Detecção de Fraudes em Documentos: Técnicas Eficazes (PT-BR)

A fraude de documentos é a apresentação de um documento de identidade falsificado, fabricado ou roubado para passar em uma verificação. É a porta de entrada para a maioria dos crimes de identidade subsequentes: uma vez que um fraudador passa pela verificação de documentos, ele pode abrir contas, acessar crédito, movimentar dinheiro e criar pseudônimos que persistem até que alguém investigue mais a fundo.

O problema da detecção não é estático. As técnicas de fraude evoluem junto com as ferramentas que as possibilitam — e as ferramentas ficaram significativamente melhores. Compreender os tipos de falsificação e os sinais de detecção que os combatem é o ponto de partida para construir uma verificação robusta.

Principais pontos

• A fraude de documentos se enquadra em quatro categorias principais: originais alterados digitalmente, falsificações baseadas em modelos, reproduções impressas e fotografadas, e IDs sintéticas geradas por IA.
• A MRZ (Zona Legível por Máquina) contém dígitos de verificação que validam a consistência dos dados do documento — falhas no checksum da MRZ são um sinal de fraude confiável e de baixo custo.
• A autenticação de chip NFC (Near-Field Communication) lê dados de chip assinados pelo emissor que não podem ser forjados sem a chave privada do governo emissor.
• A análise visual e estrutural — renderização de fontes, geometria de recursos de segurança, estrutura de camadas — detecta reproduções alteradas digitalmente e impressas que parecem corretas ao olho humano.
• A Verificação de ID da Didit processa mais de 200 sinais de fraude em menos de dois segundos a US$ 0,15 por verificação, em mais de 14.000 tipos de documentos em mais de 220 países e territórios.

Os quatro tipos de falsificação

1. Originais alterados digitalmente

O atacante começa com um documento genuíno — seu próprio ou roubado — e altera campos específicos: nome, data de nascimento ou número do documento. O documento base é real, então a correspondência de modelo e algumas verificações estruturais passam. A manipulação é detectável através de:

• Análise de artefatos de imagem: re-codificação de compressão JPEG, inconsistências de pixels e artefatos de clonagem em torno de campos editados.
• Renderização de fontes: documentos legítimos usam técnicas de impressão (gravação a laser, jato de tinta em policarbonato) que produzem assinaturas de pixel diferentes das ferramentas de edição digital.
• Consistência tipográfica: o espaçamento de caracteres e o alinhamento da linha de base em documentos genuínos seguem padrões específicos do emissor; caracteres substituídos frequentemente quebram esses padrões.

2. Falsificações baseadas em modelos

O atacante constrói um documento do zero usando um modelo baixado ou de engenharia reversa do documento genuíno. O layout, as fontes e o esquema de cores podem estar corretos; as características de produção subjacentes não estão.

A detecção depende de:

• Análise de recursos de segurança: cartões de identificação genuínos incluem microimpressão, padrões guilhochê, tintas reativas a UV e números de série perfurados a laser. Falsificações impressas em equipamentos padrão reproduzem esses recursos como imagens estáticas, e não como os elementos físicos de segurança.
• Pontuação de desvio de modelo: a Didit mantém um banco de dados de referência de modelos de documentos genuínos conhecidos. Documentos enviados são comparados com a gramática visual esperada — tolerâncias de espaçamento, posições de campo, geometria do logotipo — para o tipo de documento declarado.
• Validação de checksum MRZ: a MRZ codifica dígitos de verificação redundantes para número do documento, data de nascimento, validade e um campo composto. Um documento fabricado que inventa esses valores deve satisfazer todas as restrições de checksum simultaneamente, e muitos não o fazem.

3. Reproduções impressas e fotografadas

O atacante imprime uma falsificação digital e a fotografa para criar uma imagem que se parece com um documento físico enviado por uma câmera. Esta categoria é especialmente relevante para fluxos de selfie-mais-ID onde o usuário segura o documento para uma câmera.

