1º de abril de 2025
Imagine que um dia você receba um extrato mostrando que deve vários milhares de dólares em um cartão de crédito. A carta é endereçada a você, mas é a primeira vez que você ouve falar dela - você nunca teve um cartão de crédito dessa empresa.
Você liga para informá-los do erro, mas descobre que foi vítima de uma fraude de abertura de conta. Alguém se passando por você solicitou um novo cartão de crédito e está usando o limite de crédito para acumular despesas fraudulentas em seu nome. Agora você está lidando com o estresse, possíveis prejuízos financeiros e uma pontuação de crédito arruinada, o que dificulta a obtenção dos empréstimos, cartões de crédito ou hipotecas de que você realmente precisa.
Isso sempre foi um problema. Mas a magnitude e a sofisticação das fraudes envolvendo novas contas mudaram drasticamente. Em 2024, as perdas relatadas chegaram a US$ 6,2 bilhões – mais do que o dobro em relação à década anterior. E os métodos evoluíram: enquanto antes os fraudadores dependiam de correspondência roubada e documentos falsificados, agora utilizam identidades sintéticas criadas com IA generativa, imagens deepfake que passam nas verificações básicas e ataques de injeção que contornam totalmente as câmeras dos dispositivos.
As organizações que não verificam a presença real de cada novo candidato estão, sem saber, abrindo as portas para fraudadores. Se o seu processo de integração puder ser concluído apenas com dados, ele poderá ser acessado por um fraudador mal-intencionado.
O que é fraude em novas contas?
A fraude na abertura de contas – também conhecida como fraude na abertura de contas ou fraude na originação de contas – ocorre quando um fraudador abre uma conta utilizando informações de identidade falsas ou manipuladas para cometer crimes, roubar dinheiro, lavar dinheiro ou acessar serviços aos quais não teria direito com sua própria identidade.
Existem dois métodos principais:
Fraude por roubo de identidade: o uso de informações de uma pessoa real — geralmente obtidas por meio de vazamentos de dados ou compradas na dark web — para abrir contas em seu nome. Para muitos de nós, muitas informações pessoais já podem ser encontradas online: data de nascimento, endereço, número de telefone e outros dados que podem ser reunidos para se passar por nós. Leva, em média, 151 dias para detectar uma fraude de conta nova depois que ela é bem-sucedida, período durante o qual os danos se agravam.
Fraude de identidade sintética: combinação de elementos de dados reais (como um número de segurança social válido) com informações inventadas para criar uma pessoa totalmente fictícia. Esta é uma das formas mais sofisticadas de fraude – e uma das que mais cresce. A fraude de identidade sintética representa atualmente cerca de 30% de todos os casos de fraude de identidade, com um aumento de 311% na fraude envolvendo documentos de identidade sintéticos entre o primeiro trimestre de 2024 e o primeiro trimestre de 2025.
Por que a fraude em novas contas está aumentando
Três fatores estão se combinando para agravar esse problema:
A IA generativa industrializou a fraude de identidade
Os deepfakes e os documentos gerados por IA transformaram o que antes era um crime manual e de baixo volume em uma operação escalável. O Relatório de Inteligência de Ameaças da iProov 2025 revelou que os ataques de troca de rosto aumentaram 300% em relação ao ano anterior, e os ataques com câmera virtual nativa — nos quais os fraudadores inserem imagens sintéticas diretamente no processo de verificação — aumentaram 2.665%.
Esses riscos não são meras hipóteses. Uma única videochamada com deepfake custou à Arup US$ 25 milhões. Agentes de países sancionados pelo OFAC se infiltraram em mais de 300 empresas usando filtros de deepfake para passar em entrevistas por vídeo à distância.
O "crime como serviço" reduziu as barreiras
Ferramentas de ataque sofisticadas já não são exclusividade de hackers experientes. Redes do tipo “crime como serviço” vendem kits de ferramentas de fraude prontos para uso a operadores com pouca experiência. O Relatório de Inteligência de Ameaças da iProov identificou mais de 115.000 combinações potenciais de ataque a partir de apenas três ferramentas comuns.
