Em outubro de 2025, a África do Sul saiu da “grey list” do Grupo de Ação Financeira Internacional (GAFI) após demonstrar avanços significativos no seu regime de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. Esse marco não apenas restabeleceu a confiança internacional no seu sistema financeiro, como também impôs às instituições bancárias a obrigação de manter padrões mais rigorosos: demonstrar aumentos sustentados em investigações e confisco de ativos ilícitos, fortalecer a supervisão baseada em risco e garantir que as autoridades competentes tenham acesso rápido e preciso às informações sobre beneficiários finais. Em 2026, a cibersegurança e a integridade da identidade digital tornaram-se eixos centrais para manter esse status e assegurar a confiança de investidores, reguladores e cidadãos.
Um ecossistema bancário digitalizado com riscos crescentes
A África do Sul possui um dos sistemas financeiros mais desenvolvidos da África: quatro grandes bancos — Standard Bank, FirstRand/FNB, Absa e Nedbank — concentram 85% da quota de mercado, enquanto desafiantes digitais como o TymeBank já conquistaram sete milhões de clientes. A penetração bancária supera 80% e estima-se que 20 milhões de pessoas utilizem mobile banking. O governo, por meio do Department of Home Affairs (DHA), implementou um registro populacional biométrico com taxa de erro inferior a 1%, demonstrando seu compromisso com a digitalização.
No entanto, esse avanço veio acompanhado de um aumento significativo do fraude digital. O fraude bancário por canais eletrônicos representou 65,3% de todos os incidentes reportados em 2024, quase o dobro do ano anterior, e as perdas ultrapassaram 1,4 bilhão de rands. A maioria dos golpes baseia-se em engenharia social: criminosos enviam links falsos via SMS, WhatsApp ou redes sociais, ou utilizam deepfakes e anúncios fraudulentos para enganar clientes e obter senhas ou OTPs. Esses dados confirmam que a digitalização exige controles mais robustos em cada ponto de contato.
Outro fenômeno alarmante é o fraude de SIM swap. Embora os dados provenham principalmente do setor de telecomunicações, o impacto recai diretamente sobre os bancos. Segundo o Communication Risk Information Centre (COMRiC), o fraude em telecomunicações — incluindo roubo de identidade e SIM swap — custou à África do Sul mais de 5,3 bilhões de rands em 2025. Esse tipo de ataque permite que um fraudador duplique o cartão SIM da vítima e intercepte códigos OTP para acessar suas contas. A natureza do cibercrime evolui constantemente; como destaca o CEO do COMRiC, operadoras e seus parceiros “devem estar sempre alertas porque os criminosos testam algo novo todos os dias”. Para o setor bancário, isso implica que a autenticação baseada exclusivamente em telefone móvel já não é suficiente.
Exigências regulatórias: FICA, POPIA e Joint Standards
O marco regulatório sul-africano foi reforçado para responder a esses riscos. A Financial Intelligence Centre Act (FICA) exige que instituições designadas identifiquem e verifiquem a identidade de seus clientes, nomeiem um oficial de compliance e estabeleçam um programa de gestão de riscos. Durante o onboarding, devem aplicar Customer Due Diligence (CDD) e controles contínuos ajustados ao nível de risco. A FICA permite verificação remota: a identidade pode ser confirmada digitalmente por meio de reconhecimento biométrico com prova de vida ou verificação documental online. Além disso, as entidades devem registrar atividades suspeitas em até 15 dias por meio de Suspicious Transaction Reports (STR) e reportar indícios de financiamento ao terrorismo em cinco dias.
A Protection of Personal Information Act (POPIA) complementa essa regulamentação ao exigir que empresas tratem dados de clientes com segurança, limitem seu uso a finalidades específicas e garantam transparência. O equilíbrio entre privacidade e combate ao fraude é delicado: os bancos precisam coletar e analisar dados biométricos, comportamentais e transacionais para combater a suplantação, mas devem fazê-lo em conformidade com os princípios de minimização e consentimento da POPIA.
Em maio de 2024, a Financial Sector Conduct Authority (FSCA) e a Prudential Authority (PA) publicaram o Joint Standard 2 sobre Cibersegurança e Resiliência, que entrou em vigor em 1º de junho de 2025. Esse padrão exige que bancos, seguradoras, fundos de pensão e outras entidades adotem práticas obrigatórias de cibersegurança e gestão de riscos digitais. Inclui auditorias periódicas, governança de cibersegurança, supervisão de terceiros e planos de resposta a incidentes. Embora a implementação seja complexa e custosa, o objetivo é reduzir o risco sistêmico e proteger consumidores e o ecossistema financeiro.
