A Máscara de Silicone e o Deepfake: Quando o KYC Biométrico Aprova uma Identidade Roubada

Você já tentou abrir uma conta em um banco digital recentemente. O aplicativo pede para você enquadrar o rosto no oval da tela, piscar os olhos, sorrir e tirar uma foto da sua CNH. Em questão de segundos, o sistema parabeniza você pela nova conta. Uma experiência sem atritos, fluida e, para o desespero dos times de compliance, incrivelmente vulnerável.

Imagine um fraudador operando de um galpão na periferia de São Paulo ou de um escritório climatizado no Leste Europeu. Ele comprou um lote de CPFs vazados na dark web por centavos. Ele baixou fotos de redes sociais das vítimas. Usando ferramentas de inteligência artificial de código aberto, ele cria um vídeo — um deepfake — de uma dessas pessoas piscando e sorrindo. Ele injeta esse vídeo diretamente no aplicativo do banco. O sistema biométrico analisa os pixels, confirma que o rosto baté com a foto do documento roubado e aprova.

Parabéns. O fraudador acabou de abrir uma conta no seu nome.

Agora em 2026, a indústria financeira brasileira enfrenta uma epidemia silenciosa. O Banco Central e a Febraban observam uma escalada brutal na abertura de contas falsas — as famosas "contas laranja" — usadas para escoar dinheiro de golpes do PIX e lavar recursos via criptoativos. O KYC (Know Your Customer) baseado puramente em biometria facial, antes considerado o padrão ouro da segurança, está ruindo sob o peso da IA generativa.

Nós acompanhamos essa evolução de perto e a realidade é dura: a biometria não falhou. Ela fez exatamente o que foi programada para fazer. O que falhou foi a arquitetura de segurança ao redor dela.

O mito da biometria infalível

Para entender como chegamos aqui, precisamos voltar ao boom das fintechs e à corrida pela digitalização forçada pela pandemia. Nubank, Inter, C6 Bank, Mercado Pago e dezenas de outros players precisavam escalar suas bases de usuários rápidamente. A fricção era o inimigo número um do crescimento. Exigir que um cliente fosse a uma agência física assinar papéis era impensável.

A solução adotada pelo mercado foi o onboarding digital 100% automatizado. O fluxo padrão se consolidou: OCR (Optical Character Recognition) para ler os dados do RG ou CNH, e reconhecimento facial (Face Match) para garantir que a pessoa segurando o celular era a mesma do documento.

O mercado comprou a ideia de que a biometria facial era infalível. Afinal, cada rosto é único, certo? A matemática por trás dos algoritmos de reconhecimento facial mede a distância entre os olhos, o formato da mandíbula, a profundidade das órbitas. É uma geometria precisa.

O problema estrutural dessa tese é que o algoritmo de Face Match é cego para a realidade física. Ele não sabe se está olhando para um ser humano de carne e osso, para uma fotografia impressa em alta resolução, para uma máscara de silicone de R$ 50 comprada em um marketplace asiático, ou para uma tela de iPad reproduzindo um vídeo gerado por IA.

O algoritmo compara pixels contra pixels. Se a geometria bater, ele aprova. A responsabilidade de provar que aqueles pixels vieram de uma pessoa viva não é do motor de biometria, mas sim da camada de Liveness Detection (prova de vida). E é exatamente aí que os fraudadores concentraram seus ataques.

Anatomia de um ataque bem-sucedido

Os cibercriminosos operam como empresas de tecnologia. Eles testam hipóteses, encontram vulnerabilidades, documentam o processo e escalam a operação. Observamos duas categorias principais de ataques que estão sangrando os balanços das instituições de pagamento brasileiras hoje.

Presentation Attacks (Ataques de Apresentação)

Esta é a abordagem analógica, também conhecida como Spoofing. O fraudador apresenta um artefato falso para a câmera física do celular. Nos primórdios do onboarding digital, bastava apontar a câmera do celular para uma foto da vítima na tela do computador.

Para combater isso, as empresas de tecnologia como único, idwall e ClearSale introduziram o Liveness ativo — pedir para o usuário piscar, virar o rosto ou sorrir. A resposta dos fraudadores? Máscaras de silicone ultra-realistas com furos nos olhos, permitindo que o criminoso pisque de verdade. Outra tática comum é o uso de aplicativos simples de animação de fotos (como os usados para animar fotos de parentes falecidos) reproduzidos na tela de um tablet em frente à câmera do celular.

Injection Attacks (Ataques de Injeção)

Aqui o jogo muda de patamar e entra na era cibernética pesada. O fraudador nem sequer usa a câmera do celular.

Eles útilizam emuladores de Android em computadores potentes ou aparelhos físicos com acesso root (privilégios de administrador). Quando o aplicativo da fintech solicita a abertura da câmera para o KYC, um software malicioso intercepta essa chamada. Em vez de abrir a lente da câmera, o sistema injeta um fluxo de vídeo pré-gravado — um deepfake perfeito da vítima sorrindo e virando o rosto.

O aplicativo da fintech recebe os dados, empacota e envia para a nuvem da empresa de verificação. Como o vídeo contém os movimentos exigidos pelo Liveness ativo, o sistema aprova. O ataque de injeção ignora completamente os reflexos na tela ou as bordas do tablet que denunciariam um ataque de apresentação. É um bypass digital limpo.

Onde as fintechs brasileiras estão errando

A falha não reside apenas na sofisticação dos criminosos, mas na negligência arquitetônica de muitas instituições. Vemos diariamente bancos digitais e adquirentes tratando o KYC como um mero "check-box" regulatório.

