KYC nos bancos do Brasil: requisitos do BCB e como travar a fraude em 2025

Key takeaways
 

O Brasil registou 3,47 M de tentativas de fraude no 1T-2025 (cerca de uma a cada 2,2 s); o setor bancário/cartões concentrou 54%.

Após os ataques de julho de 2025, o BCB impôs limite de R$ 15.000 por operação para certos participantes e passou a exigir o rejeite de pagamentos com suspeita fundada de fraude.

Uma defesa eficaz combina verificação documental, biometria com liveness, sinais de dispositivo (IN 491) e monitorização contínua.

A Didit reduz fraude com mais automatização, workflows no-code/APIs e um plano KYC gratuito e ilimitado com preços transparentes.

O Brasil enfrenta um nível de fraude preocupante: 3,47 milhões de tentativas só no 1.º trimestre de 2025 — uma a cada 2,2 segundos. No mesmo período, bancos e cartões concentraram 54% das tentativas, confirmando as instituições financeiras como principal alvo. Em julho de 2025, o país também sofreu um ciberataque em larga escala a um fornecedor ligado ao ecossistema Pix, com pelo menos R$ 400 milhões desviados e várias instituições afetadas, expondo fragilidades em ligações críticas com o SPB.

A resposta foi imediata: o Banco Central do Brasil (BCB) endureceu as regras com limite de R$ 15.000 por transação para certos participantes e rejeição obrigatória de pagamentos para contas com “suspeita fundada de fraude”.

Se a fraude bancária no Brasil é uma preocupação, este artigo oferece um guia claro sobre processos KYC/AML, a evolução da norma e como reforçar uma defesa antifraude sem degradar a experiência do cliente.

O que é KYC e em que difere do CIP no contexto brasileiro

Embora frequentemente andem juntos, KYC (Know Your Customer) e CIP (Customer Identification Program) não são a mesma coisa. KYC é o enquadramento de identificação, verificação e perfil de risco ao longo de todo o ciclo de vida do cliente; CIP é o procedimento específico de identificação que verifica os dados fornecidos (nome, data de nascimento, etc.).

No setor bancário brasileiro, CIP equivale aos procedimentos de identificação do cliente exigidos pelo quadro PLD/FT (AML/CFT) e estabelece as bases para o KYC contínuo esperado pelos reguladores.

O enquadramento normativo brasileiro reforça esta lógica baseada no risco. A Circular BCB 3.978/2020 e ajustes subsequentes (como a Resolução BCB 119/2021) impõem políticas e controlos PLD/FT que cubram identificação/verificação e monitorização durante todo o ciclo de vida. Na prática: conhecer o cliente no onboarding e continuar a conhecê-lo depois (alterações de comportamento, revalidações, evidências de auditoria).

A esta base somam-se normas específicas que impactam a execução do KYC no Brasil. A Resolução Conjunta n.º 6/2023 institucionaliza o partilha de dados sobre indícios de fraude entre instituições, fechando lacunas e acelerando bloqueios coordenados; o BCB mantém uma FAQ pública com alcance prático.

No ecossistema Pix, a Instrução Normativa BCB n.º 491/2024 acrescenta uma camada operacional crítica: registo e gestão de dispositivos que iniciam transações e gerem chaves. Para reduzir fraude, dispositivos não registados têm limites por transação (R$ 200) e limites diários (R$ 1.000).

Por fim, após os incidentes de 2025, o BCB aprovou a Resolução BCB n.º 501/2025: obriga ao rejeite de pagamentos destinados a contas com suspeita fundada e à comunicação da decisão ao cliente; ver também a Nota 20832 com âmbito e prazos.

Radiografia da fraude bancária no Brasil

O roubo de telemóveis continua a ser a principal porta de entrada do crime financeiro. Por isso, travar a fraude no setor das telecomunicações no Brasil é crucial. O modus operandi é conhecido: com o dispositivo na mão, os criminosos forçam acessos via engenharia social, credenciais vazadas ou até extorsão. Com controlo do dispositivo, intercetar SMS, e-mails e outros OTP para invadir plataformas financeiras torna-se trivial — e começa o pesadelo para utilizadores e bancos.

A dimensão não é marginal: entre janeiro e março de 2025, o Brasil registou 3.468.255 tentativas (≈ 1 a cada 2,2 s) e o segmento bancos/cartões acumulou 1.871.979 (54%). Em pessoas e dinheiro, mais de 24 milhões de brasileiros foram vítimas de golpes via Pix ou boletos falsos entre junho de 2024 e junho de 2025, com perda média de R$ 1.198 por pessoa e impacto agregado próximo de R$ 29 mil milhões.

O que são “boletos falsos” e por que importam?

No Brasil, o boleto bancário é um título de cobrança com código de barras ou QR. Nos boletos falsos, esse código é manipulado para que o pagamento vá para a conta do fraudador, mesmo que o PDF/aspeto pareça legítimo. Para mitigar, os bancos devem validar beneficiário (nome e CNPJ), banco emissor e QR em canais autenticados, além de reforçar o KYC do destinatário (contas novas ou atípicas).

