Fraude de identidade sintética nas fintechs: a escalada de 2026

A fraude de identidade nas fintechs brasileiras deixou de ser um problema de borda e virou risco sistêmico. O Brasil registrou 6.937.832 tentativas de fraude apenas no primeiro semestre de 2025 — alta de 29,5% sobre o mesmo período do ano anterior, uma ocorrência a cada 2,3 segundos —, e as fintechs e bancos foram o alvo principal, concentrando mais da metade dos casos (fonte: Serasa Experian, 2025, serasaexperian.com.br). Dentro desse total, uma modalidade cresce mais rápido e é mais difícil de detectar: a identidade sintética, que combina dados reais e fictícios para fabricar um cliente que nunca existiu. Para quem compra dados em fintech — risco, fraude, compliance, crédito —, a tese deste artigo é direta: nenhuma camada isolada resolve. A defesa que funciona em 2026 cruza dado cadastral institucional, biometria com prova de vida e sinais de dispositivo e comportamento, lidos em conjunto e em tempo real.

O que é fraude de identidade sintética — definição

Serasa Experian / Kronoos, 2025-2026

A fraude de identidade sintética (em inglês, synthetic identity fraud) é a criação de uma identidade que mistura dados verdadeiros — um CPF válido, um nome real, um endereço existente — com informações inventadas ou roubadas de terceiros, formando um "Frankenstein" cadastral que não corresponde a nenhuma pessoa real. Diferente do roubo de identidade clássico, em que o golpista se passa por uma vítima específica, a identidade sintética não tem dono que reclame. Ela passa despercebida por meses, constrói histórico, é aprovada em crédito e só revela o golpe quando some com o limite — o chamado bust-out.

Essa característica explica por que o problema é tão grave em ambientes de aprovação rápida. A fraude por identidade sintética já responde por 48,3% dos casos na América Latina, contra cerca de 11% na média mundial, segundo levantamentos de mercado citados por plataformas de compliance (fonte: Kronoos, 2026, kronoos.com). O Brasil, por ser um dos países mais digitalizados e com maior volume de abertura de contas, concentra boa parte dessa pressão.

"Estamos vivendo os dias finais da biometria como método único de autenticação." A leitura, atribuída a executivos da idwall, resume o consenso do setor em 2026: nenhum sinal isolado — nem o facial — sustenta sozinho a verificação de identidade (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br).

A escalada em números: o que mudou em 2025 e 2026

O salto não é retórico. Três blocos de dados desenham a curva de 2026 para quem precisa dimensionar o risco.

Primeiro, o volume. As quase 7 milhões de tentativas no 1º semestre de 2025 já configuravam recorde, com o setor bancário e de fintechs concentrando 53,7% das ocorrências — uma tentativa a cada 4,2 segundos só nesse segmento (fonte: Serasa Experian, 2025, serasaexperian.com.br). Em projeção mensal, isso supera 1 milhão de tentativas por mês.

Segundo, a sofisticação. As tentativas de fraude com manipulação de vídeo e áudio — base técnica para furar biometria facial — cresceram cerca de 150% no Brasil no último ano, e o país registrou alta de 126% em fraudes com deepfakes (vídeos ou áudios sintéticos gerados por IA), liderando os ataques na América Latina (fonte: SEGS / Serasa, 2026, segs.com.br). No mundo, estimativas de provedores de verificação apontam surtos de deepfake em ordens de grandeza ainda maiores ao longo de 2025 e 2026.

Terceiro, a exposição financeira e a base de vítimas. Mais da metade dos brasileiros declarou ter sido alvo de pelo menos uma tentativa de fraude, e 20% dos que foram vítimas perderam até R$ 5 mil, segundo estudo da Serasa Experian (fonte: Serasa Experian, 2025, serasaexperian.com.br). A exposição agregada a fraudes de identidade no início de 2025 foi estimada na casa das dezenas de bilhões de reais pelos indicadores do bureau.

Por que o KYC tradicional das fintechs falha contra o sintético

O KYC (Know Your Customer, "conheça seu cliente") nasceu para confirmar que um documento corresponde a uma pessoa. A identidade sintética ataca exatamente o pressuposto: ela não tenta enganar a checagem de uma pessoa real — ela fabrica uma. Quando o CPF é válido, o nome existe na base e o rosto apresentado é um deepfake bem produzido, as verificações convencionais de onboarding tendem a aprovar.

A velocidade agrava. O modelo de negócio das contas digitais e dos pagamentos instantâneos vive de aprovação em segundos para reduzir atrito e captar cliente. Esse mesmo desenho abre janela para o fraudador: quanto mais ágil a validação, menos profundidade na checagem. A AllowMe estima que, de cada dez contas digitais abertas no Brasil, duas levantam suspeita de fraude, com 20,1% de mais de 1,3 milhão de transações de onboarding rejeitadas após análise de dispositivo combinada com biometria facial (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br).

