Prevenção de Fraude em Pagamentos: Verificação Documental para Fintechs no Brasil
Guia completo de prevenção de fraude em pagamentos por verificação documental no Brasil. Obrigações Bacen, COAF, LGPD e melhores práticas para processadores de pagamento e fintechs em 2026.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA prevenção de fraude em pagamentos para fintechs e processadores de pagamento no Brasil consiste em implementar controlos técnicos, documentais e regulatórios para identificar e bloquear transações fraudulentas antes que gerem perdas financeiras. No Brasil, estas obrigações decorrem principalmente da Lei 9.613/1998 (Lei de Lavagem de Dinheiro), atualizada pela Lei 12.683/2012, e da Circular Bacen 3.978/2020, que estabelece as políticas, procedimentos e controles internos para prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) para instituições financeiras e de pagamento.
As tentativas de fraude documental direcionadas a instituições de pagamento aumentaram 23% entre 2024 e 2025 segundo a análise da nossa plataforma. Identidades sintéticas geradas por IA representam 12% de toda a fraude documental detectada em 2025, ante 3% em 2024. No Brasil, o ecossistema de pagamentos instantâneos PIX — com mais de 140 milhões de chaves ativas — amplificou significativamente o vetor de ataque para fraudes baseadas em documentos.
Este artigo tem caráter exclusivamente informativo e não constitui assessoria jurídica, financeira ou regulatória.
O que é fraude em pagamentos e por que as fintechs brasileiras são alvos prioritários
A fraude em pagamentos consiste no uso deliberado de documentos falsos, roubados ou manipulados para iniciar ou desviar transações de pagamento. As fintechs têm exposição desproporcional porque seu processo de adesão simplificado — a principal vantagem competitiva — é também o ponto de entrada explorado primeiro pelos grupos de fraude.
No Brasil, o PIX criou um vetor de fraude específico: a fraude do "falso funcionário do banco" que manipula a vítima para cadastrar uma chave PIX fraudulenta. Mas a fraude documental na camada de onboarding — CPF clonados, CNHs falsificadas, comprovantes de renda manipulados — é o vetor mais relevante para processadores de pagamento e fintechs que concedem crédito.
O COAF (Conselho de Controle de Atividades Financeiras) — equivalente brasileiro da CTIF belga ou do Tracfin francês — publica relatórios anuais documentando o crescimento das comunicações de operações suspeitas no segmento de pagamentos.
Tipologias de fraude que afetam os processadores de pagamento no Brasil
| Tipo de fraude | Mecanismo | Setores mais afetados |
|---|---|---|
| Fraude de identidade sintética | Combina CPF real com elementos de identidade fabricados | BNPL, crédito instantâneo |
| Fraude ao lojista (KYB) | CNPJ falsificados, contas bancárias desviadas | Marketplaces, subadquirentes |
| Fraude na abertura de conta | Comprovantes de renda falsos, endereços fictícios | Fintechs de crédito, carteiras digitais |
| Fraude via PIX | Engenharia social + cadastro de chave PIX fraudulenta | Todas as fintechs com PIX |
| Fraude de estorno | Extratos bancários fabricados para contestar transações | E-commerce, BNPL |
O índice de risco documental para o setor bancário atinge 7,6/10 no nosso modelo de pontuação proprietário (calculado como: Frequência × 0,40 + Impacto Financeiro × 0,35 + Dificuldade de Detecção × 0,25). Plataformas de criptoativos pontuam 8,1/10, refletindo a combinação de altos valores de transação e liquidação irreversível.
Verificação documental como primeira linha de defesa
A verificação documental para pagamentos no Brasil abrange três momentos críticos do ciclo de vida do pagamento.
No onboarding do cliente (KYC): A verificação de identidade é obrigatória para todas as instituições de pagamento autorizadas pelo Bacen, nos termos da Circular 3.978/2020. Os documentos de referência para pessoas físicas são o CPF (Cadastro de Pessoas Físicas) e o RG ou CNH — equivalentes ao NIF e Cartão de Cidadão português. Para pessoas jurídicas, o CNPJ (Cadastro Nacional da Pessoa Jurídica) é o identificador fiscal obrigatório.
