ब्राज़ील के बैंकों में KYC: BCB आवश्यकताएँ, नियम और 2025 में धोखाधड़ी रोकने के तरीके

Key takeaways
 

Q1-2025 में ब्राज़ील में 3.47 मिलियन फ्रॉड प्रयास (लगभग हर 2.2 सेकंड में 1); बैंक/कार्ड सेक्टर का 54% हिस्सा।

जुलाई 2025 की घटनाओं के बाद BCB ने कुछ भागीदारों के लिए प्रति लेनदेन R$ 15,000 की सीमा तय की और युक्तिसंगत संदेह वाली खातों को भुगतान अनिवार्य रूप से अस्वीकार करने को कहा।

असरदार रक्षा: दस्तावेज़ सत्यापन, लाइवनेस सहित बायोमेट्रिक्स, डिवाइस सिग्नल (IN 491) और सतत मॉनिटरिंग का संयोजन।

Didit अधिक ऑटोमेशन, नो-कोड/API वर्कफ़्लो और नि:शुल्क एवं असीमित KYC प्लान के साथ पारदर्शी मूल्य-निर्धारण देता है।

ब्राज़ील एक चिंताजनक फ्रॉड स्तर झेल रहा है: 2025 की पहली तिमाही में 3.47 मिलियन प्रयास—औसतन हर 2.2 सेकंड में एक। इसी अवधि में बैंक व कार्ड ने 54% प्रयासों को समेटा—यानी वित्तीय संस्थान अब भी प्राथमिक निशाना हैं। इसके अलावा जुलाई 2025 में Pix इकोसिस्टम से जुड़े एक प्रदाता पर बड़े पैमाने का साइबर हमला हुआ; कम से कम R$ 400 मिलियन विचलित हुए और कई संस्थाएँ प्रभावित रहीं—SPB से महत्वपूर्ण कनेक्शन-पॉइंट्स की कमजोरियाँ उजागर हुईं।

प्रतिक्रिया तेज़ रही: Banco Central do Brasil (BCB) ने कुछ प्रतिभागियों के लिए प्रति ट्रांज़ैक्शन R$ 15,000 सीमा लागू की और “धोखाधड़ी का युक्तिसंगत संदेह” होने पर भुगतानों को अस्वीकार करना अनिवार्य किया।

यदि आपको ब्राज़ील में बैंकिंग फ्रॉड की चिंता है, यह लेख KYC/AML प्रक्रियाएँ, नियामकीय विकास, और ग्राहक अनुभव बिना बिगाड़े सशक्त एंटी-फ्रॉड रक्षा बनाने का व्यावहारिक मार्गदर्शन देता है।

KYC क्या है और ब्राज़ीलियाई संदर्भ में CIP से कैसे अलग है

अक्सर साथ लिया जाता है, पर KYC (Know Your Customer) और CIP (Customer Identification Program) दो अलग विषय हैं। KYC ग्राहक के पूरे जीवन-चक्र में पहचान, सत्यापन और जोखिम-प्रोफाइलिंग का ढाँचा है; जबकि CIP वह विशिष्ट प्रक्रिया है जो ग्राहक द्वारा दिए डेटा (नाम, जन्म-तिथि आदि) की पुष्टि करती है।

ब्राज़ील के बैंकिंग सेक्टर में CIP को PLD/FT (AML/CFT) ढाँचे के “procedimentos de identificação do cliente” के समकक्ष माना जाता है—यही सतत KYC का आधार बनता है।

ब्राज़ील का नियामकीय सेट-अप जोखिम-आधारित तर्क को मज़बूत करता है। Circular BCB 3.978/2020 और इसके बाद के समायोजन (जैसे Resolução BCB 119/2021) संस्थानों से अपेक्षा करते हैं कि वे पहचान/सत्यापन और निरंतर मॉनिटरिंग को कवर करने वाली PLD/FT नीतियाँ व कंट्रोल बनाए रखें। व्यावहारिक रूप से: ऑनबोर्डिंग में ग्राहक को जानना और बाद में भी जानना जारी रखना (व्यवहार परिवर्तन, पुन:-मान्यकरण, ऑडिट-ट्रेल)।

इसके ऊपर कुछ विशिष्ट नियम KYC के क्रियान्वयन को प्रभावित करते हैं। Resolução Conjunta nº 6/2023 संस्थानों के बीच धोखाधड़ी संकेतों/डेटा का मानकीकृत साझा अनिवार्य करती है—खामियाँ बंद होती हैं और समन्वित ब्लॉक्स तेज़ होते हैं; BCB इस पर सार्वजनिक FAQ भी रखता है।

Pix इकोसिस्टम में Instrução Normativa BCB nº 491/2024 एक अहम ऑपरेशनल परत जोड़ती है: वे डिवाइस पंजीकृत/प्रबंधित करना जो ट्रांज़ैक्शन आरंभ करते हैं या चाबियाँ मैनेज करते हैं। फ्रॉड घटाने के लिए अपंजीकृत डिवाइस पर प्रति ट्रांज़ैक्शन R$ 200 और दैनिक R$ 1,000 की सीमाएँ हैं।