Os sinais de detecção incluem:

• Detecção de padrão Moiré: imprimir uma imagem digital e re-fotografá-la cria padrões de interferência moiré na imagem que não estão presentes em um documento genuíno fotografado diretamente.
• Pistas de profundidade e reflexão: um cartão de identificação de policarbonato genuíno reflete a luz de forma diferente de uma folha plana impressa. A análise de padrões de reflexão especular pode distinguir os dois.
• Adjacência de vivacidade: um documento impresso segurado em uma verificação de vivacidade por vídeo se comporta de forma diferente de um genuíno no espaço tridimensional — posições da cabeça e do documento, consistência de reflexão e geometria de sombra carregam sinal.

4. IDs sintéticas geradas por IA

A categoria mais nova e de evolução mais rápida. Ferramentas generativas agora podem produzir imagens fotorrealistas de documentos de identidade — fontes corretas, estética correta de recursos de segurança, layouts corretos de campos de dados — sem começar de um documento genuíno.

Esses documentos vencem muitos métodos de inspeção visual porque não há um documento genuíno subjacente para divergir. A detecção requer:

• Autenticação de chip NFC: uma imagem gerada por IA não pode produzir um chip com uma carga criptográfica válida assinada pelo governo. Para documentos habilitados para chip (passaportes eMRTD, IDs nacionais modernas da UE), exigir uma leitura NFC elimina completamente as IDs sintéticas.
• Validação cruzada de banco de dados: o número do documento pode ser verificado em bancos de dados de emissores em jurisdições que expõem APIs de consulta. Um número de documento que não existe no registro do emissor é um sinal forte.
• Sinais de metadados forenses: modelos generativos introduzem artefatos estatísticos em domínios de frequência de imagem que são detectáveis através da análise de ruído, mesmo quando a saída visual parece fotorrealista.

Checksum MRZ: a verificação de sanidade gratuita

Todo documento de viagem e muitos documentos de identidade nacionais incluem uma Zona Legível por Máquina — as duas ou três linhas de caracteres na parte inferior da página de dados biográficos. A MRZ é projetada para ser lida por máquina e segue o padrão ICAO (Organização da Aviação Civil Internacional) 9303.

Embutidos na MRZ estão os dígitos de verificação: valores de um único dígito calculados a partir de um algoritmo de módulo-10 ponderado aplicado ao número do documento, data de nascimento, data de validade, dados opcionais e um composto de todos os itens acima. Os dígitos de verificação de um documento genuíno devem satisfazer todas as cinco restrições simultaneamente.

Um fraudador que fabrica ou altera uma MRZ deve conhecer o algoritmo e aplicá-lo corretamente, ou deixar os dígitos de verificação inconsistentes. Muitos não o aplicam corretamente. A validação de checksum MRZ é rápida, barata e detecta uma porcentagem consistente de falsificações de baixo esforço antes de qualquer análise de imagem ser executada.

Autenticação de chip NFC: o sinal de maior garantia

Para documentos que possuem um chip eMRTD, a leitura NFC é a verificação antifraude mais forte disponível. O chip armazena dados biográficos assinados pela chave privada do governo emissor. A Autenticação Passiva verifica essa assinatura contra a chave pública do emissor — dados adulterados não podem produzir uma assinatura válida, e uma assinatura válida não pode ser produzida sem a chave do governo emissor.

Imagens geradas por IA, falsificações impressas e até mesmo chips clonados (que a Autenticação Ativa detecta via desafio-resposta) falham nesta etapa. Para fluxos de verificação de alta garantia, exigir uma leitura NFC em documentos com capacidade de chip é a medida de redução de fraude mais eficaz disponível.

Como a Didit ajuda

A Verificação de ID da Didit processa mais de 200 sinais de fraude em cada envio de documento em menos de dois segundos. A camada de análise cobre:

• Análise de MRZ e validação de checksum em todos os tipos de documentos definidos pela ICAO
• Correspondência de modelo contra uma biblioteca de referência de mais de 14.000 tipos de documentos de mais de 220 países e territórios
• Análise de artefatos de imagem, fontes e recursos de segurança
• Autenticação de chip NFC (Passiva e Ativa) para documentos eMRTD
• Validação cruzada de banco de dados contra registros governamentais onde APIs de consulta estão disponíveis

Todos esses sinais alimentam uma única decisão de sessão. Quando um sinal ultrapassa um limite configurado, a sessão é marcada para revisão em vez de ser aprovada automaticamente — e os sinais específicos que a acionaram estão disponíveis na carga útil da decisão da sessão.

