1 de abril de 2025
Imagine que um dia recebe um extrato que mostra que deve vários milhares de dólares de um cartão de crédito. A carta é dirigida a si, mas é a primeira vez que ouve falar dela - nunca teve sequer um cartão de crédito dessa empresa.
Liga para os informar do erro, mas descobre que foi vítima de uma fraude na abertura de uma nova conta. Alguém que se faz passar por si solicitou um novo cartão de crédito e está a utilizar o limite de crédito para acumular despesas fraudulentas em seu nome. Agora, tem de lidar com o stress, com a potencial perda financeira e com uma pontuação de crédito arruinada, o que torna mais difícil obter os empréstimos, cartões de crédito ou hipotecas de que realmente precisa.
Este sempre foi um problema. Mas a dimensão e a sofisticação da fraude na abertura de novas contas mudaram drasticamente. Em 2024, as perdas registadas atingiram os 6,2 mil milhões de dólares – mais do que duplicando ao longo da última década. E os métodos evoluíram: enquanto antes os fraudadores dependiam de correspondência roubada e documentos falsificados, agora utilizam identidades sintéticas criadas com IA generativa, imagens deepfake que passam nas verificações básicas e ataques de injeção que contornam totalmente as câmaras dos dispositivos.
As organizações que não verificam a presença real de cada novo candidato estão, sem saber, a abrir as portas aos fraudadores. Se o seu processo de integração puder ser concluído apenas com dados, poderá ser acedido por um fraudador mal-intencionado.
O que é a fraude em novas contas?
A fraude na abertura de contas – também conhecida como fraude na abertura de contas ou fraude na criação de contas – ocorre quando um fraudador abre uma conta utilizando dados de identidade falsos ou falsificados para cometer crimes, roubar dinheiro, branquear capitais ou aceder a serviços aos quais não teria direito com a sua própria identidade.
Existem dois métodos principais:
Fraude por roubo de identidade: a utilização de informações de uma pessoa real – normalmente obtidas através de fugas de dados ou adquiridas na dark web – para abrir contas em seu nome. Para muitos de nós, já é possível encontrar online uma grande quantidade de informações pessoais: data de nascimento, morada, número de telefone e outros dados que podem ser reunidos para se fazer passar por nós. Demora, em média, 151 dias a detetar uma fraude de conta nova depois de esta ter sido bem-sucedida, período durante o qual os danos se agravam.
Fraude de identidade sintética: combinação de dados reais (como um número de segurança social válido) com informações inventadas para criar uma pessoa totalmente fictícia. Esta é uma das formas mais sofisticadas de fraude – e uma das que mais cresce. A fraude de identidade sintética representa atualmente cerca de 30% de todos os casos de fraude de identidade, tendo-se registado um aumento de 311% na fraude com documentos de identidade sintéticos entre o primeiro trimestre de 2024 e o primeiro trimestre de 2025.
Por que razão a fraude relacionada com novas contas está a aumentar
Três fatores estão a contribuir para agravar este problema:
A IA generativa industrializou a fraude de identidade
Os deepfakes e os documentos gerados por IA transformaram o que antes era um crime manual e de baixo volume numa operação em grande escala. O Relatório de Inteligência de Ameaças da iProov para 2025 revelou que os ataques de troca de rosto aumentaram 300% em relação ao ano anterior, e os ataques com câmaras virtuais nativas — em que os fraudadores inserem imagens sintéticas diretamente no processo de verificação — aumentaram 2 665%.
Estes não são riscos teóricos. Uma única videochamada com deepfake custou à Arup 25 milhões de dólares. Agentes de países sujeitos a sanções do OFAC infiltraram-se em mais de 300 empresas utilizando filtros de deepfake para passar em entrevistas por vídeo à distância.
O «crime como serviço» reduziu as barreiras
As ferramentas de ataque sofisticadas já não são exclusividade de hackers experientes. As redes de «crime como serviço» vendem kits de ferramentas de fraude prontos a usar a operadores com pouca experiência. O Relatório de Inteligência de Ameaças da iProov identificou mais de 115 000 combinações de ataque potenciais a partir de apenas três ferramentas comuns.
