ブラジルの銀行におけるKYC：BCB要件、規制動向と2025年の不正抑止策

Key takeaways
 

2025年Q1のブラジルは346万8,255件の不正試行（約2.2秒に1件）。銀行/カード分野が全体の54％。

2025年7月の攻撃後、BCBは一部参加者に1件あたりR$ 15,000の上限を設定し、合理的疑いがある支払先への支払拒否を義務化。

有効な防御は文書検証、ライヴネス対応の生体認証、デバイス信号（IN 491）と継続的モニタリングの組み合わせ。

Diditはより高度な自動化、ノーコード/APIワークフロー、無料・無制限のKYCプランと透明な料金で不正を削減。

ブラジルでは深刻な不正リスクが続いています。2025年Q1だけで346万超（約2.2秒に1件）。同期間、銀行・カードが**54％**を占め、金融機関が依然最大の標的であることが明白です。さらに2025年7月には、Pixエコシステムに接続するプロバイダが大規模なサイバー攻撃を受け、少なくともR$ 4億が不正送金、複数の機関が被害を受け、SPBとの重要接続の脆弱性が露呈しました。

当局の対応は迅速でした。ブラジル中央銀行（BCB）は、一部参加者にトランザクション上限R$ 15,000を導入し、「不正の合理的疑い」がある口座への支払いを必ず拒否するよう義務付けました。

本記事は、ブラジルにおけるKYC/AMLの実務、規制の最新動向、そして顧客体験を損なわずに不正を抑止する方法をわかりやすく解説します。

KYCとは？ ブラジル文脈におけるCIPとの違い

しばしば同列に語られますが、KYC（Know Your Customer）とCIP（Customer Identification Program）は別物です。KYCは顧客のライフサイクル全体での「識別・検証・リスク評価」の枠組みであり、CIPは顧客が提示する氏名や生年月日等のデータを検証する具体手続です。

ブラジルの銀行業では、CIPはPLD/FT（AML/CFT）枠組みにおける「procedimentos de identificação do cliente」に相当し、監督当局が求める継続的KYCの基盤となります。

ブラジルの規制はリスクベースの考え方を強化しています。Circular BCB 3.978/2020とその後の改定（例：Resolução BCB 119/2021）は、顧客の識別/検証とライフサイクル全体のモニタリングをカバーするPLD/FT方針・統制を要求。実務ではオンボーディング時に顧客を把握し、その後も把握し続ける（行動変化、再検証、監査証跡）ことが求められます。

この基盤に、KYCの実装に影響する個別ルールが加わります。Resolução Conjunta nº 6/2023は機関間での不正兆候データの標準化共有を制度化し、抜け穴を塞いで協調ブロックを加速。BCBは実務的範囲を解説するFAQも公開しています。

Pixエコシステムでは、Instrução Normativa BCB nº 491/2024がトランザクション発信やキー管理を行うデバイスの登録・管理を求めます。未登録デバイスには1件R$ 200、1日R$ 1,000の上限が課されます。

そして2025年のインシデント後、BCBはResolução BCB nº 501/2025を公布。「合理的疑い」がある受取口座への支払い拒否を義務付け、顧客への通知も求めます（範囲・期限はNota 20832参照）。

ブラジル銀行不正の実態

スマートフォン窃盗は依然として金融犯罪の主要な入口です。そのため、通信業界側の不正対策が全体の鍵になります。犯行パターンは典型的で、端末を確保した後にソーシャルエンジニアリング、漏えい認証情報、場合によっては脅迫まで用いて正規ユーザーのアクセスを奪取。端末を制御できれば、SMSやメール等のOTPを傍受して金融プラットフォームに侵入できます。ここからユーザーと銀行の悪夢が始まります。

規模も小さくありません。2025年1–3月に3,468,255件（約2.2秒に1件）の不正試行、うち銀行/カードが1,871,979件（54％）。被害の裾野も広く、2024年6月〜2025年6月にかけて2,400万人超がPixや**偽ボレート（boleto）**詐欺の被害者となり、1人あたり平均R$ 1,198、総額約R$ 290億の損失が推計されています。

「偽ボレート」とは何か、なぜ重要か？

ブラジルのボレート（boleto bancário）はバーコードまたはQRを備えた請求書です。偽ボレートでは、そのコードが改ざんされ支払いが詐欺師の口座へ送金されます（PDFやレイアウトは本物らしく見えることも）。対策として、銀行は認証済みチャネル内で受取人（氏名・CNPJ）、発行銀行、QRを検証し、受取側KYC（新規・非典型口座）も強化すべきです。

