KYC dans la téléphonie au Brésil : comment stopper la fraude (SIM swap et plus)

Key takeaways
 

Le SIM swap et « Mão Fantasma » sont aujourd’hui les principaux vecteurs de fraude mobile au Brésil ; en tant que premier maillon, les opérateurs subissent pertes, sanctions et érosion de la confiance s’ils ne protègent pas le numéro et les flux critiques.

La vérification traditionnelle échoue car elle dépend de données statiques exposées, d’OTP par SMS sur des canaux compromis et de processus humains vulnérables ; la portabilité et le duplicata de SIM sont les points les plus critiques et exigent une identité forte, des signaux de la ligne, une confirmation via canal alternatif et des périodes de refroidissement.

Réglementation : l’Anatel impose la confirmation par SMS pour la portabilité (avec fenêtre de réponse) ; le RGST et le RGC mis à jour renforcent transparence et traçabilité. Le SMS est obligatoire mais insuffisant comme authentification forte dans les scénarios à haut risque.

Stratégie efficace et rôle de Didit : KYC en temps réel (document, selfie et liveness), biométrie et MFA sur les flux à fort impact, décisions informées par les signaux de la ligne ; une plateforme automatisée et flexible réduit la dépendance à la revue manuelle, améliore la détection et facilite l’intégration, avec des prix clairs.

Le Brésil connaît un pic de criminalité numérique où la ligne mobile est l’élément clé : le SIM swap permet aux attaquants de prendre le contrôle du numéro, d’intercepter les OTP (one-time password) par SMS et d’entrer dans des comptes bancaires et autres applications financières sensibles. Résultat ? 10,1 milliards R$ de pertes bancaires en 2024, selon la FEBRABAN (Federação Brasileira de Bancos).

Mais les organisations financières ne sont pas les seules touchées. Les entreprises de télécommunications, souvent premier maillon de la chaîne, subissent aussi des pertes directes, des sanctions réglementaires et une érosion de la confiance client dues à la fraude d’identité.

Le modus operandi des fraudeurs est clair. Par ingénierie sociale, ils exploitent des processus fragiles chez les opérateurs et se valident avec des données divulguées (ou volées) sur le dark web. Ce n’est pas la seule menace qui inquiète : Mão Fantasma s’est imposée comme une autre fraude majeure. Elle consiste à pousser la victime à installer une application d’accès à distance ; dès lors, les criminels prennent le contrôle du téléphone à son insu et guident des opérations bancaires frauduleuses. Le secteur bancaire et la FEBRABAN recommandent de ne pas installer d’applications sur instruction téléphonique ni d’accorder d’accès à distance à des tiers.

Qu’est-ce que le SIM swap et pourquoi progresse-t-il au Brésil ?

Le SIM swap est l’une des plus grandes menaces pour le secteur au Brésil. Cette fraude consiste à convaincre l’opérateur d’émettre une nouvelle SIM avec le numéro de la victime, en combinant ingénierie sociale et données fuitées sur le dark web.

Une fois le numéro sous contrôle, l’attaquant récupère les OTP par SMS destinés au client légitime (pour l’accès ou la récupération de comptes), provoquant ce que l’on appelle l’usurpation de compte (Account Takeover).

Le SIM swap est un problème croissant, avec des taux de réussite significatifs rapportés par le secteur, ce qui en fait une priorité pour les équipes fraude et sécurité.

Pourquoi la vérification d’identité « traditionnelle » échoue-t-elle en telco ?

Le Brésil fait face à l’un des environnements de cybercriminalité les plus agressifs au monde. Toutes les deux secondes, une tentative de fraude d’identité survient et, dans de nombreux cas, les entreprises n’arrivent pas à détecter, combattre et stopper ces faits à temps.

S’il n’existe pas de chiffres officiels sur le volume exact de SIM swap, on estime que des dizaines de milliers d’utilisateurs peuvent être touchés chaque année.

Le focus doit donc porter sur la faiblesse des outils et processus actuels. Des solutions répandues au Brésil se sont révélées insuffisantes en raison de leur dépendance aux validations statiques, revues manuelles et processus peu flexibles. Et ce ne sont pas seulement les outils : les approches échouent aussi.

Données exposées et vulnérabilité des opérateurs

L’exposition massive de données sur le dark web signifie qu’avec des données statiques (comme le CPF ou la date de naissance), un attaquant peut franchir des contrôles initiaux très basiques. Quand ces données sont publiques, la vérification basée sur « ce que vous savez » ne prouve plus l’identité.

Par ailleurs, de nombreux processus internes en telco restent surchargés de validations humaines (en boutique physique ou call center) et éloignés de l’analyse des signaux de risque en temps réel.

