Fraude de identidade sintética: como validação de CPF detecta CPFs fabricados

A validação de CPF via API detecta CPFs fabricados ao consultar se o número está efetivamente vinculado a uma pessoa real na base cadastral — algo que a validação algorítmica dos dígitos verificadores não faz. Um CPF sintético passa na matemática mas não retorna dados cadastrais na API; a ausência de resposta positiva é o sinal de alerta que interrompe o processo de cadastro antes que o dano ocorra.

Introdução

A fraude de identidade sintética é uma das modalidades de fraude mais sofisticadas e difíceis de detectar no mercado digital. Diferentemente do roubo de identidade tradicional, em que o criminoso usa os dados reais de uma pessoa existente, a fraude sintética envolve a criação de uma identidade fictícia — muitas vezes combinando dados reais de diferentes pessoas com informações inventadas, incluindo CPFs matematicamente válidos, mas que não correspondem a nenhuma pessoa real.

O que é fraude de identidade sintética

Definição

Fraude de identidade sintética é a criação de uma identidade fictícia usando uma combinação de:

CPF fabricado -- Um número que passa na validação algorítmica (dígitos verificadores corretos), mas que não está vinculado a nenhuma pessoa real.
Nome fictício -- Um nome inventado ou combinação de nomes reais.
Dados reais de terceiros -- Endereços, datas de nascimento ou outros dados obtidos de vazamentos.

Como funciona na prática

O fraudador gera um CPF matematicamente válido usando algoritmos públicos de cálculo de dígitos verificadores. Depois, cria um perfil completo com esse CPF e dados fictícios para:

Abrir contas em bancos digitais.
Solicitar cartões de crédito.
Realizar compras a prazo.
Cadastrar-se em plataformas de serviços.
Contratar serviços financeiros.

Escala do problema

A fraude de identidade sintética é responsável por bilhões de reais em prejuízos anuais no Brasil. Ela é especialmente perigosa porque:

Não há uma vítima imediata reclamando (a identidade não pertence a ninguém).
O fraudador pode "cultivar" a identidade sintética por meses antes de aplicar o golpe.
Os mecanismos tradicionais de detecção de fraude são menos eficazes.

Por que a validação algorítmica não é suficiente

O algoritmo de validação de CPF

O CPF brasileiro possui um algoritmo de validação baseado em dígitos verificadores. Qualquer pessoa com conhecimento básico de programação pode gerar CPFs que passam nessa validação:

CPF: 123.456.789-09

Cálculo do primeiro dígito verificador:
1*10 + 2*9 + 3*8 + 4*7 + 5*6 + 6*5 + 7*4 + 8*3 + 9*2 = 210
210 % 11 = 1 → Dígito = 0

Cálculo do segundo dígito verificador:
1*11 + 2*10 + 3*9 + 4*8 + 5*7 + 6*6 + 7*5 + 8*4 + 9*3 + 0*2 = 235
235 % 11 = 4 → Dígito = 9 (se resto < 2, dígito = 0; senão, dígito = 11 - resto)

Existem bilhões de combinações de 11 dígitos que passam na validação algorítmica, mas apenas algumas centenas de milhões correspondem a CPFs reais cadastrados. Isso significa que é trivial gerar um CPF "válido" que não pertence a ninguém.

A limitação

Validação algorítmica -- Verifica apenas se os dígitos verificadores estão corretos. Aprovaria um CPF fabricado.
Validação via API -- Consulta se o CPF está efetivamente vinculado a uma pessoa, retornando nome, gênero e data de nascimento. Rejeita CPFs fabricados.

Como a validação via API detecta CPFs fabricados

Quando uma consulta é feita à API da CPFHub.io, o sistema verifica na base cadastral se aquele número corresponde a uma pessoa real. Um CPF fabricado — mesmo com dígitos verificadores corretos — não retornará dados cadastrais, sinalizando imediatamente que se trata de uma identidade sintética.

Exemplo prático

# CPF fabricado (matematicamente válido, mas inexistente)
curl -X GET https://api.cpfhub.io/cpf/99988877766 \
    -H "x-api-key: SUA_CHAVE_DE_API" \
    -H "Accept: application/json" \
    --max-time 10

Para um CPF fabricado, a API não retornará dados cadastrais, indicando que o número não corresponde a uma pessoa real. Já para um CPF legítimo:

{
    "success": true,
    "data": {
    "cpf": "12345678900",
    "name": "João da Silva",
    "nameUpper": "JOAO DA SILVA",
    "gender": "M",
    "birthDate": "15/06/1990",
    "day": 15,
    "month": 6,
    "year": 1990
    }
}

A diferença é clara: a API consegue distinguir entre um CPF matematicamente válido e um CPF efetivamente vinculado a uma pessoa.

