# O Papel da Validação de CPF no Processo de Due Diligence para Fintechs

> Entenda o papel da validação de CPF no processo de due diligence para fintechs. Como integrar verificação de identidade em KYC, KYB e compliance.

**Publicado:** 04/04/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/validacao-cpf-due-diligence-fintechs

---


## Introdução

Due diligence é o processo de investigação e verificação que fintechs realizam antes de estabelecer uma relação comercial com clientes, parceiros ou investidores. A validação de CPF é um componente fundamental desse processo, funcionando como a **primeira camada de verificação de identidade**. Sem ela, todo o restante da due diligence se constrói sobre uma base potencialmente falsa.

## Tipos de Due Diligence e o Papel do CPF

Fintechs executam diferentes tipos de due diligence dependendo do contexto da relação comercial. Em todos eles, a verificação do CPF é o ponto de partida.

| Tipo | Objetivo | Papel do CPF |
|------|---------|-------------|
| **KYC (Know Your Customer)** | Conhecer o cliente pessoa física | Validar identidade do titular |
| **KYB (Know Your Business)** | Conhecer a empresa parceira | Validar CPF dos sócios e representantes |
| **KYP (Know Your Partner)** | Conhecer parceiros comerciais | Validar CPF dos responsáveis legais |
| **EDD (Enhanced Due Diligence)** | Investigação aprofundada para alto risco | Cruzamento detalhado de dados do CPF |
| **CDD (Customer Due Diligence)** | Diligência contínua sobre clientes | Revalidação periódica do CPF |

- **KYC** -- toda fintech regulada é obrigada a implementar; o CPF é o dado mínimo para identificação
- **KYB** -- ao onboardar empresas, é necessário validar os CPFs de todos os sócios com mais de 25% de participação
- **EDD** -- para clientes de alto risco, a validação de CPF é combinada com verificações adicionais
- **CDD** -- monitoramento contínuo exige revalidação periódica dos dados do CPF

---

## Implementando Due Diligence com Validação de CPF

A implementação deve ser modular, permitindo aplicar diferentes níveis de verificação conforme o tipo de due diligence.

```javascript
const axios = require("axios");

class DueDiligenceService {
 constructor(apiKey) {
 this.apiKey = apiKey;
 this.baseUrl = "https://api.cpfhub.io";
 }

 async validarCpf(cpf) {
 const response = await axios.get(
 `${this.baseUrl}/cpf/${cpf.replace(/\D/g, "")}`,
 { headers: { "x-api-key": this.apiKey }, timeout: 10000 }
 );
 return response.data;
 }

 async kycBasico(cpf, nomeInformado, nascimentoInformado) {
 const resultado = await this.validarCpf(cpf);
 if (!resultado.success) {
 return { nivel: "KYC", status: "REPROVADO", motivo: "CPF inválido" };
 }

 const { data } = resultado;
 const verificacoes = {
 cpf_valido: true,
 nome_confere: data.nameUpper === nomeInformado.toUpperCase().trim(),
 nascimento_confere: data.birthDate === nascimentoInformado,
 };

 const aprovado = Object.values(verificacoes).every(Boolean);
 return {
 nivel: "KYC",
 status: aprovado ? "APROVADO" : "PENDENTE_REVISAO",
 verificacoes,
 dados: { nome: data.name, nascimento: data.birthDate, genero: data.gender },
 };
 }

 async kybSocios(socios) {
 const resultados = await Promise.all(
 socios.map(async (socio) => {
 const kyc = await this.kycBasico(
 socio.cpf,
 socio.nome,
 socio.dataNascimento
 );
 return {
 socio: socio.nome,
 cpf: socio.cpf,
 participacao: socio.participacao,
 resultado: kyc,
 };
 })
 );

 const todosAprovados = resultados.every(
 (r) => r.resultado.status === "APROVADO"
 );
 return {
 nivel: "KYB",
 status: todosAprovados ? "APROVADO" : "PENDENTE_REVISAO",
 socios: resultados,
 };
 }

 async eddAprofundado(cpf, nomeInformado, nascimentoInformado, dadosAdicionais) {
 const kycResult = await this.kycBasico(cpf, nomeInformado, nascimentoInformado);

 const verificacoesAdicionais = {
 kyc_aprovado: kycResult.status === "APROVADO",
 idade_compativel: this._verificarIdade(kycResult.dados.nascimento, dadosAdicionais.idadeMinima),
 genero_confere: kycResult.dados.genero === dadosAdicionais.generoInformado,
 };

 return {
 nivel: "EDD",
 status: Object.values(verificacoesAdicionais).every(Boolean) ? "APROVADO" : "INVESTIGAR",
 kyc: kycResult,
 verificacoes_adicionais: verificacoesAdicionais,
 };
 }

 _verificarIdade(dataNascimento, idadeMinima) {
 const nascimento = new Date(dataNascimento);
 const hoje = new Date();
 const idade = hoje.getFullYear() - nascimento.getFullYear();
 return idade >= idadeMinima;
 }
}
```

---

## Matriz de Risco e Nível de Verificação

O nível de due diligence deve ser proporcional ao risco que o cliente ou parceiro representa.