O erro mais comum é a dependência excessiva de APIs de terceiros sem uma configuração adequada de limites de tolerância (thresholds). Todo sistema biométrico opera com um Score de Confiança (ex: de 0 a 100). Se a fintech configura o sistema para aprovar qualquer rosto com score acima de 70 para reduzir o atrito e aumentar a conversão de novos clientes, ela está abrindo as portas do cofre.

Existe uma guerra interna nas instituições financeiras: a área de Crescimento (Growth) quer fricção zero; a área de Risco quer fraude zero. Quando o Growth vence essa queda de braço, o KYC é afrouxado.

Outro erro crasso é a ausência de defesa em profundidade. Muitas instituições confiam em uma única barreira. Se o fraudador passar pela biometria, ele ganha a conta. Não há cruzamento de dados de geolocalização, não há análise do dispositivo e não há checagem do histórico do chip da operadora (para evitar SIM Swap). É como ter uma porta de cofre de aço titânio, mas deixar as janelas abertas.

O impacto no ecossistema (e no balanço financeiro)

O resultado de um KYC frágil não é apenas um problema de compliance; é um dreno financeiro massivo. Quando o sistema aprova uma identidade roubada, a fintech acaba de emitir um cartão de crédito, um limite de cheque especial e uma chave PIX para um criminoso.

Na prática, essas contas são usadas quase imediatamente como "contas de passagem" (contas laranja). O fraudador aplica um golpe do falso leilão, o dinheiro da vítima cai nessa conta fantasma e, em segundos, é fracionado e pulverizado para dezenas de outras contas ou convertido em Bitcoin em exchanges menos reguladas.

O Banco Central do Brasil perdeu a paciência com a negligência no onboarding. Com o aprimoramento do Mecanismo Especial de Devolução (MED) e as novas diretrizes de responsabilização, a conta chegou. Se a sua instituição abriu uma conta para um fraudador devido a falhas grosseiras no KYC, e essa conta foi usada para receber dinheiro de fraude, a sua instituição pode ser responsabilizada financeiramente por fácilitar o crime. O risco de imagem e o risco regulatório tornaram-se riscos de liquidez.

Como blindar a verificação de identidade

Se você opera um banco digital, uma plataforma de criptoativos ou uma subadquirente, preste atenção aqui. A era do Face Match isolado acabou. A única maneira de sobreviver ao tsunami de deepfakes e injeções de vídeo é adotar uma estratégia de autenticação contínua e KYC em múltiplas camadas.

Liveness detection passivo

Pedir para o usuário piscar ou sorrir é obsoleto. Modelos de IA generativa replicam esses movimentos com fácilidade. A fronteira atual é o Liveness Passivo. O usuário apenas olha para a tela, e o sistema faz o trabalho pesado em background.

Como isso funciona? O algoritmo analisa a textura da pele, a absorção de luz (a pele humana absorve luz de forma diferente de uma tela de LCD ou de uma máscara de silicone), micro-movimentos involuntários dos músculos faciais e mapeamento de profundidade 3D usando os sensores avançados dos smartphones modernos. Tudo isso ocorre em milissegundos, sem gerar atrito para o usuário legítimo.

Biometria comportamental

Esta é, na nossa análise, a arma mais poderosa contra fazendas de fraudes. A biometria comportamental não analisa quem você é físicamente, mas como você age.

Criminosos usando emuladores de Android no computador não possuem os mesmos padrões físicos de um usuário segurando um celular. Empresas especializadas, como a Incognia, mapeiam dados do giroscópio e do acelerômetro do aparelho.

Como o celular estava inclinado durante a foto? Houve tremor natural das mãos? Qual a velocidade e o padrão de digitação (typing dynamics) ao inserir o CPF? Se o sistema detecta que o celular está perfeitamente imóvel (indicando um emulador em um PC) ou que os dados foram colados (Ctrl+V) em milissegundos, a transação é bloqueada ou enviada para análise manual, independentemente de a foto estar perfeita.

Cruzamento de telemetria e device fingerprinting

O KYC moderno exige que o dispositivo fale tanto quanto o rosto. Antes mesmo de abrir a câmera, o aplicativo deve gerar um Device Fingerprint (impressão digital do aparelho).

O aparelho tem acesso root? Está rodando ferramentas de injeção virtual como o OBS Studio? O GPS indica que o celular está no Brasil, mas o fuso horário ou o idioma do sistema apontam para o Leste Europeu? A conta está sendo aberta com um e-mail recém-criado e um chip de celular (SIM card) ativado há menos de 24 horas?

A combinação dessas telemetrias cria uma malha de segurança que torna o custo do ataque proibitivo para o fraudador. Se ele tiver que forjar o rosto, o comportamento do giroscópio, o histórico de localização e mascarar perfeitamente o emulador, a fraude deixa de ser escalável e lucrativa.

O que o futuro exige de nós

O mercado hoje vive uma corrida armamentista clássica. De um lado, criminosos útilizando modelos de IA cada vez mais baratos e sofisticados para quebrar os portões do sistema financeiro. Do outro, fintechs e bancos correndo para atualizar suas defesas sem destruir a experiência do usuário.

A realidade que se impõe para 2026 e os anos seguintes é clara: a identidade digital não é estática. Uma vez que a conta é aberta, a verificação não pode parar. A autenticação precisa ser contínua, baseada no comportamento e no contexto de cada transação.

Confiar apenas em uma foto bonita e um sorriso para liberar o acesso ao sistema financeiro nacional não é mais inovação em experiência do cliente. É negligência pura e simples. O KYC invisível e multi-camadas deixou de ser um diferencial competitivo para se tornar o único escudo viável contra a falência reputacional e regulatória.