7 de fevereiro de 2026

Pense nos milhares de milhões de utilizadores que se registam online todos os dias para aceder a novos serviços digitais – subscrevendo uma plataforma de streaming, contratando um seguro, acedendo a registos médicos, abrindo uma conta bancária. As organizações dão enorme importância à integração do maior número possível de clientes, o mais rapidamente possível. Mais clientes, mais receitas. No setor público, a adoção em massa de serviços digitais é fundamental para a eficiência de custos.

Mas o que acontece se registar um utilizador que não seja uma pessoa real?

Não se trata de alguém que se faz passar por si – isso é o roubo de identidade tradicional. Isto é diferente. Trata-se de alguém que nem sequer existe. Uma pessoa inventada, criada a partir de fragmentos de dados roubados, concebida para parecer suficientemente real para passar nas suas verificações, construir um histórico de crédito e, depois, desaparecer com o seu dinheiro.

Trata-se de fraude de identidade sintética.Estima-se que esta fraude custe às empresasentre 20 e 40 mil milhões de dólares por ano a nível mundial. As instituições de crédito norte-americanas enfrentam um risco de 3,3 mil milhões de dólares associado a identidades sintéticas ligadas a novas contas até 2024. Além disso, 44 % das organizações classificam-na atualmente como o tipo de fraude que mais monitorizam.

O que torna esta situação particularmente perigosa não é apenas a sua dimensão. É o facto de não haver nenhuma vítima para a denunciar.

O que é a fraude de identidade sintética?

A fraude de identidade sintética consiste na criação de uma identidade nova e fictícia, utilizando uma combinação de informações reais, roubadas e inventadas, para depois utilizar essa identidade para abrir contas, aceder a serviços ou cometer crimes financeiros.

Ao contrário do roubo de identidade tradicional, em que um criminoso rouba a identidade de uma pessoa real e se faz passar por ela, a fraude sintética cria uma «pessoa» que nunca existiu. Essa distinção é extremamente importante para a deteção, como explicaremos a seguir.

Geralmente assume uma de três formas:

Fabricação de identidade: Criada inteiramente a partir de dados fictícios. Não são utilizadas informações pessoais reais.

Manipulação de identidade: dados de identidade reais ligeiramente alterados — um dígito alterado num número de segurança social, uma data de nascimento modificada — para criar uma nova identidade que passe na validação.

Compilação de identidade (fraude tipo Frankenstein): elementos de dados reais provenientes de várias fontes combinados para formar uma nova identidade. Um número de segurança social legítimo associado a um nome falso e a uma morada roubada. Esta é a forma mais comum e mais perigosa, uma vez que cada dado, isoladamente, parece legítimo.

O problema da vítima invisível: por que razão a fraude sintética contorna os métodos tradicionais de deteção

Eis a questão estrutural que distingue a fraude de identidade sintética de todos os outros tipos de fraude: não há nenhuma pessoa real a monitorizar a atividade fraudulenta.

No roubo de identidade tradicional ou na apropriação de contas, existe uma vítima real. Esta repara em transações desconhecidas. Liga para o seu banco. Apresenta uma queixa. A fraude é identificada. A deteção começa com a vítima.

Na fraude de identidade sintética, ninguém liga. Ninguém denuncia. A identidade foi inventada, pelo que não há nenhuma pessoa real a verificar extratos ou a monitorizar o crédito. A fraude decorre em silêncio – muitas vezes durante meses ou anos – até que o criminoso decida que é hora de lucrar.

Isto gera uma série de problemas para as organizações:

  • Os sistemas de deteção de fraudes que se baseiam em anomalias comportamentais não são acionados porque a identidade sintética constitui a referência. Não existe um padrão «normal» do qual se possa desviar.
  • As verificações das agências de crédito não detectam isso porque cada elemento de dados individual – um número de segurança social verdadeiro, um nome inventado, um endereço plausível – pode parecer legítimo quando considerado isoladamente.
  • A verificação baseada em dados falha porque qualquer informação que possa ser digitada pode ser roubada ou inventada. É por isso que a comprovação de identidade deve ir além da simples comparação de dados.
  • A recuperação é praticamente impossível porque, quando ocorre a falência, a «pessoa» responsável pela dívida já não existe. As perdas são contabilizadas como dívidas incobráveis.

