Deteção de Fraude Documental: Técnicas Eficazes (PT-PT)

A fraude documental é a apresentação de um documento de identidade falsificado, fabricado ou roubado para passar uma verificação. É o ponto de entrada para a maioria dos crimes de identidade subsequentes: uma vez que um fraudador tenha ultrapassado a verificação documental, pode abrir contas, aceder a crédito, movimentar dinheiro e criar pseudónimos que persistem até que alguém investigue mais a fundo.

O problema da deteção não é estático. As técnicas de fraude evoluem a par das ferramentas que as possibilitam — e as ferramentas melhoraram significativamente. Compreender os tipos de falsificação e os sinais de deteção que as contrariam é o ponto de partida para construir uma verificação robusta.

Principais conclusões

• A fraude documental divide-se em quatro categorias principais: originais manipulados digitalmente, falsificações baseadas em modelos, reproduções impressas e fotografadas, e IDs sintéticos gerados por IA.
• A MRZ (Zona de Leitura Ótica) contém dígitos de verificação que validam a consistência dos dados do documento — falhas no checksum MRZ são um sinal de fraude fiável e de baixo custo.
• A autenticação por NFC (Near-Field Communication) lê dados do chip assinados pelo emissor que não podem ser forjados sem a chave privada do governo emissor.
• A análise visual e estrutural — renderização de fontes, geometria de características de segurança, estrutura de camadas — deteta reproduções manipuladas digitalmente e impressas que parecem corretas ao olho humano.
• A Verificação de ID da Didit processa mais de 200 sinais de fraude em menos de dois segundos a 0,15 € por verificação, em mais de 14.000 tipos de documentos em mais de 220 países e territórios.

Os quatro tipos de falsificação

1. Originais manipulados digitalmente

O atacante parte de um documento genuíno — o seu próprio ou roubado — e altera campos específicos: nome, data de nascimento ou número do documento. O documento base é real, pelo que a correspondência de modelos e algumas verificações estruturais passam. A manipulação é detetável através de:

• Análise de artefactos de imagem: re-codificação de compressão JPEG, inconsistências de píxeis e artefactos de clonagem em torno de campos editados.
• Renderização de fontes: documentos legítimos usam técnicas de impressão (gravação a laser, jato de tinta em policarbonato) que produzem assinaturas de píxeis diferentes das ferramentas de edição digital.
• Consistência tipográfica: o espaçamento de caracteres e o alinhamento da linha de base em documentos genuínos seguem padrões específicos do emissor; caracteres substituídos frequentemente quebram esses padrões.

2. Falsificações baseadas em modelos

O atacante constrói um documento do zero usando um modelo descarregado ou de engenharia inversa do documento genuíno. O layout, as fontes e o esquema de cores podem estar corretos; as características de produção subjacentes não estão.

A deteção baseia-se em:

• Análise de características de segurança: cartões de identificação genuínos incluem microimpressão, padrões guilhoché, tintas reativas a UV e números de série perfurados a laser. As falsificações impressas em equipamentos padrão reproduzem estas características como imagens estáticas, não como os elementos de segurança físicos.
• Pontuação de desvio do modelo: a Didit mantém uma base de dados de referência de modelos de documentos genuínos conhecidos. Os documentos submetidos são comparados com a gramática visual esperada — tolerâncias de espaçamento, posições de campo, geometria do logótipo — para o tipo de documento declarado.
• Validação do checksum MRZ: a MRZ codifica dígitos de verificação redundantes no número do documento, data de nascimento, validade e um campo composto. Um documento fabricado que inventa estes valores deve satisfazer todas as restrições de checksum simultaneamente, e muitos não o fazem.

3. Reproduções impressas e fotografadas

O atacante imprime uma falsificação digital e fotografa-a para criar uma imagem que se parece com um documento físico submetido através de uma câmara. Esta categoria é especialmente relevante para fluxos de selfie-mais-ID onde o utilizador segura o documento para uma câmara.

