1º de abril de 2025

Imagine que, um dia, você receba um extrato indicando que deve vários milhares de dólares em um cartão de crédito. A carta é endereçada a você, mas é a primeira vez que ouve falar disso — você nem sequer teve um cartão de crédito dessa empresa. Alguém se passando por você solicitou um novo cartão de crédito, acumulando despesas fraudulentas em seu nome. Agora você está lidando com o estresse, a possível perda financeira e uma pontuação de crédito arruinada, o que torna mais difícil conseguir os empréstimos, cartões de crédito ou hipotecas de que você realmente precisa.

Isso sempre foi um problema. Mas, em 2024, as perdas relatadas decorrentes de fraudes em novas contas atingiram US$ 6,2 bilhões – mais do que o dobro em relação à década anterior. Os métodos também mudaram: enquanto antes os fraudadores dependiam de correspondência roubada e documentos falsificados, agora utilizam identidades sintéticas criadas com IA generativa, imagens deepfake que passam nas verificações básicas e ataques de injeção que contornam totalmente as câmeras dos dispositivos.

O que é fraude em novas contas?

A fraude na abertura de contas – também conhecida como fraude na abertura de conta ou fraude na originação de contas – ocorre quando um fraudador abre uma conta utilizando informações de identidade falsas ou falsificadas para cometer um crime, roubar dinheiro, lavar dinheiro ou acessar serviços aos quais não teria direito com sua própria identidade.

Funciona assim: um criminoso obtém ou falsifica dados de identidade, usa-os para passar pelas verificações de cadastro e, em seguida, explora a conta antes que alguém perceba que algo está errado. Leva, em média, 151 dias para detectar uma fraude em contas novas depois que ela é bem-sucedida – período durante o qual os danos se agravam.

As organizações que não verificam a presença real de cada novo candidato estão, sem saber, abrindo as portas para os fraudadores. Se o seu processo de integração puder ser concluído apenas com dados, um fraudador com as ferramentas certas poderá acessá-lo.

Existem dois métodos principais:

Fraude por roubo de identidade

Usar informações de uma pessoa real – geralmente obtidas a partir de vazamentos de dados ou compradas na dark web – para abrir contas em seu nome. Para muitos de nós, muitas informações pessoais já podem ser encontradas online: data de nascimento, endereço, número de telefone e outros dados que podem ser reunidos para se passar por nós.

Fraude de identidade sintética

Combinar dados reais (como um número de previdência social válido) com informações falsas para criar uma pessoa totalmente fictícia. Essa é uma das formas mais sofisticadas de fraude – e uma das que mais crescem. A fraude de identidade sintética representa atualmente cerca de 30% de todos os casos de fraude de identidade, com um aumento de 311% na fraude envolvendo documentos de identidade sintéticos entre o primeiro trimestre de 2024 e o primeiro trimestre de 2025.

Por que a fraude em novas contas está aumentando

Três fatores estão se combinando para agravar esse problema:

A IA generativa industrializou a fraude de identidade

Os deepfakes e os documentos gerados por IA transformaram o que antes era um crime manual e de baixo volume em uma operação em grande escala. O Relatório de Inteligência de Ameaças da iProov 2025 revelou que os ataques de troca de rosto aumentaram 300% em relação ao ano anterior, e os ataques por câmera virtual nativa — nos quais os fraudadores inserem imagens sintéticas diretamente no processo de verificação — aumentaram 2.665%.

Esses riscos não são meras hipóteses. Uma única videochamada com deepfake custou à Arup US$ 25 milhões. Agentes de países sancionados pelo OFAC se infiltraram em mais de 300 empresas usando filtros de deepfake para passar em entrevistas por vídeo à distância.

O "crime como serviço" tornou a fraude acessível a qualquer pessoa

Ferramentas de ataque sofisticadas já não são exclusividade de hackers experientes. Redes do tipo “crime como serviço” vendem kits de ferramentas de fraude prontos para uso a operadores com pouca experiência. O Relatório de Inteligência de Ameaças da iProov identificou mais de 115.000 combinações potenciais de ataque a partir de apenas três ferramentas comuns.

