Investigacao Por Fernanda Schmidt, Analista de OSINT 24 de março de 2026 16 min de leitura

OSINT para Due Diligence: Checklist Completo do Investigador

Q: Due diligence por OSINT substitui auditoria tradicional?

Nao. OSINT complementa a auditoria tradicional ao adicionar uma camada de verificacao digital que metodos convencionais nao cobrem. Enquanto a auditoria financeira examina demonstrativos e balancos, o OSINT revela presenca online, reputacao, conexoes ocultas e exposicoes em vazamentos. O ideal e combinar ambas as abordagens para uma due diligence completa.

Q: Quais dados de socios sao publicos no Brasil?

No Brasil, os dados de socios de empresas sao publicos atraves do CNPJ na Receita Federal, incluindo nome completo, CPF parcial, participacao societaria e data de entrada. Juntas comerciais estaduais disponibilizam contratos sociais e alteracoes. O Portal da Transparencia e o Tribunal Superior Eleitoral tambem fornecem dados publicos de pessoas fisicas e juridicas.

Q: Como verificar se uma empresa tem processos judiciais?

Voce pode consultar processos judiciais gratuitamente nos portais dos tribunais estaduais (TJ), tribunais regionais federais (TRF), TST para causas trabalhistas e o portal do DataJud do CNJ. O Espectro automatiza essas buscas cruzando CNPJ e nomes de socios em multiplas bases judiciais simultaneamente.

Q: OSINT serve para KYC e AML?

Sim. OSINT e amplamente utilizado em processos de Know Your Customer (KYC) e Anti-Money Laundering (AML) para verificar identidades, detectar Pessoas Politicamente Expostas (PEPs), rastrear sancoes internacionais e identificar conexoes suspeitas. Reguladores como o BACEN e o COAF recomendam o uso de fontes abertas como parte dos procedimentos de compliance.

Q: Quanto tempo leva uma due diligence com OSINT?

Uma due diligence manual com OSINT pode levar de 4 a 8 horas por entidade investigada, dependendo da complexidade. Com plataformas automatizadas como o Espectro, a coleta inicial de dados em 200+ fontes leva menos de 2 minutos. A analise dos resultados, que exige julgamento humano, adiciona entre 1 e 3 horas dependendo do volume de red flags encontradas.

O custo medio de um vazamento de dados alcancou US$ 4,44 milhoes globalmente em 2025, e nos EUA esse valor salta para US$ 10,22 milhoes (IBM, 2025). Boa parte dessas perdas poderia ter sido evitada com uma due diligence que fosse alem de documentos e balancos. Fontes abertas revelam o que contratos escondem.

Se voce fecha parcerias, investe em empresas ou contrata fornecedores, a due diligence tradicional sozinha ja nao protege o suficiente. Este guia entrega um checklist de 12 pontos usando OSINT para cobrir as lacunas que auditorias convencionais deixam abertas.

Na construcao do Espectro, investigamos centenas de entidades cruzando mais de 200 fontes abertas. Esse trabalho pratico com fraudes corporativas, empresas de fachada e socios ocultos moldou cada item deste checklist.

Principais Conclusoes

Due diligence tradicional depende de documentos fornecidos pela propria parte investigada. OSINT verifica independentemente usando dados publicos.
Multas da LGPD podem chegar a R$ 50 milhoes por infracao. Falhas de compliance por falta de verificacao custam caro.
Um checklist de 12 pontos cobre verificacao cadastral, presenca digital, reputacao, conexoes e litigios.
Plataformas automatizadas como o Espectro reduzem a coleta inicial de horas para minutos, cruzando 200+ fontes em uma busca.

Por Que a Due Diligence Tradicional Nao E Mais Suficiente?

Em 2025, 91% das organizacoes declararam que vao aumentar gastos com inteligencia de ameacas (Recorded Future, 2025). Esse investimento reflete uma realidade incomoda: os metodos tradicionais de verificacao falharam repetidamente contra fraudes sofisticadas.

A due diligence convencional funciona assim: voce pede documentos ao alvo, recebe demonstrativos financeiros, certidoes negativas e referencias comerciais. O problema e que todos esses materiais sao fornecidos pela propria parte interessada. Um fraudador competente entrega exatamente o que voce espera ver.

