KYC в банках Бразилии: требования ЦББ и как сдерживать мошенничество в 2025 году

Key takeaways
 

В 1-м квартале 2025 года в Бразилии зафиксировано 3,47 млн попыток мошенничества — примерно раз в 2,2 секунды; на банковский/карточный сектор пришлось 54%.

После атак июля 2025 BCB установил порог R$ 15 000 на операцию для ряда участников и обязал отклонять платежи при обоснованном подозрении на мошенничество.

Эффективная защита сочетает проверку документов, биометрию с liveness, сигналы устройства (IN 491) и непрерывный мониторинг.

Didit снижает мошенничество за счёт автоматизации, no-code/API-воркфлоу и бесплатного безлимитного KYC-плана с прозрачным ценообразованием.

Бразилия сталкивается с тревожным уровнем мошенничества: 3,47 млн попыток лишь за 1-й квартал 2025 года — раз в 2,2 секунды. За тот же период банк/карты дали 54% всех попыток — финансовые организации остаются главным目标ом. В июле 2025 страна пережила крупномасштабную атаку на провайдера, связанного с экосистемой Pix: было выведено не менее R$ 400 млн, затронуты несколько организаций — вскрылись слабые места критических подключений к SPB.

Реакция последовала быстро: Центральный банк Бразилии (BCB) ужесточил правила, введя лимит R$ 15 000 на транзакцию для определённых участников и обязательное отклонение платежей на счета с «обоснованным подозрением мошенничества».

Если вас беспокоит банковское мошенничество в Бразилии, этот материал — понятное руководство по KYC/AML, эволюции регулирования и построению антифрод-обороны без ущерба для клиентского опыта.

Что такое KYC и чем он отличается от CIP в Бразилии

Хотя их часто связывают, KYC (Know Your Customer) и CIP (Customer Identification Program) — разные вещи. KYC — это рамка идентификации, проверки и риск-профилирования клиента на всём жизненном цикле; CIP — конкретная процедура идентификации, подтверждающая данные клиента (ФИО, дата рождения и т. п.).

В бразильском банкинге CIP соответствует procedimentos de identificação do cliente по рамке PLD/FT (AML/CFT) и задаёт основу непрерывного KYC, ожидаемого регуляторами.

Нормативная база Бразилии усиливает риск-ориентированную логику. Circular BCB 3.978/2020 и последующие корректировки (напр., Resolução BCB 119/2021) требуют поддерживать политики и контроли PLD/FT, охватывающие идентификацию/верификацию клиента и мониторинг на всём жизненном цикле. На практике: узнать клиента при онбординге и продолжать знать его дальше (изменения поведения, перевалидации, аудиторские следы).

К этой базе добавляются специальные нормы, влияющие на реализацию KYC в Бразилии. Resolução Conjunta № 6/2023 институционализирует обмен данными об индикаторах мошенничества между организациями, закрывая бреши и ускоряя координированные блокировки; у BCB есть публичный FAQ с практическими разъяснениями.

В экосистеме Pix Instrução Normativa BCB № 491/2024 добавляет критичный операционный слой: учёт и управление устройствами, инициирующими транзакции и управляющими ключами. Для снижения мошенничества незарегистрированные устройства ограничены R$ 200 на операцию и R$ 1 000 в день.

Наконец, после инцидентов 2025 года BCB принял Resolução BCB № 501/2025: она обязывает отклонять платежи в пользу счетов с обоснованным подозрением и уведомлять клиента; см. также Nota 20832 о масштабах и сроках.

Снимок банковского мошенничества в Бразилии

Кража смартфонов — главный вход в финансовую преступность. Поэтому борьба с мошенничеством в телеком-секторе Бразилии — ключ к успеху. Сценарий типовой: завладев устройством, преступники добиваются доступа через социнжиниринг, утечки учётных данных или шантаж владельца. Имея контроль над устройством, они перехватывают SMS, e-mail и прочие OTP, чтобы войти в финсервисы — и тут же начинается кошмар для пользователей и банков.

Масштаб значителен: с января по март 2025 года зафиксировано 3 468 255 попыток (≈ раз в 2,2 с), из них банк/карты — 1 871 979 (54%). По пострадавшим и деньгам: более 24 млн бразильцев стали жертвами мошенничества через Pix или ложные boletos с июня 2024 по июнь 2025, средний ущерб — R$ 1 198 на человека, суммарный — около R$ 29 млрд.

Что такое «ложные boletos» и почему это важно?

В Бразилии boleto bancário — это платёжная квитанция с штрих-кодом или QR. В ложных boletos код подменён, и платёж уходит на счёт мошенника, хотя PDF/верстка выглядят легитимно. Митигация: банкам нужно валидировать получателя (имя и CNPJ), банк-эмитент и QR в аутентифицированных каналах и усиливать KYC получателя (новые либо атипичные счета).

