Due Diligence com OSINT: Checklist para Verificar uma Empresa
Due diligence com OSINT é a verificação, por fontes abertas, de uma empresa, fornecedor ou sócio antes de fechar negócio. O checklist essencial cobre seis frentes: identidade e situação do CNPJ, quadro societário e vínculos, processos e dívidas, reputação no mercado, presença digital e sinais de fraude. Tudo com dados públicos e rastreáveis — sem precisar acessar nada sigiloso.
Resumo Rápido
- Due diligence OSINT verifica um parceiro de negócio com fontes públicas, antes de assinar contrato ou investir.
- O checklist tem seis frentes: CNPJ, sócios, processos, reputação, presença digital e fraude.
- O maior risco que ela evita é a empresa de fachada: CNPJ novo, sócio laranja, endereço vazio e zero histórico.
- Formato de checklist existe para garantir cobertura — você não esquece nenhuma frente sob pressão do prazo.
O Que É Due Diligence com OSINT?
Due diligence é o dever de diligência: investigar com cuidado antes de assumir um compromisso. Na versão OSINT, esse trabalho é feito com inteligência de fontes abertas — registros públicos, dados de CNPJ, processos, mídia e a pegada digital da empresa e dos sócios. É a checagem que protege você de fechar negócio com quem não é quem diz ser.
Ela aparece em vários momentos: antes de contratar um fornecedor relevante, aceitar um cliente de alto valor, entrar em uma sociedade, investir em um negócio ou homologar um parceiro em compliance. Quanto maior o valor ou o risco da relação, mais profunda deve ser a due diligence. Para o público B2B e de compliance, esse processo é uma exigência, não um luxo.
Checklist de Due Diligence em 6 Frentes
O valor de um checklist é a cobertura sob pressão: na correria de fechar um contrato, é fácil pular uma verificação importante. As seis frentes abaixo garantem que você olhe identidade, pessoas, riscos jurídicos, mercado, rastro digital e fraude — nessa ordem, do mais objetivo ao mais interpretativo.
1. Identidade e Situação do CNPJ
Comece confirmando que a empresa existe e está ativa. Consulte o CNPJ na Receita Federal e verifique a situação cadastral, a data de abertura, o capital social, o CNAE (atividade) e o endereço. Uma empresa criada há poucas semanas, com capital irrisório e atividade que não bate com a proposta, já acende o primeiro alerta.
Confirme se o nome fantasia, o site e a conta para pagamento correspondem à razão social registrada. Divergências entre quem assina o contrato e quem consta no CNPJ são clássicas em golpes. Veja o caminho completo em como consultar CNPJ grátis e em como saber se uma empresa é confiável pelo CNPJ.
2. Quadro Societário e Vínculos
Depois da empresa, investigue as pessoas por trás dela. Levante o quadro societário no registro do CNPJ e verifique quem são os sócios, há quanto tempo, e que outras empresas eles controlam. Sócios que aparecem em dezenas de empresas abertas e fechadas em sequência, ou nomes que parecem "laranjas", merecem atenção redobrada.
O cruzamento de vínculos revela a rede por trás do negócio: empresas do mesmo grupo, sócios em comum com fornecedores e ligações que não estavam no contrato. Essa análise de relacionamento é central — detalhamos em análise de vínculos entre CPF e CNPJ. Aplique também a verificação de antecedentes aos sócios principais.
3. Processos, Dívidas e Protestos
Com empresa e sócios identificados, cheque o passivo jurídico e financeiro. Busque processos judiciais (cíveis, trabalhistas, execuções) pelo CNPJ e pelos CPFs dos sócios, além de protestos em cartório e pendências em diários oficiais. Um volume alto de execuções ou trabalhistas indica risco de saúde financeira e de governança.
Como em qualquer leitura de processo, contexto é tudo: uma ação trabalhista isolada é comum; um padrão de dezenas, não. Interprete os achados como sinais de risco a ponderar, não como condenação. O passo a passo está em como saber se alguém tem processo.
4. Reputação, 5. Presença Digital e 6. Fraude
As três últimas frentes são mais interpretativas. Na reputação, busque reclamações de clientes, avaliações, notícias e como a empresa responde a problemas públicos. Na presença digital, verifique se o site, o domínio e as redes condizem com uma operação real e com a idade declarada do negócio. Na frente de fraude, junte os sinais das etapas anteriores.
