Da verificação manual à biometria federal: a nova arquitetura antifraude do mercado brasileiro

Três anos de fraude crescente

O crescimento das tentativas de fraude documental no Brasil entre 2022 e 2025 não foi linear — foi revelador. De cerca de 19 mil casos em 2022, os registros subiram para mais de 66 mil em 2023, recuaram para 37 mil em 2024 e voltaram a crescer em 2025, superando 51 mil. A queda de 2024 sugere que parte das empresas reagiu com medidas pontuais. A retomada em 2025 confirma que essas medidas não foram suficientes.

O documento mais visado é o RG: responsável por 84% das tentativas de fraude documental em 2025, com a CNH em segundo lugar — subindo de 8% para 14% do total no mesmo período. A raiz do problema é estrutural: décadas de emissão fragmentada geraram dezenas de modelos gráficos distintos, sem padrão biométrico ou criptográfico. É uma superfície de ataque que o governo decidiu desmontar com a CIN — mas que o mercado privado, em grande parte, ainda opera em cima.

Por que o modelo atual não aguenta mais?

A "selfie com RG" funcionou enquanto falsificar um documento exigia equipamento especializado. Em 2026, não exige mais. Mídias digitais apresentadas em verificações de identidade foram 300% mais propensas a serem geradas ou alteradas por IA em 2025 do que no ano anterior, segundo ao Reporte de Fraude de Veriff. No mundo, 4,18% de todas as tentativas de verificação foram fraudulentas em 2025 — uma em cada 25. Na América Latina, as tentativas no setor de pagamentos cresceram 48%, e fintechs registraram alta de 23,4%.

O ponto crítico não é o volume — é o tipo de ataque. A identidade sintética é construída combinando fragmentos reais de dados de múltiplas pessoas para gerar um perfil inexistente. Ela não falha na selfie. Não falha no OCR. Só é barrada no confronto biométrico contra uma base federal. Sistemas que dependem exclusivamente de análise visual não têm como detectá-la — e a impersonação respondeu por 85% de todos os tipos de fraude em verificações digitais globais em 2025. O modelo artesanal não foi ultrapassado gradualmente. Foi contornado.

O que o acordo IPD/IC permite — e a quem

Antes de setembro de 2025, o setor privado não tinha acesso formal à base biométrica da CIN. Empresas podiam usar o Serpro Datavalid para consultas pontuais de dados biográficos, mas sem o nível de integração necessário para processos de onboarding em escala. O acordo de cooperação técnica firmado entre o Ministério da Gestão, Febraban, Zetta e Abrid mudou esse quadro ao estruturar a Infraestrutura Pública Digital de Identificação Civil — a IPD/IC.

A plataforma permite que empresas privadas confiram dados biométricos da CIN diretamente nos seus processos de verificação de clientes — incluindo onboarding bancário, concessão de crédito e abertura de contas. A base disponível é de escala: 173 milhões de cadastros no Gov.br, com 80 milhões em nível Ouro — biometria validada pela Justiça Eleitoral. A CIN já foi emitida para 45 milhões de brasileiros até fevereiro de 2026, segundo o secretário de Governo Digital, Rogério Mascarenhas: "Em três anos, conseguimos elevar o número de CINs de menos de 100 mil para 45 milhões".

A plataforma ainda está em fase de testes — com vigência inicial de 12 meses a partir de setembro de 2025, prorrogáveis. O presidente-executivo da Abrid, Célio Ribeiro, definiu o modelo sem deixar ambiguidade: "Integração federativa, excelência técnica, privacidade das informações e segurança dos processos: é disso que trata a IPD/IC". Empresas que ingressarem nos testes agora chegam à abertura geral da plataforma com processo validado internamente.

O custo de não agir

Fraudes e golpes financeiros geraram R$ 10,1 bilhões em prejuízo ao setor bancário em 2024, alta de 17% sobre 2023. O valor representa perdas diretas — sem incluir custos operacionais de investigação, reversão de transações e falsos positivos que bloqueiam clientes legítimos.

A outra dimensão do problema está no comportamento do consumidor. A 17ª edição do Observatório Febraban registrou que 39% dos brasileiros afirmam já ter sido vítimas de algum tipo de golpe. Consumidores que vivenciaram fraude respondem com abandono de plataformas percebidas como vulneráveis — convertendo risco operacional em risco de reputação mensurável.

Para empresas que mantêm onboarding baseado em selfie com RG, o problema tem uma característica específica: a fraude por identidade sintética não deixa rastro imediato. O prejuízo aparece quando o crédito não é pago ou a conta dispara alertas em outras camadas do sistema — sempre meses depois da aprovação. É um risco silencioso, acumulado.

Como agir, e até quando?

Os primeiros resultados operacionais consolidados do piloto IPD/IC estarão disponíveis até setembro de 2026. Empresas que iniciarem integração agora chegam a esse marco com processo validado. As que esperarem entram num mercado em que concorrentes já auditaram e precificaram a diferença. O caminho técnico está aberto em três frentes:

• Serpro Datavalid: API de consulta biométrica e biográfica contra a base federal, contratável diretamente via portal do Serpro, sem infraestrutura proprietária.
• Gov.br SDK: Autenticação com nível de confiança em aplicações privadas, com documentação em acesso.gov.br.
• IPD/IC piloto: Participação nos testes via Febraban, Zetta ou Abrid, para validar o fluxo de conferência biométrica antes da abertura geral.

Nenhuma das três opções exige desenvolvimento de infraestrutura própria. A decisão pendente não é técnica — é de priorização estratégica.

O que não pode ser ignorado ao agir

Integrar biometria federal resolve o problema de verificação e cria, simultaneamente, uma obrigação de governança. A LGPD classifica dados biométricos como dados pessoais sensíveis (Art. 5º, inciso II), exigindo consentimento explícito do titular com finalidade específica declarada. O descumprimento pode resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, aplicadas pela ANPD. Ao contrário de uma senha comprometida, um dado biométrico exposto é permanente.

A vantagem técnica da CIN é documentada: até 10 vezes menos suscetível a fraudes que o RG, com 86,9% das transações apresentando risco mínimo ou inexistente, segundo a Serasa Experian. Esse número justifica a migração — e não dispensa a construção de uma camada robusta de conformidade sobre ela. Empresas que avançam na integração sem endereçar a governança dos dados não estão eliminando o risco. Estão trocando um tipo de exposição por outro.