Key takeaways
 

巴西是全球数字化程度最高的国家之一，同时也是身份欺诈最严重的国家之一——仅2025年第一季度，欺诈尝试就超过190万次。

手机被盗、民事身份碎片化与薄弱的同意/数据控制，使该国成为有组织犯罪的“肥沃土壤”。

依赖人工审核或一次性生物识别的传统做法，已难以抵御深度伪造、冒名顶替以及INSS这类系统性欺诈。

唯一有效路径是构建“纵深防御”框架：文件核验 + 高级生物识别 + 持续监控 + 可追溯同意，并以公私协作为支撑。

巴西面临一个悖论：高度数字化，却对身份欺诈极度脆弱。举例来说，仅在2025年第一季度就发生近190万起银行欺诈尝试，为自2023年开始统计以来的最高值。

但这还不是全部。到2025年2月，平均每2.2秒发生一次攻击，同比增长约40%。此外，巴西国家数据保护局（ANPD）在2025年8月登记了250多起数据泄露事件，密码盗窃则同比增长160%。

巴西的身份欺诈并非偶发，而是高收益的生意：犯罪组织把实体盗窃、社会工程、人工智能和监管空白拼接起来，形成大规模的欺诈产业链。

因此，本文将阐述如何真正遏制巴西的身份欺诈并降低其影响，避免其持续演变为企业的结构性成本。

问题剖析：让巴西成为欺诈温床的根源

促使身份欺诈高发的五个关键因素：

• 超高数字化与移动经济。 超过2亿巴西人可上网，Pix（巴西央行打造的实时支付系统）等平台频被不法分子利用。
• 犯罪全面“上云”。 从线下到线上。手机被盗（每10个巴西人就有1人受害）成为金融欺诈的入口：低风险、高回报。
• 身份碎片化。 巴西的*Registro Geral（RG）*历史上较为脆弱，骗子长期钻空子。近期甚至曝光一名法官伪称自己出身英国贵族达45年之久。
• 同意与数据控制薄弱。 近期揭露了通过国家社会保障研究所（INSS）对逾400万名退休人员实施的诈骗方案，涉案约63亿雷亚尔。2025年7月，联邦最高法院（STF）批准向受害养老金群体退款；自2025年5月起，解锁“代发工资贷款”必须进行生物识别。
• 数字素养不足。 各类“欺诈套件”（伪造证件与自拍）易得，叠加AI与深度伪造的扩散，让数字素养较低的人群更易中招。

从手机被盗到身份欺诈：犯罪价值链

在巴西，一部被盗手机就可能卷入一场大规模欺诈。该国是此类盗窃的“全球之最”：每年10个巴西人就有1人受害，被盗设备很少以二手机形式回流市场；犯罪分子真正看重的是手机里的数据与访问权限。

一个看似“小事故”，如何演变成身份与金融欺诈：

1. 实体盗窃。 多发生在街头。一些团伙甚至“按需下手”，按社会经济画像挑选受害者。
2. 初始入侵。 通过社会工程、弱口令或直接胁迫解锁设备，进而进入聊天、网银与钱包生态。
3. 账户接管（ATO）。 犯罪者可进一步实施：
   • 通过短信/邮件重置密码，触发SIM换卡（SIM swap）等在巴西尤为严重的问题；
   • 拦截2FA验证码；
   • 接管WhatsApp、社交媒体、Telegram与邮箱，以受害者名义扩散诈骗。
4. 欺诈式开户与身份冒用。 借助相册照片、AI深度伪造或假证件，在数字银行/金融科技平台开设新账户，并以受害者名义申请信贷。
5. 快速变现。 一旦掌握手机访问权，常见变现路径包括：
   • 通过Pix即时转账；
   • 申请小额贷款；
   • 在电商/平台购物；
   • 将数据打包出售至暗网。
6. 洗钱与扩张。 赃款通过“数字骡子”、金融科技或投资基金层层转移。2020—2024年，与PCC相关的一个网络累计洗钱超520亿雷亚尔。

