Como os Fraudadores Abrem Contas Bancárias — e Como Impedir (PT-PT)

Cada conta bancária fraudulenta começa no onboarding. No momento em que os analistas de fraude veem os danos — as transferências não autorizadas, os fundos "lavados", a linha de crédito acionada contra uma identidade fabricada — a conta já passou no KYC. A exploração aconteceu antes de o cliente existir.

Este artigo detalha o manual que os fraudadores usam, passo a passo, e mapeia cada técnica para o controlo que a impede.

Principais conclusões

• A fraude na abertura de contas ocorre em cinco fases sobrepostas: aquisição de identidade, produção de documentos, bypass de liveness, ofuscação de dispositivo e rede, e ativação de "mule" pós-abertura.
• Cada fase tem uma contramedida técnica específica. Corrigir uma sem as outras é o que os fraudadores procuram.
• O fluxo KYC básico — Verificação de ID + Liveness Passiva + Correspondência Facial 1:1 + Análise de Dispositivo e IP — fecha os vetores mais comuns a 0,33 € por verificação.
• A Triagem AML deteta identidades de "money mule" que passaram nas verificações de documentos porque o ID era genuíno; a pessoa foi recrutada, não fabricada.
• A Análise de Dispositivo e IP revela redes de fraude através de DUPLICATED_DEVICE_FINGERPRINT e DEVICE_RECOVERED_HIGH_CONFIDENCE — os sinais que aparecem quando um operador executa muitas sessões de onboarding a partir de um conjunto partilhado de máquinas.

Fase 1: Aquisição de identidade

Antes que qualquer fraudador toque no seu fluxo de onboarding, ele precisa de um nome, uma data de nascimento e um número de documento que passe numa verificação de base de dados. Há três maneiras de obter um.

Identidades roubadas são o ponto de partida mais comum. Violações de dados, phishing e mercados da dark web dão aos fraudadores acesso a nomes reais, endereços, números de identificação e, por vezes, digitalizações do documento original — a maioria do que um fluxo KYC pede.

Identidades sintéticas combinam elementos reais e inventados — um Número de Segurança Social (ou número de identificação nacional) genuíno emparelhado com um nome e data de nascimento fabricados. Como o número de identificação é válido, as verificações de formato e checksum passam. A fraude sintética é especialmente dispendiosa em contextos de crédito porque constrói um histórico antes de resgatar.

Identidade como serviço é a versão organizada: redes criminosas a vender kits completos — imagens de documentos antigas, contas de serviços públicos e instruções para o fluxo de onboarding específico que já testaram.

O que o impede: Verificação de documentos além das verificações de formato — OCR em mais de 14.000 modelos de documentos, análise de MRZ e código de barras, leitura de chip NFC — combinada com validação de base de dados contra registos governamentais. IDs reais roubados e IDs sintéticos fabricados deixam assinaturas diferentes nesta camada.

Fase 2: Falsificação e manipulação de documentos

Um número de ID roubado é inútil sem uma imagem que corresponda. Os fraudadores produzem documentos de três maneiras.

A edição de modelos é o nível de entrada: comprar uma digitalização de alta resolução de um documento legítimo e substituir a foto e os dados numa ferramenta de fraude. As falsificações baratas são óbvias; as bem produzidas exigem modelos de ML treinados para serem detetadas.

Documentos impressos e refotografados ignoram algumas defesas de deteção de injeção. O fraudador imprime o documento falsificado, fotografa-o com boa iluminação e submete o resultado — tentando introduzir os artefactos físicos (grão, sombra, reflexo) que os classificadores de documentos esperam de uma captura genuína.

Documentos gerados por IA são um vetor emergente: modelos generativos que produzem imagens de documentos sintéticas suficientemente realistas para enganar revisores humanos.

O que o impede: Análise de liveness de documentos (deteção de superfície plana/impressa), verificações de consistência multi-quadro e classificadores de ML treinados em padrões de fraude. A leitura de chip NFC é a contramedida mais difícil — se o chip validar criptograficamente, o documento é genuíno.

Fase 3: Bypass de liveness — derrotar as verificações biométricas

Um fraudador com um documento falsificado ainda precisa que o rosto corresponda. Os ataques assumem duas formas.

Ataques de apresentação: uma foto impressa, um vídeo num segundo telemóvel ou uma máscara 3D segurada em frente à câmara. Os modelos de liveness modernos são certificados no iBeta PAD Nível 1 para derrotar isso.

Ataques de injeção digital ignoram a câmara completamente. O fraudador injeta um fluxo de vídeo sintético usando software de câmara virtual ou sobreposições de API do navegador. Um rosto deepfake — animado para piscar e seguir sob comando — é servido ao modelo de liveness como se tivesse vindo de uma câmara real. Nenhum ambiente físico é necessário, e escala programaticamente. As contramedidas incluem deteção de driver de câmara virtual, classificadores deepfake ao nível do quadro e verificações de interceção de API.

O que o impede: Liveness Passiva (0,10 €) com inferência sub-2s e mais de 200 sinais de fraude, emparelhada com Correspondência Facial 1:1 (0,05 €) que verifica o rosto ao vivo contra o retrato do documento.

