September 11, 2025

KYC na telefonia no Brasil: como travar a fraude (SIM swap e mais)

Q: Que operações devem ser tratadas como de “alto impacto” em telco?

Portabilidade, reposição/duplicado de SIM e alterações de dados sensíveis. Exigem identidade forte com documento, selfie e liveness e, havendo sinais de risco, um período de arrefecimento antes da execução.

#network

#Identity

O que é o SIM swap e por que cresce no Brasil Por que a verificação de identidade tradicional falha em telco?O que diz a regulação no Brasil (resumo prático)Estratégia de KYC para operadoras no Brasil (2025)Como a Didit ajuda as operadoras a reduzir a fraude de identidade Perguntas frequentes

Key takeaways

O SIM swap e o “Mão Fantasma” são hoje os principais vetores de fraude móvel no Brasil; as operadoras, como primeiro elo, sofrem perdas, sanções e erosão de confiança se não protegem o número e os fluxos críticos.
A verificação tradicional falha por depender de dados estáticos expostos, OTP por SMS em canais comprometidos e processos humanos vulneráveis; portabilidade e duplicado/substituição de SIM são os pontos mais críticos e exigem identidade forte, sinais da linha, confirmação por canal alternativo e períodos de arrefecimento.
Normativo: a Anatel exige confirmação por SMS na portabilidade (com janela de resposta); o RGST e o RGC atualizados reforçam transparência e rastreabilidade. O SMS é obrigatório, mas insuficiente como autenticação forte em cenários de alto risco.
Estratégia eficaz e papel da Didit: KYC em tempo real (documento, selfie e liveness), biometria e MFA em fluxos de alto impacto e decisões informadas por sinais da linha; uma plataforma automatizada e flexível reduz a dependência de revisão manual, melhora a deteção e facilita a integração, com preços claros.

O Brasil vive um pico de criminalidade digital em que a linha móvel é o elo fraco: o SIM swap permite aos atacantes assumir o controlo do número e intercetar OTPs (one-time passwords) por SMS para aceder a contas bancárias e outras apps financeiras sensíveis. O resultado? R$ 10,1 mil milhões em perdas bancárias em 2024, segundo a FEBRABAN (Federação Brasileira de Bancos).

Mas as instituições financeiras não são as únicas afetadas. As operadoras de telecomunicações — muitas vezes o primeiro elo da cadeia — também enfrentam perdas diretas, sanções regulatórias e erosão da confiança do cliente devido a fraude de identidade.

O modus operandi dos burlões é claro. Com engenharia social, exploram processos fracos das operadoras e validam-se com dados vazados (ou roubados) na dark web. E não é a única ameaça no radar: o Mão Fantasma tornou-se outro golpe relevante. Consiste em induzir a vítima a instalar uma app de acesso remoto; a partir daí, os criminosos tomam o controlo do telefone sem que a pessoa perceba e conduzem operações bancárias fraudulentas. A banca e a FEBRABAN recomendam não instalar aplicações por indicação telefónica nem conceder acesso remoto a terceiros.

O que é o SIM swap e por que cresce no Brasil

O SIM swap é uma das maiores ameaças para o setor no Brasil. Esta fraude consiste em o criminoso convencer a operadora a emitir um novo SIM com o número da vítima, combinando engenharia social e dados vazados na dark web.

Depois de controlar o número, o atacante captura as OTP por SMS destinadas ao cliente legítimo (para acesso ou recuperação de conta), causando o chamado roubo de conta ou account takeover.

O SIM swap é um problema em expansão, com taxas de sucesso significativas reportadas pelo mercado, o que o mantém como prioridade para equipas de fraude e segurança.

Por que a verificação de identidade tradicional falha em telco?

O Brasil enfrenta um dos cenários de cibercrime mais agressivos do mundo. A cada dois segundos há uma tentativa de fraude de identidade e, em muitos casos, as empresas não conseguem detetar, combater e travar o problema a tempo.