Considere o que acontece quando uma empresa de fachada apresenta um CNPJ ativo, certidoes limpas e um site institucional bem feito. A auditoria financeira pode nao encontrar nada de errado se os documentos forem fabricados com competencia. Mas uma busca por OSINT pode revelar que o dominio foi registrado ha 30 dias, que o endereco fisico e um escritorio virtual compartilhado por 47 outras empresas e que o socio majoritario aparece em tres processos de estelionato no TJSP.

Dado critico: 99% da internet nao e indexada por buscadores tradicionais (Recorded Future). Due diligence que se limita a pesquisas no Google acessa menos de 1% dos dados disponiveis sobre uma entidade.

A due diligence baseada em OSINT inverte a logica. Em vez de analisar o que o alvo fornece, voce coleta dados independentemente de fontes publicas: registros governamentais, bases judiciais, registros de dominios, redes sociais, vazamentos de dados e muito mais. E verificacao, nao confianca.

O Que OSINT Revela Que Metodos Tradicionais Perdem?

O mercado global de OSINT atingiu US$ 12,7 bilhoes em 2025, com projecao de US$ 133,6 bilhoes ate 2035 (Global Market Insights, 2025). Esse crescimento de 26,7% ao ano acontece porque organizacoes descobriram que fontes abertas revelam riscos invisiveis para auditorias tradicionais.

Aqui estao as categorias de informacao que OSINT entrega e que um processo convencional tipicamente perde:

Pegada digital real: Idade do dominio, historico de mudancas no site (Wayback Machine), presenca em redes sociais e coerencia entre o discurso online e a operacao declarada.
Conexoes ocultas entre socios: Participacoes cruzadas em outras empresas, vinculos familiares entre beneficiarios finais, enderecos compartilhados entre CNPJs aparentemente independentes.
Exposicao em vazamentos: E-mails corporativos presentes em bases de dados vazadas. Se o CFO da empresa usa a mesma senha em todos os servicos e ja apareceu em 5 vazamentos, isso e um risco operacional concreto.
Historico judicial completo: Processos em multiplas jurisdicoes, acoes trabalhistas recorrentes, execucoes fiscais e falencias anteriores de socios.
Reputacao nao filtrada: Reclamacoes no Reclame Aqui, avaliacoes negativas em massa, denuncias em foruns setoriais e noticias negativas enterradas nos resultados de busca.

Quantas dessas verificacoes seu processo atual cobre? Se a resposta e menos da metade, sua due diligence tem pontos cegos significativos.

Os custos de falha em due diligence variam de milhoes a danos irreversiveis a reputacao.

Checklist de Due Diligence com OSINT (12 Pontos)

Com 3.322 vazamentos de dados registrados so nos EUA em 2025, um aumento de 79% em cinco anos (ITRC, 2026), a superficie de dados disponiveis para investigacao nunca foi tao ampla. Este checklist organiza a due diligence em 12 verificacoes agrupadas em tres blocos.

Bloco 1: Verificacao de identidade e cadastro (Pontos 1-4)

1. Validacao de CNPJ na Receita Federal. Consulte o CNPJ diretamente na base da Receita. Verifique se a situacao cadastral e ativa, a data de abertura, o endereco registrado, a natureza juridica e o capital social declarado. Empresas de fachada frequentemente apresentam capital social minimo e enderecos genericos.

2. Verificacao de socios e quadro societario. Cruze os nomes dos socios com CPFs parciais disponiveis na Receita. Busque cada socio individualmente para identificar participacoes em outras empresas. Um socio presente em 15 CNPJs diferentes em setores completamente distintos e uma red flag classica.

3. Consulta de certidoes e registros publicos. Va alem das certidoes que o alvo fornece. Consulte diretamente: CND federal (PGFN/RFB), certidao de debitos trabalhistas (TST), certidao de distribuicao civel e criminal nas comarcas relevantes. Divergencias entre o que e apresentado e o que as bases publicas mostram sao sinais de alerta imediatos.

