巴西银行业 KYC：BCB 要求、合规规范与 2025 年防欺诈实战

Key takeaways
 

2025 年一季度，巴西记录 3,470,000+ 次欺诈未遂（约 每 2.2 秒 1 次）；银行/卡场景占比 54%。

2025 年 7 月攻击事件后，BCB 对部分主体设定 R$ 15,000 单笔上限，并要求对存在“合理怀疑”的收款账户拒付。

有效防御应结合证件核验、活体检测生物识别、设备信号（IN 491）与持续监控。

Didit 通过更高自动化、无代码/API 流程与免费且不限量的 KYC 方案，以透明计费降低欺诈。

巴西正面临严峻的欺诈形势：仅 2025 年第一季度就发生了347 万次未遂（约每 2.2 秒 1 次）。同期，银行和银行卡场景占 54%，金融机构仍是主要攻击目标。2025 年 7 月，国内还发生了针对 Pix 生态连接供应商的大规模网络攻击，至少 R$ 4 亿被转移，多家机构受影响，暴露了与 SPB 的关键连接薄弱点。

监管迅速响应：巴西央行（BCB）对部分参与者设定单笔 R$ 15,000 上限，并强制拒绝向涉嫌欺诈账户的付款。

若你关注巴西银行欺诈风险，本文将提供清晰的 KYC/AML 流程要点、法规演进，以及如何在不牺牲客户体验的前提下构建低摩擦的反欺诈防线。

何为 KYC？与巴西语境下的 CIP 有何不同

尽管常被并称，KYC（了解你的客户） 与 CIP（客户身份识别计划） 并非同一概念：KYC 是覆盖客户全生命周期的识别、验证与风险画像框架；而 CIP 是具体的身份识别流程，用于核验客户提交的数据（姓名、生日等）。

在巴西银行业，CIP 基本对应 PLD/FT（反洗钱/反恐融资）框架要求的 procedimentos de identificação do cliente（客户识别程序），为监管所要求的持续性 KYC打下基础。

巴西监管强调基于风险的逻辑： Circular BCB 3.978/2020 及后续调整（如 Resolução BCB 119/2021）要求机构在客户全生命周期中保持覆盖身份识别/核验与持续监控的 PLD/FT 政策与控制。实务上，即开户要“认识 TA”，此后要“持续认识 TA”（行为变化、复核、审计证据）。

此外，还有直接影响 KYC 执行的专项规则： Resolução Conjunta nº 6/2023 将跨机构共享欺诈线索数据制度化，有助于封堵漏洞、联动拦截；BCB 并维护了实务导向的公开 FAQ。

在 Pix 生态内，Instrução Normativa BCB nº 491/2024 增加了关键的发起设备登记与管理要求：为降低欺诈，未登记设备将被施加单笔 R$ 200、日累计 R$ 1,000 的限制。

最后，针对 2025 年事件，BCB 发布了 Resolução BCB nº 501/2025，要求对“有合理怀疑”的收款账户直接拒付，并通知客户；详见公告 20832 的范围与时限。

巴西银行欺诈画像

手机被盗仍是金融犯罪的主要入口。因此，治理巴西电信行业欺诈至关重要。常见手法是：获取设备后，通过社工、泄露凭据或胁迫突破访问控制；一旦掌控设备，**拦截短信、邮件等一次性验证码（OTP）**便成为可能，继而入侵金融平台——用户与银行的噩梦由此开始。

规模并不小：2025 年 1–3 月，巴西记录 3,468,255 次未遂（≈ 每 2.2 秒 1 次），其中 银行/卡场景 1,871,979 次（占 54%）。在人身与资金损失方面，2024 年 6 月至 2025 年 6 月， 超 2400 万 巴西人遭遇 Pix 或虚假 boleto 诈骗，人均损失 R$ 1,198，合计接近 R$ 290 亿。

