Impressão Digital de Dispositivos: Como Funciona e a Utilização da Didit no Combate à Fraude (PT-PT)
A impressão digital de dispositivos identifica o aparelho físico por detrás de uma sessão através dos sinais do navegador, hardware e rede — mesmo após a limpeza de cookies.
Duas contas, dois nomes, dois documentos — mas o mesmo telemóvel, a mesma versão de navegador, a mesma GPU. Os cookies foram limpos, o segundo registo ocorreu numa janela anónima e o IP foi rotativo através de uma VPN. Para a maioria dos fluxos de integração, parecem ser duas pessoas diferentes. A impressão digital de dispositivos é o que lhe diz que não são.
Esta publicação explica o que é a impressão digital de dispositivos, como funciona na realidade, onde difere dos cookies e como a Didit a utiliza na sua Análise de Dispositivos e IP para detetar dispositivos duplicados, redes de fraude e múltiplas contas durante a verificação de identidade — sem misturar utilizadores não relacionados por engano.
Principais conclusões
- A impressão digital de dispositivos cria um identificador estável para um dispositivo a partir dos sinais do navegador, hardware e rede — independente de cookies, por isso sobrevive a limpezas de armazenamento, modo anónimo e reinstalações de aplicações.
- É um dos sinais de fraude de primeira abordagem mais fortes porque os elementos que tornam um dispositivo único (GPU, ecrã, tipos de letra, versão do SO, peculiaridades dos sensores) são difíceis de alterar em escala e caros para os fraudadores falsificarem de forma convincente.
- O caso de uso de alto valor é detetar o mesmo dispositivo por trás de diferentes identidades: múltiplas contas, abuso de bónus e referências, redes de fraude, identidades sintéticas e integração de “money mules”.
- A Didit executa a impressão digital de dispositivos automaticamente em cada sessão de verificação como parte da Análise de Dispositivos e IP (0,03 €), retornando um
device_fingerprint, correspondências de dispositivos duplicados, um sinal de recuperação de alta confiança e avisos configuráveis que pode usar para aprovar/rever/recusar. - A Didit separa correspondências exatas de correspondências recuperadas e protege contra colisões de hash, para que obtenha o sinal de fraude sem ligar falsamente dispositivos de escritório partilhado ou WebView partilhado.
O que é a impressão digital de dispositivos?
A impressão digital de dispositivos é a prática de identificar um dispositivo — um telemóvel, computador portátil ou tablet — a partir da combinação de atributos que expõe quando se conecta à sua aplicação. Nenhum atributo é único, mas a combinação de dezenas deles (resolução do ecrã, modelo da GPU, tipos de letra instalados, versão do sistema operativo, fuso horário, idioma, versão do navegador, peculiaridades de renderização de canvas e WebGL) é suficientemente distintiva para reconhecer o mesmo dispositivo novamente mais tarde.
O resultado é uma impressão digital: um identificador estável derivado desses sinais. Ao contrário de um nome de utilizador ou endereço de e-mail, o utilizador nunca o escolhe e geralmente não sabe que existe. É exatamente por isso que é útil para a prevenção de fraudes — um fraudador pode inventar um novo nome e comprar um novo documento roubado, mas muitas vezes está a usar a mesma máquina.
Como funciona a impressão digital de dispositivos
A impressão digital ocorre do lado do cliente: um pequeno script ou SDK é executado no navegador ou aplicação móvel, lê um conjunto de sinais e transforma-os num ou mais hashes. Os sinais geralmente enquadram-se em algumas categorias.
Sinais de navegador e software
- String do agente de utilizador, família e versão do navegador, plugins instalados e tipos MIME
- Idioma, fuso horário e localidade
- Resolução do ecrã, profundidade de cor, tipos de letra disponíveis
- Ordem do cabeçalho HTTP e características TLS
Sinais de hardware e renderização
- Modelo e driver da GPU, expostos via WebGL
- Impressão digital de Canvas — o navegador é solicitado a renderizar texto/gráficos ocultos; pequenas diferenças na GPU, drivers e anti-aliasing produzem um hash de imagem por dispositivo
- Impressão digital de AudioContext — a pilha de áudio processa um sinal de forma ligeiramente diferente por dispositivo
- Classe da CPU, memória do dispositivo, bateria e peculiaridades dos sensores em dispositivos móveis
Sinais de rede e comportamento (frequentemente emparelhados com impressão digital)
- Endereço IP, geolocalização, tipo de conexão, ASN
- Deteção de VPN/proxy/Tor/data center
- Opcionalmente, pistas comportamentais como o ritmo de digitação
Esses sinais são combinados em hashes. Uma implementação robusta produz mais de um: um identificador de dispositivo persistente (estável enquanto o armazenamento local persistir), um hash composto (um agrupamento determinístico de sinais) e um vetor de sinal usado para recuperar um dispositivo mesmo quando o ID persistente foi apagado.
