# Fraude de identidade sintética: como validação de CPF detecta CPFs fabricados > Entenda como a fraude de identidade sintética funciona e como a validação de CPF via API detecta CPFs fabricados e protege seu negócio. **Publicado:** 11/09/2024 **Autor:** Redação CPFHub.io **URL:** https://cpfhub.io/blog/fraude-de-identidade-sintetica-como-validacao-de-cpf-detecta-cpfs-fabricados --- A validação de CPF via API detecta CPFs fabricados ao consultar se o número está efetivamente vinculado a uma pessoa real na base cadastral — algo que a validação algorítmica dos dígitos verificadores não faz. Um CPF sintético passa na matemática mas não retorna dados cadastrais na API; a ausência de resposta positiva é o sinal de alerta que interrompe o processo de cadastro antes que o dano ocorra. ## Introdução A **fraude de identidade sintética** é uma das modalidades de fraude mais sofisticadas e difíceis de detectar no mercado digital. Diferentemente do roubo de identidade tradicional, em que o criminoso usa os dados reais de uma pessoa existente, a fraude sintética envolve a criação de uma identidade fictícia — muitas vezes combinando dados reais de diferentes pessoas com informações inventadas, incluindo CPFs matematicamente válidos, mas que não correspondem a nenhuma pessoa real. --- ## O que é fraude de identidade sintética ### Definição Fraude de identidade sintética é a criação de uma identidade fictícia usando uma combinação de: * **CPF fabricado** -- Um número que passa na validação algorítmica (dígitos verificadores corretos), mas que não está vinculado a nenhuma pessoa real. * **Nome fictício** -- Um nome inventado ou combinação de nomes reais. * **Dados reais de terceiros** -- Endereços, datas de nascimento ou outros dados obtidos de vazamentos. ### Como funciona na prática O fraudador gera um CPF matematicamente válido usando algoritmos públicos de cálculo de dígitos verificadores. Depois, cria um perfil completo com esse CPF e dados fictícios para: * Abrir contas em bancos digitais. * Solicitar cartões de crédito. * Realizar compras a prazo. * Cadastrar-se em plataformas de serviços. * Contratar serviços financeiros. ### Escala do problema A fraude de identidade sintética é responsável por bilhões de reais em prejuízos anuais no Brasil. Ela é especialmente perigosa porque: * Não há uma vítima imediata reclamando (a identidade não pertence a ninguém). * O fraudador pode "cultivar" a identidade sintética por meses antes de aplicar o golpe. * Os mecanismos tradicionais de detecção de fraude são menos eficazes. --- ## Por que a validação algorítmica não é suficiente ### O algoritmo de validação de CPF O CPF brasileiro possui um algoritmo de validação baseado em dígitos verificadores. Qualquer pessoa com conhecimento básico de programação pode gerar CPFs que passam nessa validação: ``` CPF: 123.456.789-09 Cálculo do primeiro dígito verificador: 1*10 + 2*9 + 3*8 + 4*7 + 5*6 + 6*5 + 7*4 + 8*3 + 9*2 = 210 210 % 11 = 1 → Dígito = 0 Cálculo do segundo dígito verificador: 1*11 + 2*10 + 3*9 + 4*8 + 5*7 + 6*6 + 7*5 + 8*4 + 9*3 + 0*2 = 235 235 % 11 = 4 → Dígito = 9 (se resto < 2, dígito = 0; senão, dígito = 11 - resto) ``` Existem **bilhões** de combinações de 11 dígitos que passam na validação algorítmica, mas apenas algumas centenas de milhões correspondem a CPFs reais cadastrados. Isso significa que é trivial gerar um CPF "válido" que não pertence a ninguém. ### A limitação * **Validação algorítmica** -- Verifica apenas se os dígitos verificadores estão corretos. Aprovaria um CPF fabricado. * **Validação via API** -- Consulta se o CPF está efetivamente vinculado a uma pessoa, retornando nome, gênero e data de nascimento. Rejeita CPFs fabricados. --- ## Como a validação via API detecta CPFs fabricados Quando uma consulta é feita à API da [**CPFHub.io**](https://www.cpfhub.io/), o sistema verifica na base cadastral se aquele número corresponde a uma pessoa real. Um CPF fabricado — mesmo com dígitos verificadores corretos — não retornará dados cadastrais, sinalizando imediatamente que se trata de uma identidade sintética. ### Exemplo prático ```bash # CPF fabricado (matematicamente válido, mas inexistente) curl -X GET https://api.cpfhub.io/cpf/99988877766 \ -H "x-api-key: SUA_CHAVE_DE_API" \ -H "Accept: application/json" \ --max-time 10 ``` Para um CPF fabricado, a API não retornará dados cadastrais, indicando que o número não corresponde a uma pessoa real. Já para um CPF legítimo: ```json { "success": true, "data": { "cpf": "12345678900", "name": "João da Silva", "nameUpper": "JOAO DA SILVA", "gender": "M", "birthDate": "15/06/1990", "day": 15, "month": 6, "year": 1990 } } ``` A diferença é clara: a API consegue distinguir entre um CPF matematicamente válido e um CPF efetivamente vinculado a uma pessoa. --- ## Implementando a detecção de CPFs fabricados ### Fluxo de proteção em três camadas * **Camada 1: Validação algorítmica** -- Verifica os dígitos verificadores. Filtra erros de digitação. * **Camada 2: Validação via API** -- Confirma que o CPF está vinculado a uma pessoa real. Filtra CPFs fabricados. * **Camada 3: Cruzamento de dados** -- Compara nome e data de nascimento informados com os dados retornados pela API. Filtra uso de