什么是“虚假 boleto”，为何重要？

在巴西，boleto bancário 是带条码或二维码的付款单。虚假 boleto 会篡改这些代码，使款项转入骗子账户，即便 PDF/版式看上去很“真”。缓解之道：在认证渠道内校验收款人（姓名与 CNPJ）、出票行与 QR，并对**收款方（新开/异常账户）**强化 KYC。

深度伪造、SIM 交换与冒名顶替：单点方案不够用

仅靠一次性自拍的生物识别难以抵御伪造与深度伪造。最佳实践是纳入纵深防御：证件核验 + 1:1 人脸比对 + 活体检测 + 设备/行为信号，在敏感操作上实施更强授权。

落到执行层面，一些在巴西广泛使用的平台存在短板：IDWall 过度依赖人工复核（更慢、更贵）；Unico 偏重“照片/CPF 二元风险”，欠缺覆盖证件核验、AML 与灵活流程编排的端到端平台。

在高欺诈环境中，这些不足会转化为损失与摩擦。

银行业监管框架：2025 年重点规定

• Resolução Conjunta nº 6/2023（BCB/CMN）：标准化跨机构共享欺诈线索/数据，加速联动响应。BCB 提供专门 FAQ（实务导向）。
• Instrução Normativa BCB nº 491/2024：关于登记/管理发起 Pix/密钥管理的设备；未登记设备：单笔 R$ 200、日累计 R$ 1,000。
• BCB 监管组合——2025 年 9 月（Res. 496、497、498）：当付款人账户提供方为未授权支付机构（IP）或经由 PSTI 连接 RSFN 时，Pix/TED 单笔上限 R$ 15,000；若能证明控制措施到位，可申请放开。Res. 498 明确 PSTI 准入（治理、安全、监控、审计）要求。
• Res. BCB nº 501/2025（9 月 11 日）：强制对存在合理怀疑的收款账户拒付；立即生效，系统改造时限较短。参见公告 20832。

如何作战：把“纵深防御”落地到银行 KYC

1. 交叉证件核验：OCR 与 AI 识别篡改；对接官方/权威源校验，并结合 IP/地理 关联分析。
2. 生物识别：1:1 人脸比对、活体检测与生物认证，在高风险操作中复用可信凭据。
3. 持续监控：对制裁/PEP 名单、负面新闻、共享黑名单（RC 6/2023）持续比对，并实时告警。
4. 可追溯、可审计的同意：对设备变更、Pix 密钥、限额等建立可验证/可撤回的同意记录。
5. 与 Celular Seguro 集成：手机被盗后一键锁定，并与银行/当局快速共享信号。

Pix 生态的最佳实践

2025 年 7 月的 Pix 连接供应商事件暴露了关键第三方薄弱环节；多方报道指向≥ R$ 4 亿被转移、多家机构受影响。监管迅速落地：对未授权 IP 或 通过 PSTI 连接的主体设 R$ 15,000 单笔上限；随后要求拒付可疑账户，强化银行在判断与举证上的责任。

Didit 如何帮助巴西银行降低欺诈

对于既要降诈又不能阻塞开户的合规团队，Didit 提供更多信号、更高自动化、更少人工复核。平台将证件核验、带活体的人脸识别与 1:1 比对、官方来源校验、AML Screening有机整合，能更深入地拦截冒名顶替、合成身份与深度伪造，远胜纯人工流。

Didit 的核心包含三层：

1. 证件 + 生物识别（ID Verification、1:1 人脸比对、活体检测）：确保为真实在场的人。
2. 对接官方/政务来源（如可用）：强化镜头所见的可信度。
3. AML Screening 与持续监控：持续对照全球制裁/PEP/负面新闻，实时重评风险。

三层合力，既降诈又降误杀，并具备审计级可追溯性。在编排上，Didit 亦具优势：无代码工作流“分钟级上线”，开放 API/SDK 随需定制。价格上同样透明：我们提供业内首个免费且不限量的 KYC 方案，高级功能无订阅/无最低消费，预付积分不过期，仅对完成的验证计费，成本可控。

对合规团队的结果是：更少人工、更快开户、更高转化与即时可控——在不牺牲用户体验的同时，沙盒可立刻试用。