September 11, 2025

KYC na telefonia no Brasil: como frear a fraude (SIM swap e mais)

#network

#Identity

O que é SIM swap — e por que cresce no Brasil Por que a verificação de identidade tradicional falha em telco?O que diz a regulação no Brasil (resumo prático)Estratégia de KYC para operadoras no Brasil (2025)Como a Didit ajuda operadoras a reduzir a fraude de identidade Perguntas Frequentes

Key takeaways

SIM swap e “Mão Fantasma” são hoje os principais vetores de fraude móvel no Brasil; as operadoras, como primeiro elo, sofrem perdas, sanções e erosão da confiança se não protegerem o número e os fluxos críticos.
A verificação tradicional falha por depender de dados estáticos expostos, OTP por SMS em canais comprometidos e processos humanos vulneráveis; portabilidade e duplicação/substituição de SIM (chip) são os pontos mais críticos e exigem identidade forte, sinais da linha, confirmação por canal alternativo e períodos de resfriamento.
Regulatório: a Anatel exige confirmação por SMS na portabilidade (com janela de resposta); RGST e RGC atualizados reforçam transparência e rastreabilidade. O SMS é obrigatório, mas insuficiente como autenticação forte em cenários de alto risco.
Estratégia eficaz e papel da Didit: KYC em tempo real (documento, selfie e prova de vida), biometria e MFA em fluxos de alto impacto, decisões orientadas por sinais da linha; uma plataforma automatizada e flexível reduz a dependência de revisão manual, melhora a detecção e facilita a integração, com preços transparentes.

O Brasil vive um pico de crimes digitais em que a linha móvel é o elo fraco: o SIM swap permite que atacantes assumam o controle do número e interceptem OTPs (one-time passwords) por SMS para acessar contas bancárias e outros apps financeiros sensíveis. Resultado? R$ 10,1 bilhões em perdas bancárias em 2024, segundo a FEBRABAN (Federação Brasileira de Bancos).

Mas as instituições financeiras não são as únicas afetadas. As operadoras de telecomunicações — muitas vezes o primeiro elo da cadeia — também enfrentam perdas diretas, sanções regulatórias e erosão da confiança do cliente por conta de fraude de identidade.

O modus operandi dos golpistas é claro. Com engenharia social, exploram processos fracos das operadoras e se “validam” com dados vazados (ou roubados) na dark web. E não é a única ameaça no radar: o Mão Fantasma tornou-se outro golpe relevante. Ele induz a vítima a instalar um app de acesso remoto; a partir daí, os criminosos tomam o controle do telefone sem que a pessoa perceba e conduzem operações bancárias fraudulentas. Bancos e a FEBRABAN recomendam não instalar aplicativos por indicação telefônica nem conceder acesso remoto a terceiros.

O que é SIM swap — e por que cresce no Brasil

O SIM swap é uma das maiores ameaças para o setor no Brasil. Essa fraude consiste em um criminoso convencer a operadora a emitir um novo SIM atrelado ao número da vítima, combinando engenharia social e dados vazados na dark web.

Depois de controlar o número, o atacante captura os OTP por SMS enviados ao cliente legítimo (para login ou recuperação de conta), causando o conhecido roubo de contas (account takeover).

O SIM swap é um problema em expansão, com taxas de sucesso significativas relatadas pelo mercado, o que o mantém como prioridade para times de fraude e segurança.

Por que a verificação de identidade tradicional falha em telco?

O Brasil enfrenta um dos cenários de cibercrime mais agressivos do mundo. A cada dois segundos há uma tentativa de fraude de identidade e, em muitos casos, as empresas não conseguem detectar, combater e barrar o problema a tempo.

Embora não haja números oficiais sobre o volume exato de SIM swap, estima-se que dezenas de milhares de usuários possam ser afetados todos os anos.

O foco deve recair na fragilidade das ferramentas e processos atuais. Soluções disseminadas no Brasil têm se mostrado insuficientes ao dependerem de validações estáticas, revisões manuais e processos pouco flexíveis. E não é só a ferramenta — as abordagens também falham.

Dados expostos e vulnerabilidade das operadoras

A exposição massiva de dados na dark web significa que, com dados estáticos (como CPF ou data de nascimento), um atacante consegue ultrapassar controles iniciais básicos. Quando essas informações já são públicas, a verificação baseada no “que você sabe” deixa de comprovar identidade.

Além disso, muitos processos internos em telco continuam sobrecarregados de validações humanas (em loja física ou central de atendimento) e distantes da análise de sinais de risco em tempo real.

O resultado é um ecossistema em que:

O cliente legítimo enfrenta fricção que nem sempre bloqueia o atacante.
Criminosos usam informação vazada para duplicar SIM, recuperar contas ou forçar portabilidades.
As decisões se baseiam em provas fracas (dados estáticos) em vez de provas fortes (biometria com prova de vida, sinais da linha, reputação do dispositivo).

Vazamentos e portabilidade: o ponto cego

A portabilidade entre operadoras e a duplicação/substituição de SIM (chip) concentram o maior risco operacional. São eventos de alto impacto: se o atacante os supera, assume o controle do número e, com ele, das demais autenticações.

Para combater, as operadoras devem adotar padrões de alta prova:

Identidade forte no momento da solicitação (documento + selfie + liveness) tanto no app/web quanto na central de atendimento ou loja.
Sinais da linha antes de decidir o canal de autenticação (tipo de linha, “idade” do SIM, indícios de swap recente).
Confirmação por canal alternativo (push ou e-mail verificado) e períodos de resfriamento em alterações sensíveis.