Impressão digital de dispositivos vs. cookies
Cookies e impressões digitais de dispositivos reconhecem visitantes recorrentes, mas funcionam de forma diferente — e essa diferença é o motivo pelo qual as equipas de fraude confiam na impressão digital.
| Cookies | Impressão digital de dispositivos | |
|---|---|---|
| Onde reside | Um ficheiro que o navegador armazena no lado do cliente | Derivado de sinais do dispositivo; dados de referência armazenados no lado do servidor |
| Controlo do utilizador | Facilmente apagado ou bloqueado | Não pode ser simplesmente apagado; sobrevive à limpeza de armazenamento |
| Sobrevive ao modo anónimo? | Não | Sim (sinal de recuperação) |
| Sobrevive à reinstalação? | Não | Frequentemente sim |
| Propósito principal | Sessões, preferências, análises | Reconhecer o dispositivo por trás de uma identidade |
Um fraudador que abre 50 contas limpará os cookies, mudará para o modo anónimo ou reinstalará a aplicação entre as tentativas. Os cookies são redefinidos a cada vez; uma boa impressão digital de dispositivo continua a apontar para a mesma máquina.
Por que a impressão digital de dispositivos é importante para a prevenção de fraudes
A maioria das fraudes ao nível da conta tem uma característica comum: um dispositivo por trás de muitas identidades. A impressão digital deteta isso no ponto mais inicial possível — registo ou integração — antes que o dinheiro seja movimentado.
- Multi-contas — uma pessoa a gerir muitas contas para evadir limites, proibições ou regras de elegibilidade.
- Abuso de bónus, referências e promoções — o mesmo dispositivo a angariar bónus de registo, testes gratuitos ou pagamentos de referências sob diferentes nomes.
- Redes de fraude — redes coordenadas a operar dezenas de contas a partir de um conjunto partilhado de dispositivos ou infraestrutura.
- Integração de identidade sintética — identidades fabricadas criadas em volume, muitas vezes a partir de um pequeno conjunto de dispositivos.
- Integração de “money mules” — muitas pessoas “diferentes” a registarem-se a partir da mesma máquina.
- Tomada de conta (ATO) — um login ou autenticação de um dispositivo que nunca foi associado ao utilizador legítimo.
Detetar configurações suspeitas também é importante: máquinas virtuais, frameworks de automação, emuladores ou combinações de sinais impossíveis (um agente de utilizador “móvel” com uma GPU de desktop) são, por si só, sinais de alerta.
Como a Didit usa a impressão digital de dispositivos: Análise de Dispositivos e IP
A Didit executa a impressão digital de dispositivos automaticamente em cada sessão de verificação como parte da Análise de Dispositivos e IP — combinando a impressão digital do dispositivo, a recuperação de dispositivos duplicados, a inteligência de IP e a geolocalização numa única superfície de risco. Não há integração separada a construir: os SDKs Web e Móvel recolhem os sinais “in-band” durante o fluxo KYC alojado, e o resultado aparece na carga de decisão sob ip_analyses[].
O que a Didit captura
A Didit envia uma carga útil de impressão digital v2 segura para a privacidade do cliente de verificação:
| Sinal | Para que serve |
|---|---|
| ID persistente do dispositivo | Identificador de primeira parte para deteção exata do mesmo dispositivo enquanto o armazenamento persistir. |
| Hash composto | Hash de sinal agrupado estável para verificações de duplicados determinísticas, com salvaguardas de colisão. |
| Vetor de sinal | Atributos do dispositivo e do navegador/aplicação vetorizados para recuperação de alta confiança. |
| Contexto da plataforma | Navegador, SO, aplicação, hardware, WebGL/canvas, multimédia, localidade, fuso horário e sinais de integridade móvel. |
Em paralelo, enriquece a conexão: geolocalização de IP, deteção de VPN/proxy/Tor/data center, fixação de IP esperado opcional e verificações de lista de bloqueio de IP.