Fase 4: Ofuscação de dispositivo e rede

Uma rede de fraude a gerir dezenas de contas não pode fazê-lo a partir de um único IP e uma única máquina. O padrão operacional: rodar IPs através de VPNs, proxies ou Tor; usar navegadores anti-deteção que randomizam os sinais de impressão digital; executar sessões a partir de máquinas virtuais ou emuladores. O objetivo é parecer, para cada sessão, uma pessoa diferente num lugar diferente. O que o denuncia é que o hardware e a infraestrutura de rede subjacentes são reutilizados.

O que o impede: Análise de Dispositivo e IP (0,03 €), executada automaticamente em cada sessão. Captura uma impressão digital de dispositivo estável a partir de sinais de GPU, compilação do navegador, renderização de tela e atributos de hardware, depois verifica-a contra todas as sessões anteriores. Também enriquece a conexão: deteção de VPN e proxy, deteção de Tor e nó de saída de data center, consistência país-vs.-documento.

Os dois avisos mais importantes para a deteção de redes:

• DUPLICATED_DEVICE_FINGERPRINT — a mesma impressão digital persistente apareceu sob uma identidade diferente numa sessão anterior.
• DEVICE_RECOVERED_HIGH_CONFIDENCE — o ID persistente mudou (armazenamento limpo, incógnito, reinstalação), mas o modelo de recuperação v2 correspondeu ao dispositivo mesmo assim.

Ambos são configuráveis: rever, recusar categoricamente ou aprovar com uma sinalização.

Fase 5: Recrutamento e ativação de money-mule

Nem toda a conta fraudulenta pertence a um ladrão de identidade. Uma grande fração é aberta por pessoas reais usando documentos genuínos — "money mules" recrutados que foram informados de que ganhariam uma comissão por receber e encaminhar fundos. Os documentos KYC são reais. A fraude está no que eles concordaram em fazer.

Os "money mules" são frequentemente afiliados a redes de crime organizado que aparecem em listas de sanções, PEP (Pessoa Politicamente Exposta), meios de comunicação adversos ou listas de vigilância de aplicação da lei. A Triagem AML (0,20 €, mais de 1.300 listas) no onboarding deteta associados de redes de "mules" conhecidos antes de se tornarem contas ativas. O Monitoramento AML contínuo (0,07 €/utilizador/ano) re-verifica à medida que as listas são atualizadas.

O que o impede: Triagem AML no onboarding mais monitoramento contínuo — atores conhecidos e membros de redes emergentes adicionados após o onboarding.

Como o Didit ajuda

Cada uma das cinco fases acima mapeia diretamente para um módulo no fluxo KYC principal.

O pacote básico — Verificação de ID + Liveness Passiva + Correspondência Facial 1:1 + Análise de Dispositivo e IP — é executado como uma única sessão a 0,33 €, cobrindo as fases 2-4. Adicionar a Triagem AML (0,20 €) estende a cobertura ao recrutamento de "mules" (fase 5). Todos os módulos são executados em sequência; o resultado chega numa única "payload" de decisão.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

O URL da sessão vai para o utilizador. A decisão retorna via webhook (session.status.updated) ou GET /v3/session/{sessionId}/decision/.

O Didit é o único provedor de identidade formalmente atestado por um governo de um estado membro da UE (Tesoro / Banco de España / SEPBLAC de Espanha) como mais seguro do que a verificação presencial. 500 verificações gratuitas por mês, sem mínimos.

Casos de uso

Abertura de conta Neobank — o fluxo principal de 0,33 € lida com a principal superfície de ataque. Adicione Triagem AML para requisitos regulamentares e deteção de "mules".

Crédito e empréstimos — a fraude de identidade sintética é a mais alta aqui porque o "payload" é uma linha de crédito. A leitura de chip NFC adiciona certeza criptográfica de que o documento é genuíno.

Onboarding de exchanges de criptomoedas — A Triagem de Carteira (0,15 €/verificação, ou 0,02 € BYOK) estende a cobertura à superfície de fraude de criptomoedas após o KYC.

Perguntas frequentes

Qual é o método mais comum que os fraudadores usam para abrir contas bancárias?

Documentos de identidade roubados combinados com ofuscação de dispositivo. O fraudador usa PII real e uma imagem de documento falsificada, depois encaminha sessões através de VPNs ou navegadores anti-deteção. A verificação de documentos deteta a imagem falsificada; a Análise de Dispositivo e IP deteta a infraestrutura.

O que significa DUPLICATED_DEVICE_FINGERPRINT na prática?

A mesma impressão digital de dispositivo persistente apareceu sob uma identidade diferente numa sessão anterior — um forte sinal de multi-contas ou "mule-farm". Você configura a resposta de acordo com a sua política: rever, recusar categoricamente ou sinalizar para investigação manual.

Quanto custa um fluxo de onboarding completo e resistente a fraudes?

O fluxo principal KYC custa 0,33 €. Adicionar a Triagem AML eleva-o para 0,53 €. 500 verificações gratuitas por mês; sem mínimos.

Pronto para começar?

A fraude na abertura de contas é evitável na camada de infraestrutura — antes de uma conta existir, antes que os fundos se movam, antes que o analista de fraude esteja envolvido.

• Saiba mais sobre o fluxo KYC completo → Documentos de Verificação de Utilizador
• Veja os avisos da Análise de Dispositivo e IP → Visão geral da análise de IP
• Verifique os preços → didit.me/pricing — fluxo principal de 0,33 €, 500 verificações gratuitas/mês
• Comece grátis → business.didit.me