Deteção de vivacidade vs fraude documental: diferenças essenciais
Deteção de vivacidade e deteção de fraude documental cobrem vetores de ataque distintos. Compreenda as diferenças, o enquadramento regulatório e como integrá-las no KYC.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA deteção de vivacidade (liveness detection) verifica que uma pessoa física está presente durante a verificação biométrica, enquanto a deteção de fraude documental analisa se um documento é autêntico ou falsificado. Estes dois controlos cobrem vetores de ataque distintos e são complementares em qualquer processo robusto de verificação de identidade.
Este artigo tem carácter informativo e não constitui aconselhamento jurídico. As referências regulatórias são exatas à data de publicação, junho de 2026.
As tentativas de fraude de identidade combinam frequentemente ambos os vetores: um fraudador pode apresentar um passaporte autêntico roubado enquanto utiliza uma fotografia impressa para enganar o sistema de verificação biométrica. Compreender as diferenças entre estas duas técnicas é essencial para conceber uma arquitetura KYC sem pontos cegos.
O que é a deteção de vivacidade?
A deteção de vivacidade designa o conjunto de técnicas que permitem verificar que a pessoa que apresenta um rosto perante uma câmara é um ser humano vivo — e não uma fotografia impressa, um vídeo reproduzido, uma máscara 3D ou um deepfake gerado por inteligência artificial.
A norma ISO/IEC 30107-3 (Biometric Presentation Attack Detection) é a referência internacional para avaliar os sistemas de deteção de vivacidade, definindo os tipos de ataques (artefactos impressos, ataques de vídeo, máscaras 3D) e as métricas de avaliação padronizadas (ISO/IEC 30107-3:2023).
Duas abordagens principais: ativa e passiva
Os sistemas de deteção de vivacidade dividem-se em duas categorias consoante o grau de interação exigida:
- Vivacidade ativa: o utilizador realiza uma ação (rodar a cabeça, piscar, dizer um número). Mais robusta face a fotografias e vídeos, mas introduz fricção na experiência do utilizador.
- Vivacidade passiva: o sistema analisa texturas, profundidade, micro-movimentos naturais e artefactos de compressão sem interação visível. Proporciona melhor experiência mas requer modelos mais sofisticados.
Os vetores de ataque incluem fotografias impressas de alta resolução, reprodução de vídeo em ecrã secundário (replay attacks), máscaras 3D impressas e, desde 2024, deepfakes em tempo real injetados através de controladores de câmara virtual.
Enquadramento regulatório aplicável
O AI Act (Regulamento UE 2024/1689) classifica os sistemas de identificação biométrica remota entre os sistemas de IA de alto risco (Anexo III, categoria 1). Os sistemas de deteção de vivacidade utilizados em contextos regulados estão sujeitos a avaliação de conformidade obrigatória antes da comercialização na UE (Regulamento (UE) 2024/1689, Art. 6 e Anexo III).
eIDAS 2 (Regulamento UE 2024/1183), em aplicação progressiva desde janeiro de 2025, exige um nível de garantia «elevado» para casos de uso sensíveis de identidade digital. Este nível requer procedimentos de identificação em linha que integrem deteção ativa de vivacidade (Regulamento (UE) 2024/1183, Art. 8).
Em Portugal, o Banco de Portugal e a CMVM têm publicado orientações sobre a identificação não presencial ao abrigo da Lei n.º 83/2017 (transposição da AMLD5), que exigem que os controlos biométricos sejam proporcionais ao risco de fraude de identidade (Banco de Portugal, Instrução n.º 2/2023).
O que é a deteção de fraude documental?
A deteção de fraude documental designa as técnicas que permitem identificar se um documento apresentado é autêntico, falsificado, contrafeito ou gerado por inteligência artificial. Aplica-se a todos os tipos de documentos: bilhetes de identidade, passaportes, recibos de vencimento, extratos bancários, diplomas e cartas de condução.
A ACFE (Association of Certified Fraud Examiners) estima que apenas 37 % das fraudes documentais são detetadas por controlos manuais, sublinhando a necessidade de controlos automatizados para cobrir vetores invisíveis ao olho humano (ACFE 2024 Report to the Nations).
Principais categorias de fraude documental
| Tipo de fraude | Técnica utilizada | Documentos mais afetados |
|---|---|---|
| Contrafação | Reprodução integral | Passaportes, BI/CC |
| Falsificação | Modificação de documento autêntico | Recibos de vencimento, extratos |
| Geração por IA | Criação sintética por LLM/GAN | Todos os tipos |
| Substituição de foto | Substituição de fotografia em doc. real | Documentos de identidade |
| Injeção digital | Apresentação de ficheiro PDF manipulado | Documentos digitais |
Técnicas de análise forense documental
A deteção de fraude documental mobiliza várias camadas de análise complementares:
- Inspeção de elementos de segurança: zonas MRZ (Machine Readable Zone), hologramas, tipografias seguras, marcas de água UV
- Error Level Analysis (ELA): deteta zonas modificadas por inpainting ou montagem digital através de inconsistências de compressão JPEG
- Verificação de metadados: coerência entre software de criação, data, perfil de cor e tipo de documento esperado
- Validação cruzada semântica: coerência entre campos do documento e com outros documentos do processo
A AMLD6 (Diretiva (UE) 2024/1640, Art. 20) obriga as entidades sujeitas a implementar medidas de identificação à distância proporcionais aos riscos de fraude documental, incluindo controlos automatizados para procedimentos digitais (Diretiva (UE) 2024/1640).
A deteção de conteúdos sintéticos é implementada como camada adicional em complemento dos controlos estruturais existentes. A plataforma CheckFile disponibiliza esta capacidade para organizações que pretendam reforçar a proteção contra documentos gerados por IA.