O modelo de correspondência
A parte difícil da impressão digital de dispositivos não é detetar a reutilização óbvia — é detetar a reutilização depois de o fraudador redefinir, sem ligar falsamente utilizadores inocentes que por acaso partilham um pool de WebView ou uma rede de escritório. A Didit separa as camadas para que possa ajustar a sua resposta com segurança:
| Camada | O que deteta | Postura |
|---|---|---|
| ID persistente exato | A mesma identidade de dispositivo de primeira parte na sessão de outro utilizador. | Sinal mais forte → DUPLICATED_DEVICE_FINGERPRINT. |
| Hash composto | O mesmo hash de dispositivo determinístico entre utilizadores. | Salvaguardado por deteção de colisão para que pools comuns de navegador/WebView sejam suprimidos. |
| Dispositivo recuperado v2 | ID persistente alterado, mas sinais ricos correspondem a um dispositivo anterior com alta confiança. | Conservador → DEVICE_RECOVERED_HIGH_CONFIDENCE, apenas após a passagem de barreiras rígidas. |
| Reutilização de IP | O mesmo IP entre utilizadores. | Contextual — escritórios partilhados, agregados familiares e operadoras móveis podem ser legítimos. |
Essa camada de recuperação é o que deteta o truque de limpeza de armazenamento/modo anónimo/reinstalação: mesmo quando o ID persistente muda, o modelo v2 pode ligar a sessão de volta a um dispositivo que já viu antes.
Os avisos sobre os quais pode agir
Cada entrada em ip_analyses[] contém um device_fingerprint, a marca/modelo/navegador/SO do dispositivo, um array matches[] de sessões duplicadas (agrupadas por vendor_data para que o mesmo utilizador não seja sinalizado contra si mesmo) e um conjunto de avisos configuráveis:
| Aviso | Significado | Ação padrão |
|---|---|---|
DUPLICATED_DEVICE_FINGERPRINT | Mesmo dispositivo persistente reutilizado sob uma identidade diferente | Aprovar (configurável) |
DEVICE_RECOVERED_HIGH_CONFIDENCE | Dispositivo recuperado após limpeza de armazenamento/anónimo/reinstalação | Aprovar (configurável) |
DEVICE_FINGERPRINT_IN_BLOCKLIST | Dispositivo corresponde à sua lista de bloqueio | Força a Recusa |
DUPLICATED_IP_ADDRESS | Mesmo IP entre utilizadores | Aprovar (configurável) |
PRIVATE_NETWORK_DETECTED | VPN, proxy ou Tor | Rever (configurável) |
COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP | País do documento ≠ país do IP | Rever (configurável) |
EXPECTED_IP_ADDRESS_MISMATCH | IP ao vivo ≠ o IP que fixou na criação da sessão | Recusar (configurável) |
Pode configurar cada categoria independentemente na Consola Empresarial — aprovar, encaminhar para revisão manual ou recusar definitivamente — e consumir o resultado via webhooks, a API de decisão, o painel de controlo ou o PDF de verificação. Consulte o catálogo completo de avisos.
Um exemplo prático
Aqui está uma decisão Recusada: um IP na lista de bloqueio, tráfego mascarado e um dispositivo reutilizado, tudo numa única sessão.
{
"ip_analyses": [
{
"status": "Declined",
"device_brand": "Generic",
"device_model": "Linux PC",
"browser_family": "Chrome",
"device_fingerprint": "fp_re-used_a13c",
"warnings": [
{ "risk": "IP_ADDRESS_IN_BLOCKLIST" },
{ "risk": "PRIVATE_NETWORK_DETECTED" },
{ "risk": "DUPLICATED_DEVICE_FINGERPRINT" }
],
"matches": [
{
"match_type": "device_fingerprint",
"matched_value": "fp_re-used_a13c",
"device_info": { "brand": "Generic", "model": "Linux PC", "os": "Linux", "platform": "desktop" }
}
]
}
]
}O dispositivo já estava registado sob um vendor_data diferente, o tráfego está mascarado e o IP está na sua lista de bloqueio — três razões independentes para parar a sessão antes que se torne uma conta.
