Key takeaways
ブラジルは世界有数のデジタル大国である一方、本人なりすましが深刻。2025年Q1だけで約190万件の銀行不正試行が発生。
携帯盗難、脆弱な市民IDの分断、同意・データ管理の弱さが、組織犯罪にとっての肥沃な土壌をつくっている。
人手審査や単発の生体認証といった従来型の本人確認は限界。ディープフェイク、なりすまし、INSSのようなシステム型不正には通用しにくい。
有効なのは文書鑑識+高度生体認証+継続モニタリング+追跡可能な同意を組み合わせた**多層防御(Defense in Depth)**と、公民連携。
ブラジルは高度にデジタル化が進む一方、本人なりすましに極めて脆弱という逆説を抱えています。たとえば、2025年第1四半期だけで銀行不正の試行が約190万件と、2023年の計測開始以降で最多となりました。
しかもこれだけではありません。2025年2月までの時点で2.2秒に1件の攻撃が発生し、前年比で約40%増。さらにブラジル国家データ保護庁(ANPD)は2025年8月に250件超のデータ漏えいを記録し、パスワード窃取は前年比160%増でした。
ブラジルの本人なりすまし(アイデンティティ不正)は偶発ではなく儲かるビジネスです。物理的な盗難、ソーシャルエンジニアリング、AI、そして規制の抜け穴を組み合わせ、大規模に不正を展開しています。
本記事では、ブラジルにおける本人なりすましをどう抑止し、その影響を減らすかを具体的に示し、企業にとっての「構造的コスト」化を断ち切る方法を解説します。
問題の解剖:ブラジルが「温床」になる根本要因
本人なりすましを助長する5つの鍵があります。
- 過度なデジタル化とモバイル経済。 2億人超がインターネットに接続。ブラジル中銀が作った即時決済Pixのようなプラットフォームは詐欺師に常用されています。
- 犯罪のオンライン化。 オフラインからオンラインへ。10人に1人が被害に遭う携帯盗難は金融不正の入り口。低リスク・高リターンです。
- 分断された市民ID。 ブラジルの*Registro Geral(RG)*は歴史的に脆弱で、詐欺師に悪用されてきました。最近も、45年にわたり英国貴族の末裔を装っていた判事の事例が露見しました。
- 同意とデータ管理の弱さ。 INSS(国家社会保障院)を介し400万人超の年金受給者を狙った詐欺スキームが発覚。被害は約63億レアル。2025年7月に連邦最高裁(STF)が返金計画を承認し、2025年5月以降は給与担保ローンの解除に生体認証が必須になりました。
- デジタル・リテラシーの不足。 偽造文書やセルフィーを含む「詐欺キット」が容易に入手可能。AIとディープフェイクの拡散も相まって、リテラシーの低い層が標的になっています。
携帯盗難からなりすましへ:犯罪のバリューチェーン
ブラジルでは、携帯電話の単純な盗難が大規模な不正オペレーションの一部になります。同国はこの種の盗難の「世界的多発地帯」。毎年10人に1人が被害者で、盗難端末が中古市場に戻ることは稀。犯人の関心は端末ではなく中のデータとアクセス権です。
小さなインシデントが本人・金融不正へ広がる流れ:
- 携帯の物理的盗難。 多くは路上で発生。ギャングは経済階層などのプロファイルで「指名買い」することも。
- デジタル生態系への初期侵入。 ソーシャルエンジニアリング、弱いパスワード、被害者への脅迫などで端末を解除し、メッセージ、銀行、ウォレットに侵入。
- アカウント乗っ取り(ATO)。 正規ユーザーのアカウントに入り、次を実行:
- SMS/メールでのパスワード再設定(ブラジルで深刻なSIMスワップの起点)。
- 2FAコードの傍受。
- WhatsApp・SNS・Telegram・メールの乗っ取りで連絡先を欺き、被害を拡大。
- 不正なオンボーディングとなりすまし。 ギャラリーの画像、AIのディープフェイク、偽造文書を使い、デジタル銀行やフィンテックで新規口座を開設、被害者名義で与信を取得。
- 迅速な収益化。 端末アクセスがあれば容易に:
- Pixで即時送金。
- 少額ローンの申請。
- マーケットプレイスやECでの購入。
- ダークウェブでのデータ売却。
- 洗浄と拡大。 資金は「デジタル・ミュール」やフィンテック、ファンドを経由して循環。2020〜2024年にはPCCに関係するネットワークが520億レアル超を洗浄。
犯罪の方程式:低リスク・高リターン