Há ainda o problema dos repeaters: identidades sintéticas ligeiramente modificadas entre si, que variam um campo por tentativa para mapear e explorar as lacunas de regras estáticas de KYC e biometria. Contra um adversário que itera, regra fixa perde.

Biometria sob ataque: liveness, injeção e o limite do facial

A biometria facial foi, por anos, a barreira de maior confiança. Em 2026, ela continua necessária, mas deixou de ser suficiente. Demonstrações públicas de provedores como iProov e Sumsub mostraram que aplicativos de face-swap e ataques de injeção de vídeo conseguem enganar sistemas de liveness (prova de vida) que dependem apenas de analisar artefatos de imagem e movimentos do usuário (fonte: Biometric Update, 2025-2026, biometricupdate.com).

A resposta do mercado tem dois eixos. No primeiro, a biometria evolui: liveness passivo com camadas anti-injeção e certificação internacional iBeta / ISO/IEC 30107-3 para detecção de ataque de apresentação (PAD), padrão que provedores locais já buscam para uso bancário no Brasil. No segundo — e mais relevante para o comprador de dados —, a biometria deixa de operar sozinha e passa a ser correlacionada com validação de dispositivo, geolocalização e padrões comportamentais. Nenhum sinal isolado decide; a confiança vem do cruzamento.

O papel do dado cadastral: a camada que o deepfake não fabrica

Aqui está o ponto que muda a economia da defesa. Um fraudador pode gerar um rosto sintético convincente, mas tem muito mais dificuldade de fabricar um histórico cadastral coerente: vínculos societários consistentes, encadeamento de endereços ao longo do tempo, telefone com antiguidade compatível, relações entre pessoa física e empresas. É nessa camada — validação cadastral, KYB (Know Your Business, verificação de empresas) e enriquecimento de dados — que o dado institucional de 20 anos e o provedor DaaS (Data as a Service, dados como serviço) atuam como complemento ao bureau e à biometria.

O reconhecimento dessa importância está na própria movimentação do mercado: a Serasa Experian adquiriu a idwall por cerca de R$ 400 milhões em 2026, incorporando biometria, leitura de documento e verificação de antecedentes ao portfólio — sinal de que verificação de identidade e dado cadastral convergem (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br). Estruturas societárias são, aliás, um vetor explícito de fraude que ameaça fintechs e marketplaces, e que só se enfrenta com dado de qualidade sobre quadro societário e beneficiário final.

Onde cada camada entra na jornada

Na prática operacional, as defesas se distribuem por momento da jornada do cliente. A ordem importa porque cada etapa filtra um tipo de adversário diferente.

1. Pré-onboarding — validação cadastral de CPF/CNPJ, consistência de nome, endereço e telefone; checagem de listas restritivas e de PEP (pessoa exposta politicamente) para compliance.
2. Onboarding — biometria com prova de vida e anti-injeção, leitura de documento, e cruzamento com sinais de dispositivo (device fingerprinting) e geolocalização.
3. KYB e dado societário — para contas PJ, verificação de quadro societário, vínculos e beneficiário final, fechando a porta das "contas laranja" estruturadas.
4. Monitoramento contínuo — análise comportamental e de transações para capturar o bust-out da identidade sintética que passou pelo onboarding.
5. Compartilhamento de sinais — uso de bases de indicadores de fraude entre instituições, conforme a regulação emergente do Banco Central.

Regulação 2026: compartilhamento de fraude vira obrigação

O ambiente regulatório acompanha a escalada. O Banco Central pretende ampliar o escopo da Resolução Conjunta nº 6, que define regras para o compartilhamento de informações sobre indicadores de fraude entre instituições financeiras, e prepara um arcabouço de prevenção a fraudes nos moldes do que já existe para prevenção à lavagem de dinheiro — com políticas, procedimentos e controles mínimos por instituição (fonte: Finsiders Brasil, 2026, finsidersbrasil.com.br). O contexto justifica a urgência: das 33 ocorrências de segurança registradas pelo BC nos primeiros cinco meses de 2026, 25 são fraudes — o maior número já contabilizado para o período.

Esse movimento muda a posição do dado na arquitetura de risco. Compartilhar e consumir indicadores de fraude deixa de ser diferencial competitivo e passa a ser exigência. Para o comprador de dados em fintech, a leitura prática é que a capacidade de ingerir, normalizar e cruzar sinais de fraude de múltiplas fontes — cadastral, biométrica, comportamental e setorial — torna-se requisito de conformidade, não apenas de eficiência.