O que diz a regulação no Brasil (resumo prático)

A Anatel (Agência Nacional de Telecomunicações) exige que a portabilidade de número móvel seja confirmada por SMS na linha atual do usuário. O titular tem até 6 horas para responder; se não responder ou responder “não”, o pedido é cancelado automaticamente. Essas medidas não substituem a autenticação forte em cenários de alto risco, mas são o mínimo regulatório que toda telco deve cumprir.

A Agência também aprovou o Regulamento Geral dos Serviços de Telecomunicações (RGST), que consolida e atualiza as regras do setor.

Por sua vez, o Regulamento Geral de Direitos do Consumidor (RGC) foi recentemente atualizado e consolidado (setembro de 2025), reforçando obrigações de transparência, qualidade e reversibilidade na relação com o usuário. Isso impacta a forma como são informadas e executadas portabilidades, reposições de SIM e alterações de dados, bem como a rastreabilidade para disputas.

Estratégia de KYC para operadoras no Brasil (2025)

Com as ferramentas e processos certos, as operadoras podem reduzir significativamente a fraude de identidade.

KYC em tempo real durante o onboarding. Verificação de documento, Face Match 1:1 e liveness detection para evitar adesões com identidades sintéticas ou suplantadas.
Biometria facial e MFA em duplicações de SIM e portabilidades. Integrar biometria como parte da MFA em processos críticos eleva a barreira contra engenharia social.
Decisões guiadas por sinais de risco. Antes de enviar um OTP por SMS, avaliar o risco: tipo de linha, idade do SIM, sinais de swap recente. Se o risco for alto, seguir por alternativa (biometria, push/e-mail verificado); se baixo, continuar o fluxo.
IA e análise comportamental. Horários, localizações e cadência de solicitações ajudam a detectar anomalias e bloquear proativamente operações fora de padrão.

Como a Didit ajuda operadoras a reduzir a fraude de identidade

O Brasil enfrenta um volume de fraude excepcional e, para operadores, a prioridade número um é reduzir perdas por SIM swap, portabilidade fraudulenta e alterações de dados sensíveis. A Didit é uma plataforma de verificação de identidade concebida com esse objetivo no centro.

O que isso significa na operação?

Menos dependência de supervisão manual. A Didit reduz a necessidade de revisões manuais e melhora a detecção em cenários de alto volume, mantendo controle e rastreabilidade para auditorias.
Inteligência global de fraude. Opera com uma base mundial de milhares de casos: reconhece padrões e age em conformidade.
Conexão com fontes governamentais. Integra bases de dados governamentais para as verificações necessárias contra fraude.
Automação ponta a ponta. Evita gargalos de revisão manual e acelera onboarding/servicing sem perder controle.
Workflows flexíveis e personalizáveis. Alterações de regras sem tickets; passos adicionais por risco quando necessário.
Transparência e facilidade de integração. APIs e módulos no-code para lançar fluxos rapidamente, com preços claros.

Por que a Didit supera as limitações comuns do mercado

Num ambiente em que fornecedores tradicionais se apoiam em validações estáticas, revisões manuais e processos rígidos, a Didit adiciona uma camada automatizada e orquestrável, conectada a fontes governamentais, que reduz a dependência de revisão manual, melhora a detecção e mantém a experiência sob controle. Combina verificação de identidade completa com uma base global de padrões de fraude para decidir, em tempo real, como tratar novas adesões, portabilidades e duplicações de SIM.

KYC para telcos no Brasil: freie o SIM swap com pouca fricção

Cumpra a Anatel e corte a fraude em portabilidade e reposição de SIM com verificação de identidade em tempo real, biometria e orquestração por risco. Com a Didit, você pode começar grátis, lançar fluxos personalizados e se antecipar ao SIM swap.

Fale com nossa equipe → Comece grátis por conta própria

Perguntas Frequentes - KYC em Telco no Brasil

Perguntas Frequentes

KYC na telefonia no Brasil: dúvidas comuns e respostas rápidas

Podemos usar apenas o SMS da portabilidade como verificação?

Não. O SMS é uma exigência regulatória da Anatel para confirmar a portabilidade, mas não é autenticação forte. Em cenários de alto risco, complemente com biometria, sinais da linha e confirmação por canal alternativo (push ou e-mail verificado).

Quais operações devem ser tratadas como de “alto impacto” em telco?

Portabilidade, reposição ou duplicação de SIM e alterações de dados sensíveis. Exigem identidade forte com documento, selfie e prova de vida e, havendo sinais de risco, um período de resfriamento antes da execução.

O que é aceitável afirmar sobre Mão Fantasma em um blog corporativo?

É um golpe de acesso remoto por engenharia social: o atacante induz à instalação de um aplicativo e toma o controle do dispositivo. A recomendação do setor é não instalar apps por telefone nem compartilhar códigos.

Como equilibrar regulação e experiência do usuário?

Mantenha o SMS como confirmação obrigatória da portabilidade e aplique autenticação forte adicional apenas quando o risco exigir. Assim você dosa a fricção e cumpre a Anatel.

O que uma equipe de compliance deve registrar?

Rastreabilidade completa: regras acionadas, sinais da linha consultados, evidências biométricas e resultados. Isso facilita auditorias e a resolução de disputas.

Como evitar falsos positivos sem sacrificar segurança em MVNO ou eSIM?

Orquestre passos adaptativos: em baixo risco, fluxo mínimo; em alto risco, biometria mais canal alternativo e, quando fizer sentido, um período de resfriamento.

Por que não basta usar dados estáticos (CPF, data de nascimento)?

Porque estão amplamente expostos; a verificação baseada no que você sabe não comprova identidade quando esses dados se tornam públicos.

O que comunicar ao cliente final para endurecer o canal?

Mensagens claras: não instalar aplicativos por indicação telefônica, não compartilhar códigos e ativar MFA nos serviços.