Fraude de identidade sintética: como a IA fabrica documentos KYC

A fraude de identidade sintética consiste em construir um perfil fictício combinando dados pessoais reais — número de identificação fiscal, data de nascimento, morada verificável — com informação inventada para criar uma identidade que não corresponde a nenhuma pessoa real. Os modelos de inteligência artificial generativa reduziram o tempo necessário para fabricar um perfil sintético convincente de várias semanas para poucas horas. As perdas globais anuais associadas à fraude de identidade sintética ultrapassam os 20 mil milhões de dólares, sendo o setor financeiro o principal visado, segundo o relatório conjunto da Europol e da Interpol de 2024 (Europol, IOCTA 2024).

Este artigo tem carácter informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências normativas correspondem ao estado do direito em 13 de maio de 2026.

No setor bancário, 5,1 % dos processos KYC tratados pela nossa plataforma apresentam indicadores de fraude de identidade — uma taxa que cresceu quase dois pontos percentuais em dezoito meses, impulsionada pela disponibilidade de ferramentas generativas acessíveis sem conhecimentos técnicos especializados. Compreender os mecanismos de fabricação, os sinais de alerta e o enquadramento normativo aplicável é hoje uma condição operacional incontornável para as entidades sujeitas às obrigações de prevenção do branqueamento de capitais.

O que é a fraude de identidade sintética

A fraude de identidade sintética distingue-se claramente do roubo de identidade tradicional. No roubo clássico, o fraudador faz-se passar por uma pessoa real que sofre um prejuízo direto. Na fraude sintética, cria uma entidade nova que pode acumular um historial financeiro durante meses antes de ser detetada, precisamente porque não existe nenhuma vítima direta que apresente queixa.

As tipologias mais comuns são:

Identidade puramente sintética: todos os dados são inventados — NIF fictício, nome, apelido, morada, data de nascimento. Estes perfis são os mais vulneráveis à validação cruzada com registos oficiais, mas podem sobreviver durante meses em sistemas com controlos insuficientes.

Identidade híbrida: o fraudador usa um número de identificação real — pertencente a um menor, a um falecido ou a um não residente — e associa-o a um nome fictício e documentação de suporte gerada por IA. O número passa nos controlos de formato; a identidade não corresponde ao titular real. Esta é a variante mais comum na fraude de integração financeira.

Identidade manipulada: um documento real é alterado através de ferramentas de inpainting ou edição de imagem IA para modificar o nome, a fotografia ou a data de nascimento, preservando os elementos auténticos — holograma, microimpressão, número de documento.

O Grupo de Acção Financeira Internacional (GAFI/FATF) identifica a fraude de identidade sintética como tipologia prioritária no seu guia 2024-2025 sobre identidade digital, assinalando o seu papel central em esquemas de branqueamento de capitais através de contas abertas de forma remota (FATF, Digital Identity Guidance 2024).

Como a IA fabrica documentos KYC convincentes

A acessibilidade de modelos generativos de alta qualidade elevou substancialmente a sofisticação da fraude documental.

Documentos de identidade gerados por GAN e modelos de difusão

As redes generativas adversariais (GAN) e os modelos de difusão latente produzem imagens de cartões de cidadão, passaportes e cartas de condução que reproduzem com alta fidelidade visual os formatos oficiais portugueses: composição, tipografia, zonas de segurança, fotografia de rosto sintética. A Agência da União Europeia para a Cibersegurança (ENISA) catalogou mais de 40 variantes de ferramentas de geração de documentos de identidade falsos acessíveis em mercados da dark web em 2024 (ENISA Threat Landscape 2024).

A fotografia de rosto é gerada por modelos especializados — StyleGAN3, DALL-E 3, Stable Diffusion — produzindo um rosto fotorrealista que não pertence a nenhuma pessoa real. Os algoritmos de checksum utilizados no cartão de cidadão português são calculados corretamente pelas ferramentas de fabricação, superando as validações de formato básicas.

Documentação financeira gerada por modelos de linguagem

Os grandes modelos de linguagem (LLM) geram recibos de vencimento, extratos bancários, declarações de IRS e demonstrações financeiras sintaticamente corretos e coerentes com os formatos oficiais portugueses. Um serviço LLM disponível em fóruns criminosos por menos de 200 euros por mês produz um recibo de vencimento com os códigos de segurança social corretos, as taxas de retenção adequadas e um número de contribuinte NIF plausível em menos de três minutos.