É por isso que a fraude de identidade sintética é, por natureza, mais difícil de impedir do que qualquer outro tipo de fraude. A ausência de uma vítima não é um efeito secundário – é a característica que faz com que todo o esquema funcione.

Quem é prejudicado: as vítimas ocultas da fraude com produtos sintéticos

Pode não haver nenhuma vítima «visível», mas há pessoas reais que são prejudicadas. Os fragmentos de dados legítimos utilizados para criar identidades sintéticas têm de vir de algum lado – e tendem a provir das populações mais vulneráveis:

  • Crianças: O número de segurança social de uma criança não tem qualquer registo de crédito e não será verificado pelo seu titular durante anos, por vezes décadas. É a base ideal para uma identidade sintética.
  • Pessoas falecidas: Os registos de pessoas falecidas são alvo de abuso porque não suscitam qualquer reação por parte do verdadeiro titular.
  • Pessoas idosas: muitas vezes têm registos de crédito escassos ou inativos e podem não acompanhar ativamente o seu crédito.
  • Imigrantes e pessoas que ainda não estão familiarizadas com o sistema de crédito: o facto de terem um historial de crédito reduzido e de não conhecerem bem os sistemas locais torna-os alvos fáceis para o roubo do número de segurança social.

Quando uma criança faz 18 anos e solicita o seu primeiro cartão de crédito, pode descobrir que o seu número de segurança social tem vindo a contribuir para a pontuação de crédito de outra pessoa há anos. Os danos são reais, mesmo que a identidade fosse fictícia.

O ciclo de vida de um ataque de identidade sintética

Compreender como a fraude sintética se desenvolve ao longo do tempo revela onde as medidas de defesa podem intervir – e onde a maioria das organizações tem atualmente pontos cegos.

Fase 1: Definição da identidade

O fraudador cria uma identidade sintética combinando um identificador legítimo (normalmente um número de segurança social real obtido através de fugas de dados ou da dark web) com dados pessoais inventados. O Relatório de Inteligência de Ameaças da iProov 2025 documenta como as redes de «Crime-as-a-Service» vendem agora kits de ferramentas de montagem de identidades que automatizam este processo em grande escala. Alguns fraudadores vão mais longe, criando histórias de fundo para identidades sintéticas – perfis nas redes sociais, percursos profissionais e até pequenos sites – para conferir credibilidade.

Onde a defesa deve ocorrer: na fase de integração, antes mesmo de a identidade entrar no seu sistema. É aqui que a verificação biométrica facial com deteção de presença real é decisiva – uma identidade falsa não tem um ser humano real por trás, pelo que ninguém pode fornecer a correspondência biométrica.

Fase 2: Construção de histórico de crédito

A identidade falsa é introduzida nos sistemas financeiros e «cultivada» pacientemente. São abertas pequenas contas, efetuados pagamentos regulares e aumentados os limites de crédito. Ao longo de meses ou anos, a identidade constrói um perfil de crédito com aparência legítima. Alguns fraudadores adicionam-se a si próprios como utilizadores autorizados em contas reais para acelerar o processo.

Onde a defesa deve ser implementada: monitorização contínua de padrões comportamentais associados a identidades sintéticas – novas contas com acumulação de crédito invulgarmente rápida, adições de utilizadores autorizados sem qualquer relação aparente, candidatos com historiais de crédito escassos e historiais suspeitamente limpos.

Fase 3: A Fuga

Assim que os limites de crédito atingem valores suficientemente elevados, o fraudador esgota o limite de todas as contas, contrai todos os empréstimos disponíveis e desaparece. A identidade sintética desvanece-se. Não há nenhuma pessoa real a quem perseguir. As identidades sintéticas estiveram envolvidas em 21% dos casos de fraude interna detetados em 2025, e os esquemas de «bust-out» continuam a ser um dos métodos mais comuns para rentabilizar estes perfis falsos.

