Detecção de Deepfake em Documentos: Guia Completo 2026

A deteção de deepfakes documentais é o processo de identificar documentos de identidade — passaportes, cartões de cidadão, cartas de condução — gerados ou manipulados parcialmente por inteligência artificial. Com a proliferação de modelos generativos acessíveis ao público, as falsificações sintéticas atingiram um nível de qualidade que torna ineficaz a inspeção visual humana. A nossa análise interna mostra que a fraude gerada por IA representa agora 12 % de todas as tentativas de fraude documental detetadas na nossa plataforma, face a apenas 3 % em 2024.

O que é um deepfake documental

Um deepfake documental é um documento de identidade cujos elementos visuais foram gerados total ou parcialmente por uma rede neuronal. Existem duas categorias principais, cada uma exigindo abordagens de deteção distintas.

Os documentos completamente sintéticos são gerados de raiz por modelos GAN (Generative Adversarial Network) ou de difusão treinados em conjuntos de dados de documentos reais. O modelo aprende a estrutura gráfica de passaportes e cartões de identidade e reproduz cada elemento: hologramas simulados, tipografias proprietárias, numeração de série, fundos de guilhoché. Estes documentos nunca existiram fisicamente.

Os documentos parcialmente falsificados partem de um documento autêntico digitalizado, substituindo campos específicos (nome, data de nascimento, fotografia) por conteúdo gerado por IA. Este método é mais comum na prática porque preserva os elementos de segurança físicos reais do documento original, dificultando significativamente a deteção.

O Regulamento (UE) 2024/1689 sobre Inteligência Artificial (AI Act, Art. 50) impõe, desde 1 de agosto de 2026, uma obrigação de divulgação para todo o conteúdo sintético gerado por IA. Esta obrigação recai sobre os sistemas que operam de boa-fé, mas não impede atores maliciosos de produzir falsificações sem marcação.

O Centro Nacional de Cibersegurança de Portugal identificou no seu relatório de 2025 um aumento de 41 % nos incidentes relacionados com identidades sintéticas utilizadas em processos de onboarding digital, evidenciando que este risco não é hipotético mas operacional.

Como funcionam as técnicas de deteção

A deteção eficaz de deepfakes documentais combina várias camadas de análise complementares. Nenhuma técnica isolada oferece garantias suficientes — é a sua combinação que atinge taxas de deteção superiores a 90 %.

Análise forense de artefactos digitais

Os modelos generativos deixam traços característicos na imagem digital. A Análise de Nível de Erro (ELA, Error Level Analysis) revela inconsistências de compressão JPEG: as zonas manipuladas apresentam uma assinatura de compressão diferente do resto do documento. A análise de ruído deteta a ausência do granulado natural do sensor de uma câmara real — as imagens geradas por IA são frequentemente invulgarmente nítidas ou apresentam padrões de ruído periódico característicos dos GAN.

As redes neuronais convolucionais (CNN) treinadas em corpora de documentos autênticos e falsificados detetam artefactos de frequência espacial invisíveis ao olho humano, especialmente as oscilações que os GAN introduzem nas fronteiras de alto contraste (contornos de letras, bordas de fotografia).

A avaliação do NIST sobre sistemas de deteção de ataques de apresentação biométrica demonstra que os melhores sistemas comerciais atingem taxas de erro inferiores a 2 % quando combinam múltiplas modalidades de deteção, face a 15-25 % para abordagens de método único.

Verificação de elementos de segurança

Os documentos de identidade autênticos contêm elementos de segurança físicos que a IA não consegue replicar completamente numa imagem digital: dispositivos holográficos de imagem variável (DOVID), impressão offset em roseta, efeitos de cor cinética e microimpressão. Quando capturados por scanner ou webcam, estes elementos produzem assinaturas óticas características. Um deepfake simula-os graficamente, mas sem a dimensão física — algo que os sensores especializados (UV, infravermelhos) detetam de forma fiável.

Verificação cruzada de consistência de dados

A deteção mais fiável combina a análise da imagem do documento com a verificação dos dados que contém. Um número de documento inexistente nos registos oficiais, uma data de nascimento inconsistente com o número de identificação fiscal (NIF), ou um formato de morada atípico para o país emissor são sinais que não emergem da análise visual.

As plataformas de verificação como CheckFile cruzam automaticamente estes dados com bases de referência, intercetando falsificações visualmente convincentes mas estruturalmente inconsistentes.