A fraqueza principal dos dossiers sintéticos atuais é a coerência entre documentos: manter uma consistência perfeita entre recibo de vencimento, extrato bancário e declaração de IRS do mesmo perfil fictício ultrapassa as capacidades dos geradores não especializados.

Indicadores de deteção por tipo de documento KYC

Deteção de identidades sintéticas: métodos e limiares

Identificar uma identidade sintética exige controlos técnicos, semânticos e comportamentais em camadas. Nenhum método isolado é suficiente.

Análise forense de documentos

A plataforma CheckFile analisa cada documento em cinco níveis: metadados técnicos (software de criação, cadeia de compressão), artefactos visuais (padrões GAN, assinaturas de ruído de difusão), integridade das zonas de segurança (checksums MRZ, validação de formato), autenticidade da fotografia, e cruzamento com registos oficiais. A plataforma CheckFile deteta 94,8 % dos documentos fraudulentos submetidos, com uma taxa de falsos positivos de 3,2 %. Para entidades financeiras com alto volume de integrações, esta precisão reduz substancialmente o custo operacional das revisões manuais.

A análise semântica entre documentos constitui o segundo filtro de segurança: um recibo de vencimento com uma empresa não inscrita no Registo Comercial, combinado com um extrato de um banco estrangeiro e uma morada não localizável, deve ativar a diligência reforçada independentemente da qualidade visual dos documentos individuais.

Controlos comportamentais e de coerência de perfil

As identidades sintéticas apresentam padrões de utilização característicos: ausência de historial de crédito anterior, comportamento de acumulação progressiva de crédito, números de telemóvel sem historial associado, moradas que não aparecem em bases de dados postais. O Banco de Portugal, nas suas orientações de supervisão de 2024, salienta a coerência do perfil como componente essencial da devida diligência em integrações digitais.

Profissionais de conformidade colocam frequentemente em fóruns especializados como distinguir um erro de transcrição de um sinal de fraude. A resposta é cumulativa: um sinal fraco — uma empresa sem resultados no Registo Comercial — justifica um esclarecimento. Três sinais convergentes — empregador inexistente, morada não verificável, NIF sem historial tributário — devem ativar a diligência reforçada e, se adequado, uma comunicação de operação suspeita à Unidade de Informação Financeira (UIF).

Para uma visão completa das técnicas de deteção, consulte o nosso artigo sobre técnicas de deteção de fraude documental com IA.

Enquadramento normativo: obrigações em Portugal

Lei 83/2017 e a devida diligência reforçada

A Lei n.º 83/2017, de 18 de agosto, relativa à prevenção e repressão do branqueamento de capitais e do financiamento do terrorismo, estabelece no artigo 25.º a obrigação de identificar e verificar a identidade dos clientes antes do estabelecimento de qualquer relação de negócio. O artigo 35.º impõe medidas de devida diligência reforçada em situações de risco mais elevado, incluindo expressamente os casos em que a identidade não possa ser verificada de forma presencial e quando existam indícios de incoerência nos dados fornecidos.

O Banco de Portugal publicou orientações atualizadas em 2024 que abordam especificamente os riscos de fraude de identidade nos canais de integração digital, salientando a necessidade de controlos adaptados à evolução das técnicas de fabricação documental (Banco de Portugal, Carta-Circular 2024).

AMLD6 e o novo quadro europeu

A Diretiva (UE) 2024/1640 (AMLD6), adotada em maio de 2024 com prazo de transposição em julho de 2027, eleva os padrões de verificação de identidade para as entidades obrigadas europeias. O artigo 22.º exige devida diligência reforçada em situações de risco mais elevado, incluindo os casos em que os dados de identidade apresentam inconsistências. O novo Regulamento AMLA (Regulamento (UE) 2024/1620) estabelecerá a partir de 2025 uma supervisão direta das entidades financeiras transfronteiriças de alto risco (Regulamento (UE) 2024/1620).

Comunicações de operações suspeitas à UIF/DCIAP

Quando uma entidade obrigada identifica indicadores de fraude de identidade durante a integração ou numa revisão periódica, deve apresentar uma comunicação de operação suspeita à Unidade de Informação Financeira (UIF/DCIAP) se os indícios gerarem suspeita de branqueamento ou financiamento do terrorismo. A fraude de identidade sintética utilizada para abrir contas e efetuar transferências fraudulentas constitui um esquema de branqueamento típico conforme às tipologias publicadas pelo GAFI.

