Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 22 de maio de 2026

Fraude de Empréstimo com Identidades Roubadas e Sintéticas: Como Funciona e Como Parar (PT-BR-1)

Golpistas solicitam empréstimos usando identidades roubadas e sintéticas (CPFs reais atrelados a perfis falsos). Credores geralmente só percebem na 'bust-out'.

Por DiditAtualizado
loan-fraud-stolen-identity.png

Um nome real. Um CPF real. Um histórico de crédito que levou anos para ser construído — exceto que a pessoa por trás da aplicação não é a pessoa a quem a identidade pertence. Pode nem ser uma pessoa real.

A fraude de empréstimos usando identidades roubadas e sintéticas contorna a maioria dos controles de crédito tradicionais porque as informações parecem legítimas: o documento passa por uma verificação, a identidade tem um arquivo de crédito, a aplicação não mostra incompatibilidades óbvias. A fraude só aparece quando o dinheiro já se foi.

Este post explica como esses ataques funcionam, o que separa cada tipo e quais verificações na fase de aplicação os impedem consistentemente.

Principais conclusões

  • A fraude de identidade sintética constrói uma pessoa falsa a partir de fragmentos reais e fabricados — um CPF real, um nome plausível, um histórico de crédito manufaturado — sem que a vítima a denuncie até a 'bust-out'.
  • A fraude de empréstimo de terceiros usa uma identidade totalmente roubada: uma pessoa real que não tem ideia de que um empréstimo foi feito em seu nome.
  • Ambos os tipos de ataque compartilham a mesma lacuna explorável: credores que verificam um documento, mas não a pessoa viva por trás dele.
  • Uma verificação KYC de US$0,33 (Verificação de ID + Liveness Passiva + Correspondência Facial 1:1 + Análise de Dispositivo e IP) fecha essa lacuna antes que uma decisão de crédito seja tomada.
  • A Análise de Dispositivo e IP detecta padrões de aplicação repetida e redes de fraude que as verificações de identidade individuais perdem.

Como a fraude de empréstimo realmente funciona

Fraude de terceiros: identidades roubadas

Um golpista adquire a identidade de uma pessoa real — por meio de uma violação de dados, compra na dark web ou phishing — e a usa para solicitar crédito. A vítima eventualmente encontrará o empréstimo em seu relatório de crédito; o golpista nunca teve a intenção de pagar.

A maioria das verificações de empréstimo é centrada em documentos e retrospectiva: confirma que o documento é genuíno e os detalhes correspondem a um arquivo de crédito. Nenhum dos passos confirma que a pessoa que o entrega é o proprietário do documento.

Fraude de identidade sintética: a pessoa fabricada

A fraude de identidade sintética (SIF) é mais difícil de detectar porque não há vítima para denunciá-la inicialmente. Uma identidade sintética combina:

  • Um CPF ou número de identificação nacional real, muitas vezes pertencente a uma criança, idoso ou indivíduo recém-falecido, com pouca probabilidade de monitorar seu crédito
  • Um nome fabricado e data de nascimento plausíveis, mas não conectados ao titular do CPF
  • Um histórico de crédito construído — atrelando o sintético a uma conta legítima para construir um perfil de 'thin-file' ao longo de meses

Uma vez que o sintético tem uma pontuação de crédito utilizável, o golpista solicita empréstimos e cartões, paga a dívida apenas o suficiente para aumentar os limites, então executa uma bust-out: todas as linhas de crédito são esgotadas simultaneamente. O credor fica com as perdas. O titular do CPF descobre que seu número está anexado ao arquivo de crédito de um estranho.

Fraude de primeira parte e redes

A fraude de primeira parte usa uma identidade real com intenção fraudulenta — o mutuário planeja nunca pagar. Casos individuais são difíceis de detectar apenas por sinais de identidade, mas a fraude de primeira parte se agrupa em redes organizadas: indivíduos coordenados que cada um faz empréstimos, recrutados por meio de redes informais, com um coordenador que movimenta os fundos. Sinais de dispositivo e IP detectam essas redes — múltiplas aplicações do mesmo dispositivo, sub-rede ou local físico.

A lacuna de verificação que os credores deixam aberta

A digitalização de documentos confirma que um documento não é obviamente falso. As verificações de crédito confirmam que existe um histórico para o nome e o número de identificação. Nenhuma das verificações fecha a lacuna crítica: confirmar que o solicitante é o proprietário do documento, presente e vivo.

A captura de selfie sem liveness é trivialmente derrotada segurando uma foto impressa ou reproduzindo um vídeo na frente da câmera. Essa é a lacuna que a liveness biométrica e a correspondência facial fecham.

Como a Didit ajuda

O fluxo principal de KYC de US$0,33

O fluxo de verificação principal da Didit executa quatro verificações em uma única sessão por US$0,33 no total:

Verificação de ID (US$0,15) — autenticidade do documento: recursos de segurança, consistência MRZ, dados do chip NFC onde disponível, mais de 200 sinais de fraude. Abrange mais de 14.000 tipos de documentos em mais de 220 países e territórios.

Liveness Passiva (US$0,10) — liveness de um único quadro em menos de dois segundos. Detecta ataques de impressão, reprodução de vídeo e injeções de deepfake geradas por IA sem pedir ao usuário para piscar ou virar. Deepfakes são um vetor de ataque em rápido crescimento; a liveness passiva os impede no momento da inscrição.

Correspondência Facial 1:1 (US$0,05) — o rosto ao vivo é comparado com a foto do documento. Se a pessoa e o documento não pertencem juntos, ele sinaliza.