As verificações tradicionais de integração não conseguem acompanhar o ritmo
Muitas organizações tentaram combater a fraude simplesmente solicitando mais informações durante o processo de integração – mais perguntas, mais documentos, mais verificações baseadas em conhecimento. Mas qualquer informação que possa ser digitada pode ser roubada. A autenticação baseada em conhecimento é fundamentalmente vulnerável, pois os dados nos quais se baseia já estão comprometidos em grande escala.
Somente a verificação biométrica — que confirma a presença real da pessoa por trás da tela — pode preencher a lacuna que as verificações baseadas em dados deixam em aberto.
O custo para as organizações e os consumidores
Para os consumidores: além dos prejuízos financeiros, as vítimas enfrentam a deterioração de sua pontuação de crédito e gastam, em média, 10 horas para resolver cada caso de fraude. Uma pontuação de crédito baixa, resultante de empréstimos não pagos contraídos em seu nome, pode impedir que você tenha acesso aos serviços de que realmente precisa.
Para as organizações: as perdas vão muito além da conta esgotada que um indivíduo falso simplesmente abandona. Cada cliente fraudulento que você cadastra consome recursos de processamento de KYC, atendimento ao cliente e monitoramento de conformidade que deveriam estar atendendo a clientes genuínos. Em setores regulamentados, uma verificação inadequada no cadastro pode acarretar falhas na conformidade com KYC, multas e danos à reputação. E uma conta fraudulenta aberta com sucesso se torna uma plataforma de lançamento para crimes posteriores – lavagem de dinheiro, fraude em pagamentos push autorizados ou preparação para cadeias de fraude mais complexas.
É revelador que, atualmente, apenas um terço das instituições financeiras detecte a maior parte das fraudes na fase de cadastro. A maioria só as identifica mais tarde no fluxo da transação – quando o dano já está feito.
Como a verificação biométrica evita fraudes na abertura de novas contas
A verificação biométrica facial resolve a principal falha do processo tradicional de cadastro: ela confirma que o candidato é quem afirma ser, que se trata de um ser humano real e que está efetivamente presente no momento da verificação.
O usuário digitaliza um documento de identidade válido (passaporte ou carteira de motorista) e, em seguida, realiza uma breve digitalização facial. O sistema compara o rosto ao vivo com a foto do documento e verifica a presença física do usuário – tudo em questão de segundos.
Isso impede a fraude na abertura de novas contas na origem. Se um criminoso tiver seu documento de identidade, a foto não corresponderá ao rosto físico dele – somente você pode fornecer a correspondência biométrica. Uma identidade sintética não tem um ser humano real por trás. E a detecção avançada de vida identifica e bloqueia deepfakes, trocas de rosto e imagens inseridas digitalmente.
Mas nem todas as verificações biométricas são iguais. Devido à sofisticação dos ataques modernos, a verificação básica de vitalidade — que consiste simplesmente em verificar se um rosto é “real” e não uma foto — já não é suficiente por si só.
Por que a abordagem da iProov detecta o que outros deixam passar
A tecnologia Dynamic Liveness da iProov foi desenvolvida especificamente para combater as ameaças que caracterizam a fraude em novas contas atualmente. Ela combina quatro recursos que, juntos, criam uma defesa que nenhum recurso isolado é capaz de igualar:
Detecção certificada de vida e de ataques por injeção. A tecnologia Flashmark patenteada da iProov ilumina o rosto do usuário com uma sequência única e imprevisível de cores durante cada sessão. O reflexo dessa luz no rosto do usuário é analisado para confirmar a presença genuína em tempo real. Cada sessão gera dados biométricos exclusivos que não podem ser reproduzidos, interceptados ou pré-gravados. A iProov é o primeiro e único fornecedor certificado de forma independente pela norma NIST SP 800-63-4 e o primeiro a atingir o Nível Alto da norma CEN/TS 18099 para detecção de ataques de injeção – durante mais de 40 dias de testes acreditados, nenhum método de ataque bem-sucedido foi estabelecido.