Onde a defesa deveria ocorrer: não deveria ser necessário. Se uma verificação de presença genuína detetar a identidade falsa logo na fase de integração, esta fase nunca chega a ocorrer. Cada euro gasto na deteção de fraudes é um euro que deveria ter sido investido na verificação durante a integração.

Por que razão a biometria básica não é suficiente

Nem todos os sistemas biométricos oferecem a mesma proteção contra a fraude de identidade sintética. Um sistema básico de reconhecimento facial que se limita a comparar uma selfie com a fotografia de um documento pode ser burlado se o fraudador apresentar uma imagem deepfake correspondente ou recorrer a uma pessoa real (uma «mula de identidade») para concluir a verificação antes de entregar a conta.

É por isso que o tipo de verificação biométrica é importante. A defesa contra a fraude de identidade sintética na fase de integração requer três coisas simultaneamente:

  1. Confirmação de que a pessoa corresponde ao documento de identidade – comparação facial padrão.
  2. Confirmação de que se trata de um ser humano real e vivo, fisicamente presente – e não de uma fotografia, máscara, deepfake ou vídeo inserido.
  3. Confirmação de que a verificação está a decorrer neste momento – não se trata de uma repetição de uma sessão anterior nem de uma transmissão pré-gravada.

A primeira verificação, por si só, não é suficiente. Só as três juntas é que fazem da verificação da presença real a resposta estrutural à fraude de identidade sintética – porque mesmo a identidade sintética mais convincente desmorona-se quando é necessária a presença física de um ser humano real para a ativar.

Como a iProov combate a fraude de identidade sintética

A verificação de vitalidade dinâmica da iProov verifica as três condições numa única interação passiva. Eis o que isso significa na prática no combate à fraude sintética:

  • O Flashmark neutraliza os substitutos criados por deepfake. A tecnologia Flashmark patenteada pela iProov ilumina o rosto do utilizador com uma sequência de cores única e imprevisível durante cada sessão. O reflexo é analisado para confirmar a presença genuína em tempo real. Cada sessão gera dados biométricos únicos que expiram imediatamente – não podem ser reproduzidos, interceptados ou sintetizados. Isto significa que um fraudador não pode utilizar um deepfake, um vídeo pré-gravado ou um rosto gerado por IA para ativar uma identidade sintética. A iProov é o primeiro e único fornecedor certificado pela norma NIST SP 800-63-4 e o primeiro a atingir o Nível Alto da norma CEN/TS 18099 para deteção de ataques de injeção. Durante mais de 40 dias de testes acreditados, não foi registado qualquer ataque bem-sucedido.
  • O iSOC deteta o que os sistemas estáticos deixam escapar. O Centro de Operações de Segurança iProov (iSOC) monitoriza padrões de ataque em todos os clientes, regiões geográficas e plataformas em tempo real. Quando surgem novas técnicas para ativar identidades sintéticas – novas ferramentas de deepfake, novos métodos de injeção, novos padrões de recrutamento de «mulas» –, o iSOC deteta-as e implementa atualizações defensivas a nível global, sem esperar pelo próximo lançamento de software.
  • A arquitetura na nuvem mantém a defesa oculta. Toda a verificação ocorre na nuvem, e não no dispositivo. Isto significa que o processo de verificação não pode ser submetido a engenharia reversa através do estudo do dispositivo, e permite a visibilidade em tempo real que sustenta o iSOC.
  • A verificação passiva não penaliza os utilizadores reais. O processo não requer movimentos da cabeça, acenos ou instruções verbais. O iProov está em conformidade com as diretrizes WCAG 2.2 AA e a Secção 508, com algoritmos testados para garantir um desempenho equitativo independentemente da idade, género e tom de pele. As taxas de conclusão situam-se normalmente acima dos 98%. Uma prevenção robusta contra fraudes na fase de integração não tem de lhe custar clientes genuínos.
  • Para além da integração de consumidores: identidades sintéticas no mercado de trabalho

As identidades falsas não visam apenas bancos e empresas de cartões de crédito. Agentes de países sujeitos a sanções do OFAC infiltraram-se em mais de 300 empresas utilizando identidades falsas e filtros deepfake para passar nos processos de recrutamento à distância. Um funcionário falso obtém acesso a sistemas, dados e fundos – e a organização pode nunca perceber que a pessoa que contratou não existe.

