Fraude de KYC com Deepfake de IA: Como os golpistas contornam a verificação facial (e como se proteger)
O I4C da Índia alertou que criminosos estão a utilizar deepfakes de IA e vozes clonadas para contornar as verificações faciais e de Video-KYC das quais os bancos dependem. Eis como o golpe funciona, os sinais de alerta e os passos que realmente protegem as suas contas.
Resposta rápida: O Indian Cyber Crime Coordination Centre (I4C) da Índia, sob o Ministério de Assuntos Internos, alertou (Aviso TAU/ADV/016, 10 de junho de 2026) que fraudadores estão a utilizar deepfakes de IA e clonagem de voz para contornar a autenticação facial, a verificação de vivacidade e o Video-KYC em bancos e fintechs. A medida mais eficaz que pode tomar hoje é bloquear os seus dados biométricos e nunca realizar movimentos faciais perante a câmara para um estranho. Se já foi vítima, denuncie imediatamente em cybercrime.gov.in ou ligue para o 1930.
O que está a acontecer
A verificação facial e de "vivacidade" tornou-se a espinha dorsal da banca remota precisamente porque um rosto humano real era difícil de falsificar. A IA generativa corroeu essa premissa. O aviso do I4C não descreve algo hipotético — apresenta um manual de procedimentos ativo e repetível direcionado à infraestrutura financeira: integração KYC, recuperação de contas e ativação de carteiras digitais. O elo mais fraco raramente é o servidor do banco; é um vídeo gravado de si, capturado através de engenharia social quotidiana.
Como funciona o golpe — os 5 passos descritos pelo I4C
- Contacto inicial. Os fraudadores entram em contacto através de redes sociais, aplicações de mensagens, portais de emprego, plataformas de encontros ou chamadas telefónicas — muitas vezes com um gancho amigável como "temos uma oportunidade de emprego, podemos fazer uma videochamada rápida?"
- Recolha de dados faciais. O seu rosto é extraído de perfis públicos, ou é convencido a participar numa "entrevista em vídeo" onde lhe pedem para olhar para o ecrã, virar a cabeça, piscar os olhos e falar — exatamente os movimentos que uma verificação de vivacidade procura. A chamada está a ser gravada secretamente.
- Geração de deepfake por IA. As imagens são processadas por ferramentas de IA que criam uma réplica digital realista capaz de imitar as suas expressões, piscadelas e voz.
- Tentativa de contorno. Onde o sistema alvo não possui deteção de deepfake, o vídeo sintético é reproduzido durante o passo de autenticação facial e vivacidade para se fazer passar por si.
- KYC fraudulento e ativação de conta. Com a verificação "aprovada", os criminosos criam ou ativam contas e carteiras em seu nome — a plataforma de lançamento para fraudes financeiras.
Como se proteger
- Bloqueie os seus dados biométricos. O I4C considera esta a defesa mais forte contra este tipo de roubo de identidade remoto. A maioria das aplicações de identificação nacional e bancárias permite-lhe congelar o seu perfil biométrico para que não possa ser usado para novas verificações até que o desbloqueie. Mantenha-o bloqueado por padrão.
- Seja rigoroso com "entrevistas em vídeo" de estranhos. Trate qualquer pedido não solicitado para fazer uma videochamada — especialmente uma que lhe peça para piscar os olhos, virar a cabeça ou ler texto em voz alta — como um sinal de alerta. Ofertas de emprego, "consultores" de investimento e novos amigos online são disfarces comuns.
- Limite a exposição do seu rosto. Vídeos e fotos nítidas e frontais em perfis abertos são matéria-prima para estas ferramentas. Reforce as definições de privacidade nas redes sociais e plataformas de encontros.
- Esteja atento às suas notificações. Leve a sério todos os alertas de "início de sessão não autorizado" ou "nova tentativa de autenticação" — pode ser a sua réplica a ser testada numa conta.
- Trate uma perda súbita de sinal móvel como uma emergência. Se o seu telemóvel perder a rede abruptamente, contacte imediatamente a sua operadora — pode ser sinal de uma troca de SIM fraudulenta a ser usada para intercetar os seus códigos OTP.
Se acha que foi alvo
A rapidez determina se o dinheiro é recuperável.
- Denuncie imediatamente em cybercrime.gov.in ou ligue para o 1930. Quanto mais rápido for apresentada uma queixa, maior a hipótese de congelar os fundos desviados antes que saiam da rede bancária — aqui está exatamente como o canal 1930 / CFCFRMS da Índia congela transferências fraudulentas.
- Siga o processo passo a passo no nosso guia completo sobre como denunciar cibercrimes na Índia e recuperar o seu dinheiro.
- Entregue as provas: o número de contacto do fraudador e a ligação para a videochamada que utilizaram.
- Alerte o seu banco para congelar contas e sinalizar qualquer atividade de KYC ou recuperação de conta que não tenha iniciado. Se não tiver a certeza do que fazer na primeira hora, comece por o que fazer logo após um golpe.
O panorama geral
Esta é a vertente de fraude financeira de um problema global: à medida que as ferramentas de deepfake se tornam mais baratas e melhores, as verificações de "prove que é humano" criadas para a era pré-IA estão sob pressão em todo o mundo, e bancos e reguladores de toda a parte estão a correr para adicionar deteção de deepfake à integração de clientes. O aviso do I4C transfere essa responsabilidade para as fintechs e sistemas de integração de clientes — mas até que a deteção seja universal, a defesa prática depende de si: bloqueie os seus dados biométricos, proteja o seu rosto e nunca realize movimentos faciais perante a câmara para um estranho.