अंततः, 2025 की घटनाओं के बाद BCB ने Resolução BCB nº 501/2025 जारी की: युक्तिसंगत संदेह वाली खातों की ओर जाने वाले भुगतान अस्वीकृत करना अनिवार्य है और ग्राहक को निर्णय सूचित करना होगा; दायरा व समयसीमा हेतु Nota 20832 देखें।

ब्राज़ील में बैंकिंग फ्रॉड की तस्वीर

मोबाइल चोरी अब भी वित्तीय अपराध का मुख्य प्रवेश-द्वार है। इसलिए ब्राज़ील के टेलीकॉम सेक्टर में फ्रॉड रोकना बेहद ज़रूरी है। सामान्य तौर पर, अपराधी डिवाइस पाने के बाद सोशल इंजीनियरिंग, लीक्ड क्रेडेंशियल, या ब्लैकमेल तक से एक्सेस हथिया लेते हैं। डिवाइस-कंट्रोल मिलते ही वे SMS/ईमेल और अन्य OTP इंटरसेप्ट कर वित्तीय प्लेटफ़ॉर्म में घुस जाते हैं—यहीं से उपयोगकर्ताओं और बैंकों के लिए मुश्किलें शुरू होती हैं।

आँकड़े मामूली नहीं: जनवरी–मार्च 2025 के बीच 3,468,255 प्रयास (≈ हर 2.2 सेकंड में 1) दर्ज हुए और बैंक/कार्ड सेगमेंट में 1,871,979 (54%) आए। मानवीय व आर्थिक प्रभाव की बात करें तो जून 2024–जून 2025 में 2.4 करोड़+ ब्राज़ीलियाई Pix या नकली बोलेटो के शिकार बने; औसत नुकसान R$ 1,198 प्रति व्यक्ति, कुल प्रभाव करीब R$ 29 बिलियन।

“नकली बोलेटो” क्या है और यह क्यों अहम है?

ब्राज़ील में boleto bancário एक वसूली-दस्तावेज़ है जिसमें बारकोड या QR होता है। नकली बोलेटो में कोड इस तरह बदला जाता है कि भुगतान धोखेबाज़ के खाते में जाए, भले PDF/लेआउट असली लगे। रोकथाम हेतु बैंक लाभार्थी (नाम/CNPJ), इश्यूअर बैंक और QR को प्रमाणित चैनल में वैलिडेट करें—साथ ही प्राप्तकर्ता का KYC (नए/असामान्य खाते) सख़्त करें।

डीपफेक, SIM-स्वैप और स्पूफिंग: एकल समाधान काफी नहीं

अलग-थलग बायोमेट्रिक्स (सिर्फ़ एक सेल्फ़ी) काफ़ी नहीं। यह तब बेहतर काम करता है जब डिफेंस-इन-डेप्थ में जोड़ा जाए: दस्तावेज़ सत्यापन, Face Match 1:1, लाइवनेस, और डिवाइस/व्यवहार संकेत—खासकर संवेदनशील कार्रवाइयों की अनुमति से पहले।

व्यवहार में कई खामियाँ बची रहती हैं। ब्राज़ील में लोकप्रिय कुछ प्लेटफ़ॉर्म सीमाएँ दिखाते हैं: IDWall हद से ज़्यादा मैनुअल रिव्यू पर निर्भर है (धीमा/महँगा), जबकि Unico फ़ोटो/CPF के बाइनरी रिस्क पर केंद्रित है और एंड-टू-एंड प्लेटफ़ॉर्म (दस्तावेज़-सत्यापन, AML, लचीले वर्कफ़्लो) की कमी है।

भारी फ्रॉड-परिस्थिति में ये कमियाँ सीधे नुकसान व घर्षण में बदलती हैं।

2025 के लिए बैंकिंग रेगुलेटरी फ़्रेम: प्रमुख नियम

• Resolução Conjunta nº 6/2023 (BCB/CMN): संस्थानों के बीच धोखाधड़ी संकेत/डेटा का मानकीकृत साझा अनिवार्य; समन्वित प्रतिक्रिया तेज़। BCB की विशेष FAQ उपलब्ध।
• Instrução Normativa BCB nº 491/2024: Pix ट्रांज़ैक्शन/की-मैनेजमेंट करने वाले डिवाइस का पंजीकरण व प्रबंधन। अपंजीकृत डिवाइस: R$ 200 प्रति लेनदेन, R$ 1,000 प्रतिदिन।
• BCB पैकेज — सितंबर 2025 (Res. 496, 497, 498): जब भुगतानकर्ता का खाता-प्रदाता अनधिकृत IP हो या प्रतिभागी PSTI के माध्यम से RSFN से जुड़े, तो Pix/TED के लिए R$ 15,000 प्रति ऑपरेशन की सीमा; मज़बूत कंट्रोल सिद्ध हों तो हटा भी सकते हैं। Res. 498 PSTI मान्यता (गवर्नेंस, सुरक्षा, मॉनिटरिंग, ऑडिट) की आवश्यकताएँ परिभाषित करती है।
• Res. BCB nº 501/2025 (11 सित.): युक्तिसंगत संदेह वाली खातों को जाने वाले भुगतानों का अनिवार्य अस्वीकार; तुरंत प्रभावी, कम समय-सीमा में सिस्टम अनुकूलन; देखें Nota 20832।