O conjunto de soluções iProov Workforce Solution Suite alarga a verificação da presença humana real a todo o ciclo de vida da identidade do colaborador — contratação à distância, acesso a dispositivos partilhados, autenticação reforçada e recuperação de contas —, colmatando a mesma lacuna no processo de integração que as identidades sintéticas exploram nos serviços ao consumidor.

O Relatório de Inteligência sobre Ameaças da iProov de 2025 documenta as ferramentas e técnicas que estão na origem da fraude de identidade sintética atualmente. Descarregue o relatório completo aqui.

Para saber como o iProov impede a criação de identidades falsas na fase de integração, marque uma demonstração.

Perguntas frequentes sobre fraude de identidade sintética

Por que razão é tão difícil detetar a fraude de identidade sintética?

Porque não existe uma vítima real que possa denunciá-la. A identidade foi inventada, pelo que ninguém está a monitorizar a conta em busca de atividades suspeitas. Cada elemento de dados individual (um número de segurança social verdadeiro, um nome falso) pode parecer legítimo quando considerado isoladamente. Os fraudadores costumam cultivar identidades sintéticas durante meses ou anos, acumulando crédito antes de executarem uma operação fraudulenta. A deteção tradicional de fraudes depende de que as vítimas denunciem anomalias – a fraude sintética elimina completamente a vítima.

Quem corre maior risco de ver os seus dados utilizados em fraudes de identidade sintética?

As crianças, as pessoas falecidas, os idosos e os imigrantes são alvo de ataques de forma desproporcional, uma vez que os seus números de segurança social tendem a ter registos de crédito escassos ou inativos. O número de segurança social de uma criança pode ser explorado durante anos antes de esta ter idade suficiente para perceber os danos causados.

De que forma a verificação biométrica previne a fraude de identidade sintética?

A verificação biométrica facial com deteção de presença real exige que um ser humano vivo esteja fisicamente presente durante o processo de integração. Uma identidade sintética não tem nenhuma pessoa real por trás, pelo que ninguém pode fornecer a correspondência biométrica. Soluções avançadas como o Dynamic Liveness da iProov também neutralizam deepfakes e ataques de injeção que tentam fazer-se passar por uma pessoa fictícia utilizando imagens geradas por IA.

Qual é a diferença entre fraude de identidade sintética e roubo de identidade?

O roubo de identidade consiste em roubar a identidade completa de uma pessoa real. A fraude de identidade sintética consiste em criar uma nova identidade através da combinação de dados reais e falsos. A principal diferença é que o roubo de identidade tem uma vítima que pode denunciá-lo; a fraude sintética, muitas vezes, não tem, razão pela qual pode passar despercebida durante muito mais tempo.

Qual é a diferença entre a fraude de identidade sintética e a fraude de novas contas?

A fraude na abertura de novas contas é a categoria mais ampla – abrange qualquer caso em que um fraudador abre uma conta sob falsos pretextos, quer utilize uma identidade real roubada, quer uma identidade sintética inventada. A fraude de identidade sintética é uma forma específica e cada vez mais predominante de fraude na abertura de novas contas, que se distingue pelo facto de a identidade ter sido inventada, em vez de roubada. Ambas exploram falhas no processo de integração, razão pela qual a verificação no momento da criação da conta é fundamental.

De que forma a IA generativa está a agravar a fraude de identidade sintética?

As ferramentas de IA generativa reduziram drasticamente as barreiras à criação de identidades sintéticas convincentes. Os fraudadores podem agora produzir em grande escala selfies «deepfake» realistas, documentos de identidade gerados por IA e até mesmo pegadas digitais falsas. Os mercados de «crime como serviço» vendem estas capacidades sob a forma de kits de ferramentas prontos a usar. Isto significa que as identidades sintéticas são mais convincentes e mais numerosas do que nunca, tornando a verificação da presença genuína durante o processo de integração uma medida de defesa essencial, em vez de opcional.

Fraude de identidade sintética - o que é? como funciona? Como é que a tecnologia biométrica de vivacidade se pode defender contra ela?
Índice

Continuar a ler