A regulamentação setorial inclui ainda padrões específicos, como o da Payments Association of South Africa (PASA). Em 2016, a PASA, em colaboração com Visa e Mastercard, lançou um padrão interoperável para autenticação biométrica em cartões de pagamento, permitindo verificação por impressão digital, palma, voz, íris ou reconhecimento facial. O objetivo é oferecer infraestrutura comum para pagamentos biométricos e reduzir fraude em cartões.
Outros requisitos incluem verificação de identidade junto ao Registro Nacional de População (DHA), controle de Pessoas Politicamente Expostas (PEPs), verificação de beneficiários finais para participações de 25% ou mais, filtragem em tempo real de listas de sanções (ONU e listas domésticas) e reporte de incidentes de cibersegurança em até 24 horas.
Como o setor bancário responde: biometria, tokens e análise avançada
Diante desse cenário, os bancos sul-africanos estão reforçando processos de identificação e autenticação. A biometria tornou-se pilar do onboarding digital e de transações sensíveis. Graças à compatibilidade regulatória de FICA e PASA, é possível comparar selfie ou impressão digital com dados oficiais do DHA e utilizar algoritmos de prova de vida para prevenir deepfakes. A substituição gradual do OTP via SMS por notificações push, tokens físicos e autenticação biométrica reduz a dependência do SIM, já considerado vetor vulnerável.
Além disso, bancos utilizam IA e analytics avançado para monitorar comportamento transacional e detectar padrões anômalos que indiquem tomada de controle de conta ou uso fraudulento de identidade. Biometria comportamental (velocidade de digitação, geolocalização, endereço IP) permite acionar verificações adicionais quando há mudanças relevantes no padrão do usuário. Esse modelo baseado em risco e eventos reduz fricção e fortalece a defesa contínua da identidade.
O papel da Facephi no contexto sul-africano
Nesse ambiente, a Facephi oferece um conjunto de soluções alinhadas às exigências de compliance e cibersegurança da África do Sul:
- Onboarding digital integrado ao DHA: validação de identidade por biometria facial ou digital, com taxas de erro inferiores a 1% e prova de vida conforme ISO 29794-5.
- Autenticação biométrica multimodal: suporte a reconhecimento facial, digital e por voz, eliminando dependência de OTP e mitigando SIM swap.
- Screening AML e monitoramento em tempo real: verificação de listas de sanções da ONU, PEPs e mídia adversa, além de automação de STR em conformidade com a FICA.
- Biometria comportamental e detecção de mulas: identificação de contas utilizadas para lavagem de dinheiro por meio de análise de padrões e redes transacionais.
- Monitoramento transacional: compatível com limites de reporte exigidos pela FICA, com envio automatizado à FIC.
Essas capacidades permitem reduzir fraude sem comprometer a experiência do cliente, cumprir FICA e POPIA e atender às exigências do Joint Standard 2.
Inovação e desafios para 2026
Apesar dos avanços, os desafios permanecem. A transição para um sistema nacional de identidade digital promete reduzir documentos falsos, mas deslocará fraude para vetores como takeover de contas, SIM swap e comprometimento de dispositivos. O Joint Standard 2 exige maior maturidade em governança, auditoria e supervisão de terceiros.
Por fim, a educação do usuário continua essencial. Autoridades alertam para aumento de golpes via SMS, WhatsApp e falsos consultores financeiros. Bancos devem combinar tecnologia com campanhas de conscientização, reforçando que clientes nunca devem compartilhar OTP ou dados biométricos.
Conclusão: Um futuro de confiança digital
A saída da África do Sul da grey list do GAFI representa um ponto de virada, mas manter a confiança exige compromisso contínuo com cibersegurança e integridade da identidade. Ataques tornam-se mais sofisticados, reguladores elevam exigências e o fraude migra para novos vetores. A combinação de marco regulatório rigoroso, tecnologias robustas de verificação e abordagem baseada em risco permitirá aos bancos proteger clientes e estabilidade do sistema financeiro.
A Facephi posiciona-se como parceira estratégica nessa transição. Ao oferecer soluções integradas de onboarding digital, autenticação biométrica e monitoramento de fraude alinhadas às normas sul-africanas e padrões internacionais, ajuda instituições financeiras a cumprir a regulamentação, reduzir perdas e fortalecer sua reputação como guardiãs da confiança na economia digital.