Checklist de avaliação para o comprador de dados

Quem responde por risco, fraude ou compliance e está montando ou revisando a pilha antifraude em 2026 pode usar estes critérios para comparar provedores em um bake-off:

• Cobertura cadastral — profundidade e atualidade de dados de PF e PJ, incluindo quadro societário e beneficiário final, com indicação de fonte e data.
• Prova de vida robusta — liveness com anti-injeção e certificação iBeta / ISO/IEC 30107-3, não apenas detecção de movimento.
• Orquestração de sinais — capacidade de combinar cadastral, biometria, dispositivo e comportamento em uma decisão única, em vez de checagens isoladas.
• Latência e SLA — p99 e uptime compatíveis com aprovação em segundos, validados em POC com dados reais.
• Preço por consulta efetiva — custo alinhado à faixa de mercado de validação cadastral (R$ 0,05–0,50) e transparência sobre o que é cobrado.
• Conformidade e trilha de auditoria — aderência à LGPD, à Circular BCB 3.978/2020 (PLD/FT) e prontidão para o compartilhamento de indicadores de fraude do BC.

Perguntas frequentes

Qual a diferença entre roubo de identidade e identidade sintética?

No roubo de identidade, o golpista se passa por uma vítima real e específica, que percebe e contesta a fraude. Na identidade sintética, ele combina dados reais e fictícios para criar um cliente que nunca existiu — sem dono que reclame —, o que permite construir histórico e adiar a detecção por meses até o bust-out.

Por que as fintechs são o alvo preferido?

Porque o modelo de aprovação rápida, essencial para reduzir atrito e captar clientes, deixa menos espaço para checagens profundas. O setor bancário e de fintechs concentrou 53,7% das tentativas de fraude no 1º semestre de 2025, uma a cada 4,2 segundos (Serasa Experian, 2025).

A biometria facial ainda funciona contra deepfakes?

Funciona como uma camada, mas não como barreira única. Em 2026, demonstrações públicas mostraram aplicativos de face-swap e ataques de injeção furando liveness baseado só em imagem. A defesa eficaz cruza biometria com sinais de dispositivo, geolocalização e comportamento.

Como o dado cadastral ajuda onde a biometria falha?

Um fraudador fabrica um rosto sintético com mais facilidade do que um histórico cadastral coerente — vínculos societários, encadeamento de endereços e antiguidade de telefone consistentes. Validação cadastral, KYB e enriquecimento de dados detectam a inconsistência que o deepfake não resolve.

O que muda na regulação de fraude em 2026?

O Banco Central prepara um arcabouço de prevenção a fraudes nos moldes do que já existe para PLD/FT e pretende ampliar a Resolução Conjunta nº 6, que obriga instituições a compartilhar indicadores de fraude. Compartilhar sinais deixa de ser diferencial e passa a ser exigência (Finsiders Brasil, 2026).

Quanto custa, em média, uma consulta de validação cadastral?

A validação cadastral simples costuma ficar na faixa de R$ 0,05 a R$ 0,50 por consulta no modelo pay-per-use via API REST, enquanto consultas com bureau e score podem chegar a R$ 30 ou mais. O custo por consulta efetiva, e não o de tabela, é o que deve guiar a comparação entre provedores.

Leia também no DataHub

• Inadimplência PJ nas fintechs frente ao sistema bancário em 2026 — Mercado 2026
• A cadeia de fornecimento de dados das fintechs em 2026 — Mercado 2026
• FIDCs e o funding estruturado das fintechs de crédito: dados como exigência em 2026 — Mercado 2026
• Fraude de empresa-fachada e MEI-laranja em 2026: perguntas e respostas — Mercado 2026
• Identidade digital, gov.br e dados de empresas em 2026 — Mercado 2026

Fontes

1. Serasa Experian — Recorde: quase 7 milhões de tentativas de fraude no 1º semestre de 2025 (2025)
2. Serasa Experian — Mais da metade dos brasileiros já foi vítima de fraude (2025)
3. SEGS / Serasa — Dia da Internet Segura 2026: alta de 126% em fraudes com deepfakes (2026)
4. Kronoos — Qual a tendência de fraudes digitais para 2026? (2026)
5. Finsiders Brasil — Serasa compra idwall por cerca de R$ 400 milhões (2026)
6. Finsiders Brasil — Bancos e fintechs terão de compartilhar dados sobre fraudes (2026)
7. Finsiders Brasil — Biometria: tecnologia para fintechs (2026)
8. Biometric Update — AI fraud pushing pace on need for advanced deepfake detection tools (2026)