As verificações tradicionais de integração não conseguem detectar ataques modernos

Muitas organizações tentaram combater a fraude simplesmente solicitando mais informações durante o processo de integração – mais perguntas, mais documentos, mais verificações baseadas em conhecimento. Mas qualquer informação que possa ser digitada pode ser roubada. A autenticação baseada em conhecimento é fundamentalmente vulnerável, pois os dados nos quais se baseia já estão comprometidos em grande escala.

Somente a verificação biométrica — que confirma a presença real da pessoa por trás da tela — pode preencher a lacuna que as verificações baseadas em dados deixam em aberto.

O custo para as organizações e os consumidores

Para os consumidores: além dos prejuízos financeiros, as vítimas enfrentam a deterioração de sua pontuação de crédito e gastam, em média, 10 horas para resolver cada caso de fraude. Uma pontuação de crédito baixa, resultante de empréstimos não pagos contraídos em seu nome, pode impedir que você tenha acesso aos serviços de que realmente precisa.

Para as organizações: as perdas vão muito além da conta esgotada que um indivíduo falso simplesmente abandona. Cada cliente fraudulento que você cadastra consome recursos de processamento de KYC, atendimento ao cliente e monitoramento de conformidade que deveriam estar atendendo a clientes genuínos. Em setores regulamentados, uma verificação inadequada no cadastro pode acarretar falhas na conformidade com KYC, multas e danos à reputação. E uma conta fraudulenta aberta com sucesso se torna uma plataforma de lançamento para crimes posteriores – lavagem de dinheiro, fraude em pagamentos push autorizados ou preparação para cadeias de fraude mais complexas.

É revelador que, atualmente, apenas um terço das instituições financeiras detecte a maior parte das fraudes na fase de cadastro. A maioria só as identifica mais tarde no fluxo da transação – quando o dano já está feito.

 

Como a verificação biométrica evita fraudes na abertura de novas contas

A verificação biométrica facial resolve a principal falha do processo tradicional de cadastro: ela confirma que o candidato é quem afirma ser, que se trata de um ser humano real e que está efetivamente presente no momento da verificação.

O usuário digitaliza um documento de identidade válido (passaporte ou carteira de motorista) e, em seguida, realiza uma breve digitalização facial. O sistema compara o rosto ao vivo com a foto do documento e verifica a presença física do usuário – tudo em questão de segundos.

Isso impede a fraude na abertura de novas contas na origem. Se um criminoso tiver seu documento de identidade, a foto não corresponderá ao rosto físico dele – somente você pode fornecer a correspondência biométrica. Uma identidade sintética não tem um ser humano real por trás. E a detecção avançada de vida identifica e bloqueia deepfakes, trocas de rosto e imagens inseridas digitalmente.

Mas nem todas as verificações biométricas são iguais. Devido à sofisticação dos ataques modernos, a verificação básica de vitalidade — que consiste simplesmente em verificar se um rosto é “real” e não uma foto — já não é suficiente por si só.

Por que a abordagem da iProov detecta o que outros deixam passar

A tecnologia Dynamic Liveness da iProov foi desenvolvida especificamente para combater as ameaças que caracterizam a fraude em novas contas atualmente. Ela combina quatro recursos que, juntos, criam uma defesa que nenhum recurso isolado é capaz de igualar:

Detecção certificada de vida e de ataques de injeção

A tecnologia Flashmark patenteada da iProov ilumina o rosto do usuário com uma sequência única e imprevisível de cores durante cada sessão. O reflexo dessa luz no rosto do usuário é analisado para confirmar a presença real em tempo real. Cada sessão gera dados biométricos únicos que não podem ser reproduzidos, interceptados ou pré-gravados. A iProov é a primeira e única fornecedora certificada de forma independente pela norma NIST SP 800-63-4, e a primeira a atingir o Nível Alto da norma CEN/TS 18099 para detecção de ataques por injeção – durante mais de 40 dias de testes acreditados, nenhum método de ataque bem-sucedido foi identificado.

Gerenciamento proativo de ameaças por meio do iSOC

O Centro de Operações de Segurança da iProov (iSOC) monitora padrões de ataque em tempo real em todos os clientes, regiões geográficas e plataformas. Quando surgem novos métodos de ataque, as atualizações defensivas são implementadas globalmente sem interrupções. As defesas da iProov evoluem continuamente — o que é fundamental quando as técnicas de fraude mudam mais rapidamente do que as atualizações anuais de software conseguem acompanhar.

Verificação baseada na nuvem

Toda a verificação ocorre na nuvem, e não no dispositivo. Isso isola o processo de verificação das vulnerabilidades do dispositivo e permite o monitoramento em tempo real que sustenta o iSOC.

Experiência do usuário intuitiva e acessível

Todo o processo é passivo – sem movimentos da cabeça, acenos, piscadas de olhos ou instruções verbais. O iProov está em conformidade com as diretrizes WCAG 2.2 AA e a Seção 508, com algoritmos testados para garantir o desempenho independentemente da idade, gênero e tom de pele. As organizações podem aplicar medidas rigorosas de prevenção de fraudes durante o processo de cadastro sem perder clientes genuínos devido a atritos. As taxas de sucesso do iProov geralmente estão acima de 98%.

Além da integração do cliente: identidade da força de trabalho

A fraude na criação de novas contas não se limita aos serviços voltados para o consumidor. As mesmas técnicas — deepfakes, identidades sintéticas, credenciais roubadas — estão agora sendo usadas para se infiltrar em organizações por meio do próprio processo de contratação.

O iProov Workforce Solution Suite amplia a verificação da presença humana real ao longo de todo o ciclo de vida da identidade do funcionário: contratação e integração remotas, acesso a dispositivos compartilhados, autenticação reforçada para ações privilegiadas e recuperação de contas. Ele resolve a lacuna estrutural nos sistemas de identidade corporativos, que foram projetados para verificar credenciais e dispositivos — e não as pessoas por trás deles.

O Relatório de Inteligência contra Ameaças da iProov de 2025 documenta os métodos de ataque que estão por trás das fraudes envolvendo novas contas atualmente. Baixe o relatório completo aqui.

Para saber como o iProov pode proteger seu processo de integração contra fraudes na criação de novas contas, agende uma demonstração.

Perguntas frequentes sobre fraudes em novas contas

Como a IA agrava a fraude na abertura de novas contas?

A IA generativa permite que os fraudadores criem deepfakes convincentes, documentos de identidade sintéticos e trocas de rosto em escala industrial. Essas ferramentas podem contornar verificações básicas de identidade que se baseiam em fotos de documentos ou em simples detecção de vida. As redes de “crime como serviço” tornam essas ferramentas baseadas em IA acessíveis a operadores pouco qualificados, aumentando drasticamente o volume e a sofisticação dos ataques.

Como as organizações podem prevenir fraudes relacionadas à abertura de novas contas?

A defesa mais eficaz é a verificação biométrica facial com detecção de presença real no momento do cadastro. Isso confirma a presença de um ser humano real, compara seu rosto com um documento de identidade confiável e neutraliza deepfakes e ataques de injeção. As organizações devem buscar soluções certificadas de forma independente de acordo com normas como a NIST SP 800-63-4 e a CEN/TS 18099, com gerenciamento ativo de ameaças que evolua à medida que os métodos de ataque mudam.

Qual é a diferença entre fraude em contas novas e invasão de contas?

A fraude de criação de novas contas envolve a criação de uma nova conta utilizando dados de identidade roubados ou sintéticos. A fraude de apropriação de conta envolve a obtenção de acesso não autorizado a uma conta legítima já existente. Ambas são ameaças crescentes, mas exigem estratégias de defesa diferentes: a fraude de criação de novas contas é mais bem combatida na fase de cadastro, por meio da verificação de identidade, enquanto a apropriação de conta é combatida por meio da autenticação contínua.

Mensagem de alerta de verificação de conta exibida - nova solução contra fraudes em contas
Índice

Continue lendo