Os sinais de deteção incluem:

• Deteção de padrão moiré: imprimir uma imagem digital e voltar a fotografá-la cria padrões de interferência moiré na imagem que não estão presentes num documento genuíno fotografado diretamente.
• Pistas de profundidade e reflexão: um cartão de identificação de policarbonato genuíno reflete a luz de forma diferente de uma folha plana impressa. A análise dos padrões de reflexão especular pode distinguir os dois.
• Adjacência de vivacidade: um documento impresso exibido numa verificação de vivacidade em vídeo comporta-se de forma diferente de um genuíno no espaço tridimensional — posições da cabeça e do documento, consistência do reflexo e geometria da sombra, tudo transporta sinal.

4. IDs sintéticos gerados por IA

A categoria mais recente e de evolução mais rápida. As ferramentas generativas podem agora produzir imagens fotorrealistas de documentos de identidade — fontes corretas, estética correta de características de segurança, layouts corretos de campos de dados — sem partir de um documento genuíno.

Estes documentos anulam muitos métodos de inspeção visual porque não existe um documento genuíno subjacente do qual divergir. A deteção requer:

• Autenticação por chip NFC: uma imagem gerada por IA não pode produzir um chip com uma carga útil criptográfica válida assinada pelo governo. Para documentos com chip (passaportes eMRTD, IDs nacionais da UE modernos), exigir uma leitura NFC elimina totalmente os IDs sintéticos.
• Validação cruzada de bases de dados: o número do documento pode ser verificado em bases de dados do emissor em jurisdições que expõem APIs de consulta. Um número de documento que não existe no registo do emissor é um sinal forte.
• Sinais forenses de metadados: os modelos generativos introduzem artefactos estatísticos em domínios de frequência de imagem que são detetáveis através da análise de ruído, mesmo quando a saída visual parece fotorrealista.

Checksum MRZ: a verificação de sanidade gratuita

Todo o documento de viagem e muitos documentos de identidade nacionais incluem uma Zona de Leitura Ótica (MRZ) — as duas ou três linhas de caracteres na parte inferior da página de dados biográficos. A MRZ foi concebida para ser lida por máquina e segue a norma ICAO (Organização da Aviação Civil Internacional) 9303.

Incorporados na MRZ estão dígitos de verificação: valores de um único dígito calculados a partir de um algoritmo de módulo-10 ponderado aplicado ao número do documento, data de nascimento, data de validade, dados opcionais e um composto de todos os anteriores. Os dígitos de verificação de um documento genuíno devem satisfazer as cinco restrições simultaneamente.

Um fraudador que fabrica ou altera uma MRZ deve conhecer o algoritmo e aplicá-lo corretamente, ou deixar os dígitos de verificação inconsistentes. Muitos não o aplicam corretamente. A validação do checksum MRZ é rápida, barata e deteta uma percentagem consistente de falsificações de baixo esforço antes de qualquer análise de imagem ser executada.

Autenticação de chip NFC: o sinal de maior garantia

Para documentos que possuem um chip eMRTD, a leitura NFC é a verificação antifraude mais forte disponível. O chip armazena dados biográficos assinados pela chave privada do governo emissor. A Autenticação Passiva verifica esta assinatura contra a chave pública do emissor — dados adulterados não podem produzir uma assinatura válida, e uma assinatura válida não pode ser produzida sem a chave do governo emissor.

Imagens geradas por IA, falsificações impressas e até chips clonados (que a Autenticação Ativa deteta via desafio-resposta) falham todos nesta etapa. Para fluxos de verificação de alta garantia, exigir uma leitura NFC em documentos com capacidade de chip é a medida de redução de fraude mais eficaz disponível.

Como a Didit ajuda

A Verificação de ID da Didit processa mais de 200 sinais de fraude em cada submissão de documento em menos de dois segundos. A camada de análise abrange:

• Análise de MRZ e validação de checksum em todos os tipos de documentos definidos pela ICAO
• Correspondência de modelos contra uma biblioteca de referência de mais de 14.000 tipos de documentos de mais de 220 países e territórios
• Análise de artefactos de imagem, fontes e características de segurança
• Autenticação de chip NFC (Passiva e Ativa) para documentos eMRTD
• Validação cruzada de bases de dados contra registos governamentais onde APIs de consulta estão disponíveis

Todos estes sinais alimentam uma única decisão de sessão. Quando um sinal excede um limiar configurado, a sessão é marcada para revisão em vez de ser aprovada automaticamente — e os sinais específicos que a desencadearam estão disponíveis na carga útil da decisão da sessão.