कैसे रोकें: बैंकिंग KYC में डिफेंस-इन-डेप्थ

1. क्रॉस-डॉक्यूमेंट वेरिफ़िकेशन। OCR व AI से छेड़छाड़ पहचानें; आधिकारिक स्रोतों से वैलिडेशन और IP/जियो कोरिलेशन।
2. बायोमेट्रिक्स। Face Match 1:1, Liveness Detection और बायोमेट्रिक ऑथेंटिकेशन—उच्च-जोखिम कार्रवाइयों में क्रेडेंशियल का सुरक्षित पुनः-उपयोग।
3. सतत मॉनिटरिंग। प्रतिबंध/PEP सूचियाँ, निगेटिव मीडिया, साझा ब्लैकलिस्ट (RC 6/2023) के विरुद्ध जाँच और रीयल-टाइम अलर्टिंग।
4. ट्रेसेबल/ऑडिटेबल सहमति। डिवाइस परिवर्तन, Pix कीज़, लिमिट्स आदि पर सत्यापनीय व रद्द-योग्य सहमति-इतिहास।
5. Celular Seguro एकीकरण। फ़ोन चोरी के बाद तुरंत ब्लॉक का बटन; बैंकों/प्राधिकरणों से तेज़ सिग्नल-शेयर।

Pix इकोसिस्टम के लिए श्रेष्ठ प्रथाएँ

जुलाई 2025 का Pix-कनेक्टिविटी प्रदाता-घटना महत्त्वपूर्ण तृतीय-पक्ष जोखिम दिखाती है; रिपोर्ट्स ≥ R$ 400 मिलियन विचलित और कई संस्थाएँ प्रभावित बताती हैं। नियामक प्रतिक्रिया: अनधिकृत IP या PSTI कनेक्शन के लिए R$ 15,000 की सीमा, और कुछ दिनों बाद संदिग्ध खातों को भुगतान अस्वीकार का आदेश—बैंकों की निर्णय-जिम्मेदारी/औचित्य और मज़बूत हुआ।

Didit कैसे ब्राज़ीलियाई बैंकों की धोखाधड़ी घटाता है

ऑनबोर्डिंग को बाधित किए बिना फ्रॉड घटाने की ज़रूरत वाली कम्प्लायंस टीमों के लिए Didit ज़्यादा सिग्नल, ज़्यादा ऑटोमेशन, कम मैनुअल रिव्यू लाता है। प्लेटफ़ॉर्म दस्तावेज़ सत्यापन, लाइवनेस सहित बायोमेट्रिक्स व Face Match 1:1, आधिकारिक स्रोत-वैलिडेशन और AML स्क्रिनिंग को जोड़कर इम्परसनेशन, सिंथेटिक पहचान और डीपफेक को गहराई से रोकता है—जहाँ मैनुअल फ्लो कम पड़ते हैं।

Didit का कोर तीन परतों पर टिका है:

1. दस्तावेज़ + बायोमेट्रिक्स (ID Verification, Face Match 1:1, Liveness Detection)—वास्तविक व्यक्ति/उपस्थिति सुनिश्चित करने हेतु।
2. आधिकारिक/सरकारी स्रोत-वैलिडेशन (जहाँ उपलब्ध)—कैमरा-कैप्चर को पुष्ट करने हेतु।
3. AML स्क्रिनिंग और सतत मॉनिटरिंग—उपयोगकर्ताओं को वैश्विक प्रतिबंध/PEP/निगेटिव मीडिया सूचियों पर आँकना और रीयल-टाइम जोखिम-रीएसेसमेंट।

मिलकर, ये परतें फ्रॉड व फॉल्स-पॉज़िटिव दोनों घटाती हैं, और ऑडिट-ट्रेसेबिलिटी देती हैं। ऑर्केस्ट्रेशन भी अलग पहचान है: नो-कोड वर्कफ़्लो से मिनटों में लॉन्च, और ओपन API/SDK से कस्टमाइज़। कीमतें पारदर्शी: हम उद्योग का पहला नि:शुल्क व असीमित KYC प्लान देते हैं—प्रीमियम फ़ीचर बिना सब्सक्रिप्शन/मिनिमम और नॉन-एक्सपायरिंग प्रीपेड क्रेडिट; केवल पूर्ण हुई वेरिफ़िकेशन पर भुगतान—खर्च पर सूक्ष्म नियंत्रण।

कम्प्लायंस परिणाम: कम मैनुअल रिव्यू, तेज़ ऑनबोर्डिंग, बेहतर कन्वर्ज़न और पहले सेकंड से नियंत्रण—UX से समझौता किए बिना, और सैंडबॉक्स में तुरंत परिनियोजन।