6 min de leitura Tanja

Candidatos deepfake: 1 em cada 3 recrutadores já entrevistou um

Busca de Emprego
Gestora de RH em frente a duas telas: uma videochamada legítima de entrevista à esquerda e um candidato com artefatos deepfake visíveis à direita

1 em cada 3 recrutadores já entrevistou um candidato deepfake sem saber ao certo quem estava do outro lado da tela. Essa é a conclusão de uma pesquisa da Greenhouse (2025) com 4.136 profissionais de seleção. Não é uma projeção futura: é a realidade de quem contrata hoje.

Resposta direta: um candidato deepfake usa IA generativa para substituir rosto, voz ou ambos em videochamadas, apresentar currículos fabricados e construir históricos profissionais que nunca existiram. O objetivo varia entre fraude financeira, espionagem corporativa e, no caso mais grave documentado até agora, infiltração intencional em empresas de tecnologia.

Se você recruta para cargos remotos, especialmente em TI, finanças ou saúde, este guia é para você.

Por que isso é um problema de segurança, não só de RH

A tentação é tratar candidatos falsos como uma dor de cabeça do processo seletivo. Não é.

O FBI documentou, entre 2024 e 2025, que operativos norte-coreanos usaram identidades sintéticas para se infiltrar em dezenas de empresas de tecnologia norte-americanas. Uma vez contratados, acessavam repositórios de código, dados de clientes e infraestrutura crítica. Não vinham para roubar o laptop: vinham para os dados.

No Brasil, a Febraban emitiu alerta formal em maio de 2026 sobre golpes de identidade em processos seletivos. Essa ameaça chegou ao mercado brasileiro com a mesma velocidade com que o trabalho remoto se consolidou pós-pandemia.

A escala do problema fica clara nos números: a Pindrop (2025) registrou aumento de 1.300% nas tentativas de fraude com deepfake em 2024. Segundo a Security Magazine (2025), 41% das organizações já contrataram um candidato falso sem perceber. O Gartner (2024) projeta que, até 2028, 1 em cada 4 candidatos no mundo será fictício ou gerado por IA.

Pela LGPD, se um candidato falso for contratado e acessar dados de colaboradores, clientes ou sistemas internos, a empresa pode responder por violação de dados. A ANPD pode aplicar multas de até 2% do faturamento bruto, limitado a R$ 50 milhões por infração.

5 sinais de alerta na videochamada de seleção

Você não precisa de software especializado para identificar os casos mais comuns. Basta saber o que observar.

1. Movimento de cabeça atípico. Peça ao candidato que vire o rosto rapidamente para o lado, como se olhasse para algo fora da tela. Ferramentas deepfake perdem qualidade em perfis e movimentos bruscos: bordas borradas, deformação do queixo, perda momentânea de proporção facial.

2. Dessincronização labial. A voz chega com atraso de mais de 200 milissegundos em relação ao movimento dos lábios. Em conexões ruins isso pode acontecer naturalmente, mas observe se o padrão persiste após reconexão.

3. Pixelização nas bordas. A linha do cabelo, as orelhas e o pescoço são as regiões onde o deepfake mais falha. Preste atenção especial quando o candidato move a cabeça ou gesticula.

4. Piscadas e microexpressões fora do padrão. Piscadas muito raras ou em ritmo mecânico são um indicador clássico. Microexpressões de surpresa ou desconforto que não aparecem quando deveriam também.

5. Fundo artificial em contexto suspeito. Um fundo impecavelmente borrado para quem “está em casa” pode indicar uso de câmera virtual para esconder o ambiente real. Peça ao candidato que desative o fundo virtual temporariamente.

Currículos gerados por IA: os padrões que você precisa conhecer

Com as ferramentas disponíveis em 2025, criar uma identidade deepfake completa — perfil, currículo, referências fabricadas — é uma questão de minutos. O currículo é a primeira camada dessa construção.

Fique atento a: empresas que existem mas não possuem registro de RH que confirme o vínculo; datas de emprego que preenchem lacunas perfeitamente, sem nenhuma sobreposição ou intervalo; habilidades técnicas listadas com nível de detalhe alto, mas sem nenhum projeto público, repositório ou portfólio verificável; e endereço de e-mail profissional recente para uma carreira supostamente longa.

O processo de verificação em 5 passos

  1. Confirme a identidade antes da oferta. Use um fornecedor de liveness check compatível com LGPD, como Unico, Idwall ou Truora. Esses serviços verificam se a pessoa na câmera é real e corresponde ao documento sem armazenar dados desnecessários.

  2. Contate empregadores anteriores de forma independente. Use o número do site oficial da empresa, não o contato fornecido pelo candidato. Pergunte especificamente pela data de saída e pelo cargo — não apenas “confirma o vínculo?”

  3. Verifique CPF e histórico no Serasa Experian Empresarial. Para cargos com acesso a sistemas financeiros ou dados sensíveis, isso não é opcional.

  4. Peça uma entrevista presencial para a etapa final. Para cargos estratégicos, remotos ou com acesso a infraestrutura crítica, uma visita ao escritório ou a uma unidade da empresa elimina a maioria dos candidatos sintéticos.