Deepfakes, SIM swap e usurpação de identidade: soluções pontuais não chegam

A biometria isolada (um selfie pontual) não é suficiente face a falsificações e deepfakes. Funciona melhor integrada numa defesa em profundidade: verificação documental, Face Match 1:1, liveness e sinais de dispositivo/comportamento para autorizar operações sensíveis.

Hora de fechar lacunas. Algumas plataformas populares no Brasil mostram limites: a IDWall depende em excesso de revisões manuais (mais lentas e caras), enquanto a Unico foca o risco binário de foto/CPF e não oferece uma plataforma end-to-end com verificação documental, AML e workflows flexíveis.

Num ambiente de fraude massiva, estas falhas traduzem-se em perdas e fricção.

Quadro regulatório para bancos: as principais normas de 2025

• Resolução Conjunta n.º 6/2023 (BCB/CMN). Obriga a partilha padronizada de dados/indícios de fraude entre instituições, acelerando respostas coordenadas. O BCB mantém uma FAQ específica com orientações práticas.
• Instrução Normativa BCB n.º 491/2024. Diretrizes para registar e gerir dispositivos que iniciam transações Pix/gerem chaves. Dispositivos não registados: R$ 200 por transação e R$ 1.000 diários.
• Pacote BCB — setembro de 2025 (Res. 496, 497, 498). Teto de R$ 15.000 por operação (Pix/TED) quando o provedor da conta do pagador for uma IP não autorizada ou o participante se ligue à RSFN via PSTI; o limite pode ser levantado se existirem controlos comprovados. A Res. 498 define requisitos de credenciamento de PSTI (governança, segurança, monitorização, auditoria).
• Res. BCB n.º 501/2025 (11 set). Obriga as instituições a rejeitar pagamentos destinados a contas com suspeita fundada; vigência imediata e prazos curtos para adequação de sistemas. Ver Nota 20832.

Como combater a fraude: defesa em profundidade aplicada ao KYC bancário

1. Verificação documental cruzada. OCR e análise por IA para detetar adulterações; validações em fontes oficiais e correlação IP/geo.
2. Biometria. Face Match 1:1, Liveness Detection e autenticação biométrica para reutilizar credenciais em operações de risco.
3. Monitorização contínua. Screening contra listas de sanções/PEP, meios adversos, listas negativas partilhadas (RC 6/2023) com alertas em tempo real.
4. Consentimento rastreável e auditável. Histórico verificável e revogável (trocas de dispositivo, chaves Pix, limites).
5. Integração com o Celular Seguro. Botão de bloqueio imediato após roubo do telemóvel e troca ágil de sinais com bancos/autoridades.

Boas práticas para o ecossistema Pix

O incidente de julho de 2025 contra um fornecedor de conectividade do Pix revelou fragilidades de terceiros críticos; relatos apontam para ≥ R$ 400 milhões desviados e várias instituições afetadas. O regulador reagiu de pronto: teto de R$ 15.000 para IPs não autorizadas ou ligações via PSTI (Provedor de Serviços de Tecnologia da Informação) e, dias depois, um mandato para rejeitar pagamentos a contas suspeitas — reforçando a responsabilidade dos bancos na decisão e na sua fundamentação.

Como a Didit ajuda bancos brasileiros a reduzir a fraude

Para equipas de compliance que precisam reduzir fraude sem travar o onboarding, a Didit entrega mais sinais, mais automatização e menos revisão manual. A plataforma combina verificação documental, biometria com liveness e Face Match 1:1, validação em fontes oficiais e AML Screening para cortar usurpações, identidades sintéticas e deepfakes com profundidade que fluxos manuais não atingem.

O núcleo da Didit assenta em três camadas:

1. Documento + biometria (ID Verification, Face Match 1:1 e Liveness Detection) para garantir pessoa real presente no momento de verificação.
2. Validação com fontes oficiais/governamentais, quando disponíveis, para reforçar o que a câmara capta.
3. AML Screening e monitorização contínua, para avaliar utilizadores contra listas globais de sanções/PEP/meios adversos e reavaliar o risco em tempo real.

Em conjunto, estas camadas reduzem fraude e falsos positivos, com traçabilidade para auditoria. A orquestração é outro diferencial: workflows no-code para lançar em minutos e APIs/SDKs abertos para personalização. O modelo de preços é transparente: oferecemos o primeiro e único plano de KYC gratuito e ilimitado, com funcionalidades premium sem subscrições nem mínimos e créditos pré-pago que não expiram. Só paga por verificações concluídas, mantendo controlo fino do gasto.

O resultado para compliance: menos revisão manual, onboarding mais rápido, melhor conversão e controlo desde o primeiro segundo — sem sacrificar a UX e com sandbox imediato.