Implementando a detecção de CPFs fabricados

Fluxo de proteção em três camadas

Camada 1: Validação algorítmica -- Verifica os dígitos verificadores. Filtra erros de digitação.
Camada 2: Validação via API -- Confirma que o CPF está vinculado a uma pessoa real. Filtra CPFs fabricados.
Camada 3: Cruzamento de dados -- Compara nome e data de nascimento informados com os dados retornados pela API. Filtra uso de CPFs de terceiros.

Implementação em Node.js

const detectarFraudeSintetica = async (cpfInformado, nomeInformado) => {
    // Camada 1: Validação algorítmica
    if (!validarDigitosCPF(cpfInformado)) {
    return { fraude: true, tipo: "CPF inválido", risco: "baixo" };
    }

    // Camada 2: Validação via API
    const controller = new AbortController();
    const timeoutId = setTimeout(() => controller.abort(), 10000);

    try {
    const response = await fetch(
    `https://api.cpfhub.io/cpf/${cpfInformado}`,
    {
    method: "GET",
    headers: {
    "x-api-key": "SUA_CHAVE_DE_API",
    "Accept": "application/json"
    },
    signal: controller.signal
    }
    );

    clearTimeout(timeoutId);
    const data = await response.json();

    if (!data.success) {
    return { fraude: true, tipo: "Identidade sintética", risco: "alto" };
    }

    // Camada 3: Cruzamento de dados
    const nomeOficial = data.data.name.toLowerCase().trim();
    const nomeCliente = nomeInformado.toLowerCase().trim();

    if (nomeOficial !== nomeCliente) {
    return { fraude: true, tipo: "Divergência de identidade", risco: "medio" };
    }

    return { fraude: false, tipo: "Identidade confirmada", risco: "nenhum" };
    } catch (error) {
    clearTimeout(timeoutId);
    return { fraude: null, tipo: "Erro na verificação", risco: "indeterminado" };
    }
};

Indicadores de fraude sintética

Além da validação de CPF, fique atento a esses sinais:

Indicador	O que sugere
CPF não localizado na API	CPF fabricado (identidade sintética)
Nome divergente dos dados oficiais	Uso de CPF de terceiro
Data de nascimento incompatível	Dados combinados de diferentes pessoas
Mesmo dispositivo, múltiplos CPFs	Tentativa sistemática de fraude
Cadastro com dados genéricos	Perfil fabricado sem personalização
E-mail recém-criado	Conta descartável para fraude

Setores mais afetados

Fintechs e bancos digitais -- Abertura de contas com identidades sintéticas para obter crédito.
E-commerce -- Compras com cartões obtidos usando identidades fictícias.
Telecomunicações -- Contratação de linhas telefônicas para uso em golpes.
Seguradoras -- Sinistros fraudulentos com segurados fictícios.
Exchanges de criptoativos -- Lavagem de dinheiro através de contas com identidades fabricadas.

Em todos esses setores, a validação de CPF via API é a primeira linha de defesa contra identidades sintéticas.

Perguntas frequentes

O que é fraude de identidade sintética?

É a criação de uma identidade fictícia usando CPF matematicamente válido (gerado pelo algoritmo de dígitos verificadores) combinado com nome, endereço e outros dados inventados ou misturados de pessoas reais. O CPF parece legítimo no formato, mas não existe na base cadastral da Receita Federal.

Como um CPF com formato correto pode não existir na Receita Federal?

O algoritmo de dígitos verificadores do CPF é público — qualquer software consegue gerar números que passam na validação matemática. Mas um CPF só existe na base da Receita quando pertence a uma pessoa real cadastrada. A validação via API consulta essa base; um CPF gerado artificialmente não é encontrado.

A validação por API detecta 100% das identidades sintéticas?

Detecta os casos em que o CPF não existe na base ou em que o nome informado diverge do nome cadastrado. Não detecta casos onde o fraudador tem acesso ao CPF real e ao nome exato do titular. Para esses casos, combinar com verificação de data de nascimento e análise comportamental é recomendado.

Qual a diferença entre fraude sintética e roubo de identidade?

No roubo de identidade, o fraudador usa os dados completos de uma pessoa real. Na fraude sintética, cria uma identidade que não existe — geralmente misturando CPF real com nome falso, ou usando CPF gerado algoritmicamente. A fraude sintética é mais difícil de rastrear porque não há uma vítima óbvia reclamando a identidade.

Conclusão

A fraude de identidade sintética é uma ameaça crescente que não pode ser combatida apenas com validação algorítmica de CPF. A consulta via API é a única forma de confirmar que um CPF está efetivamente vinculado a uma pessoa real, detectando CPFs fabricados antes que causem prejuízos. A CPFHub.io oferece essa verificação em ~900ms, com retorno de nome, gênero e data de nascimento para cruzamento de dados em tempo real.

Cadastre-se em cpfhub.io — 50 consultas mensais gratuitas, sem cartão de crédito — e implemente a detecção de identidades sintéticas no seu fluxo de cadastro hoje mesmo.

CPFHub.io

Pronto para integrar a API?

50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.

Começar grátis Ver documentação

Sobre a redação

Redação CPFHub.io

Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.