  5. Documente a cadeia de verificação. Registre quais verificações foram feitas, por quem e quando. Se um incidente ocorrer depois, essa documentação é essencial para a resposta à ANPD.

1 em cada 3 recrutadores já viveu isso

A pesquisa da Greenhouse (2025) com 4.136 responsáveis por seleção chegou a um número que mudou como o mercado enxerga o problema: 1 em cada 3 recrutadores já entrevistou um candidato deepfake suspeito ou confirmado.

Isso transforma a questão de “isso pode acontecer com a gente?” para “quando aconteceu, o que fizemos?”. A maioria das equipes de RH não tem protocolo formal para esse cenário. O candidato falso passa, é contratado, e a descoberta acontece semanas ou meses depois, muitas vezes só após um incidente de segurança.

A boa notícia: as verificações descritas acima não exigem orçamento alto. Exigem processo.

LGPD e responsabilidade: o que a empresa deve saber

A Lei Geral de Proteção de Dados não foi escrita para o cenário de candidatos deepfake, mas se aplica diretamente a ele.

Se um candidato falso for contratado e acessar dados pessoais de colaboradores ou clientes, a empresa pode ser enquadrada como controladora de dados que falhou em implementar medidas técnicas e organizacionais adequadas de segurança. As sanções da ANPD chegam a 2% do faturamento bruto do último exercício, limitado a R$ 50 milhões por infração.

Incidentes com potencial de risco para titulares de dados devem ser reportados à ANPD em até 72 horas após a descoberta.

O caminho mais seguro, tanto para reduzir risco operacional quanto para demonstrar conformidade, é ter um processo de verificação documentado antes da admissão. Isso não é burocracia: é defesa legal.

Para entender o outro lado dessa mesma ameaça, leia: Recrutador falso: como identificar golpes de emprego com IA e se proteger.

Processos seletivos mais seguros para todos

Fechar as brechas que candidatos deepfake exploram beneficia também os candidatos legítimos. Processos mais estruturados, com verificação clara e comunicação transparente sobre as etapas, criam uma experiência mais justa para quem tem qualificações reais.

Ferramentas como o ResuFit ajudam candidatos genuínos a apresentar suas qualificações com clareza, o que, por contraste, torna mais fácil identificar currículos fabricados que tentam imitar esse mesmo padrão sem substância real por trás.

Pronto para criar um currículo vencedor?

Crie seu currículo grátis
#candidato deepfake #segurança RH #fraude seleção #candidatos falsos #contratação remota #IA fraude #LGPD
← Voltar ao blog

Fique por dentro

Receba as últimas dicas sobre redação de currículo e carreira.

Perguntas frequentes

Como identifico um candidato deepfake na videochamada?

Peça ao candidato que vire a cabeça abruptamente para o lado — a maioria das ferramentas deepfake falha em perfis e movimentos rápidos. Outros sinais: dessincronização entre lábios e voz superior a **200 ms**, pixelização ao redor da linha do cabelo e das orelhas, piscadas anormais e um fundo suspeitosamente limpo para quem supostamente está em casa.

Candidatos deepfake são comuns no Brasil?

Sim e crescendo. A Febraban emitiu alerta em **maio de 2026** sobre golpes de identidade em processos seletivos. Globalmente, **1 em cada 3** recrutadores já entrevistou um candidato deepfake (Greenhouse 2025), e **41%** das organizações contrataram sem saber um candidato falso (Security Magazine 2025).

Qual é a responsabilidade da empresa pela LGPD se contratar um candidato falso?

Se o candidato falso acessar dados de colaboradores, clientes ou sistemas internos, a empresa pode ser responsabilizada por violação de dados sob a LGPD. A ANPD pode aplicar multas de até **2%** do faturamento bruto do último exercício, limitado a **R$ 50 milhões** por infração. Incidentes devem ser reportados à ANPD em até **72 horas**.

Posso pedir documento de identidade antes de fazer uma proposta formal?

Com cautela, pois a LGPD limita a coleta de dados pessoais ao mínimo necessário. Alternativas compatíveis com a LGPD: verificação de vivacidade (liveness check) por fornecedor terceiro (Unico, Idwall, Truora), entrevista presencial para cargos sensíveis, ou confirmação indireta via LinkedIn e contato direto com empregadores anteriores.

Quais setores no Brasil são mais visados por candidatos deepfake?

Tecnologia, finanças e saúde lideram. Empresas com equipes remotas e processos 100% digitais são as mais vulneráveis. O risco é ainda maior em cargos com acesso a sistemas críticos, dados de clientes ou infraestrutura financeira — justamente os cargos com maior escassez de profissionais.

Como verificar referências de um candidato suspeito no Brasil?

Contate diretamente o setor de RH dos empregadores anteriores usando números encontrados no site oficial da empresa, não os fornecidos pelo candidato. Verifique o CPF e histórico profissional em serviços como Serasa Experian Empresarial. Para cargos sensíveis, use fornecedores de background check como Contratando.me ou Unico.

Usamos cookies para analisar o tráfego do site e melhorar sua experiência. Você pode alterar suas preferências a qualquer momento. Cookie Policy