Um CPF válido. Um nome que nunca existiu. Um endereço real de um imóvel alugado por temporada. Score de crédito construído durante 14 meses pagando faturas em dia. Quando o banco aprova o financiamento de R$ 200 mil, a "pessoa" desaparece. Não há quem cobrar — porque ela nunca existiu.
Isso é fraude de identidade sintética. Não é ficção. É a modalidade de fraude que mais cresce no mundo: os prejuízos globais já ultrapassam US$ 35 bilhões por ano, e o Federal Reserve classifica como a ameaça de fraude financeira que mais cresce nos Estados Unidos. No Brasil, o cenário é igualmente preocupante: 51% dos brasileiros já foram vítimas de algum tipo de fraude em 2024, segundo a Serasa Experian.
Para quem trabalha com compliance, due diligence ou investigação empresarial, entender essa fraude não é opcional. É a diferença entre aprovar um "cliente exemplar" e ser a próxima vítima de um bust-out milionário.
O que é fraude de identidade sintética
Fraude de identidade sintética é a criação de uma identidade fictícia a partir da combinação de dados reais e fabricados. O fraudador pega um CPF válido — geralmente de crianças, idosos ou pessoas falecidas que raramente consultam seu histórico — e combina com nome inventado, endereço real, telefone descartável e data de nascimento fictícia.
O resultado: uma "pessoa" que não existe no mundo real, mas existe nos sistemas. Passa por verificações automatizadas. Abre contas. Constrói crédito.
A diferença para o roubo de identidade tradicional importa na prática para o investigador:
Roubo de identidade vs. identidade sintética
| Aspecto | Roubo de identidade | Identidade sintética |
|---|---|---|
| Vítima direta | Sim — pessoa real percebe fraude | Não — "pessoa" não existe |
| Denúncia | Vítima reporta ao banco/polícia | Ninguém reporta |
| Detecção | Rápida (dias a semanas) | Lenta (12 a 18 meses) |
| Dados usados | Todos reais de uma pessoa | Mix de reais e fictícios |
| Dificuldade para investigar | Média — rastro leva à vítima | Alta — não há vítima para rastrear |
Esse é o problema central: sem vítima direta, sem denúncia. Sem denúncia, sem investigação. Quando a fraude é descoberta, o prejuízo já aconteceu.
E aqui vai uma opinião direta: a maioria dos sistemas de KYC no Brasil ainda não foi desenhada para pegar isso. Foram construídos para validar pessoas reais — não para questionar se a pessoa existe.
Como funciona o ciclo da fraude sintética
A fraude de identidade sintética segue um ciclo em três fases. Parece simples quando descrito assim. Mas é justamente a simplicidade que torna difícil de detectar — cada etapa explora uma falha legítima do sistema de crédito.
Fase 1: Incubação
O fraudador cria a identidade. Combina o CPF real com dados fictícios e faz a primeira tentativa de crédito. A solicitação é negada — mas isso é intencional. A negativa gera um registro no bureau de crédito. A "pessoa" agora tem um arquivo de crédito. Existe no sistema.
Fontes dos dados reais:
- CPFs vazados em data breaches (o Brasil teve mais de 220 milhões de CPFs expostos no megavazamento de 2021)
- Dados de redes sociais coletados por scraping
- Registros públicos de pessoas falecidas
- CPFs de menores de idade extraídos de bases de dados escolares ou hospitalares
Fase 2: Cultivo
Com o arquivo criado, o fraudador começa a construir credibilidade. Abre conta bancária básica, solicita cartão de baixo limite, paga tudo em dia. Durante 6, 10, até 18 meses, essa "pessoa" é um cliente exemplar.
O score sobe. Os limites aumentam. Os bancos oferecem produtos premium. O algoritmo de crédito não consegue distinguir paciência criminosa de bom pagador.
Alguns fraudadores operam dezenas de identidades sintéticas simultaneamente. Cada uma em um estágio diferente do cultivo. É uma linha de produção. (E sim, já vimos casos onde um único operador gerenciava 30+ identidades em paralelo — com planilha de controle de vencimentos de fatura.)
Fase 3: Bust-out
Quando os limites estão no teto — cartões premium, financiamentos aprovados, empréstimos pessoais —, o fraudador executa o bust-out. Saca tudo. Usa todos os limites. Desaparece.
O banco tenta cobrar. Manda notificação para o endereço cadastrado. Ninguém responde. Liga para o telefone. Número inexistente. Tenta localizar a pessoa. Ela não existe.
