deepfakes · prova de vida · biometria
Deepfakes e verificação de identidade: o novo risco do KYC em 2026
Até pouco tempo atrás, pedir ao cliente um selfie ou um vídeo curto bastava para confirmar que ele era quem dizia ser. Essa era acabou. Com ferramentas de inteligência artificial hoje acessíveis a qualquer um, gerar um vídeo falso do rosto de outra pessoa —um deepfake— leva minutos e quase não exige conhecimento técnico.
Para qualquer instituição que faz onboarding digital, isso representa uma mudança de paradigma: a fraude não precisa mais de um documento roubado e de uma pessoa parecida. Basta uma foto da vítima tirada das redes sociais e um modelo de IA. Este artigo explica por que os deepfakes são a ameaça que mais cresce na verificação de identidade e como a tecnologia biométrica moderna —que na Legaltalent já temos integrada— protege seu processo.
O que é um deepfake e por que é um problema de compliance
Um deepfake é conteúdo sintético gerado por IA que substitui ou recria o rosto (e às vezes a voz) de uma pessoa. No contexto de KYC, o atacante não tenta se parecer com a vítima: ele fabrica um vídeo do rosto da vítima e o usa para passar pela verificação de identidade.
O problema é de compliance, não apenas tecnológico. Se o seu processo de diligência prévia aceita um impostor que usou um deepfake, você admitiu um cliente cuja identidade real desconhece. Isso abre caminho para:
- Falsidade ideológica e fraude de identidade para abrir contas em nome de terceiros reais.
- Identidades sintéticas, que combinam dados reais e falsos para criar uma pessoa que não existe.
- Laranjas e testas de ferro operando por trás de uma identidade verificada "limpa".
- Lavagem de dinheiro canalizada por contas abertas com identidades fraudulentas.
Em todos esses casos, "o sistema foi enganado" não é uma defesa que o regulador vai aceitar. A obrigação de verificar de forma confiável a identidade do cliente continua sendo sua.
Por que os métodos tradicionais não bastam mais
Muitos fluxos de onboarding nasceram numa época em que a fraude exigia esforço manual. Esses controles hoje têm falhas sérias diante da IA.
O selfie estático é vulnerável
Pedir uma foto do rosto e compará-la com o documento parece razoável, mas uma foto é trivial de falsificar: basta uma imagem da pessoa obtida na internet. Não há como saber se a pessoa está realmente diante da câmera ou se apenas enviou um arquivo.
O vídeo pré-gravado também não resolve
Alguns sistemas pedem um vídeo curto. Mas o atacante pode pré-gravar ou gerar um deepfake e reproduzi-lo. Sem um desafio em tempo real, o sistema não consegue distinguir uma pessoa viva de um vídeo preparado.
A fraude se profissionalizou
Já existem serviços de "fraude como serviço" que vendem kits para injetar deepfakes diretamente no fluxo de câmera de um app. Não se trata mais de um golpista isolado: é uma indústria.
Apresentação vs. injeção: os dois tipos de ataque
Entender como os atacantes operam é essencial para entender como se defender. Há duas grandes famílias de ataques contra a verificação biométrica.
| Tipo de ataque | Como funciona | Exemplos |
|---|---|---|
| Ataque de apresentação | Uma fraude é mostrada à câmera real do dispositivo | Foto impressa, foto ou vídeo em outra tela, máscara 3D de silicone ou látex |
| Ataque de injeção | A câmera é ignorada e o conteúdo é inserido diretamente no fluxo de dados | Câmera virtual, vídeo pré-gravado injetado, deepfake em tempo real |
Os ataques de apresentação são os "clássicos", e a maioria das soluções sérias os detecta bem. Os ataques de injeção são a fronteira mais perigosa hoje, porque é onde vivem os deepfakes mais sofisticados: o conteúdo nunca passa pela câmera física, então um controle superficial não o enxerga.
Uma verificação robusta precisa se defender de ambos.
Como resolvemos: prova de vida ativa e biometria
Na Legaltalent enfrentamos os deepfakes com uma defesa em camadas, não com um único controle. A lógica é simples: tornar a falsificação de identidade tão difícil e cara que deixe de ser vantajosa para o atacante.
Prova de vida ativa com desafios dinâmicos
O núcleo da defesa é a prova de vida ativa (active liveness). Em vez de pedir uma foto, pedimos que a pessoa complete um desafio em tempo real: mover o rosto até um oval na tela e responder a estímulos que o sistema gera naquele momento e para aquela sessão.
Isso é decisivo contra deepfakes porque:
- O desafio é imprevisível: nem um vídeo pré-gravado nem um deepfake "sabem" o que será solicitado naquela sessão específica.
- Analisamos a resposta em tempo real do rosto a esses estímulos —algo que uma imagem plana ou um vídeo preparado não conseguem reproduzir de forma convincente.
- A captura acontece ao vivo, sem possibilidade de enviar um arquivo do dispositivo.
Detecção de ataques de apresentação e injeção
Nossa tecnologia de prova de vida foi projetada para detectar tanto ataques de apresentação quanto de injeção: fotos, telas, máscaras 3D e também vídeos pré-gravados ou deepfakes injetados por câmeras virtuais. Ela é construída sobre motores biométricos certificados pelo padrão internacional ISO/IEC 30107-3 de detecção de ataques de apresentação (PAD), a referência da indústria para medir resistência a spoofing.