Embora não haja números oficiais sobre a quantidade exata de casos de SIM swap, estima-se que dezenas de milhares de utilizadores possam ser afetados todos os anos.

O foco deve recair na fragilidade das ferramentas e processos atuais. Soluções difundidas no Brasil têm-se mostrado insuficientes por dependerem de validações estáticas, revisões manuais e processos pouco flexíveis. E não é só a ferramenta — as abordagens também falham.

Dados expostos e vulnerabilidade das operadoras

A exposição massiva de dados na dark web significa que, com dados estáticos (como CPF ou data de nascimento), um atacante consegue ultrapassar controlos iniciais básicos. Quando esses dados já são públicos, a verificação baseada no “que sabes” deixa de comprovar identidade.

Além disso, muitos processos internos em telco continuam sobrecarregados de validações humanas (em loja física ou call center) e distantes da análise de sinais de risco em tempo real.

O resultado é um ecossistema em que:

O cliente legítimo sofre fricção que nem sempre bloqueia o atacante.
Criminosos usam informação vazada para duplicar SIM, recuperar contas ou forçar portabilidades.
As decisões apoiam-se em provas fracas (dados estáticos) em vez de provas fortes (biometria com prova de vida, sinais da linha, reputação do dispositivo).

Vazamentos e portabilidade: o ponto cego

A portabilidade entre operadoras e o duplicado/substituição de SIM concentram o maior risco operacional. São eventos de alto impacto: se o atacante os supera, assume o controlo do número e, com ele, das restantes autenticações.

Para combater, as operadoras devem adotar padrões de alta prova:

Identidade forte no pedido (documento + selfie + liveness) tanto em app/web como no call center ou loja.
Sinais do número antes de decidir o canal de autenticação (tipo de linha, antiguidade do SIM, indícios de swap recente).
Confirmação por canal alternativo (push ou e-mail verificado) e períodos de arrefecimento em alterações sensíveis.

O que diz a regulação no Brasil (resumo prático)

A Anatel (Agência Nacional de Telecomunicações) exige que a portabilidade de número móvel seja confirmada por SMS na linha atual do utilizador. O titular tem até 6 horas para responder; se não responder ou responder “não”, o pedido é cancelado automaticamente. Essas medidas não substituem a autenticação forte em cenários de alto risco, mas são o mínimo regulatório que toda telco deve cumprir.

A Agência também aprovou o Regulamento Geral dos Serviços de Telecomunicações (RGST), que consolida e atualiza as regras do setor.

Por sua vez, o Regulamento Geral de Direitos do Consumidor foi recentemente atualizado e consolidado (setembro de 2025), reforçando obrigações de transparência, qualidade e reversibilidade na relação com o utilizador. Isto impacta a forma como são informadas e executadas portabilidades, reposições de SIM e alterações de dados, bem como a rastreabilidade para disputas.

Estratégia de KYC para operadoras no Brasil (2025)

Com as ferramentas e processos certos, as operadoras podem reduzir significativamente a fraude de identidade.

KYC em tempo real durante o onboarding. Verificação de documento, Face Match 1:1 e liveness detection para evitar adesões com identidades sintéticas ou usurpadas.
Biometria facial e MFA em duplicados de SIM e portabilidades. Integrar biometria como parte da MFA em processos críticos eleva a barreira contra a engenharia social.
Decisões guiadas por sinais de risco. Antes de enviar um OTP por SMS, avaliar o risco: tipo de linha, antiguidade do SIM, indícios de swap recente. Se o risco for alto, encaminhar para alternativa (biometria, push/e-mail verificado); se baixo, seguir o fluxo normal.
IA e análise comportamental. Horários, geolocalização e cadência de pedidos ajudam a detetar anomalias e a bloquear proativamente operações fora de padrão.