O prejuízo é classificado como "perda de crédito" — não como fraude. Isso distorce as estatísticas e faz com que o problema real seja ainda maior do que os números mostram. Em muitos casos, a identidade sintética é apenas uma peça de um esquema maior de fraude empresarial ou lavagem de dinheiro.
Red flags: sinais que denunciam uma identidade sintética
Para o investigador, analista de compliance ou profissional de KYC, os sinais estão nos detalhes. Nenhum red flag isolado confirma fraude — e essa é a parte frustrante. Mas quando 3 ou 4 desses sinais aparecem juntos no mesmo cadastro, a probabilidade de estar olhando para uma identidade fabricada é alta.
Inconsistências cadastrais
- CPF com data de emissão recente, mas titular com idade avançada. CPFs válidos de idosos ou falecidos são os preferidos porque raramente são consultados.
- Endereço que não corresponde ao perfil. A identidade sintética diz ter 45 anos, cargo de gerente, mas o endereço é de um coworking ou imóvel de aluguel por temporada.
- Telefone descartável ou VoIP. Linhas pré-pagas ativadas recentemente, sem histórico de uso.
- E-mail criado poucos dias antes do cadastro. Domínios gratuitos, sem histórico de atividade em outras plataformas.
Padrões de comportamento suspeitos
- Histórico de crédito recente, mas "maduro". A pessoa tem 35 anos, mas o primeiro registro no bureau é de 12 meses atrás. Onde estava antes?
- Crescimento acelerado de limite sem renda comprovada. O limite sobe de R$ 2 mil para R$ 50 mil em um ano, mas a renda declarada não justifica.
- Múltiplas solicitações em janelas curtas. A identidade sintética pede crédito em 5 instituições diferentes em 30 dias — maximizando a exposição antes do bust-out.
- Pagamento perfeito demais. Parece contraintuitivo, mas um histórico de pagamento 100% pontual por 12+ meses, sem nenhuma variação, é atípico para pessoas reais.
Sinais em fontes abertas (OSINT)
- Pegada digital inexistente. Pessoa com score 750 e perfil profissional declarado, mas zero presença em redes sociais, zero menção em buscas, zero registro em bases públicas além do bureau de crédito.
- Foto inconsistente ou gerada por IA. Fotos de documentos com artefatos de geração artificial. O uso de deepfakes em fraudes cresceu 126% no Brasil.
- CPF vinculado a óbito ou menor de idade. O dado real usado como base pode ser verificado em fontes públicas.
Como investigadores comprovam fraude sintética com OSINT e cruzamento de dados
Quando os red flags acendem, o investigador precisa comprovar que a identidade é fabricada. O que funciona na prática: combinar OSINT com cruzamento de dados estruturados.
Passo 1: Mapear a pegada digital
Uma pessoa real de 35 anos com emprego declarado e score de crédito alto tem rastro. O investigador busca:
- Perfis em redes sociais (LinkedIn, Facebook, Instagram)
- Menções em buscas usando técnicas de Google Dorking
- Registros em bases públicas (Receita Federal, Juntas Comerciais, Tribunais)
- Participação em sociedades empresariais
- Presença em processos judiciais
Se a pegada digital é zero ou quase zero para alguém com o perfil declarado, o sinal é forte.
Passo 2: Validar dados cadastrais cruzando fontes
O próximo passo é verificar se os dados apresentados são consistentes entre si:
- CPF x data de nascimento: O CPF pertence a alguém com a idade declarada?
- CPF x nome: O nome registrado na Receita confere com o nome usado?
- Endereço x histórico: Há registros anteriores naquele endereço? Outros CPFs vinculados?
- CPF x óbito: O titular original do CPF está registrado como falecido?
Uma identidade real tem dados que convergem. Uma identidade sintética tem dados que divergem quando você cruza mais de duas fontes.
Dito isso, nem sempre funciona. Se o fraudador usou dados de uma pessoa real recém-falecida e ainda não registrada no SIM (Sistema de Informações de Mortalidade), o cruzamento não vai acusar divergência no CPF. A detecção depende da atualização das bases — e algumas demoram meses.
Passo 3: Analisar o grafo de conexões
O cruzamento de dados vai além de validar campos individuais. Identidades sintéticas operam em rede — como um grupo econômico informal do crime. O mesmo fraudador gerencia múltiplas identidades, e elas compartilham artefatos:
- Mesmo endereço IP nos cadastros
- Mesmo dispositivo (fingerprint de browser/celular)
- Endereços que aparecem em múltiplos cadastros suspeitos
- Telefones que circulam entre identidades diferentes
Quando você mapeia essas conexões em um grafo, padrões invisíveis na análise individual ficam evidentes. Um endereço compartilhado por 7 "pessoas" diferentes, nenhuma com pegada digital. Um telefone que aparece em 4 solicitações de crédito em bancos diferentes, todas nos últimos 90 dias.