Biometria contra o documento
Confirmar que há uma pessoa viva é só metade do trabalho. A outra metade é confirmar que essa pessoa é a do documento. Por isso comparamos biometricamente o rosto capturado na prova de vida com a foto do documento de identidade. Assim fechamos o ciclo: pessoa real, presente e correspondente à identidade declarada.
Limiares ajustáveis por nível de risco
Nem todo cliente representa o mesmo risco. Por isso permitimos ajustar o nível de exigência da verificação conforme o perfil: um cliente padrão pode passar por uma verificação ágil, enquanto um cliente de maior risco —ou que exige diligência reforçada— passa por um controle mais rígido, com desafios adicionais e revisão de evidências.
A verificação não termina no onboarding
Detectar um deepfake na abertura é essencial, mas o risco de identidade não desaparece depois. Um processo maduro integra a verificação biométrica ao resto do programa de compliance:
- Onboarding seguro: prova de vida + biometria contra documento ao admitir o cliente, como parte do seu processo de onboarding.
- Rastreabilidade e evidência: conservamos as imagens de auditoria de cada verificação para que você possa demonstrar a um fiscal exatamente como verificou a identidade.
- Monitoramento contínuo: combinamos a verificação inicial com o monitoramento contínuo e a busca de adverse media para detectar riscos que surgem após a abertura.
Essa integração é o que transforma uma ferramenta pontual em um verdadeiro sistema de gestão de risco de identidade.
O que o marco regulatório exige
As normas brasileiras de PLD/FT —incluindo as regras do Bacen e as obrigações de comunicação ao COAF— não citam "deepfake" nem "liveness". São anteriores a esta onda de fraude com IA. Mas o princípio é claro: a pessoa obrigada deve identificar e verificar de forma confiável a identidade do cliente sob uma abordagem baseada em risco.
O GAFI, cujos padrões o Brasil adota, tem sido explícito sobre os riscos da identidade digital e sobre a necessidade de que os métodos de verificação remota sejam robustos contra a fraude. Na prática, para um onboarding 100% digital, um selfie estático já não constitui verificação razoável: a prova de vida com detecção de spoofing é o padrão emergente para demonstrar diligência. Para mais contexto, veja nosso guia sobre quem é obrigado a PLD no Brasil.
Em outras palavras: se o seu processo não consegue distinguir uma pessoa real de um deepfake, dificilmente você poderá sustentar que verificou a identidade de forma confiável.
Conclusão
Os deepfakes democratizaram a fraude de identidade. O que antes exigia um documento roubado e um cúmplice parecido, hoje se resolve com uma foto das redes sociais e um modelo de IA gratuito. Os processos de KYC que dependem de selfies ou vídeos simples ficaram expostos.
A resposta não é se resignar, e sim elevar a barreira tecnológica. A prova de vida ativa com desafios dinâmicos, a detecção de ataques de apresentação e injeção sob padrões certificados, a biometria contra o documento e a integração com monitoramento contínuo formam uma defesa em camadas que torna a falsificação de identidade, na prática, inviável para a enorme maioria dos atacantes.
Não se trata de ter "uma verificação", mas de ter uma verificação à altura da ameaça de 2026.
Quer proteger seu onboarding contra deepfakes?
Na Legaltalent ajudamos fintechs e instituições obrigadas a verificar a identidade dos clientes com tecnologia biométrica avançada: prova de vida ativa, detecção de spoofing e comparação contra o documento, tudo integrado aos seus fluxos de compliance.
Comece grátis e descubra como blindar sua verificação de identidade contra a fraude com IA.
Perguntas frequentes
O que é um deepfake no contexto de verificação de identidade?
É um vídeo ou imagem gerado por inteligência artificial que imita o rosto de uma pessoa real. No KYC, é usado para se passar por outra pessoa durante a verificação, enganando selfies e provas de vida básicas.
Os deepfakes podem enganar uma verificação de identidade?
Uma verificação baseada apenas em uma foto ou selfie estático é muito vulnerável. Por isso é necessária a prova de vida ativa com desafios dinâmicos, muito mais difícil de falsificar do que uma imagem ou um vídeo pré-gravado.
O que é prova de vida (liveness) e por que importa?
É a tecnologia que confirma que há uma pessoa real e fisicamente presente diante da câmera em tempo real, e não uma foto, um vídeo gravado ou um deepfake. É a principal defesa contra a fraude de identidade sintética.
Qual a diferença entre ataque de apresentação e ataque de injeção?
Um ataque de apresentação mostra uma fraude à câmera (foto, tela, máscara). Um ataque de injeção ignora a câmera e insere um vídeo ou deepfake diretamente no fluxo de dados, por exemplo com uma câmera virtual.
A prova de vida é obrigatória no Brasil?
As normas de PLD não citam a palavra liveness, mas exigem identificar e verificar o cliente de forma confiável sob abordagem baseada em risco. Para onboarding 100% digital, a prova de vida tornou-se a forma razoável de cumprir essa obrigação.
A prova de vida elimina totalmente o risco de deepfakes?
Nenhum controle é 100% infalível. A prova de vida avançada reduz drasticamente o risco e, combinada com biometria contra o documento e monitoramento contínuo, forma uma defesa em camadas muito difícil de vencer.