A omissão de comunicação, quando os indícios eram suficientes, expõe a entidade a sanções contraordenacionais graves ao abrigo do artigo 84.º da Lei 83/2017, que pode atingir até 5 milhões de euros nos casos mais graves.

Regulamento IA da UE e sistemas KYC de alto risco

O Regulamento (UE) 2024/1689 (AI Act), em aplicação progressiva desde agosto de 2024, classifica os sistemas de verificação de identidade utilizados na integração financeira como sistemas de IA de alto risco (Anexo III, ponto 1.b). Os fornecedores e utilizadores dessas soluções — incluindo as soluções de verificação documental — devem manter documentação técnica, realizar avaliações de conformidade e garantir a supervisão humana.

Construir uma resposta organizacional eficaz

Atualizar os procedimentos KYC para a IA generativa

Um procedimento KYC robusto perante a identidade sintética deve incorporar quatro elementos habitualmente ausentes nos processos legados: validação de dados estruturados (checksums MRZ, validação do NIF, formato IBAN), cruzamento com registos oficiais (Registo Comercial, base de dados postal), controlos de coerência semântica entre documentos, e revisão periódica dos ficheiros existentes.

A revisão periódica é especialmente crítica: as identidades sintéticas detetam-se frequentemente não na integração, mas numa revisão anual em que a coerência entre os documentos originais e a informação declarada posteriormente apresenta divergências.

Formação de equipas para os sinais de documentos IA

As equipas de conformidade assinalam em fóruns profissionais que carecem de critérios concretos para distinguir um documento mal digitalizado de um gerado por IA. As ferramentas forenses técnicas resolvem isso automaticamente, mas o pessoal que realiza revisões manuais beneficia de compreender os sinais de segundo nível: bordos de imagem excessivamente suaves, iluminação de fundo uniformemente perfeita, tipografias que correspondem demasiado exatamente a modelos oficiais, e campos numéricos com valores implausivamente redondos.

A prevenção da fraude de identidade requer tanto pessoal formado como ferramentas automatizadas capazes de processar os volumes atuais de integração. A solução CheckFile integra análise forense de documentos, cruzamento com registos e pontuação comportamental numa única integração API com um tempo médio de verificação de 4,2 segundos.

Para conhecer os preços e o ROI da verificação automatizada face às perdas por fraude não detetada, a nossa equipa fornece análises personalizadas mediante pedido.

Perguntas frequentes

O que é exatamente a fraude de identidade sintética?

A fraude de identidade sintética consiste em criar um perfil fictício combinando dados reais — como um NIF ou um número de segurança social pertencente a uma pessoa real — com informação inventada. Ao contrário do roubo de identidade clássico, não há vítima direta imediata, o que dificulta a deteção e reduz a probabilidade de participação durante meses.

Como a IA torna esta fraude mais perigosa?

Os modelos generativos de IA produzem fotografias faciais fotorrealistas de pessoas inexistentes, geram recibos de vencimento e extratos bancários com formato correto e valores numéricos plausíveis, e calculam checksums documentais válidos. O que antes exigia competências especializadas de falsificação requer agora apenas acesso a um serviço darknet por menos de 200 euros por mês.

Quais são as obrigações legais aplicáveis em Portugal?

As entidades obrigadas ao abrigo da Lei 83/2017 devem verificar a identidade do cliente antes de estabelecer qualquer relação de negócio, aplicar devida diligência reforçada em situações de maior risco incluindo incoerências de identidade, e comunicar operações suspeitas à UIF. Os sistemas de IA utilizados nestes processos devem cumprir os requisitos aplicáveis do AI Act europeu.

Como se pode detetar uma identidade sintética durante o KYC?

A deteção eficaz combina análise forense de documentos (artefactos GAN, anomalias de metadados, validação de checksums), cruzamento com registos oficiais (Registo Comercial, base de dados postal), controlos de coerência semântica entre documentos, e análise comportamental. Nenhuma camada é suficiente isoladamente; a sua combinação eleva significativamente a taxa de deteção.

Quais são as consequências para uma entidade que não deteta esta fraude?

Para além das perdas financeiras diretas, a entidade fica exposta a coimas graves por parte do Banco de Portugal ou da CMVM por incumprimento das obrigações de devida diligência, a danos reputacionais, e potencialmente a responsabilidade criminal se a fraude tiver servido para financiar atividades criminosas.