisé d’indices/données de fraude entre institutions, accélérant la réponse coordonnée. Le BCB maintient une FAQ pratique.
• Instrução Normativa BCB nº 491/2024. Lignes directrices pour enregistrer et gérer les appareils qui initient des transactions Pix/gèrent des clés. Appareils non enregistrés : 200 R$ par opération et 1 000 R$ par jour.
• Paquet BCB — septembre 2025 (Res. 496, 497, 498). Plafond de 15 000 R$ par opération (Pix/TED) lorsque le prestataire de compte du payeur est une IP non autorisée ou que le participant se connecte au RSFN via un PSTI ; le plafond peut être levé si des contrôles sont démontrés. La Res. 498 définit les exigences d’accréditation des PSTI (gouvernance, sécurité, monitoring, audit).
• Res. BCB nº 501/2025 (11 sept.). Oblige à refuser les paiements destinés à des comptes à soupçon fondé ; entrée en vigueur immédiate et délai bref pour adapter les systèmes. Voir la Nota 20832.

Comment on combat la fraude : défense en profondeur appliquée au KYC bancaire

1. Vérification documentaire croisée. OCR et IA pour détecter les altérations ; validations auprès de sources officielles et corrélation IP/géo.
2. Biométrie. Face Match 1:1, Liveness Detection et authentification biométrique pour réutiliser des identifiants lors d’opérations à risque.
3. Surveillance continue. Contrôles contre listes de sanctions/PEP, médias négatifs, listes négatives partagées (RC 6/2023) avec alertes temps réel.
4. Consentement traçable et auditable. Historique vérifiable et révocable (changement d’appareil, clés Pix, plafonds).
5. Intégration avec Celular Seguro. Bouton de blocage immédiat après vol du mobile et échange rapide de signaux avec banques/autorités.

Bonnes pratiques pour l’écosystème Pix

L’incident de juillet 2025 visant un prestataire de connectivité Pix a révélé des faiblesses de tiers critiques ; les rapports évoquent ≥ 400 millions R$ détournés et plusieurs institutions touchées. La réaction du régulateur fut rapide : plafond de 15 000 R$ pour les IP non autorisées ou connexions via PSTI (Provedor de Serviços de Tecnologia da Informação), puis, quelques jours plus tard, un mandat de refus des paiements vers comptes suspects, renforçant la responsabilité des banques et la motivation de leurs décisions.

Comment Didit aide les banques brésiliennes à réduire la fraude

Pour les équipes conformité qui doivent réduire la fraude sans bloquer l’onboarding, Didit apporte plus de signaux, plus d’automatisation et moins de revue manuelle. La plateforme combine vérification documentaire, biométrie avec liveness et Face Match 1:1, validation auprès de sources officielles et AML Screening pour couper usurpations, identités synthétiques et deepfakes avec une profondeur que les flux manuels n’atteignent pas.

Le noyau de Didit repose sur trois couches :

1. Document + biométrie (ID Verification, Face Match 1:1, Liveness Detection) pour garantir une personne réelle présente au moment de la vérification.
2. Validation auprès de sources officielles/gouvernementales, lorsque disponibles, pour renforcer ce que capte la caméra.
3. AML Screening et monitoring continu, afin d’évaluer les usagers contre listes de sanctions/PEP/médias négatifs et réévaluer le risque en temps réel.

Ensemble, ces couches réduisent la fraude et les faux positifs, avec traçabilité pour l’audit. L’orchestration fait la différence : workflows no-code pour lancer en minutes et APIs/SDKs ouverts pour personnaliser à la demande. Notre modèle tarifaire est transparent : nous proposons le premier plan KYC gratuit et illimité, avec des fonctions premium sans abonnement ni minimum et des crédits prépayés qui n’expirent pas. Vous ne payez que les vérifications abouties, pour un contrôle fin des coûts.

Résultat pour la conformité : moins de revue manuelle, onboarding plus rapide, meilleure conversion et contrôle dès la première seconde — sans sacrifier l’UX et avec un sandbox prêt à l’emploi.