Esse tipo de análise manual levaria dias. Em um caso que acompanhamos, o cruzamento revelou 12 identidades sintéticas ligadas ao mesmo endereço IP e 3 telefones compartilhados — em 4 minutos de consulta. Na análise manual, só 2 dessas identidades tinham sido identificadas em uma semana de trabalho. Com ferramentas de investigação empresarial que automatizam o cruzamento e geram o grafo de conexões, esse padrão aparece rápido.
Passo 4: Documentar para compliance e jurídico
A comprovação precisa ser documentável:
- Timeline: Sequência cronológica dos eventos (criação do CPF, primeiro crédito, escalada de limite, bust-out)
- Cruzamento de fontes: Cada inconsistência mapeada com a fonte onde foi verificada
- Grafo de conexões: Visualização das ligações entre identidades, endereços e dispositivos
- Fontes consultadas: Registro de quais bases públicas e abertas foram utilizadas
Para fins legais, a documentação precisa demonstrar que os dados não convergem para uma pessoa real — e que os padrões encontrados são consistentes com o modus operandi de fraude de identidade sintética.
Ferramentas e técnicas para detectar identidades sintéticas
A detecção que funciona combina tecnologia e processo. Estas são as camadas:
Verificação de identidade no onboarding
- Documentoscopia com IA: Análise automatizada de documentos que identifica micro-inconsistências invisíveis a olho nu — tipografia diferente do padrão oficial, artefatos de edição, metadados suspeitos.
- Biometria facial com prova de vida (liveness): Verifica se o rosto no documento pertence a uma pessoa real e viva. Deepfakes cada vez mais sofisticados tornam essa camada obrigatória — sem ela, o onboarding vira porta aberta.
- Biometria comportamental: Analisa como a pessoa interage com o sistema — velocidade de digitação, forma de segurar o celular, padrão de navegação. Uma identidade sintética controlada por bot ou por alguém que preenche 20 cadastros por dia tem padrão diferente.
Monitoramento contínuo
- Análise de consistência temporal: Monitorar se os dados cadastrais se mantêm coerentes ao longo do tempo. Identidades sintéticas tendem a ter dados "estáticos" — sem mudança de endereço, sem atualização de telefone, sem variação natural.
- Cruzamento com bases de óbito: Verificação periódica se o CPF base foi registrado em bases de óbito. Se sim, a identidade associada é necessariamente fraudulenta.
- Alertas de padrão bust-out: Monitorar aumento acelerado de utilização de crédito após período de pagamento regular.
Investigação OSINT
- Cruzamento de fontes abertas: Consulta a +50 bases de dados públicas para validar a existência da pessoa. Registros na Receita, Juntas Comerciais, quadro societário, processos judiciais, busca de bens.
- Análise de grafo: Mapeamento visual das conexões entre CPFs, CNPJs, endereços e telefones. Revela redes de identidades sintéticas operadas pelo mesmo fraudador.
- Verificação de PEP e sanções: Cruzar a identidade com listas de pessoas politicamente expostas e sanções internacionais — a ausência total nessas bases pode ser mais um indicador.
O Sherlocker automatiza esse cruzamento. Em vez de abrir 15 abas e consultar base por base, o investigador digita o CPF e vê o grafo completo de conexões em minutos. Quando a "pessoa" não aparece em nenhuma fonte além do bureau de crédito, o alerta é imediato. Quer ver como funciona na prática? Teste o Sherlocker grátis.
Impacto no compliance e KYC: o que muda no Brasil
A fraude de identidade sintética muda as regras do jogo para profissionais de compliance e KYC. O modelo tradicional de verificação — conferir CPF, nome, data de nascimento e consultar bureau — não é suficiente.
O que a legislação brasileira diz
A fraude de identidade sintética se enquadra em múltiplos dispositivos:
- Estelionato qualificado por fraude eletrônica (Art. 171, §2-A do Código Penal, incluído pela Lei 14.155/2021): pena de 4 a 8 anos de reclusão, com aumento de 1/3 a 2/3 se usar servidor fora do território nacional.
- Falsidade ideológica (Art. 299 do CP): omitir ou alterar dados em documento público ou particular.
- Uso de documento falso (Art. 304 do CP): apresentar documento falsificado como verdadeiro.