ディープフェイク／SIMスワップ／なりすまし：単発の対策では不十分

単発の生体認証（自撮り一回）だけでは、巧妙化する偽造やディープフェイクに対抗できません。文書検証＋1:1顔照合＋ライヴネス＋デバイス/行動シグナルを重ねた多層防御が有効で、高リスク操作の認可には強固な認証が必須です。

理論だけでなく実装も重要です。ブラジルで広く使われるいくつかの基盤には限界が見られます。IDWallは手動審査への過度な依存で遅延・高コストに陥りがち、Unicoは写真/CPFの二値的リスクに偏重し、文書検証・AML・柔軟なワークフローを備えたエンドツーエンド基盤に欠けます。

大規模不正の環境では、こうした不足が損失と摩擦に直結します。

銀行向け規制フレーム：2025年の主要ルール

• Resolução Conjunta nº 6/2023（BCB/CMN）：不正兆候/データの機関連携（標準化）を義務化し、協調対応を加速。BCBの実務FAQあり。
• Instrução Normativa BCB nº 491/2024：Pixの発信/キー管理デバイスの登録・管理指針。未登録デバイスは1件R$ 200、1日R$ 1,000の上限。
• BCBパッケージ — 2025年9月（Res. 496、497、498）：支払元の口座提供者が未認可のIP、またはPSTI経由でRSFNに接続する場合、Pix/TEDで1件R$ 15,000上限。統制が実証されれば上限解除可。Res. 498はPSTI認定要件（ガバナンス、セキュリティ、監視、監査）を定義。
• Res. BCB nº 501/2025（9月11日）：合理的疑いがある口座への支払い拒否を義務化。即時施行、短期でのシステム対応を要求（Nota 20832参照）。

どう戦うか：銀行KYCにおける多層防御の実装

1. 文書のクロス検証：OCRとAIで改ざん検知、公的ソース照合、IP/位置情報の相関。
2. 生体認証：1:1顔照合、ライヴネス検知、生体ベース再認証で高リスク操作を許可。
3. 継続的モニタリング：制裁/PEPリスト、ネガティブニュース、共有ネガティブリスト（RC 6/2023）との照合とリアルタイム検知。
4. 追跡・監査可能な同意管理：端末変更、Pixキー、限度額などの検証可能・撤回可能な同意履歴。
5. 「Celular Seguro」との連携：端末窃盗後の即時ロックと、銀行/当局との迅速なシグナル交換。

Pixエコシステムのベストプラクティス

2025年7月のPix接続プロバイダに対するインシデントは、クリティカルな第三者リスクを浮き彫りにしました。報道ベースでR$ 4億以上が流出、複数機関が被害。規制対応は即時で、未認可IPやPSTI経由接続にR$ 15,000上限を課し、数日後には疑わしい受取口座への支払い拒否を義務化。銀行の判断責任と根拠提示を一段と強化しました。

Diditはブラジルの銀行で不正をどう減らすか

オンボーディングを滞らせずに不正を削減したいコンプライアンス部門に、Diditはより多くのシグナル、より高い自動化、より少ない手動審査を提供します。文書検証、ライヴネス付き生体認証と1:1顔照合、公的ソース照合、AMLスクリーニングを統合し、なりすまし、合成ID、ディープフェイクを手作業フローでは届かない深さで遮断します。

Diditのコアは3層構成：

1. 身分証＋生体（ID Verification、1:1 Face Match、Liveness Detection）で実在・その場確認を担保。
2. 政府/公的ソース照合（利用可能な場合）でカメラ情報を補強。
3. AMLスクリーニング＋継続監視で制裁/PEP/ネガティブニュースと突合、リアルタイムのリスク再評価。

この組み合わせで不正と誤検知を同時に減らし、監査可能なトレーサビリティを確保。さらにノーコード・ワークフローで数分導入、オープンAPI/SDKで自在に拡張可能。料金も透明で、業界初の「無料・無制限KYC」プランを提供。プレミアム機能もサブスクや最低料金なし、前払クレジットは失効なし、完了検証分のみ課金でコストを精緻に制御できます。

コンプライアンスの成果：手動審査の削減、オンボーディング高速化、転換率向上、初秒からの統制――UXを損なわず、サンドボックスで即時試験可能です。