4. Historico de alteracoes societarias. Acesse o contrato social e alteracoes na Junta Comercial do estado. Trocas frequentes de socios, mudancas de endereco e alteracoes de objeto social em curtos periodos podem indicar tentativa de limpar rastros ou ocultar a verdadeira estrutura de controle.

Bloco 2: Presenca digital e reputacao (Pontos 5-8)

5. Analise do dominio e infraestrutura web. Verifique a data de registro do dominio via WHOIS. Compare com a data de fundacao declarada. Uma empresa que diz operar ha 10 anos, mas registrou o dominio ha 60 dias, merece explicacoes. Analise tambem certificados SSL, historico no Wayback Machine e registros DNS.

6. Presenca em redes sociais corporativas. Examine perfis no LinkedIn, Facebook, Instagram e plataformas setoriais. Verifique a coerencia entre o porte declarado e a presenca real: uma empresa que alega 500 funcionarios, mas tem 12 seguidores no LinkedIn, levanta questoes.

7. Reputacao em plataformas de consumo. Consulte Reclame Aqui, Google Reviews, Trustpilot e foruns do setor. Procure padroes em reclamacoes: problemas isolados sao normais, mas clusters de queixas sobre nao-entrega, golpe ou descumprimento contratual revelam riscos sistemicos.

8. Exposicao em vazamentos de dados. Verifique se e-mails corporativos do alvo aparecem em bases de dados vazadas. Exposicao recorrente indica fragilidade em seguranca da informacao. Mais de 3.300 comprometimentos de dados so em 2025 significam que muitas organizacoes estao expostas sem saber.

Bloco 3: Conexoes, litigios e red flags (Pontos 9-12)

9. Mapeamento de conexoes entre entidades. Use fontes abertas para mapear relacoes entre empresas, socios e pessoas associadas. Enderecos compartilhados entre CNPJs, telefones em comum e dominios registrados pelo mesmo responsavel tecnico podem revelar redes de empresas controladas por um unico grupo.

10. Busca judicial em multiplas jurisdicoes. Consulte processos nos portais dos TJs estaduais, TRFs, TST e STJ. O DataJud do CNJ consolida parte dessas informacoes. Busque tanto pelo CNPJ quanto pelos nomes individuais dos socios. Litigios trabalhistas recorrentes, execucoes fiscais e acoes de cobranca contam uma historia que balancos nao mostram.

11. Verificacao de sancoes e listas restritivas. Consulte listas de sancoes do OFAC (EUA), EU Sanctions List, lista de impedidos do TCU e cadastro de empresas inidôneas (CEIS/CNEP). Relacionamento comercial com entidades sancionadas pode gerar multas superiores a US$ 10 milhoes e bloqueio de operacoes internacionais.

12. Analise de noticias e midia. Busque o nome da empresa, seus socios e marcas associadas em portais de noticias, diarios oficiais e publicacoes setoriais. Use operadores de busca avancados para encontrar mencoes que nao aparecem nos primeiros resultados do Google. Noticias sobre investigacoes policiais, multas regulatorias ou denuncias de ex-funcionarios sao red flags que documentos oficiais nao capturam.

Na pratica: No Espectro, uma unica busca por CNPJ ou e-mail corporativo ja executa automaticamente os pontos 1, 2, 5, 6, 8 e partes do 9. O que levaria um analista 4 a 8 horas de trabalho manual acontece em menos de 2 minutos. Os pontos restantes exigem julgamento humano sobre os dados coletados.

OSINT para KYC, AML e Compliance

O cibercrime global atingiu US$ 10,5 trilhoes em 2025 (Statista, 2025), e reguladores em todo o mundo apertaram as exigencias de Know Your Customer (KYC) e Anti-Money Laundering (AML). OSINT se tornou uma peca central nesses processos.

No contexto de KYC, OSINT permite verificar a identidade de clientes e parceiros alem dos documentos apresentados. Voce cruza o CPF com bases da Receita, TSE e tribunais. Verifica se o endereco declarado corresponde a registros publicos. Checa se a pessoa e uma PEP (Pessoa Politicamente Exposta) consultando portais de transparencia e listas oficiais.

