Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 21 de maio de 2026

A Fraude na Abertura de Contas Bancárias: Como Identificar e Impedir (PT-BR)

Identidades roubadas, sintéticas, ataques de deepfake, recrutamento de "laranjas", ofuscação de dispositivos — aqui está o manual exato que fraudadores usam para abrir contas bancárias, e os controles que interrompem cada etapa.

Por DiditAtualizado
how-fraudsters-open-bank-accounts.png

Toda conta bancária fraudulenta começa no onboarding. Quando os analistas de fraude veem o dano — transferências não autorizadas, fundos lavados, linha de crédito obtida com uma identidade fabricada — a conta já passou pelo KYC. A exploração ocorreu antes mesmo de o cliente existir.

Este post detalha o manual que os fraudadores usam, passo a passo, e mapeia cada técnica com o controle que a impede.

Principais conclusões

  • A fraude na abertura de contas ocorre em cinco estágios sobrepostos: aquisição de identidade, produção de documentos, bypass de vivacidade, ofuscação de dispositivo e rede, e ativação de "laranja" pós-abertura.
  • Cada estágio possui uma contramedida técnica específica. Corrigir um sem os outros é o que os fraudadores procuram.
  • O fluxo básico do KYC — Verificação de ID + Vivacidade Passiva + Comparação Facial 1:1 + Análise de Dispositivo e IP — fecha os vetores mais comuns por US$ 0,33 por verificação.
  • A Triagem AML detecta identidades de "laranjas" que passaram nas verificações de documentos porque a ID era genuína; a pessoa foi recrutada, não fabricada.
  • A Análise de Dispositivo e IP identifica redes de fraude através de DUPLICATED_DEVICE_FINGERPRINT e DEVICE_RECOVERED_HIGH_CONFIDENCE — os sinais que aparecem quando um operador executa muitas sessões de onboarding a partir de um conjunto compartilhado de máquinas.

Estágio 1: Aquisição de identidade

Antes que qualquer fraudador toque no seu fluxo de onboarding, ele precisa de um nome, uma data de nascimento e um número de documento que passe em uma verificação de banco de dados. Há três maneiras de obter um.

Identidades roubadas são o ponto de partida mais comum. Violações de dados, phishing e mercados da dark web dão aos fraudadores acesso a nomes reais, endereços, números de identificação e, às vezes, digitalizações do documento original — a maior parte do que um fluxo KYC exige.

Identidades sintéticas combinam elementos reais e inventados — um número de CPF (ou número de identificação nacional) genuíno emparelhado com um nome e data de nascimento fabricados. Como o número de identificação é válido, as verificações de formato e soma de verificação são aprovadas. A fraude sintética é especialmente custosa em contextos de crédito porque constrói um histórico antes de sacar.

Identidade como serviço é a versão organizada: redes criminosas vendendo kits completos — imagens de documentos antigos, contas de serviços públicos e instruções para o fluxo de onboarding específico que eles já testaram.

O que impede: Verificação de documentos além das verificações de formato — OCR em mais de 14.000 modelos de documentos, análise de MRZ e código de barras, leitura de chip NFC — combinada com validação de banco de dados contra registros governamentais. IDs reais roubadas e IDs sintéticas fabricadas deixam diferentes assinaturas nesta camada.

Estágio 2: Falsificação e manipulação de documentos

Um número de ID roubado é inútil sem uma imagem que corresponda. Os fraudadores produzem documentos de três maneiras.

A edição de modelos é o nível de entrada: comprar uma digitalização de alta resolução de um documento legítimo e substituir a foto e os dados em uma ferramenta de fraude. Falsificações baratas são óbvias; as bem produzidas exigem modelos de ML treinados para serem detectadas.

Documentos impressos e refotografados ignoram algumas defesas de detecção de injeção. O fraudador imprime o documento falsificado, fotografa-o com boa iluminação e envia o resultado — tentando introduzir os artefatos físicos (granulação, sombra, reflexo) que os classificadores de documentos esperam de uma captura genuína.

Documentos gerados por IA são um vetor emergente: modelos generativos produzindo imagens de documentos sintéticas realistas o suficiente para enganar revisores humanos.

O que impede: Análise de vivacidade de documentos (detecção de superfície plana/impressa), verificações de consistência multi-frame e classificadores de ML treinados em padrões de fraude. A leitura de chip NFC é a contramedida mais difícil — se o chip validar criptograficamente, o documento é genuíno.

Estágio 3: Bypass de vivacidade — derrotando verificações biométricas

Um fraudador com um documento falsificado ainda precisa que o rosto corresponda. Os ataques assumem duas formas.

Ataques de apresentação: uma foto impressa, um vídeo em um segundo telefone ou uma máscara 3D segurada na frente da câmera. Modelos de vivacidade modernos são certificados iBeta PAD Nível 1 para derrotar isso.

Ataques de injeção digital pulam a câmera completamente. O fraudador injeta um fluxo de vídeo sintético usando software de câmera virtual ou substituições de API do navegador. Um rosto deepfake — animado para piscar e seguir comandos — é servido ao modelo de vivacidade como se viesse de uma câmera real. Nenhum ambiente físico é necessário, e ele escala programaticamente. As contramedidas incluem detecção de driver de câmera virtual, classificadores de deepfake em nível de quadro e verificações de interceptação de API.

O que impede: Vivacidade Passiva (US$ 0,10) com inferência sub-2s e mais de 200 sinais de fraude, pareada com Comparação Facial 1:1 (US$ 0,05) que verifica o rosto ao vivo contra o retrato do documento.