犯罪等式：低风险，高回报

链条上的每一步，都会抬升最初盗窃的“客单价”。受害者往往需数周才能完全夺回账户控制权，而犯罪者的收益却是“即时到账”。一部约500美元的中端机，能撬动“数千美元”的贷款与交易。与此同时，落网概率偏低：执法资源多投向暴力犯罪，数字欺诈侦办相对不足。

对金融机构与金融科技的影响？

欺诈对银行与金融科技的冲击可分三类：

• 直接财务成本： 欺诈损失、拒付（chargeback）与坏账；
• 声誉成本： 用户对金融App与电商的安全感下降；
• 运营成本： 客服支撑、法律争议与追偿流程。

此外，一旦被认定缺乏充分的反欺诈控制，还可能面临巴西央行与ANPD的罚款。

传统做法为何失效

现实是，很多巴西的银行、金融科技与在线博彩运营商，所用身份核验方案已落后于当下欺诈的复杂度——几年前还能当“防线”的控件，如今明显力不从心。

首先，人工审核无法规模化：手动核对证件与自拍既慢又贵，还注定抵不过越来越以假乱真的伪造与深度伪造。

其次，单一生物识别带来虚假的安全感：只在开户时收一张“自拍”，若缺少强健的活体检测与IP/地理位置/证件分析等辅助信号，这道关口太脆弱。

最后，许多企业仍把核验当作一次性的开户动作，而不是持续性的过程。周期性生物认证与随机的IP/定位校验，能显著压降欺诈率。

有效之道：纵深防御框架

面对像巴西这样根深蒂固、近乎“地方病”的欺诈，唯有搭建纵深防御。并非一味加摩擦或加成本，而是让多层控件协同增效。

关键之一，是强化公民身份与数字凭证。国家身份证（Carteira de Identidade Nacional，CIN）是重要一步，但仍需配套现代认证机制，如生物识别。

核验流程需向“反欺诈思维”演进：整合证件核验、带活体的生物识别、人脸1:1比对、设备/IP信号与实时行为分析。

持续监控已对不少受监管主体成为强制要求，也应融入所有核验流：监测交易模式、联查制裁/敏感人物（PEP）名单、识别异常活动等。

另一根支柱是可追溯同意。INSS事件证明：缺少可核验、可撤销的同意记录，系统性欺诈只是时间问题。应建立定期审计与关键变更的额外生物因子。

最后是人。需提升数字素养，尤其是脆弱人群；同时提供快速响应工具：一键冻结、可疑活动的主动预警等。

公共政策与公私协作

仅靠私营技术无法根治巴西身份欺诈。需要协同治理框架：公共部门制定清晰的合规/同意标准，独立审计机构，严惩纵容与失责者；并推动大规模数字素养宣传，重点面向老年人与弱势群体。

与此同时，银行、金融科技、运营商与公共机构必须协作，打击SIM换卡与泄露数据的倒卖。2025年扩展并与银行App打通的“安全手机”（Celular Seguro）计划就是正面案例。

合规与财务关心的KPIs

反欺诈不是“费用”，而是价值主张的投资。用对指标，才能讲清ROI：

• 量化指标： 欺诈/拒付损失下降、运营成本降低、核验时长缩短、合法用户通过率提升；
• 质化指标： 开户更顺滑、用户信任与满意度提升。

当这些指标摆在台面上，财务团队也会看到：反欺诈不仅在“护城”，更在“增效”。

Didit：在巴西验证身份、遏制欺诈的最佳方案

在巴西，企业一面要合规（KYC/AML），一面要对抗与日俱增的欺诈。问题在于，许多本地方案已显短板：IDWall过度依赖人工审核，拖慢开户；Unico缺乏端到端平台，留下可被利用的缺口。

Didit正是为改变这道等式而生。 我们针对巴西欺诈生态而设计：将证件核验、高级生物识别、权威数据源校验与全球筛查，融合进一套灵活、开放、经济的平台。并提供首个免费且无限量的KYC方案，让任何企业都能“零门槛”开启用户核验。

借助Didit，你可自定义核验流程：从开户到生物认证，始终与巴西快速变化的监管保持一致。结果很明确：更少欺诈、更高信任，核验真正为业务增值。