Privacidade e conformidade
A impressão digital de dispositivos enquadra-se na legislação de privacidade (GDPR, ePrivacy e regimes semelhantes tratam os identificadores de dispositivos como dados pessoais). A implementação da Didit foi concebida para ser segura para a privacidade: recolhe uma impressão digital para prevenção de fraude — um propósito de interesse legítimo ligado à verificação que já está a realizar — em vez de para publicidade entre sites. Os sinais são vetorizados e hashed, a correspondência é controlada para evitar a agregação de utilizadores não relacionados, e toda a funcionalidade é executada apenas dentro da sessão de verificação consentida. A Didit é o único fornecedor de identidade formalmente atestado por um governo de um estado-membro da UE (sandbox Tesoro / Banco de España / SEPBLAC de Espanha) como mais seguro do que a verificação presencial.
Como integrar com a Didit
A Análise de Dispositivos e IP é apenas de sessão — não há um endpoint autónomo para chamar. É executada automaticamente em cada sessão:
- (Opcional) Na Consola Empresarial, defina ações de modo estrito por risco — por exemplo, recusar em VPN, rever em dispositivo duplicado, recusar em não correspondência de país versus documento.
- Crie uma sessão —
POST /v3/session/com o seuworkflow_id,vendor_data(envie sempre um valor estável por utilizador para que os duplicados sejam corretamente abrangidos) ecallback. - Abra
session.urlpara o utilizador — o SDK recolhe a impressão digital e o IP “in-band”. - Leia o resultado —
GET /v3/session/{sessionId}/decision/ou subscrevasession.status.updated, e analiseip_analyses[].
curl -X POST 'https://verification.didit.me/v3/session/' \
-H 'x-api-key: YOUR_API_KEY' \
-H 'Content-Type: application/json' \
-d '{
"workflow_id": "YOUR_WORKFLOW_ID",
"vendor_data": "user-123",
"callback": "https://yourapp.com/post-kyc"
}'Referência completa: a visão geral da Análise de Dispositivos e IP, o esquema do relatório e os modelos de dados.
Perguntas Frequentes
Quanto custa a impressão digital de dispositivos com a Didit?
Faz parte da Análise de Dispositivos e IP a 0,03 € por verificação, e é executada dentro da sessão de verificação — sem integração separada. A Didit também oferece 500 verificações gratuitas todos os meses.
Os fraudadores conseguem contornar a impressão digital de dispositivos?
Eles tentam — VMs, navegadores anti-deteção, agentes de utilizador falsificados, reinícios de armazenamento. A Didit combate isso em duas frentes: o modelo de recuperação liga um dispositivo mesmo após a alteração do ID persistente, e os sinais de tráfego mascarado/configurações suspeitas (VPN, Tor, IP de data center, combinações de sinais impossíveis) são apresentados como os seus próprios avisos. Nenhum sinal isolado é decisivo, razão pela qual a Didit retorna um conjunto de camadas que pode combinar de acordo com a sua política.
Irá ligar falsamente dois utilizadores não relacionados?
A Didit protege deliberadamente contra isso: os hashes compostos são suprimidos por uma proteção contra colisões para pools comuns de WebView/navegador, as correspondências de dispositivos recuperados exigem barreiras de alta confiança, e as correspondências são delimitadas por vendor_data para que o mesmo utilizador nunca seja sinalizado contra si mesmo.
Preciso de lidar com o caso em que não há impressão digital?
Sim — ip_analyses[] pode vir vazio se o utilizador bloqueou o script de impressão digital do SDK com uma extensão de privacidade ou bloqueador de conteúdo. Decida antecipadamente se deve falhar fechado ou recorrer aos seus outros sinais de risco.
Isto funciona tanto em telemóveis como na web?
Sim. Os SDKs Web e Móvel recolhem a impressão digital v2, incluindo sinais de integridade móvel, onde disponíveis.
Pronto para começar?
A impressão digital de dispositivos é um sinal na superfície de fraude mais ampla da Didit — emparelhada com inteligência de IP, verificação de documentos, biometria e triagem AML, tudo compondo-se num único fluxo de trabalho.
- Aprenda a funcionalidade → Documentação da Análise de Dispositivos e IP
- Veja na plataforma → Verificação de Utilizador
- Verifique o preço → Preços — Análise de Dispositivos e IP a 0,03 €, 500 verificações gratuitas/mês
- Comece gratuitamente → business.didit.me