A LGPD (Lei 13.709/2018) permite o tratamento de dados pessoais para prevenção à fraude (Art. 11, II, d) e proteção do crédito (Art. 7, X). Investigadores podem — e devem — cruzar dados de fontes públicas para identificar inconsistências, desde que o tratamento seja proporcional e documentado.
O que muda na prática para compliance
-
KYC precisa ir além da checklist. Verificar se o CPF é válido não é suficiente. É preciso verificar se a pessoa é real — se tem pegada digital, histórico consistente, conexões verificáveis.
-
Due diligence de contrapartes exige OSINT. Antes de aprovar um fornecedor, parceiro ou cliente, o cruzamento de fontes abertas pode revelar que a empresa foi aberta por uma identidade sintética. O background check tradicional não pega isso.
-
Monitoramento contínuo é obrigatório. A identidade sintética é projetada para passar no onboarding. A detecção acontece no acompanhamento — quando os padrões de comportamento divergem do esperado.
-
Documentação de processo. Reguladores como o BACEN esperam que as instituições demonstrem que seus processos de KYC são adequados ao nível de risco. "Consultamos o CPF e estava regular" não é defesa suficiente quando a fraude é sintética.
O custo de não detectar
Fraudes digitais com IA já superam R$ 10 bilhões no Brasil. A identidade sintética responde por uma parcela crescente desse total — o relatório da ACFE aponta aumento de 311% nesse tipo de fraude documental entre 2024 e 2025.
O prejuízo não é só financeiro. Falha na detecção de identidades sintéticas pode resultar em sanções regulatórias, perda de licença e dano reputacional irreversível.
Perguntas Frequentes
Qual a diferença entre identidade sintética e roubo de identidade?
No roubo de identidade, o criminoso se passa por uma pessoa real que existe. Na identidade sintética, ele cria uma pessoa nova — combinando um CPF real com dados fictícios. A principal consequência: no roubo, a vítima percebe e denuncia. Na sintética, não há vítima direta para denunciar. A fraude pode operar por mais de um ano sem ser detectada.
Fraude de identidade sintética é crime no Brasil?
Sim. Se enquadra no estelionato qualificado por fraude eletrônica (Art. 171, §2-A do Código Penal, incluído pela Lei 14.155/2021), com pena de 4 a 8 anos de reclusão. Pode configurar também falsidade ideológica (Art. 299) e uso de documento falso (Art. 304).
Quais setores são mais afetados por identidade sintética?
Bancos e fintechs lideram, pela dependência de score automatizado para concessão de crédito. Seguradoras, telecomunicações e varejo com crediário vêm em seguida. Nos EUA, credores tiveram US$ 3,3 bilhões em exposição só no primeiro semestre de 2025.
Como a LGPD se aplica à detecção de identidade sintética?
A LGPD permite expressamente o tratamento de dados para prevenção à fraude (Art. 11, II, d) e proteção do crédito (Art. 7, X). Investigadores e analistas de compliance podem cruzar dados de fontes públicas para validar identidades, desde que o tratamento seja proporcional, documentado e respeite os princípios de necessidade e finalidade.
Quanto tempo leva para detectar uma identidade sintética?
Sem monitoramento ativo, entre 12 e 18 meses — o tempo que o fraudador leva para construir o score e executar o bust-out. Com monitoramento contínuo e cruzamento de fontes OSINT, a detecção pode acontecer no onboarding ou nas primeiras semanas de atividade, quando as inconsistências cadastrais ficam evidentes.
IA generativa facilita a criação de identidades sintéticas?
Transforma o processo. O que antes exigia habilidade manual para falsificar documentos agora é automatizado: fotos realistas geradas por IA, documentos fabricados pixel a pixel, até vídeos deepfake para passar em verificações de liveness. O uso de deepfakes em fraudes cresceu 126% no Brasil. A fraude sintética deixou de ser artesanal e virou industrial.
Fraude de identidade sintética não vai diminuir. A IA generativa torna a criação de identidades falsas mais rápida e mais convincente a cada mês. Para quem trabalha com compliance, due diligence ou investigação, a pergunta não é se vai encontrar uma identidade sintética — é quando.
A defesa começa no cruzamento de dados. Quanto mais fontes você consulta, mais inconsistências aparecem. E inconsistência é o que desmonta uma identidade fabricada. O Sherlocker cruza +50 fontes públicas em segundos e mostra o grafo de conexões que revela o que a análise manual nunca encontraria. A identidade que parecia perfeita no bureau de crédito desmorona quando confrontada com a realidade das fontes abertas. Comece sua investigação.
Eles fabricam. Você desmascara.