Estágio 4: Ofuscação de dispositivo e rede

Uma rede de fraude executando dezenas de contas não pode fazê-lo a partir de um único IP e uma única máquina. O padrão operacional: rotacionar IPs através de VPNs, proxies ou Tor; usar navegadores anti-detecção que randomizam sinais de impressão digital; executar sessões de máquinas virtuais ou emuladores. O objetivo é parecer, para cada sessão, uma pessoa diferente em um lugar diferente. O indício é que o hardware e a infraestrutura de rede subjacentes são reutilizados.

O que impede: Análise de Dispositivo e IP (US$ 0,03), executada automaticamente em cada sessão. Ela captura uma impressão digital de dispositivo estável a partir de sinais de GPU, construção do navegador, renderização de tela e atributos de hardware, depois a compara com todas as sessões anteriores. Ela também enriquece a conexão: detecção de VPN e proxy, detecção de nós de saída Tor e data center, consistência país-vs.-documento.

Os dois avisos mais importantes para detecção de anéis de fraude:

  • DUPLICATED_DEVICE_FINGERPRINT — a mesma impressão digital persistente apareceu sob uma identidade diferente em uma sessão anterior.
  • DEVICE_RECOVERED_HIGH_CONFIDENCE — o ID persistente mudou (armazenamento limpo, incógnito, reinstalação), mas o modelo de recuperação v2 correspondeu ao dispositivo de qualquer forma.

Ambos são configuráveis: revisar, recusar automaticamente ou aprovar com uma sinalização.

Estágio 5: Recrutamento e ativação de "laranjas"

Nem toda conta fraudulenta pertence a um ladrão de identidade. Uma grande fração é aberta por pessoas reais usando documentos genuínos — "laranjas" recrutados que foram informados de que ganhariam uma comissão por receber e encaminhar fundos. Os documentos KYC são reais. A fraude está no que eles concordaram em fazer.

Os "laranjas" são frequentemente afiliados a redes de crime organizado que aparecem em listas de sanções, PEP (Pessoa Politicamente Exposta), mídia adversa ou listas de vigilância de aplicação da lei. A Triagem AML (US$ 0,20, mais de 1.300 listas) no onboarding detecta associados de redes de "laranjas" conhecidos antes que se tornem contas ativas. O Monitoramento AML Contínuo (US$ 0,07/usuário/ano) realiza novas triagens à medida que as listas são atualizadas.

O que impede: Triagem AML no onboarding mais monitoramento contínuo — atores conhecidos e membros emergentes da rede adicionados pós-onboarding.

Como a Didit ajuda

Cada um dos cinco estágios acima se mapeia diretamente para um módulo no fluxo central de KYC.

O pacote básico — Verificação de ID + Vivacidade Passiva + Comparação Facial 1:1 + Análise de Dispositivo e IP — é executado como uma única sessão por US$ 0,33, cobrindo os estágios 2 a 4. Adicionar a Triagem AML (US$ 0,20) estende a cobertura ao recrutamento de "laranjas" (estágio 5). Todos os módulos são executados em sequência; o resultado chega em uma única carga de decisão.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

A URL da sessão vai para o usuário. A decisão retorna via webhook (session.status.updated) ou GET /v3/session/{sessionId}/decision/.

A Didit é o único provedor de identidade formalmente atestado por um governo membro da UE (Tesoro / Banco de España / SEPBLAC da Espanha) como mais seguro do que a verificação presencial. 500 verificações gratuitas por mês, sem mínimos.

Casos de uso

Abertura de conta em Neobank — o fluxo central de US$ 0,33 lida com a principal superfície de ataque. Adicione a Triagem AML para requisitos regulatórios e detecção de "laranjas".

Crédito e empréstimos — a fraude de identidade sintética é mais alta aqui porque a carga útil é uma linha de crédito. A leitura de chip NFC adiciona certeza criptográfica de que o documento é genuíno.

Onboarding em exchange de criptomoedas — a Triagem de Carteira (US$ 0,15/verificação, ou US$ 0,02 BYOK) estende a cobertura à superfície de fraude de criptomoedas após o KYC.

Perguntas frequentes

Qual é o método mais comum que os fraudadores usam para abrir contas bancárias?

Documentos de identidade roubados combinados com ofuscação de dispositivo. O fraudador usa informações pessoais reais e uma imagem de documento falsificada, depois roteia as sessões através de VPNs ou navegadores anti-detecção. A verificação de documentos detecta a imagem falsificada; a Análise de Dispositivo e IP detecta a infraestrutura.

O que significa DUPLICATED_DEVICE_FINGERPRINT na prática?

A mesma impressão digital persistente do dispositivo apareceu sob uma identidade diferente em uma sessão anterior — um forte sinal de múltiplas contas ou fazenda de "laranjas". Você configura a resposta de acordo com sua política: revisar, recusar automaticamente ou sinalizar para investigação manual.

Quanto custa um fluxo de onboarding completo e resistente a fraudes?

O fluxo central de KYC custa US$ 0,33. Adicionar a Triagem AML eleva para US$ 0,53. 500 verificações gratuitas por mês; sem mínimos.

Pronto para começar?

A fraude na abertura de contas é evitável na camada de infraestrutura — antes que uma conta exista, antes que os fundos se movimentem, antes que o analista de fraude seja envolvido.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Como Fraudadores Abrem Contas Bancárias | Didit.