O Construtor de Fluxos de Trabalho no Console de Negócios permite configurar o quão agressivamente cada tipo de sinal controla a sessão: aprovar, revisar ou recusar. Isso significa que você pode executar controles mais rígidos para tipos de transação de maior risco (grandes depósitos, saques de criptomoedas) e controles mais leves para integração de baixo risco sem alterar o código.

Preço: US$ 0,15 por verificação de ID. Adicione Leitura NFC (US$ 0,15) e Validação de Banco de Dados (variável) para um nível de maior garantia. O fluxo completo de KYC — ID + Vivacidade Passiva + Comparação Facial 1:1 + Análise de IP — custa US$ 0,33. 500 verificações gratuitas por mês, sem mínimos, 3 a 5 vezes mais barato que provedores legados.

Casos de uso

Integração de Fintech e Neobank — serviços financeiros regulamentados enfrentam obrigações de AML que exigem verificação de identidade na abertura de contas. A detecção de fraude de documentos é a primeira linha; a sessão a combina com vivacidade e triagem AML.

KYC de Câmbio de Criptomoedas — câmbios que integram usuários para negociação à vista ou saques fiduciários enfrentam fraude de identidade de usuários que passam identidades falsas para separar contas de identidades do mundo real. A detecção de ID gerada por IA e as leituras NFC são cada vez mais relevantes para contas de alto valor.

Plataformas de Marketplace e Gig — plataformas de economia gig que verificam a identidade do motorista ou entregador precisam confirmar que a pessoa por trás do documento é real e que o documento não foi reciclado de uma conta anterior.

Indústrias com restrição de idade — plataformas de iGaming e álcool precisam confirmar idade e identidade; fraude de documentos com campos de data de nascimento alterados é a principal técnica de evasão de verificação de idade.

Perguntas frequentes

Quanto custa a Verificação de ID?

US$ 0,15 por verificação. O fluxo completo de KYC — ID + Vivacidade Passiva (US$ 0,10) + Comparação Facial 1:1 (US$ 0,05) + Análise de IP (US$ 0,03) — custa US$ 0,33 com 500 verificações gratuitas por mês e sem mínimos.

Quais tipos de documentos são suportados?

Mais de 14.000 tipos de documentos em mais de 220 países e territórios, incluindo passaportes, IDs nacionais, carteiras de motorista e permissões de residência.

A Didit detecta IDs falsas geradas por IA?

Sim, através de uma combinação de análise forense de imagens e — para documentos com capacidade de chip — autenticação NFC. Uma imagem gerada por IA não pode produzir uma carga de chip válida assinada pelo governo.

O que é um checksum MRZ e por que ele é importante?

A MRZ (Zona Legível por Máquina) contém dígitos de verificação que devem satisfazer um algoritmo padrão. Uma MRZ fabricada ou alterada que não calcula corretamente é um sinal imediato de fraude, detectado antes de qualquer análise de imagem ser executada.

A detecção de fraude de documentos substitui as verificações de vivacidade?

Não — a detecção de fraude de documentos verifica o documento; as verificações de vivacidade verificam se a pessoa que o envia é real e presente. Ambos são necessários para confirmar que um documento genuíno está sendo usado por seu titular legítimo.

Pronto para começar?

A verificação de documentos é a camada central da infraestrutura de identidade e fraude da Didit — combine-a com Vivacidade Passiva, Leitura NFC, Triagem AML e Validação de Banco de Dados em um único fluxo de trabalho combinável.

• Leia a documentação → docs.didit.me
• Veja na plataforma → Página do produto Verificação de Usuário
• Verifique o preço → Preços — Verificação de ID por US$ 0,15, 500 verificações gratuitas/mês
• Comece grátis → business.didit.me