Análise de Dispositivo e IP (US$0,03) — impressão digital do dispositivo, inteligência de IP e detecção de tráfego mascarado são executadas automaticamente em cada sessão. Nenhuma integração separada.

Juntos, eles fecham a lacuna de identidade que sustenta a fraude roubada e sintética: documento real + rosto ao vivo + rosto correspondente + contexto de rede do dispositivo.

Triagem AML (US$0,20)

A fraude de empréstimos e a lavagem de dinheiro geralmente ocorrem juntas. A Triagem AML da Didit verifica mais de 1.300 sanções, PEP (pessoas politicamente expostas) e listas de mídia adversa na aplicação — identificando indivíduos sinalizados antes que uma decisão de crédito seja tomada.

Análise de Dispositivo e IP para redes de fraude

As verificações de identidade individuais detectam golpistas individuais. As redes de fraude precisam de um sinal de rede.

A Didit retorna um device_fingerprint para cada sessão e o verifica em todas as sessões anteriores em sua conta. Mesmo dispositivo por trás de identidades diferentes: DUPLICATED_DEVICE_FINGERPRINT. Dispositivo redefinido entre as tentativas: DEVICE_RECOVERED_HIGH_CONFIDENCE. VPN ou tráfego Tor em uma aplicação de empréstimo de rotina: PRIVATE_NETWORK_DETECTED. Mesmo IP em um cluster de aplicações: DUPLICATED_IP_ADDRESS.

Você configura a ação para cada aviso — aprovar, revisão manual ou recusa — no Business Console. Nenhuma pipeline de dados personalizada é necessária.

Casos de uso

Empréstimos ao consumidor e empréstimos pessoais — pare os solicitantes com ID roubado antes de uma decisão de crédito. A liveness passiva derrota ataques de foto e vídeo que a maioria das etapas de captura de selfie não consegue.

BNPL — a fraude de identidade sintética se concentra em 'compre agora, pague depois' porque as aprovações são rápidas e os limites aumentam gradualmente. O fluxo principal de US$0,33 adiciona menos de dois segundos de inferência.

Empréstimos hipotecários e automotivos — altos valores de empréstimo amplificam mesmo uma baixa taxa de fraude. A triagem AML na origem detecta indivíduos sinalizados antes que o arquivo chegue a um analista.

Aumentos de linha de crédito — reverifique a liveness e a impressão digital do dispositivo antes de aumentar os limites materialmente. Um bust-out exige margem; detectar o ponto de inflexão limita a exposição.

Como integrar com a Didit

Uma chamada de API cria uma sessão; o fluxo hospedado pela Didit lida com a captura de documentos, liveness, correspondência facial e dispositivo/IP em uma única passagem:

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "applicant-456",
    "callback": "https://yourapp.com/kyc-complete"
  }'

Abra session.url para o solicitante, então leia o resultado via GET /v3/session/{sessionId}/decision/ ou o webhook session.status.updated. O payload inclui veredito do documento, resultados de liveness e correspondência facial, status AML e ip_analyses[] com avisos de dispositivo.

SDKs disponíveis para Web, iOS, Android, React Native e Flutter. A configuração do módulo fica no Business Console — sem alterações de código para ajuste do fluxo de trabalho.

Perguntas frequentes

A liveness passiva realmente impede ataques de deepfake?

Sim. A injeção de deepfake — alimentar um vídeo gerado no fluxo da câmera — é um dos ataques que a liveness passiva foi criada para detectar. Ela analisa o quadro em busca de sinais de geração sintética e injeção de reprodução, juntamente com ataques padrão de impressão e tela. A liveness ativa adiciona uma camada de desafio para fluxos de maior risco, mas a passiva é suficiente para a maioria das aplicações de empréstimo.

Qual é a diferença entre fraude de identidade sintética e roubo de identidade tradicional para um credor?

Com o roubo de identidade, há uma vítima real que contestará o crédito. Com a fraude sintética, o titular do CPF muitas vezes não tem ideia de que seu número está sendo usado sob um nome diferente — pode não haver contestação até a 'bust-out'. O solicitante fabricado não pode apresentar um rosto vivo e compatível para um ID que pertence a outra pessoa: essa é a verificação que os impede.

Como a Análise de Dispositivo e IP ajuda com redes de fraude de primeira parte?

Os membros da rede frequentemente se candidatam em um curto espaço de tempo a partir de dispositivos ou locais compartilhados. DUPLICATED_DEVICE_FINGERPRINT e DUPLICATED_IP_ADDRESS detectam esses clusters em tempo real — cinco solicitantes 'diferentes' compartilhando um dispositivo é o suficiente para encaminhar todos os cinco para revisão manual antes do desembolso.

O que acontece se o golpista usar uma VPN ou limpar o armazenamento do dispositivo entre as aplicações?

PRIVATE_NETWORK_DETECTED é acionado em tráfego de VPN, proxy e Tor. Se o armazenamento for limpo, o modelo de recuperação (DEVICE_RECOVERED_HIGH_CONFIDENCE) vincula a sessão de volta ao dispositivo visto anteriormente a partir de seu vetor de sinal — detectando a redefinição sem penalizar usuários legítimos.

Pronto para começar?

Interromper a fraude de empréstimos na fase de aplicação não requer uma pipeline de ML personalizada ou uma integração de vários meses. O fluxo principal de KYC de US$0,33 fecha a lacuna de identidade da qual dependem os ataques de ID roubado e ID sintética, e a Análise de Dispositivo e IP detecta os padrões de rede que as verificações individuais não conseguem ver.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Fraude de Empréstimo com Identidades Roubadas e Sintéticas | Didit.