Como a Didit ajuda as operadoras a reduzir a fraude de identidade

O Brasil enfrenta um volume de fraude excecional e, para as operadoras, a prioridade número um é reduzir as perdas por SIM swap, portabilidade fraudulenta e alterações de dados sensíveis. A Didit é uma plataforma de verificação de identidade concebida com esse objetivo no centro.

O que isso significa na operação?

Menos dependência de supervisão manual. A Didit reduz a necessidade de revisões manuais e melhora a deteção em cenários de alto volume, mantendo controlo e rastreabilidade para auditorias.
Inteligência global de fraude. Opera com uma base mundial de milhares de casos: reconhece padrões e atua em conformidade.
Conexão com fontes governamentais. Integra bases de dados governamentais para as verificações necessárias contra fraude.
Automação ponta a ponta. Evita gargalos de revisão manual e acelera onboarding/servicing sem perder controlo.
Workflows flexíveis e personalizáveis. Alterações de regras sem tickets; passos adicionais por risco quando necessário.
Transparência e facilidade de integração. APIs e módulos no-code para lançar fluxos rapidamente, com preços claros.

Por que a Didit supera as limitações comuns do mercado

Num ambiente em que fornecedores tradicionais se apoiam em validações estáticas, revisões manuais e processos pouco flexíveis, a Didit adiciona uma camada automatizada e orquestrável, ligada a fontes governamentais, que reduz a dependência de revisão manual, melhora a deteção e mantém a experiência sob controlo. Combina verificação de identidade completa com uma base global de padrões de fraude para decidir em tempo real como tratar novas adesões, portabilidades e duplicados de SIM.

KYC para telcos no Brasil: trava o SIM swap com pouca fricção

Cumpre a Anatel e corta a fraude na portabilidade e reposição de SIM com verificação de identidade em tempo real, biometria e orquestração por risco. Com a Didit, podes começar grátis, lançar fluxos personalizados e antecipar o SIM swap.

Fala com a nossa equipa → Começa por ti — gratuitamente

Perguntas Frequentes - KYC em Telco no Brasil

Perguntas frequentes

KYC na telefonia no Brasil: dúvidas comuns e respostas rápidas

Podemos usar apenas o SMS da portabilidade como verificação?

Não. O SMS é uma exigência regulatória da Anatel para confirmar a portabilidade, mas não é autenticação forte. Em alto risco, deve ser complementado com biometria, sinais da linha e confirmação por canal alternativo (push ou e-mail verificado).

Que operações devem ser tratadas como de “alto impacto” em telco?

Portabilidade, reposição ou duplicado de SIM e alterações de dados sensíveis. Exigem identidade forte com documento, selfie e liveness e, havendo sinais de risco, um período de arrefecimento antes da execução.

O que é aceitável afirmar sobre Mão Fantasma num blog corporativo?

É um golpe de acesso remoto por engenharia social: o atacante induz à instalação de uma app e toma o controlo do dispositivo. A recomendação do setor é não instalar apps por telefone nem partilhar códigos.

Como compatibilizar regulação e experiência do utilizador?

Manter o SMS como confirmação obrigatória da portabilidade e aplicar autenticação forte adicional apenas quando o risco assim o exigir. Desta forma, doseia-se a fricção e cumpre-se a Anatel.

O que deve registar uma equipa de compliance?

Rastreabilidade completa: regras invocadas, sinais da linha consultados, evidência biométrica e resultados. Isto facilita auditorias e a resolução de litígios.

Como evitar falsos positivos sem sacrificar segurança em MVNO ou eSIM?

Orquestrar passos adaptativos: em baixo risco, fluxo mínimo; em alto risco, biometria mais canal alternativo e, se for o caso, período de arrefecimento.

Por que não basta usar dados estáticos (CPF, data de nascimento)?

Porque estão amplamente expostos; a verificação baseada no que se sabe já não comprova identidade quando esses dados são públicos.

Que comunicação passar ao cliente final para endurecer o canal?

Mensagens claras: não instalar apps por indicação telefónica, não partilhar códigos e ativar MFA nos serviços.