Gerenciamento proativo de ameaças. O Centro de Operações de Segurança da iProov (iSOC) monitora padrões de ataque em tempo real em todos os clientes, regiões geográficas e plataformas. Quando surgem novos métodos de ataque, as atualizações defensivas são implementadas globalmente sem interrupções. As defesas da iProov evoluem continuamente — o que é fundamental quando as técnicas de fraude mudam mais rapidamente do que as atualizações anuais de software conseguem acompanhar.
Verificação baseada na nuvem. Toda a verificação ocorre na nuvem, e não no dispositivo. Isso isola o processo de verificação das vulnerabilidades do dispositivo e permite o monitoramento em tempo real que sustenta o iSOC.
Experiência de usuário sem esforço. Todo o processo é passivo – sem movimentos da cabeça, acenos, piscadas ou instruções verbais. O iProov está em conformidade com as diretrizes WCAG 2.2 AA e a Seção 508, com algoritmos testados para garantir o desempenho independentemente da idade, gênero e tom de pele. As organizações podem aplicar medidas rigorosas de prevenção de fraudes durante o cadastro inicial sem perder clientes genuínos devido a atritos. As taxas de sucesso do iProov costumam ficar acima de 98%.
Além da integração do cliente: identidade da força de trabalho
A fraude na criação de novas contas não se limita aos serviços voltados para o consumidor. As mesmas técnicas — deepfakes, identidades sintéticas, credenciais roubadas — estão agora sendo usadas para se infiltrar em organizações por meio do próprio processo de contratação.
O iProov Workforce Solution Suite amplia a verificação da presença humana real ao longo de todo o ciclo de vida da identidade do funcionário: contratação e integração remotas, acesso a dispositivos compartilhados, autenticação reforçada para ações privilegiadas e recuperação de contas. Ele resolve a lacuna estrutural nos sistemas de identidade corporativos, que foram projetados para verificar credenciais e dispositivos — e não as pessoas por trás deles.
O Relatório de Inteligência contra Ameaças da iProov de 2025 documenta os métodos de ataque que estão por trás das fraudes envolvendo novas contas atualmente. Baixe o relatório completo aqui.
Para saber como o iProov pode proteger seu processo de integração contra fraudes na criação de novas contas, agende uma demonstração.
Perguntas frequentes sobre fraudes em novas contas
De que forma a IA agrava a fraude na abertura de novas contas?
A IA generativa permite que os fraudadores criem deepfakes convincentes, documentos de identidade sintéticos e trocas de rosto em escala industrial. Essas ferramentas podem contornar verificações básicas de identidade que se baseiam em fotos de documentos ou em simples detecção de vida. As redes de “crime como serviço” tornam essas ferramentas baseadas em IA acessíveis a operadores pouco qualificados, aumentando drasticamente o volume e a sofisticação dos ataques.
Como as organizações podem mitigar a fraude em novas contas?
A defesa mais eficaz é a verificação biométrica facial com detecção de presença real no momento do cadastro. Isso confirma a presença de um ser humano real, compara seu rosto com um documento de identidade confiável e neutraliza deepfakes e ataques de injeção. As organizações devem buscar soluções certificadas de forma independente de acordo com normas como a NIST SP 800-63-4 e a CEN/TS 18099, com gerenciamento ativo de ameaças que evolua à medida que os métodos de ataque mudam.
Qual é a diferença entre fraude na abertura de novas contas e invasão de contas?
A fraude de criação de novas contas envolve a criação de uma nova conta utilizando dados de identidade roubados ou sintéticos. A fraude de apropriação de conta envolve a obtenção de acesso não autorizado a uma conta legítima já existente. Ambas são ameaças crescentes, mas exigem estratégias de defesa diferentes: a fraude de criação de novas contas é mais bem combatida na fase de cadastro, por meio da verificação de identidade, enquanto a apropriação de conta é combatida por meio da autenticação contínua.