No onboarding de lojistas (KYB): Marketplaces e subadquirentes devem verificar os documentos de todos os seus sublojistas. A resolução BCB n° 80/2021 estabelece os requisitos de controle interno para arranjos de pagamento e instituições de pagamento, incluindo a identificação de beneficiários finais (equivalente ao UBO europeu).
Nas reverificações periódicas: A Circular 3.978/2020 exige atualização dos dados cadastrais quando há alterações no perfil de risco: transações atípicas, mudanças de titularidade, superação de limites acumulados ou operações com países de alto risco identificados pelo GAFI.
Nossa solução de verificação para bancos e fintechs automatiza os três níveis de controle com taxa de detecção de fraude de 94,8% e taxa de falsos positivos de 3,2%.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoMarco regulatório aplicável no Brasil
As instituições de pagamento autorizadas pelo Bacen estão sujeitas a um marco regulatório específico que difere substancialmente do modelo europeu.
Circular Bacen 3.978/2020: Estabelece as políticas de PLD/FT para instituições financeiras e de pagamento autorizadas pelo Banco Central. Exige avaliação interna de risco, procedimentos de identificação e verificação de clientes (KYC), monitoramento de operações e comunicação de operações suspeitas ao COAF.
COAF (Conselho de Controle de Atividades Financeiras): É a Unidade de Inteligência Financeira (UIF) brasileira. As instituições de pagamento devem comunicar ao COAF operações suspeitas e operações em espécie acima de R$ 50.000. O COAF é vinculado ao Banco Central desde 2019 — diferente de alguns países onde a UIF é independente.
LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018): Equivalente brasileiro do RGPD europeu. Regula o tratamento de dados pessoais, incluindo os documentos coletados no processo KYC. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão supervisor. A LGPD e as obrigações de PLD/FT criam tensões específicas no Brasil: a LGPD exige minimização de dados, mas a Circular 3.978/2020 exige retenção de dados por 5 anos.
| Instrumento regulatório | Obrigação principal | Autoridade supervisora |
|---|---|---|
| Circular Bacen 3.978/2020 | KYC, monitoramento de operações | Banco Central do Brasil |
| Lei 9.613/1998 + Lei 12.683/2012 | PLD/FT, comunicação ao COAF | COAF / Bacen |
| LGPD — Lei 13.709/2018 | Proteção de dados pessoais | ANPD |
| Resolução BCB 80/2021 | Arranjos de pagamento, controles internos | Banco Central do Brasil |
KYB: CPF, CNPJ e a verificação de beneficiários finais
O KYB (Know Your Business) no contexto brasileiro exige verificações específicas nos registros nacionais.
Um subadquirente ou operador de marketplace que não verifica corretamente seus sublojistas assume responsabilidade direta perante as bandeiras de cartão e o Banco Central pelo fraude gerado por esses lojistas.
Os documentos exigidos para cada sublojista no Brasil incluem:
- Comprovante de inscrição no CNPJ (Receita Federal do Brasil)
- Contrato Social ou Estatuto Social registrado na Junta Comercial
- Identificação dos sócios e beneficiários finais (CPF + RG/CNH de cada um)
- Comprovante de conta bancária (em nome do CNPJ — vedada conta de terceiros)
- Documento de identidade do representante legal (RG ou CNH + CPF)
Nossa análise interna de mais de 840.000 processos KYC no setor bancário revela taxa de fraude documental de identidade de 5,1%. Para onboarding de lojistas de maior risco, esta taxa é significativamente superior — especialmente para CNPJs fraudulentos e declarações falsas de beneficiários finais.
Para aprofundar as técnicas de detecção, consulte nosso artigo sobre técnicas de detecção de fraude documental por IA.
Melhores práticas para verificação documental no Brasil
1. Validar CPF e CNPJ nas bases da Receita Federal
A verificação de CPF e CNPJ deve ir além da validade do dígito verificador. A consulta nas bases da Receita Federal do Brasil confirma situação cadastral, nome completo e data de nascimento — sinais fundamentais para detectar CPFs clonados ou utilizados em fraude.
2. Integrar a validação de chaves PIX no processo KYC
Para fintechs que operam com PIX, a validação da chave PIX (CPF, CNPJ, telefone ou e-mail) deve ser cruzada com os documentos do cliente no onboarding. Chaves PIX cadastradas em nome de terceiros são um sinal de alerta documentado pelo Bacen.