Il en résulte un écosystème où :

• Le client légitime subit une friction qui ne bloque pas toujours l’attaquant.
• Les criminels exploitent des informations fuitées pour dupliquer des SIM, récupérer des comptes ou forcer des portabilités.
• Les décisions reposent sur des preuves faibles (données statiques) au lieu de preuves fortes (biométrie avec preuve de vie, signaux de la ligne, réputation de l’appareil).

Fuites et portabilité : le point aveugle

La portabilité entre opérateurs et le duplicata/remplacement de SIM concentrent le risque opérationnel le plus élevé. Ce sont des événements à fort impact : si l’attaquant les franchit, il prend le contrôle du numéro et, avec lui, des autres authentifications.

Pour y faire face, les opérateurs doivent adopter des standards de forte preuve :

• Identité forte à la demande (document + selfie + liveness) aussi bien en app/web qu’au call center ou en boutique.
• Signaux du numéro avant de choisir le canal d’authentification (type de ligne, ancienneté de la SIM, indices de swap récent).
• Confirmation via canal alternatif (push ou e-mail vérifié) et périodes de refroidissement sur les changements sensibles.

Ce que dit la réglementation au Brésil (résumé pratique)

L’Anatel (Agência Nacional de Telecomunicações) exige que la portabilité du numéro mobile soit confirmée par SMS sur la ligne actuelle de l’utilisateur. Le titulaire dispose de 6 heures maximum pour répondre ; en l’absence de réponse ou en cas de « non », la demande est annulée automatiquement. Ces mesures ne remplacent pas l’authentification forte dans les scénarios à haut risque, mais constituent un minimum réglementaire pour toute telco.

Par ailleurs, l’Agence a approuvé le Règlement général des services de télécommunications (RGST), qui consolide et met à jour les règles du secteur.

De son côté, le Règlement général des droits du consommateur (RGC) a été actualisé et consolidé récemment (septembre 2025), renforçant les obligations de transparence, qualité et réversibilité dans la relation avec l’utilisateur. Cela impacte la manière d’informer et d’exécuter les portabilités, remplacements de SIM et changements de données, ainsi que la traçabilité en cas de litige.

Stratégie KYC pour opérateurs télécom au Brésil (2025)

Avec les bons outils et processus, les opérateurs peuvent réduire sensiblement la fraude d’identité.

• Vérification KYC en temps réel pendant l’onboarding. Vérification de document, Face Match 1:1 et liveness detection pour éviter les ouvertures avec identités synthétiques ou usurpées.
• Biométrie faciale et MFA pour duplicata de SIM et portabilités. Intégrer la biométrie comme partie de la MFA sur les processus critiques relève la barrière face à l’ingénierie sociale.
• Décisions guidées par les indicateurs de risque. Avant d’envoyer un OTP par SMS, évaluer le risque : type de ligne, ancienneté de la SIM, indices de swap récent. Si le risque est élevé, route alternative (biométrie, push/e-mail vérifié) ; s’il est faible, continuer le flux.
• IA et analyse comportementale. Horaires, localisations et cadence des demandes aident à détecter des anomalies et à bloquer proactivement les opérations hors-pattern.

Comment Didit aide les opérateurs à réduire la fraude d’identité

Le Brésil fait face à un volume de fraude exceptionnel et, pour les opérateurs, la priorité absolue est de réduire les pertes dues au SIM swap, à la portabilité frauduleuse et aux changements de données sensibles. Didit est une plateforme de vérification d’identité conçue avec cet objectif au cœur.

Comment cela se traduit-il opérationnelement ?

• Moins de dépendance à la supervision manuelle. Didit réduit les revues manuelles et améliore la détection dans les scénarios à fort volume, tout en gardant contrôle et traçabilité pour les audits.
• Connaissance globale de la fraude. S’appuie sur une base mondiale de milliers de cas : reconnaît les patterns et agit en conséquence.
• Connexion aux sources gouvernementales. Intègre des bases de données publiques pour les contrôles anti-fraude nécessaires.
• Automatisation de bout en bout. Évite les goulots d’étranglement liés aux revues manuelles et accélère onboarding/servicing sans sacrifier le contrôle.
• Workflows flexibles et personnalisables. Modifications de règles sans tickets ; étapes additionnelles en fonction du risque quand il le faut.
• Transparence et facilité d’intégration. APIs et modules no-code pour lancer des flux rapidement, avec des prix clairs.

Pourquoi Didit dépasse les limites habituelles du marché

Dans un contexte où les fournisseurs traditionnels s’appuient sur des validations statiques, des revues manuelles et des processus peu flexibles, Didit apporte une couche automatisée et orchestrable, connectée aux sources gouvernementales, qui réduit la dépendance à la revue manuelle, améliore la détection et garde la maîtrise de l’expérience. Elle combine une vérification d’identité complète avec une base mondiale de schémas de fraude pour décider en temps réel comment traiter nouvelles ouvertures, portabilités et duplicata de SIM.