Comparativo: deteção de vivacidade vs deteção de fraude documental
| Critério | Deteção de vivacidade | Deteção de fraude documental |
|---|---|---|
| Vetor de ataque coberto | Falsificação biométrica (spoof) | Documento falsificado ou sintético |
| O que é analisado | Rosto / comportamento em tempo real | Documento (estrutura, metadados, imagem) |
| Tecnologias principais | Visão computacional, 3D, infravermelho | Forense, OCR, ELA, MRZ |
| Norma de referência | ISO/IEC 30107-3 | ISO/IEC 18013, normas nacionais |
| Enquadramento regulatório UE | AI Act 2024/1689, eIDAS 2 | AMLD6 2024/1640, eIDAS 2 |
| Risco coberto | "Faço-me passar por outra pessoa" | "Uso um documento falso ou roubado" |
| Complementaridade | Requer verificação documental | Requer deteção de vivacidade |
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoPor que ambos os controlos são indispensáveis
A deteção de vivacidade e a deteção de fraude documental cobrem ângulos de ataque radicalmente distintos. Um sistema robusto deve combinar ambos para eliminar pontos cegos.
Cenário 1 — Documento autêntico, usurpador biométrico. Um fraudador utiliza o passaporte autêntico de uma vítima cujas credenciais roubou. A verificação documental valida o documento (é autêntico). Sem deteção de vivacidade, o fraudador pode ultrapassar a verificação apresentando uma fotografia de alta resolução da vítima. A deteção de vivacidade identifica o artefacto impresso e bloqueia a tentativa.
Cenário 2 — Pessoa real, documento falsificado. Um requerente de crédito apresenta um recibo de vencimento gerado por IA com um rendimento fictício. A deteção de vivacidade confirma que há uma pessoa real perante a câmara. Sem análise forense documental, a fraude passa despercebida. A deteção de fraude documental identifica as anomalias de metadados e sinaliza o processo.
Cenário 3 — Dupla fraude combinada. Deepfake em tempo real + documento sintético. Este vetor de ataque sofisticado exige ambas as camadas de proteção em simultâneo. A ENISA documentou em 2024 um aumento dos ataques que combinam deepfakes biométricos e documentos de identidade gerados por IA em contextos de onboarding financeiro (ENISA Threat Landscape 2024).
Nos fóruns especializados de conformidade, os profissionais debatem frequentemente se devem priorizar a vivacidade ou a verificação documental. A conclusão prática é sempre a mesma: ambos devem operar simultaneamente no mesmo fluxo KYC, porque os defraudadores experientes atacam deliberadamente o controlo em falta.
Para aprofundar a deteção de vivacidade em contextos KYC bancários, consulte o nosso guia sobre deteção de vivacidade e prevenção de usurpação de identidade.
Integração num workflow KYC
A sequência de implementação ótima num processo de verificação de identidade segue geralmente estes passos:
- Captura do documento → análise forense em tempo real (deteção de fraude documental)
- Extração de dados → OCR + verificação MRZ
- Captura do selfie ou vídeo → deteção de vivacidade
- Correspondência facial → comparação biométrica rosto-documento
- Pontuação global → decisão KYC consolidada
Esta sequência está em conformidade com os requisitos do nível de garantia «elevado» do eIDAS 2 para a identificação à distância. O NIST SP 800-63A (Digital Identity Guidelines, Rev. 4, 2024) recomenda uma arquitetura análoga para os fluxos de registo digital (NIST SP 800-63A).
As soluções de verificação de identidade modernas expõem ambas as capacidades através de uma API unificada. Consulte o nosso guia completo de verificação documental para conhecer o conjunto de controlos exigidos por setor.
Perguntas frequentes
A deteção de vivacidade e a verificação documental são intercambiáveis?
Não. Cobrem vetores de ataque distintos. A deteção de vivacidade protege contra a usurpação biométrica; a verificação documental protege contra documentos falsos. Um fraudador pode ultrapassar um e falhar o outro — razão pela qual ambos são necessários num processo KYC completo.
Qual é a norma internacional para a deteção de vivacidade?
A norma ISO/IEC 30107-3 define os requisitos de deteção de ataques de apresentação (Presentation Attack Detection ou PAD). Os sistemas certificados foram avaliados por laboratórios acreditados como o iBeta Quality Assurance em níveis de conformidade padronizados (Nível 1 e Nível 2).
O AI Act aplica-se à deteção de vivacidade?
Sim. O Regulamento (UE) 2024/1689 classifica os sistemas de verificação biométrica utilizados em contextos regulados como IA de alto risco (Anexo III). Os fornecedores devem completar uma avaliação de conformidade obrigatória antes de comercializar o sistema na UE.
A verificação documental isolada é suficiente para a AMLD6?
A Diretiva (UE) 2024/1640 exige medidas de identificação proporcionais ao risco avaliado. Para a identificação à distância, a combinação verificação documental + deteção de vivacidade representa o padrão mínimo para níveis de risco médio a elevado. A verificação documental isolada pode ser insuficiente consoante a análise de risco da entidade obrigada.
Como avaliar a qualidade de um sistema de deteção de vivacidade?
Priorize soluções com certificação ISO/IEC 30107-3 de laboratório acreditado, com métricas BPCER e APCER publicadas. Verifique que os modelos são atualizados regularmente para cobrir as novas técnicas de deepfake e confirme a compatibilidade com os requisitos do nível de garantia eIDAS 2 aplicáveis ao seu caso de uso.
Para situar este risco na oferta CheckFile, consulte a nossa abordagem de deteção IA e deepfake.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.