As verificações tradicionais de integração não conseguem acompanhar o ritmo
Muitas organizações têm tentado combater a fraude simplesmente solicitando mais informações durante o processo de integração – mais perguntas, mais documentos, mais verificações baseadas em conhecimentos. Mas qualquer informação que possa ser digitada pode ser roubada. A autenticação baseada em conhecimentos é fundamentalmente vulnerável, porque os dados em que se baseia já se encontram comprometidos em grande escala.
Só a verificação biométrica – que confirma a presença real da pessoa por trás do ecrã – pode colmatar a lacuna que as verificações baseadas em dados deixam em aberto.
O custo para as organizações e os consumidores
Para os consumidores: Para além dos prejuízos financeiros, as vítimas enfrentam a deterioração da sua pontuação de crédito e demoram, em média, 10 horas a resolver cada caso de fraude. Uma pontuação de crédito baixa, resultante de empréstimos contraídos em seu nome e não pagos, pode impedir-lhe de aceder aos serviços de que realmente necessita.
Para as organizações: as perdas vão muito além da conta esgotada que um indivíduo falso simplesmente abandona. Cada cliente fraudulento que você integra consome recursos de processamento de KYC, atendimento ao cliente e monitorização de conformidade que deveriam estar a servir clientes genuínos. Em setores regulamentados, uma verificação inadequada na integração pode desencadear falhas de conformidade com o KYC, multas e danos à reputação. E uma conta fraudulenta aberta com sucesso torna-se uma rampa de lançamento para crimes posteriores a jusante – lavagem de dinheiro, fraude em pagamentos push autorizados ou preparação para cadeias de fraude mais complexas.
É revelador que, atualmente, apenas um terço das instituições financeiras detecte a maioria das fraudes na fase de integração. A maioria identifica-as numa fase posterior do fluxo da transação – altura em que o dano já está feito.
Como a verificação biométrica previne a fraude na criação de novas contas
A verificação biométrica facial resolve a principal falha do processo tradicional de integração: confirma que a pessoa que se candidata é quem afirma ser, que é um ser humano real e que está efetivamente presente no momento da verificação.
Um utilizador digitaliza um documento de identificação válido (passaporte ou carta de condução) e, em seguida, realiza uma breve digitalização facial. O sistema compara o rosto ao vivo com a fotografia do documento e verifica a presença física do utilizador – tudo em poucos segundos.
Isto impede a fraude na criação de novas contas na sua origem. Se um criminoso tiver o seu documento de identidade, a fotografia não corresponderá ao seu rosto físico – só você pode fornecer a correspondência biométrica. Uma identidade sintética não tem um ser humano real por trás. Além disso, a deteção avançada de vida identifica e bloqueia deepfakes, trocas de rosto e imagens inseridas digitalmente.
Mas nem todas as verificações biométricas são iguais. A sofisticação dos ataques modernos significa que a verificação básica de vitalidade – ou seja, verificar simplesmente se um rosto é «real» e não uma fotografia – já não é, por si só, suficiente.
Por que a abordagem da iProov detecta o que outros deixam escapar
A tecnologia Dynamic Liveness da iProov foi concebida especificamente para fazer face às ameaças que caracterizam atualmente a fraude na abertura de novas contas. Combina quatro funcionalidades que, em conjunto, criam uma defesa que nenhuma outra funcionalidade consegue igualar:
Detecção certificada de vida e de ataques por injeção. A tecnologia Flashmark patenteada da iProov ilumina o rosto do utilizador com uma sequência única e imprevisível de cores durante cada sessão. O reflexo dessa luz no rosto do utilizador é analisado para confirmar a presença genuína em tempo real. Cada sessão gera dados biométricos únicos que não podem ser reproduzidos, interceptados ou pré-gravados. A iProov é o primeiro e único fornecedor certificado de forma independente pela norma NIST SP 800-63-4 e o primeiro a atingir o Nível Alto da norma CEN/TS 18099 para deteção de ataques de injeção – durante mais de 40 dias de testes acreditados, não foi estabelecido nenhum método de ataque bem-sucedido.