CPFs de terceiros. ### Implementação em Node.js ```javascript const detectarFraudeSintetica = async (cpfInformado, nomeInformado) => { // Camada 1: Validação algorítmica if (!validarDigitosCPF(cpfInformado)) { return { fraude: true, tipo: "CPF inválido", risco: "baixo" }; } // Camada 2: Validação via API const controller = new AbortController(); const timeoutId = setTimeout(() => controller.abort(), 10000); try { const response = await fetch( `https://api.cpfhub.io/cpf/${cpfInformado}`, { method: "GET", headers: { "x-api-key": "SUA_CHAVE_DE_API", "Accept": "application/json" }, signal: controller.signal } ); clearTimeout(timeoutId); const data = await response.json(); if (!data.success) { return { fraude: true, tipo: "Identidade sintética", risco: "alto" }; } // Camada 3: Cruzamento de dados const nomeOficial = data.data.name.toLowerCase().trim(); const nomeCliente = nomeInformado.toLowerCase().trim(); if (nomeOficial !== nomeCliente) { return { fraude: true, tipo: "Divergência de identidade", risco: "medio" }; } return { fraude: false, tipo: "Identidade confirmada", risco: "nenhum" }; } catch (error) { clearTimeout(timeoutId); return { fraude: null, tipo: "Erro na verificação", risco: "indeterminado" }; } }; ``` --- ## Indicadores de fraude sintética Além da validação de CPF, fique atento a esses sinais: | Indicador | O que sugere | | --- | --- | | CPF não localizado na API | CPF fabricado (identidade sintética) | | Nome divergente dos dados oficiais | Uso de CPF de terceiro | | Data de nascimento incompatível | Dados combinados de diferentes pessoas | | Mesmo dispositivo, múltiplos CPFs | Tentativa sistemática de fraude | | Cadastro com dados genéricos | Perfil fabricado sem personalização | | E-mail recém-criado | Conta descartável para fraude | --- ## Setores mais afetados * **Fintechs e bancos digitais** -- Abertura de contas com identidades sintéticas para obter crédito. * **E-commerce** -- Compras com cartões obtidos usando identidades fictícias. * **Telecomunicações** -- Contratação de linhas telefônicas para uso em golpes. * **Seguradoras** -- Sinistros fraudulentos com segurados fictícios. * **Exchanges de criptoativos** -- Lavagem de dinheiro através de contas com identidades fabricadas. Em todos esses setores, a validação de CPF via API é a primeira linha de defesa contra identidades sintéticas. --- ## Perguntas frequentes ### O que é fraude de identidade sintética? É a criação de uma identidade fictícia usando CPF matematicamente válido (gerado pelo algoritmo de dígitos verificadores) combinado com nome, endereço e outros dados inventados ou misturados de pessoas reais. O CPF parece legítimo no formato, mas não existe na base cadastral da [Receita Federal](https://www.gov.br/receitafederal). ### Como um CPF com formato correto pode não existir na Receita Federal? O algoritmo de dígitos verificadores do CPF é público — qualquer software consegue gerar números que passam na validação matemática. Mas um CPF só existe na base da Receita quando pertence a uma pessoa real cadastrada. A validação via API consulta essa base; um CPF gerado artificialmente não é encontrado. ### A validação por API detecta 100% das identidades sintéticas? Detecta os casos em que o CPF não existe na base ou em que o nome informado diverge do nome cadastrado. Não detecta casos onde o fraudador tem acesso ao CPF real e ao nome exato do titular. Para esses casos, combinar com verificação de data de nascimento e análise comportamental é recomendado. ### Qual a diferença entre fraude sintética e roubo de identidade? No roubo de identidade, o fraudador usa os dados completos de uma pessoa real. Na fraude sintética, cria uma identidade que não existe — geralmente misturando CPF real com nome falso, ou usando CPF gerado algoritmicamente. A fraude sintética é mais difícil de rastrear porque não há uma vítima óbvia reclamando a identidade. ### Leia também - [Golpe do CPF clonado em compras online: como detectar e prevenir](https://cpfhub.io/blog/golpe-cpf-clonado-compras-online-detectar-prevenir) - [Fraude no PIX: como validação de CPF previne golpes em e-commerce](https://cpfhub.io/blog/fraude-no-pix-como-validacao-de-cpf-previne-golpes-em-ecommerce) - [Como evitar chargebacks usando validação de CPF no checkout](https://cpfhub.io/blog/como-evitar-chargebacks-usando-validacao-de-cpf-no-checkout) - [IA generativa e fraudes de identidade: por que validação de CPF é mais importante que nunca](https://cpfhub.io/blog/ia-generativa-e-fraudes-de-identidade-por-que-validacao-de-cpf-e-mais-importante-que-nunca) --- ## Conclusão A fraude de identidade sintética é uma ameaça crescente que não pode ser combatida apenas com validação algorítmica de CPF. A consulta via API é a única forma de confirmar que um CPF está efetivamente vinculado a uma pessoa real, detectando CPFs fabricados antes que causem prejuízos. A [**CPFHub.io**](https://www.cpfhub.io/) oferece essa verificação em ~900ms, com retorno de nome, gênero e data de nascimento para cruzamento de dados em tempo real. Cadastre-se em [cpfhub.io](https://www.cpfhub.io/) — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente a detecção de identidades sintéticas no seu fluxo de cadastro hoje mesmo.