Comparação dos métodos de deteção

Quadro regulatório em Portugal

As empresas sujeitas a obrigações de prevenção do branqueamento de capitais em Portugal — instituições financeiras, agentes imobiliários, advogados, revisores oficiais de contas — devem verificar a identidade dos seus clientes nos termos da Lei n.º 83/2017 de 18 de agosto, que transpõe a Quarta Diretiva AML. O Banco de Portugal especifica nas suas orientações supervisórias de 2024 que os sistemas de verificação remota devem incluir controlos de autenticidade documental adequados ao risco, o que abrange a deteção de falsificações geradas por IA.

O AI Act classifica os sistemas de verificação biométrica à distância como sistemas de alto risco (Anexo III, ponto 1). As empresas que implantam estes sistemas em processos KYC devem cumprir, desde 1 de agosto de 2026, os requisitos de robustez e gestão de riscos previstos nos artigos 9 a 15.

O incumprimento das obrigações de verificação pode acarretar sanções do Banco de Portugal ou da CMVM de até 5 milhões de euros ou 10 % do volume de negócios anual, nos termos do artigo 172.º da Lei n.º 83/2017.

Para aprofundar o contexto regulatório, consulte o nosso artigo sobre fraude de identidade sintética em processos KYC.

Implementação prática para equipas de conformidade

A implementação de um sistema de deteção eficaz segue três passos concretos.

Passo 1 — Avaliar a exposição ao risco. Nem todas as empresas enfrentam o mesmo nível de risco perante os deepfakes. Uma instituição financeira que processa milhares de aberturas de conta online diariamente tem uma exposição muito superior a um escritório de advogados que verifica clientes presencialmente. A avaliação deve quantificar o volume de documentos processados, o canal de recolha (presencial versus remoto) e as consequências de aceitar uma identidade fraudulenta.

Passo 2 — Combinar camadas de deteção. A análise forense de artefactos, a verificação de elementos de segurança e a verificação cruzada de dados capturam tipos de ataque distintos. Um modelo de ML deteta os artefactos de geração. Os controlos de elementos de segurança intercetam impressões apresentadas como documentos reais. A verificação de dados deteta documentos parcialmente falsificados com aspeto visual correto.

Passo 3 — Manter registos auditáveis. A Lei n.º 83/2017 exige que as entidades sujeitas conservem registos das diligências de identificação durante pelo menos cinco anos. Cada verificação deve ser registada com o método utilizado, o resultado e o sistema ou analista responsável.

A plataforma CheckFile gera automaticamente registos prontos para auditoria, com uma taxa de deteção de fraude de 94,8 % sobre o conjunto de tipos de documentos verificados.

Consulte os preços do CheckFile para planos adaptados ao volume da sua equipa.

Os deepfakes de documentos de identidade sintéticos representam uma ameaça em constante evolução que requer atualização contínua dos modelos de deteção e formação regular das equipas.

Perguntas frequentes

O que é exatamente um deepfake documental?

Um deepfake documental é um passaporte, cartão de cidadão ou carta de condução cujos elementos visuais foram gerados total ou parcialmente por um algoritmo de inteligência artificial. Pode ser um documento completamente fictício ou um documento real com campos alterados. Estes documentos superam frequentemente as verificações OCR básicas porque os dados de texto são corretos, embora o documento seja falso.

As ferramentas gratuitas de deteção são suficientes?

As ferramentas gratuitas disponíveis online realizam geralmente análise ELA e de metadados básica que deteta falsificações rudimentares. São insuficientes para deepfakes produzidos pelos modelos de difusão atuais, que geram artefactos mínimos. Para utilizações profissionais com obrigações regulatórias, é indispensável uma solução especializada com modelos continuamente atualizados.

Quanto tempo demora a deteção automatizada?

As plataformas modernas processam um documento em menos de 5 segundos em média, combinando análise forense, verificação de elementos de segurança e cruzamento de dados. Esta latência é compatível com os fluxos de onboarding digital em tempo real.

A deteção de vivacidade é necessária em conjunto com a verificação documental?

Na prática, sim. Um ataque de deepfake documental é frequentemente acompanhado de um ataque de vídeo deepfake no passo de comparação biométrica. Combinar a verificação forense do documento com uma deteção de vivacidade robusta fecha ambos os vetores de ataque simultaneamente.

O que deve fazer uma empresa quando um documento não passa nas verificações automatizadas?

Os procedimentos documentados da empresa devem especificar uma rota de escalada clara: encaminhar para revisão por um analista sénior, solicitar um tipo de documento alternativo, ou recusar o estabelecimento da relação comercial. Nos termos do artigo 25.º da Lei n.º 83/2017, não é possível estabelecer uma relação de negócio se não se concluir satisfatoriamente a identificação do cliente.

---

Este artigo é fornecido para fins informativos. Os requisitos regulatórios evoluem — consulte o Banco de Portugal ou um advogado especializado para a sua situação específica. Consulte o guia de verificação de documentos para uma visão completa das melhores práticas.