O Construtor de Fluxos de Trabalho na Consola de Negócios permite configurar a agressividade com que cada tipo de sinal controla a sessão: aprovar, rever ou recusar. Isto significa que pode aplicar controlos mais rigorosos para tipos de transação de maior risco (grandes depósitos, levantamentos de criptomoedas) e controlos mais leves para onboarding de baixo risco sem alterar o código.

Preço: 0,15 € por verificação de ID. Adicione Leitura NFC (0,15 €) e Validação de Base de Dados (variável) para um nível de maior garantia. O fluxo central KYC completo — ID + Vivacidade Passiva + Comparação Facial 1:1 + Análise de IP — custa 0,33 €. 500 verificações gratuitas por mês, sem mínimos, 3–5 vezes mais barato do que os fornecedores legados.

Casos de uso

Onboarding de Fintech e Neobancos — os serviços financeiros regulados enfrentam obrigações AML que exigem verificação de identidade na abertura de conta. A deteção de fraude documental é a primeira linha; a sessão combina-a com vivacidade e rastreio AML.

KYC para exchanges de criptomoedas — as exchanges que fazem onboarding de utilizadores para negociação spot ou off-ramps fiat enfrentam fraude de identidade de utilizadores que usam identidades falsas para separar contas de identidades do mundo real. A deteção de ID gerados por IA e as leituras NFC são cada vez mais relevantes para contas de alto valor.

Plataformas de marketplace e gig economy — as plataformas da gig economy que verificam a identidade de motoristas ou entregadores precisam de confirmar que a pessoa por trás do documento é real e que o documento não foi reciclado de uma conta anterior.

Indústrias com restrição de idade — as plataformas de iGaming e álcool precisam de confirmar a idade e a identidade; a fraude documental com campos de data de nascimento alterados é a principal técnica de evasão da verificação de idade.

Perguntas frequentes

Quanto custa a Verificação de ID?

0,15 € por verificação. O fluxo central KYC completo — ID + Vivacidade Passiva (0,10 €) + Comparação Facial 1:1 (0,05 €) + Análise de IP (0,03 €) — custa 0,33 € com 500 verificações gratuitas por mês e sem mínimos.

Que tipos de documentos são suportados?

Mais de 14.000 tipos de documentos em mais de 220 países e territórios, incluindo passaportes, IDs nacionais, cartas de condução e autorizações de residência.

A Didit deteta IDs falsos gerados por IA?

Sim, através de uma combinação de análise forense de imagem e — para documentos com capacidade de chip — autenticação NFC. Uma imagem gerada por IA não pode produzir uma carga útil de chip válida assinada pelo governo.

O que é um checksum MRZ e por que é importante?

A MRZ (Zona de Leitura Ótica) contém dígitos de verificação que devem satisfazer um algoritmo padrão. Uma MRZ fabricada ou alterada que não calcula corretamente é um sinal de fraude imediato, detetada antes de qualquer análise de imagem ser executada.

A deteção de fraude documental substitui as verificações de vivacidade?

Não — a deteção de fraude documental verifica o documento; as verificações de vivacidade verificam se a pessoa que o submete é real e presente. Ambas são necessárias para confirmar que um documento genuíno está a ser usado pelo seu titular legítimo.

Pronto para começar?

A verificação documental é a camada central da infraestrutura de identidade e fraude da Didit — combine-a com Vivacidade Passiva, Leitura NFC, Rastreio AML e Validação de Base de Dados num único fluxo de trabalho composable.

• Consulte a documentação → docs.didit.me
• Veja na plataforma → Página do produto Verificação de Utilizador
• Verifique o preço → Preços — Verificação de ID a 0,15 €, 500 verificações gratuitas/mês
• Comece gratuitamente → business.didit.me