3. Mapear os limiares de comunicação ao COAF
Operações em espécie acima de R$ 50.000 devem ser comunicadas ao COAF. Mas a Circular 3.978/2020 também exige comunicação quando há suspeita, independentemente do valor. Os sistemas de detecção documentais devem gerar alertas que alimentem o processo de análise e comunicação.
4. Respeitar os prazos de retenção da LGPD e da Circular 3.978/2020
A Circular 3.978/2020 exige retenção de documentos e registros por 5 anos. A LGPD exige que a retenção seja justificada por base legal específica. As fintechs devem documentar a base legal (cumprimento de obrigação legal) para retenção dos dados KYC.
5. Implementar detecção de identidades sintéticas adaptada ao contexto brasileiro
O Brasil tem peculiaridades: CPFs de menores são frequentemente "esquentados" para fraude anos depois — similar ao padrão americano de SSN fraud. Validação cruzada com bases de dados de crédito (Serasa, SPC) e sistemas de score de identidade é essencial.
Para uma visão completa dos requisitos KYC aplicáveis em 2026, consulte nosso artigo sobre requisitos KYC 2026. Para benchmarks setoriais, veja o guia de verificação por indústrias.
Perspectivas dos profissionais de compliance no Brasil
A tensão LGPD vs. PLD/FT é o principal ponto de fricção regulatória para compliance officers de fintechs brasileiras. A ANPD exige minimização de dados, mas o Bacen exige retenção por 5 anos. A solução é documentar a base legal de cumprimento de obrigação legal para justificar a retenção.
A fraude via PIX introduz novos desafios documentais: fraudadores registram chaves PIX em nome de CPFs de terceiros (muitas vezes pessoas falecidas ou sem acesso a bancos). A verificação de titularidade de chave PIX deve ser parte integral do processo KYC das fintechs.
O custo de compliance para fintechs em fase inicial é um tema recorrente nos fóruns do setor. A plataforma CheckFile oferece preços por volume que permitem que empresas menores acessem ferramentas de verificação conformes sem o investimento de uma solução enterprise.
Perguntas frequentes
O que é prevenção de fraude em pagamentos por verificação documental no Brasil?
A prevenção de fraude em pagamentos por verificação documental no Brasil consiste em verificar a autenticidade de CPF, RG, CNH, comprovantes de renda, comprovantes de endereço e documentos empresariais (CNPJ, contrato social) no onboarding e durante o ciclo de vida do pagamento. Permite detectar identidades sintéticas, CPFs clonados e fraude ao lojista antes que gerem perdas.
Quais são as obrigações documentais das instituições de pagamento no Brasil?
As instituições de pagamento autorizadas pelo Bacen devem cumprir a Circular 3.978/2020, que exige KYC completo, monitoramento de operações e comunicação de suspeitas ao COAF. A LGPD regula o tratamento dos dados coletados. O Bacen pode aplicar multas e revogar autorizações por descumprimento sistemático.
Como a verificação documental detecta CPFs fraudulentos ou identidades sintéticas?
A detecção de identidades sintéticas no Brasil exige validação do CPF na base da Receita Federal (situação cadastral, nome, data de nascimento), verificação de biometria facial com detecção de vivacidade (liveness), e cruzamento com bases de dados de crédito e histórico de fraudes. Nenhum controle isolado é suficiente.
Quais sanções o Bacen pode aplicar por descumprimento da Circular 3.978/2020?
O Bacen pode aplicar multas de até R$ 20 milhões por infração, além de restrições operacionais e revogação de autorização para funcionar. Gestores responsáveis por falhas podem ser inabilitados para exercer cargos em instituições financeiras por até 20 anos em casos de descumprimento grave e reiterado.
A verificação documental se aplica também aos lojistas (KYB)?
Sim. Marketplaces e subadquirentes devem aplicar procedimento KYB a todos os seus sublojistas: verificação de CNPJ, contrato social, identificação de beneficiários finais, identidade do representante legal e conta bancária empresarial. Esta obrigação decorre da Circular 3.978/2020 e das regras das bandeiras de cartão. Entre em contato com nossa equipe para configurar um fluxo de trabalho KYB automatizado.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.