Para AML, o OSINT identifica vinculos entre entidades que transacoes financeiras isoladas nao revelam. Um fornecedor aparentemente legitimo pode ter socios em comum com empresas investigadas por lavagem de dinheiro. Sem cruzar dados de fontes abertas, esse vinculo permanece invisivel.

A LGPD e regulamentacoes do BACEN exigem que instituicoes financeiras e empresas reguladas mantenham processos de verificacao continuos. OSINT nao e um evento unico: e monitoramento periodico. Condicoes mudam. Um parceiro limpo hoje pode aparecer em uma lista de sancoes amanha. Qual frequencia de reavaliacao seu processo contempla?

KYC inicial: Verificacao completa de identidade, documentos, enderecos e PEP status antes de iniciar o relacionamento.
KYC periodico: Reavaliacao a cada 6-12 meses para clientes de risco medio e a cada 3-6 meses para alto risco.
Monitoramento continuo: Alertas automaticos quando novos processos judiciais, sancoes ou noticias negativas surgem sobre entidades monitoradas.
Enhanced Due Diligence (EDD): Investigacao aprofundada com OSINT para casos de alto risco, PEPs e transacoes atipicas.

Uma due diligence completa com OSINT equilibra cinco dimensoes de verificacao.

Como Montar um Relatorio de Due Diligence com OSINT?

Organizacoes que usam IA extensivamente em seguranca economizaram US$ 1,9 milhao por vazamento e reduziram o ciclo de resposta em 80 dias (IBM, 2025). Um relatorio de due diligence eficaz traduz dados brutos em decisoes. Nao basta coletar: e preciso estruturar.

Um relatorio completo de due diligence com OSINT deve seguir esta estrutura:

1. Sumario executivo. Uma pagina com a conclusao principal, nivel de risco atribuido (baixo, medio, alto, critico) e recomendacao clara: prosseguir, prosseguir com ressalvas ou nao prosseguir. Quem toma decisoes raramente le o relatorio inteiro. O sumario precisa ser autonomo.

2. Identificacao do alvo. Dados cadastrais confirmados: razao social, CNPJ, endereco, socios, data de fundacao, objeto social. Inclua divergencias encontradas entre o declarado e o verificado.

3. Achados por categoria. Organize os resultados seguindo os 12 pontos do checklist, agrupados nos tres blocos: cadastral, digital e juridico/conexoes. Para cada achado, inclua a fonte, a data da consulta e o nivel de risco associado.

4. Analise de red flags. Liste cada red flag identificada com contexto. "Socio aparece em 3 processos de estelionato" e um fato. "Socio com historico criminal em fraude representa risco elevado de desvio em operacoes conjuntas" e analise. Seu relatorio precisa dos dois.

5. Anexos e evidencias. Capturas de tela, links para fontes publicas, timestamps de consulta. Evidencias sem data e fonte nao resistem a escrutinio juridico. Documente tudo como se o relatorio fosse ser apresentado em juizo.

Dica pratica: No Espectro Intermediario e Profissional, os resultados ja vem estruturados por categoria com fontes e timestamps. Voce exporta os dados e complementa com a analise humana nos itens que exigem julgamento. Isso reduz o tempo de montagem do relatorio em ate 70%.

Ferramentas Recomendadas para Due Diligence

O Espectro consolida mais de 200 fontes abertas em uma busca, mas nenhuma ferramenta isolada cobre todos os aspectos de uma due diligence. Com 5,66 bilhoes de usuarios de redes sociais (DataReportal, 2025) e bilhoes de registros publicos, voce precisa de um ecossistema de verificacao.

Aqui estao as ferramentas organizadas por funcao:

Verificacao cadastral: Portal da Receita Federal (CNPJ), Juntas Comerciais estaduais (REDESIM), Portal da Transparencia, TSE (consulta de candidatos e filiacao). O Espectro automatiza consultas de CPF e CNPJ cruzando multiplas bases simultaneamente.

Analise de dominios: WHOIS (registro.br para dominios .br), Wayback Machine (historico de sites), crt.sh (certificados SSL), Shodan e Censys (infraestrutura exposta). Essas ferramentas revelam a idade real de uma operacao online.