Deepfakes, SIM-swap и подмена личности: точечных решений мало

Одна биометрия (разовый селфи) не выдержит подделок и deepfake. Она эффективна в составе многоуровневой обороны: проверка документов, 1:1 Face Match, liveness, сигналы устройства и поведенческие признаки для авторизации чувствительных операций.

Пора закрывать дыры. Ряд распространённых в Бразилии платформ имеет ограничения: IDWall чрезмерно опирается на ручные проверки (дольше и дороже), а Unico фокусируется на бинарном риске по фото/CPF и не даёт end-to-end-платформу с док-верификацией, AML и гибкими воркфлоу.

В условиях массового мошенничества эти пробелы оборачиваются потерями и фрикцией.

Регуляторный контур для банков: ключевые нормы 2025

• Resolução Conjunta № 6/2023 (BCB/CMN). Обязывает стандартизированный обмен индикаторами/данными мошенничества между институтами для ускорения совместных действий. У BCB есть спец-FAQ с практикой.
• Instrução Normativa BCB № 491/2024. Директивы по учёту и управлению устройствами, инициирующими Pix/управляющими ключами. Незарегистрированные устройства: R$ 200 за транзакцию и R$ 1 000 в сутки.
• Пакет BCB — сентябрь 2025 (Res. 496, 497, 498). Лимит R$ 15 000 на операцию (Pix/TED), если провайдер счёта плательщика — неавторизованный IP либо участник подключён к RSFN через PSTI; лимит может быть снят при доказанных контролях. Res. 498 описывает требования к аккредитации PSTI (governança, безопасность, мониторинг, аудит).
• Res. BCB № 501/2025 (11 сент.). Обязывает отклонять платежи на счета с обоснованным подозрением; немедленное вступление и короткие сроки доработки систем. См. Nota 20832.

Как бороться с мошенничеством: многоуровневая оборона в банковском KYC

1. Кросс-проверка документов. OCR и AI для выявления правок; валидации по официальным источникам и корреляция по гео/IP.
2. Биометрия. 1:1 Face Match, Liveness Detection и биометрическая аутентификация для переиспользования учёток в риск-операциях.
3. Непрерывный мониторинг. Скрининг по санкционным/PEP-листам, негативным медиасюжетам, общим «чёрным спискам» (RC 6/2023) с алертингом в реальном времени.
4. Отслеживаемое и аудируемое согласие. Проверяемая/отзываемая история согласий (смена устройства, Pix-ключи, лимиты).
5. Интеграция с «Celular Seguro». Кнопка моментальной блокировки после кражи телефона и быстрое обменивание сигналами с банками/властями.

Лучшие практики для экосистемы Pix

Инцидент июля 2025 с провайдером коннекта к Pix выявил слабости критичных третьих сторон; сообщения указывают на ≥ R$ 400 млн вывода и множественные пострадавшие организации. Регулятор отреагировал незамедлительно: лимит R$ 15 000 для неавторизованных IP или подключений через PSTI (Provedor de Serviços de Tecnologia da Informação), а спустя несколько дней — мандат отклонять платежи на подозрительные счета, усилив ответственность банков за решение и его обоснование.

Как Didit помогает банкам Бразилии снижать мошенничество

Командам комплаенса, которым нужно сократить мошенничество без «узких мест» в онбординге, Didit даёт больше сигналов, больше автоматизации и меньше ручных проверок. Платформа комбинирует проверку документов, биометрию с liveness и 1:1 Face Match, валидации по официальным источникам и AML-скрининг, чтобы резать подмены, синтетические личности и deepfake глубже, чем ручные флоу.

Ядро Didit — три слоя:

1. Документ + биометрия (ID Verification, 1:1 Face Match, Liveness Detection), чтобы гарантировать реального человека здесь и сейчас.
2. Валидация по гос/официальным источникам, когда доступны, чтобы подкрепить то, что «видит» камера.
3. AML-скрининг и непрерывный мониторинг, чтобы сверять пользователей с глобальными списками санкций/PEP/негативных СМИ и переоценивать риск в реальном времени.

Вместе слои снижают мошенничество и ложноположительные с трассируемостью для аудита. Оркестрация — ещё одно отличие: no-code-воркфлоу запускаются за минуты, открытые API/SDK — для кастомизации. Модель цен прозрачна: у нас первый и единственный бесплатный безлимитный KYC-план с премиум-функциями без подписок и минимумов, предоплаченные кредиты не сгорают. Оплата — только за завершённые проверки для тонкого контроля затрат.

Итог для комплаенса: меньше ручной проверки, быстрее онбординг, выше конверсия и контроль с первой секунды — без ущерба UX и с мгновенным запуском в sandbox.