チェーンの各段が初期盗難の価値を増幅。被害者がアカウントを完全に取り戻すには数週間かかる一方、犯人のリターンは即時。約500ドルの中級機1台で、ローンや取引で「数千ドル」を引き出せます。検挙確率も低く、当局は暴力犯罪の捜査を優先しがちです。
金融機関・フィンテックへの影響
影響は大きく3次元:
- 直接的コスト: 不正損失、チャージバック、貸倒。
- 評判コスト: 金融アプリやECの「安全でない」という印象。
- 運用コスト: カスタマーサポート、法的紛争、リカバリー・プロセス。
さらに、適切なコントロール不備が確認されれば、ブラジル中銀やANPDによる制裁金の可能性もあります。
従来のやり方が失敗する理由
現実には、ブラジルの多くの銀行やフィンテック、iGaming事業者が、現在の巧妙化に追いつかない検証を使っています。数年前の「防壁」は、今や明確に力不足です。
まず人手の審査はスケールしない。文書やセルフィーの手作業確認は遅く高コストで、精巧化する偽造やディープフェイクに負けます。
次に単独の生体認証は偽りの安心を与えます。オンボーディング時の一枚セルフィーだけでは、強固なライヴネス検知やIP・位置情報・文書分析などの補助シグナルがなければ脆弱です。
最後に、本人確認を一度きりの儀式と捉える企業が多すぎる点。必要なのは継続的プロセスです。定期的な生体認証やIP/位置情報のランダムチェックは不正率を大きく下げます。
効くのは何か:多層防御のフレームワーク
エンデミックに近いブラジルの不正には多層アーキテクチャが解決策です。摩擦やコストをただ増やすのではなく、複数の層を協調させ相互補強させます。
鍵の一つは市民IDとデジタル資格の強化。全国身分証(Carteira de Identidade Nacional, CIN)は重要な一歩ですが、生体認証など現代的な認証の併用が不可欠です。
検証プロセスはアンチフロード思考へ。文書検証、生体のライヴネス、1:1顔照合、端末・IPシグナル、リアルタイム行動分析を統合します。
継続モニタリングは多くの規制対象で義務化済みで、あらゆるフローに組み込むべき。トランザクション・パターンの監視、制裁・PEPリストとの突合、異常検知が肝要です。
もう一つの柱は追跡可能な同意。INSSの件は、検証可能で撤回可能な記録がなければシステム型不正は時間の問題だと示しました。定期監査やセンシティブな変更時の追加生体要素は標準に。
最後に人。脆弱層を中心にデジタル教育を進めるとともに、即時ロックボタンや不審活動のプッシュ通知など迅速な対応ツールを整備します。
公共政策と公民連携
民間テクノロジーだけで本人なりすましは解決できません。協調された行動枠組みが必要です。公的部門は明確なコンプライアンス/同意の標準を示し、独立監査を行い、加担者を処罰。高齢者や脆弱層に向けた大規模なデジタル教育も推進すべきです。
一方、銀行・フィンテック・通信・公的機関の連携は、SIMスワップや漏えいデータの再販抑止に不可欠。2025年に銀行アプリ連携を拡張したCelular Seguroは、その好例です。
コンプライアンス(とCFO)が見るべきKPI
不正対策はコストではなく価値への投資。ROIは適切なKPIで示します。
- 定量指標: 不正/チャージバック損失の減少、運用コスト低下、確認時間の短縮、正当ユーザー承認率の向上。
- 定性指標: オンボーディング摩擦の低減、ユーザー満足・信頼の向上。
これらを提示すれば、ファイナンスも不正対策が保護だけでなく収益性の改善につながると理解します。
Didit:ブラジルで本人確認と不正抑止を両立させる最適解
ブラジルの企業は、KYC/AMLの順守と巧妙化する不正対策の二正面作戦に直面しています。問題は、広く使われるローカル解が持つ限界です。IDWallは人手審査への依存が大きくオンボーディングが鈍化し、Unicoはエンドツーエンドの基盤が不十分で、悪用される隙が残ります。
Diditはその方程式を変えるために誕生。 ブラジルの不正実態に特化して設計され、文書鑑識・高度生体認証・公的ソース照合・グローバルスクリーニングを柔軟・オープン・低コストな単一プラットフォームに統合。さらに無料・無制限のKYCプランを提供し、あらゆる企業がコスト障壁なく本人確認を開始できます。
Diditなら、初回オンボーディングから生体認証までカスタムの検証フローを構築し、ブラジルの急速な規制変化にも常に同期。結果は明快:不正は減り、信頼は高まり、本人確認が事業価値を生むのです。