Fraude raramente aparece em um único dado — ela emerge do conjunto: empresa nova, sócio com histórico ruim, endereço vazio, site recém-registrado e zero rastro de operação. Esse é o padrão da empresa de fachada, que detalhamos em como identificar empresas de fachada. Para a checagem técnica do site, veja análise de domínio com OSINT.
- Reputação: reclamações recorrentes, processos de consumidores, notícias negativas.
- Presença digital: idade do domínio, site funcional, redes ativas e coerentes.
- Fraude: convergência de bandeiras vermelhas das frentes anteriores.
- Coerência: o que a empresa declara bate com o que as fontes públicas mostram?
O Que a LGPD Permite na Due Diligence?
A LGPD (Lei 13.709/2018) acomoda bem a due diligence: verificar um parceiro comercial é um caso típico de legítimo interesse, e dados de empresas (CNPJ, sócios, situação cadastral) são amplamente públicos. O cuidado recai sobre os dados pessoais dos sócios — colete o necessário para avaliar o risco, com finalidade clara, e não acumule informação irrelevante.
Documente a base legal e a finalidade da sua verificação, especialmente em compliance corporativo. Isso protege você e demonstra que o processo foi proporcional. Para o quadro completo de limites, veja OSINT é legal no Brasil?. Em investigações mais profundas e formais, vale a metodologia do guia de due diligence do investigador.
Passo a Passo: Due Diligence no Espectro
O Espectro reduz o tempo de coleta da due diligence: a partir de um CNPJ ou de um sócio, ele consolida situação cadastral, quadro societário, vínculos e presença pública, deixando você focar na análise em vez de pular entre dezenas de sites oficiais.
- Faça login e informe o CNPJ da empresa avaliada.
- Confira situação cadastral, abertura, capital e atividade.
- Abra o quadro societário e cruze os vínculos dos sócios.
- Some processos, reputação e presença digital.
- Exporte um relatório com a fonte de cada achado para o seu compliance.
O limite honesto: o Espectro reúne o que é público e vinculado ao CNPJ e aos sócios — ele não substitui a due diligence contábil e jurídica formal de uma aquisição grande, mas cobre a frente de fontes abertas com agilidade. Estruture o resultado com o guia de dossiê de investigação.
Verifique um parceiro antes de assinar
O Espectro consolida CNPJ, sócios, vínculos e presença pública em minutos — para sua due diligence cobrir todas as frentes antes de fechar negócio.
Criar conta gratuita Ver planosPerguntas Frequentes
Qual a diferença entre due diligence e background check?
O background check costuma focar em uma pessoa (identidade, processos, reputação). A due diligence é mais ampla e voltada a negócios: verifica a empresa, seus sócios, situação financeira, vínculos e riscos antes de uma transação. Na prática, a due diligence inclui um background check dos sócios.
Quais são os principais sinais de uma empresa de fachada?
CNPJ recém-aberto, capital social mínimo, endereço residencial ou inexistente, atividade incompatível com o negócio proposto, sócios com histórico de muitas empresas abertas e fechadas, site recém-registrado e ausência de rastro real de operação. A convergência desses sinais é o alerta.
Due diligence por fontes abertas é suficiente para grandes negócios?
Para triagem e risco inicial, sim. Para aquisições grandes, a due diligence OSINT é uma camada que se soma à auditoria contábil, jurídica e fiscal formal. Ela é excelente para detectar bandeiras vermelhas cedo e direcionar onde a investigação aprofundada deve focar.
Preciso do consentimento da empresa para fazer due diligence?
Para consultar fontes públicas sob legítimo interesse, em geral não. Dados de CNPJ e processos são públicos. O cuidado é com dados pessoais dos sócios: colete só o necessário, com finalidade clara, e documente a base legal — boa prática essencial em compliance.
Com que frequência devo refazer a due diligence de um fornecedor?
Depende do risco. Fornecedores críticos merecem reverificação periódica (anual ou semestral) e monitoramento de mudanças relevantes, como novos processos ou alteração de sócios. Relações de baixo risco podem ser revistas quando houver renovação de contrato ou aumento de exposição.
Conclusão
Due diligence com OSINT é o cuidado de verificar com quem você vai se comprometer, usando fontes públicas e um checklist que garante cobertura: CNPJ, sócios, processos, reputação, presença digital e fraude. O maior valor é antecipar a empresa de fachada antes que o contrato esteja assinado.
Comece pela base — consultar o CNPJ — avance para a análise de vínculos dos sócios e aplique a verificação de antecedentes a cada pessoa-chave do negócio.