Gestão ativa de ameaças. O Centro de Operações de Segurança da iProov (iSOC) monitoriza os padrões de ataque em tempo real em todos os clientes, regiões geográficas e plataformas. Quando surgem novos métodos de ataque, as atualizações defensivas são implementadas a nível global sem interrupções. As defesas da iProov evoluem continuamente – algo essencial quando as técnicas de fraude mudam mais rapidamente do que as atualizações anuais de software conseguem acompanhar.
Verificação baseada na nuvem. Toda a verificação ocorre na nuvem, e não no dispositivo. Isto isola o processo de verificação das vulnerabilidades ao nível do dispositivo e permite a monitorização em tempo real que sustenta o iSOC.
Experiência de utilizador intuitiva. Todo o processo é passivo – sem movimentos da cabeça, acenos, pestanejos ou instruções verbais. O iProov está em conformidade com as diretrizes WCAG 2.2 AA e a Secção 508, com algoritmos testados quanto ao desempenho em diferentes faixas etárias, géneros e tons de pele. As organizações podem aplicar medidas rigorosas de prevenção de fraudes na fase de integração sem perder clientes genuínos devido a atritos. As taxas de sucesso do iProov situam-se normalmente acima dos 98%.
Para além da integração de clientes: a identidade da força de trabalho
A fraude na criação de novas contas não se limita aos serviços destinados ao consumidor. As mesmas técnicas – deepfakes, identidades sintéticas, credenciais roubadas – estão agora a ser utilizadas para se infiltrar em organizações através do próprio processo de recrutamento.
O iProov Workforce Solution Suite alarga a verificação da presença humana real a todo o ciclo de vida da identidade dos colaboradores: contratação e integração à distância, acesso a dispositivos partilhados, autenticação reforçada para ações privilegiadas e recuperação de contas. Este conjunto de soluções colmata a lacuna estrutural existente nos sistemas de identidade empresariais, que foram concebidos para verificar credenciais e dispositivos – e não as pessoas por trás deles.
O Relatório de Inteligência sobre Ameaças da iProov de 2025 documenta os métodos de ataque que estão na origem das fraudes relacionadas com novas contas atualmente. Descarregue o relatório completo aqui.
Para saber como o iProov pode proteger o seu processo de integração contra fraudes relacionadas com novas contas, marque uma demonstração.
Perguntas frequentes sobre fraudes em novas contas
De que forma a IA agrava a fraude relacionada com a abertura de novas contas?
A IA generativa permite que os fraudadores criem deepfakes convincentes, documentos de identidade sintéticos e trocas de rostos em escala industrial. Estas ferramentas conseguem contornar verificações básicas de identidade que se baseiam em fotografias de documentos ou em simples deteção de vida. As redes de «crime como serviço» tornam estas ferramentas baseadas em IA acessíveis a operadores com pouca qualificação, aumentando drasticamente o volume e a sofisticação dos ataques.
Como podem as organizações mitigar a fraude na abertura de novas contas?
A defesa mais eficaz é a verificação biométrica facial com deteção de presença real no momento da integração. Isto confirma a presença de um ser humano real, compara o seu rosto com um documento de identidade fiável e neutraliza os deepfakes e os ataques de injeção. As organizações devem procurar soluções certificadas de forma independente de acordo com normas como a NIST SP 800-63-4 e a CEN/TS 18099, com uma gestão ativa de ameaças que evolua à medida que os métodos de ataque mudam.
Qual é a diferença entre fraude na criação de novas contas e apropriação de contas?
A fraude de criação de novas contas consiste na criação de uma nova conta utilizando dados de identidade roubados ou sintéticos. A fraude de apropriação de contas consiste na obtenção de acesso não autorizado a uma conta legítima já existente. Ambas constituem ameaças crescentes, mas exigem estratégias de defesa diferentes: a fraude de criação de novas contas é mais eficazmente combatida na fase de integração, através da verificação de identidade, enquanto a apropriação de contas é combatida por meio de autenticação contínua.
Continuar a ler
7 de fevereiro de 2026