Vazamentos e exposicao: Have I Been Pwned (verificacao gratuita de e-mails), DeHashed (busca em bases vazadas) e o modulo de breach do Espectro. Saber se credenciais corporativas foram expostas e fundamental para avaliar a postura de seguranca do alvo.

Busca judicial: Portais dos TJs, TRFs, TST, DataJud (CNJ) e JusBrasil. Para buscas em escala, o Espectro integra consultas ao DataJud por CPF/CNPJ. Qual o custo de descobrir um processo de R$ 5 milhoes contra seu futuro parceiro so depois de assinar o contrato?

Sancoes e listas: OFAC SDN List, EU Consolidated Sanctions, CEIS/CNEP (Portal da Transparencia), lista de impedidos do TCU. Verificacao obrigatoria para qualquer operacao com componente internacional.

Reputacao: Reclame Aqui, Google Maps Reviews, Glassdoor (visao dos funcionarios) e monitoramento de noticias via Google Alerts. Foruns setoriais e grupos de WhatsApp/Telegram do segmento tambem oferecem inteligencia valiosa, embora menos estruturada.

Perguntas Frequentes

Due diligence por OSINT substitui auditoria tradicional?

Nao. OSINT complementa a auditoria tradicional adicionando uma camada de verificacao digital que metodos convencionais nao cobrem. A auditoria financeira examina demonstrativos e balancos. O OSINT revela presenca online, reputacao, conexoes ocultas e exposicoes em vazamentos. O ideal e combinar ambas para uma due diligence completa.

Quais dados de socios sao publicos no Brasil?

O CNPJ na Receita Federal mostra nome completo dos socios, CPF parcial, participacao societaria e data de entrada. Juntas comerciais disponibilizam contratos sociais e alteracoes. O Portal da Transparencia, o TSE e portais de tribunais tambem fornecem dados publicos relevantes sobre pessoas fisicas e juridicas.

Como verificar se uma empresa tem processos judiciais?

Consulte os portais dos TJs estaduais, TRFs, TST e o DataJud do CNJ. Busque pelo CNPJ e tambem pelos nomes dos socios individualmente. O Espectro automatiza essas buscas cruzando identificadores em multiplas bases judiciais simultaneamente.

OSINT serve para KYC e AML?

Sim. OSINT e amplamente utilizado em processos de KYC e AML para verificar identidades, detectar PEPs, rastrear sancoes internacionais e identificar conexoes suspeitas. O BACEN e o COAF recomendam o uso de fontes abertas como parte dos procedimentos de compliance de instituicoes reguladas.

O Espectro gera relatorios de due diligence?

O Espectro consolida dados de mais de 200 fontes abertas em relatorios estruturados cobrindo verificacao cadastral, presenca digital, exposicao em vazamentos e conexoes entre entidades. Os planos Intermediario e Profissional incluem exportacao de relatorios e acesso via API para integracao com fluxos de compliance.

Quanto tempo leva uma due diligence com OSINT?

Uma due diligence manual pode levar de 4 a 8 horas por entidade. Com o Espectro, a coleta inicial em 200+ fontes leva menos de 2 minutos. A analise dos resultados, que exige julgamento humano, adiciona entre 1 e 3 horas dependendo do volume de red flags encontradas.

Conclusao

Due diligence que depende exclusivamente de documentos fornecidos pelo alvo e uma verificacao incompleta. Em um cenario onde o cibercrime movimenta US$ 10,5 trilhoes por ano e multas da LGPD chegam a R$ 50 milhoes, o custo de nao verificar supera de longe o investimento em OSINT.

Os 12 pontos deste checklist cobrem as tres dimensoes criticas: quem e a entidade (cadastral), o que ela mostra ao mundo (digital) e o que ela esconde (juridico e conexoes). Nenhum item isolado decide uma investigacao. E o cruzamento entre eles que revela a imagem completa.

Pronto para aplicar este checklist? Comece com o plano gratuito do Espectro e execute buscas automatizadas em mais de 200 fontes abertas. Os pontos 1, 2, 5, 6, 8 e 9 do checklist rodam em menos de 2 minutos. O restante exige sua analise, mas com os dados ja coletados, voce parte de uma base solida.

Leia também no blog Espectro: