Fraude de identidade sintética: o problema das vítimas invisíveis e como resolvê-lo

Pense nos bilhões de usuários que se cadastram online todos os dias em novos serviços digitais – assinando uma plataforma de streaming, contratando um seguro, acessando prontuários médicos, abrindo uma conta bancária. As organizações dão enorme importância à integração do maior número possível de clientes o mais rápido possível. Mais clientes, mais receita. No setor público, a adoção em massa de serviços digitais é fundamental para a eficiência de custos.

Mas o que acontece se você cadastrar um usuário que não seja uma pessoa real?

Não se trata de alguém fingindo ser você – isso é roubo de identidade tradicional. Isso aqui é diferente. Trata-se de alguém que nem sequer existe. Uma pessoa inventada, montada a partir de fragmentos de dados roubados, criada para parecer real o suficiente para passar pelas suas verificações, construir um histórico de crédito e, então, desaparecer com o seu dinheiro.

Trata-se de fraude de identidade sintética. Estima-se que ela custe às empresas entre US$ 20 e US$ 40 bilhões por ano em todo o mundo. Somente no primeiro semestre de 2025, as instituições financeiras dos EUA enfrentaram um risco de US$ 3,3 bilhões decorrente de identidades sintéticas vinculadas a novas contas. Além disso, 44% das organizações a classificam atualmente como o tipo de fraude mais monitorado.

O que torna isso particularmente perigoso não é apenas a magnitude. É o fato de não haver nenhuma vítima para denunciar o caso.

O que é fraude de identidade sintética?

A fraude de identidade sintética consiste na criação de uma identidade nova e fictícia, utilizando uma combinação de informações reais, roubadas e inventadas, para, em seguida, usar essa identidade para abrir contas, acessar serviços ou cometer crimes financeiros.

Ao contrário do roubo de identidade tradicional, em que um criminoso rouba a identidade de uma pessoa real e se faz passar por ela, a fraude sintética cria uma “pessoa” que nunca existiu. Essa distinção é extremamente importante para a detecção, como explicaremos a seguir.

Geralmente, assume uma das três formas a seguir:

• Falsificação de identidade: criada inteiramente a partir de dados fictícios. Não são utilizadas informações pessoais reais.
• Manipulação de identidade: dados de identidade reais ligeiramente alterados — um dígito alterado no número de segurança social, uma data de nascimento modificada — para criar uma nova identidade que passe na validação.
• Compilação de identidade (fraude do tipo Frankenstein): elementos de dados reais provenientes de várias fontes combinados para formar uma nova identidade. Um número de segurança social legítimo associado a um nome falso e a um endereço roubado. Esta é a forma mais comum e mais perigosa, pois cada dado, isoladamente, parece legítimo.

O problema da vítima invisível: por que a fraude sintética burla os métodos tradicionais de detecção

Eis a questão estrutural que distingue a fraude de identidade sintética de todos os outros tipos de fraude: não há nenhuma pessoa real monitorando a atividade fraudulenta.

No roubo de identidade tradicional ou na invasão de contas, há uma vítima real. Ela percebe transações desconhecidas. Liga para o banco. Registra uma ocorrência. A fraude é identificada. A detecção começa com a vítima.

Na fraude de identidade sintética, ninguém liga. Ninguém faz denúncias. A identidade foi inventada, portanto não há uma pessoa real verificando extratos ou monitorando o crédito. A fraude ocorre em silêncio — muitas vezes por meses ou anos — até que o criminoso decida que é hora de lucrar.

Isso gera uma série de problemas para as organizações:

• Os sistemas de detecção de fraudes que se baseiam em anomalias comportamentais não são acionados porque a identidade sintética serve de referência. Não há um padrão “normal” do qual se desviar.
• As verificações de agências de crédito não detectam isso porque cada elemento de dados isoladamente — um número de segurança social verdadeiro, um nome inventado, um endereço plausível — pode parecer legítimo por si só.
• A verificação baseada em conhecimento falha porque qualquer informação que possa ser digitada pode ser roubada ou inventada.
• A recuperação é praticamente impossível porque, quando ocorre a inadimplência, a “pessoa” responsável pela dívida já não existe. As perdas são contabilizadas como dívidas incobráveis.

É por isso que a fraude de identidade sintética é, por natureza, mais difícil de combater do que qualquer outro tipo de fraude. A ausência de uma vítima não é um efeito colateral — é a característica que faz com que todo o esquema funcione.

Quem é prejudicado: as vítimas ocultas da fraude com produtos sintéticos

Pode não haver uma vítima “visível”, mas pessoas reais são prejudicadas. Os fragmentos de dados legítimos usados para criar identidades sintéticas precisam vir de algum lugar – e costumam provir das populações mais vulneráveis:

• Crianças: O número de segurança social de uma criança não possui histórico de crédito e não será verificado pelo seu titular por anos, às vezes décadas. É a base ideal para uma identidade sintética.
• Pessoas falecidas: Os registros de pessoas falecidas são explorados porque não geram nenhuma reação por parte do verdadeiro proprietário.
• Pessoas idosas: muitas vezes possuem registros de crédito escassos ou inativos e podem não monitorar ativamente seu crédito.
• Imigrantes e pessoas que ainda não estão familiarizadas com o sistema de crédito: o histórico de crédito limitado e a falta de conhecimento sobre os sistemas locais fazem com que sejam alvos fáceis para o roubo do número de segurança social.

Quando uma criança completa 18 anos e solicita seu primeiro cartão de crédito, ela pode descobrir que seu número de segurança social vem contribuindo para a pontuação de crédito de outra pessoa há anos. O prejuízo é real, mesmo que a identidade fosse fictícia.

O ciclo de vida de um ataque de identidade sintética

Compreender como a fraude sintética se desenvolve ao longo do tempo revela onde as defesas podem intervir – e onde a maioria das organizações apresenta atualmente pontos cegos.

Fase 1: Construção da identidade

O fraudador cria uma identidade sintética combinando um identificador legítimo (normalmente um número de segurança social real obtido a partir de violações de dados ou da dark web) com dados pessoais falsos. O Relatório de Inteligência de Ameaças da iProov 2025 documenta como as redes de “Crime-as-a-Service” vendem atualmente kits de ferramentas de montagem de identidades que automatizam esse processo em grande escala. Alguns fraudadores vão além, criando histórias de fundo para identidades sintéticas – perfis nas redes sociais, históricos profissionais e até mesmo pequenos sites – para adicionar credibilidade.

Onde a defesa deve ocorrer: no momento do cadastro, antes mesmo que a identidade entre no seu sistema. É aqui que a verificação biométrica facial com detecção de presença real é decisiva – uma identidade falsa não tem um ser humano real por trás, portanto ninguém pode fornecer a correspondência biométrica.

Fase 2: Construção de histórico de crédito

A identidade falsa é introduzida nos sistemas financeiros e “cultivada” pacientemente. São abertas pequenas contas, efetuados pagamentos regulares e aumentados os limites de crédito. Ao longo de meses ou anos, a identidade constrói um perfil de crédito que parece legítimo. Alguns fraudadores se adicionam como usuários autorizados em contas reais para acelerar o processo.

Onde a defesa deve ocorrer: monitoramento contínuo de padrões comportamentais associados a identidades falsas – novas contas com construção de crédito anormalmente rápida, adição de usuários autorizados sem relação aparente, candidatos com histórico de crédito escasso e histórico suspeitamente limpo.

Fase 3: A Fuga

Assim que os limites de crédito atingem valores suficientemente altos, o fraudador esgota o limite de todas as contas, contrai todos os empréstimos disponíveis e desaparece. A identidade sintética se dissipa. Não há nenhuma pessoa real a quem perseguir. A fraude do tipo “bust-out” é hoje o tipo de fraude mais frequente, representando 21% de todos os casos de fraude.

Onde a defesa deveria ocorrer: ela nem precisaria existir. Se a verificação genuína da identidade detectasse a identidade falsa logo na fase de cadastro, essa etapa nunca seria necessária. Cada real gasto na detecção de fraudes é um real que deveria ter sido investido na verificação durante o cadastro.

Por que a biometria básica não é suficiente

Algumas análises do setor sugerem que a biometria pode não impedir a fraude de identidade sintética – e, em alguns casos, isso é verdade. Um sistema básico de reconhecimento facial que se limita a comparar uma selfie com a foto de um documento pode ser burlado se o fraudador fornecer uma imagem deepfake correspondente ou utilizar uma pessoa real (uma “mula de identidade”) para concluir a verificação antes de entregar a conta.

É por isso que o tipo de verificação biométrica é importante. A defesa contra a fraude de identidade sintética durante o processo de integração exige três coisas simultaneamente:

1. Confirmação de que a pessoa corresponde ao documento de identidade – comparação facial padrão.
2. Confirmação de que um ser humano real e vivo está fisicamente presente – e não uma foto, uma máscara, um deepfake ou um vídeo inserido.
3. Confirmação de que a verificação está ocorrendo neste momento – não se trata de uma repetição de uma sessão anterior nem de uma transmissão pré-gravada.

A primeira verificação, por si só, não é suficiente. São as três juntas que fazem da verificação de presença genuína a solução estrutural para a fraude de identidade sintética – pois mesmo a identidade sintética mais convincente desmorona quando é necessária a presença física de um ser humano real para ativá-la.

Como a iProov combate a fraude de identidade sintética

A verificação de vitalidade dinâmica da iProov verifica todas as três condições em uma única interação passiva. Veja o que isso significa na prática no combate à fraude sintética:

O Flashmark neutraliza substitutos criados por deepfake. A tecnologia Flashmark patenteada pela iProov ilumina o rosto do usuário com uma sequência de cores única e imprevisível durante cada sessão. O reflexo é analisado para confirmar a presença genuína em tempo real. Cada sessão gera dados biométricos únicos que expiram imediatamente – não podem ser reproduzidos, interceptados ou sintetizados. Isso significa que um fraudador não pode usar um deepfake, um vídeo pré-gravado ou um rosto gerado por IA para ativar uma identidade sintética. A iProov é a primeira e única fornecedora certificada pela NIST SP 800-63-4 e a primeira a atingir o Nível Alto da CEN/TS 18099 para detecção de ataques de injeção. Durante mais de 40 dias de testes acreditados, nenhum ataque bem-sucedido foi registrado.

O iSOC detecta o que os sistemas estáticos deixam passar. O Centro de Operações de Segurança iProov (iSOC) monitora padrões de ataque em todos os clientes, regiões geográficas e plataformas em tempo real. Quando surgem novas técnicas para ativar identidades sintéticas — novas ferramentas de deepfake, novos métodos de injeção, novos padrões de recrutamento de “mulas” —, o iSOC as detecta e implementa atualizações defensivas globalmente, sem esperar pelo próximo lançamento de software.

A arquitetura em nuvem mantém a defesa oculta. Toda a verificação ocorre na nuvem, e não no dispositivo. Isso significa que o processo de verificação não pode ser submetido a engenharia reversa através do estudo do dispositivo, além de permitir a visibilidade em tempo real que sustenta o iSOC.

A verificação passiva não penaliza usuários reais. O processo não exige movimentos da cabeça, acenos ou instruções verbais. O iProov está em conformidade com as diretrizes WCAG 2.2 AA e a Seção 508, com algoritmos testados para garantir um desempenho equitativo independentemente da idade, gênero e tom de pele. As taxas de conclusão costumam ficar acima de 98%. Uma prevenção robusta contra fraudes na fase de cadastro não precisa custar-lhe clientes genuínos.

Além da integração de novos clientes: identidades sintéticas no mercado de trabalho

As identidades falsas não visam apenas bancos e empresas de cartão de crédito. Agentes de países sancionados pelo OFAC se infiltraram em mais de 300 empresas usando identidades falsas e filtros deepfake para passar nos processos de contratação remota. Um funcionário falso obtém acesso a sistemas, dados e fundos – e a organização pode nunca perceber que a pessoa que contratou não existe.

O iProov Workforce Solution Suite estende a verificação da presença humana real ao longo de todo o ciclo de vida da identidade do funcionário — contratação remota, acesso a dispositivos compartilhados, autenticação reforçada e recuperação de conta —, preenchendo a mesma lacuna no processo de integração que as identidades sintéticas exploram nos serviços ao consumidor.

---

O Relatório de Inteligência de Ameaças da iProov de 2025 documenta as ferramentas e técnicas utilizadas atualmente na fraude de identidade sintética. Baixe o relatório completo aqui.

Para saber como o iProov impede a criação de identidades falsas logo na fase de integração, agende uma demonstração.

Perguntas frequentes sobre fraude de identidade sintética

Por que a fraude de identidade sintética é tão difícil de detectar?

Porque não há uma vítima real para denunciar o caso. A identidade foi forjada, portanto ninguém está monitorando a conta em busca de atividades suspeitas. Cada elemento de dados individual (um CPF válido, um nome falso) pode parecer legítimo quando considerado isoladamente. Os fraudadores costumam cultivar identidades sintéticas por meses ou anos, acumulando crédito antes de executar uma operação fraudulenta. A detecção tradicional de fraudes depende de denúncias de anomalias por parte das vítimas – a fraude sintética elimina completamente a vítima.

Quem corre maior risco de ter seus dados utilizados em fraudes de identidade sintética?

Crianças, pessoas falecidas, idosos e imigrantes são alvos de forma desproporcional, pois é provável que seus números de segurança social tenham registros de crédito escassos ou inativos. O número de segurança social de uma criança pode ser explorado durante anos antes que ela tenha idade suficiente para perceber o dano causado.

Como a verificação biométrica previne a fraude de identidade sintética?

A verificação biométrica facial com detecção de presença real exige que um ser humano vivo esteja fisicamente presente durante o processo de cadastro. Uma identidade sintética não tem uma pessoa real por trás, portanto, ninguém pode fornecer a correspondência biométrica. Soluções avançadas, como o Dynamic Liveness da iProov, também neutralizam deepfakes e ataques de injeção que tentam se passar por uma pessoa fictícia usando imagens geradas por IA.

Qual é a diferença entre fraude de identidade sintética e roubo de identidade?

O roubo de identidade consiste em roubar a identidade completa de uma pessoa real. A fraude de identidade sintética consiste em criar uma nova identidade combinando dados reais e falsos. A principal diferença é que o roubo de identidade tem uma vítima que pode denunciá-lo; a fraude sintética, muitas vezes, não tem, e é por isso que pode passar despercebida por muito mais tempo.