| Fator de risco | Peso | Indicadores |
|---------------|------|-----------|
| Volume de transações | Alto | > R$ 100k/mês exige EDD |
| PEP (Pessoa Exposta Politicamente) | Muito alto | Exige EDD obrigatoriamente |
| País de residência | Médio-alto | Países da lista [GAFI/FATF](https://www.fatf-gafi.org) exigem EDD |
| Setor de atuação | Médio | Setores de risco (jogos, câmbio) |
| Idade da relação | Baixo | Clientes novos exigem mais verificação |
| Histórico de alertas | Alto | Qualquer alerta anterior eleva o risco |

```javascript
function calcularNivelDueDiligence(fatores) {
 const pesos = {
 volume_alto: 3,
 pep: 5,
 pais_risco: 4,
 setor_risco: 2,
 cliente_novo: 1,
 historico_alertas: 4,
 };

 let score = 0;
 for (const [fator, presente] of Object.entries(fatores)) {
 if (presente && pesos[fator]) {
 score += pesos[fator];
 }
 }

 if (score >= 8) return { nivel: "EDD", descricao: "Due diligence aprofundada" };
 if (score >= 4) return { nivel: "CDD", descricao: "Due diligence padrão reforçada" };
 return { nivel: "SDD", descricao: "Due diligence simplificada" };
}

// Exemplo
const nivel = calcularNivelDueDiligence({
 volume_alto: true,
 pep: false,
 pais_risco: false,
 setor_risco: true,
 cliente_novo: true,
 historico_alertas: false,
});
// { nivel: "CDD", descricao: "Due diligence padrão reforçada" }
```

---

## Documentação e Auditoria

Todo processo de due diligence deve ser documentado para apresentação a reguladores e auditores. A validação de CPF gera evidências fundamentais.

| Documento | Conteúdo | Retenção mínima |
|----------|---------|----------------|
| Registro de validação de CPF | Timestamp, resultado, dados consultados | 5 anos após encerramento da relação |
| Relatório de KYC | Resumo de todas as verificações | 5 anos após encerramento |
| Alerta de inconsistência | Detalhes da divergência encontrada | 10 anos |
| Decisão de aprovação/rejeição | Justificativa e responsável | 5 anos após encerramento |
| Relatório de EDD | Investigação aprofundada completa | 10 anos |

- **Imutabilidade** -- registros de due diligence não devem ser editáveis após a criação
- **Rastreabilidade** -- cada decisão deve ter um responsável identificável
- **Acesso controlado** -- apenas o time de compliance deve ter acesso aos dados de due diligence
- **Backup** -- mantenha cópias em local seguro e separado do sistema principal

---

## Perguntas frequentes

### O que é necessário para implementar validação de CPF neste contexto?
A validação de CPF exige uma chamada à API com o número do documento e a chave de autenticação. A CPFHub.io retorna o status do CPF, nome do titular e data de nascimento em menos de 200ms, permitindo a verificação em tempo real durante o cadastro ou transação.

### A API CPFHub.io funciona para todos os volumes de consulta?
Sim. O plano gratuito oferece 50 consultas por mês sem cartão de crédito — ideal para testes e projetos pequenos. Para volumes maiores, o plano Pro inclui 1.000 consultas mensais por R$149. Se o limite for ultrapassado, a API não bloqueia: cobra R$0,15 por consulta adicional.

### Como garantir conformidade com a LGPD ao usar uma API de CPF?
Use o CPF apenas para a finalidade declarada ao titular, armazene apenas o necessário (não guarde o CPF cru se um token bastar), implemente controle de acesso aos logs de consulta e documente a base legal para o tratamento. A [ANPD](https://www.gov.br/anpd) orienta que dados de identificação devem ser tratados com o princípio da necessidade.

### Quanto tempo leva para integrar a API CPFHub.io?
A integração básica leva menos de 30 minutos: crie uma conta em cpfhub.io, gere a API key no painel e faça uma chamada GET para `https://api.cpfhub.io/cpf/{CPF}` com o header `x-api-key`. A documentação inclui exemplos em Python, Node.js, PHP, Java e outras linguagens.

### Leia também

- [Onboarding digital em fintechs: como validar CPF em menos de 30 segundos](https://cpfhub.io/blog/onboarding-digital-em-fintechs-como-validar-cpf-em-menos-de-30-segundos)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [PIX por CPF: como fintechs podem validar chaves PIX de clientes](https://cpfhub.io/blog/pix-por-cpf-como-fintechs-podem-validar-chaves-pix-de-clientes)
- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)

---

## Conclusão

A validação de CPF é a base sobre a qual todo o processo de due diligence se constrói. Sem verificar a autenticidade do CPF e a consistência dos dados vinculados, as demais etapas de verificação perdem confiabilidade. Implemente uma solução modular que escale desde o KYC simplificado até o EDD aprofundado, com documentação completa para auditoria. A [**CPFHub.io**](https://www.cpfhub.io/) oferece a camada de validação de identidade que garante a confiabilidade de todo esse processo — comece com 50 consultas gratuitas por mês em [cpfhub.io](https://www.cpfhub.io/).