OSINT para Due Diligence: O Checklist do Investigador (2026)

O risco de terceiros está crescendo mais rápido do que a maioria das organizações consegue acompanhar. Em 2025, 73% das organizações sofreram pelo menos uma interrupção significativa causada por um terceiro (Gartner, 2025). A due diligence tradicional, construída sobre documentos autodeclarados e referências selecionadas, não consegue acompanhar esse risco.

Para mais detalhes, veja verificações de antecedentes.

Jornalistas usam nosso checklist de due diligence para due diligence jornalística.

A inteligência de fontes abertas preenche essas lacunas. A due diligence com OSINT usa dados disponíveis publicamente para verificar de forma independente identidades, reputações, registros de litígios e conexões ocultas. Ela não depende daquilo que o investigado escolhe revelar. Ela depende do que já é público.

Construímos fluxos de OSINT que cruzam mais de 200 fontes abertas para investigações. Esse trabalho prático com empresas de fachada, parcerias ocultas e credenciais fabricadas moldou cada item deste checklist de 20 pontos. Este guia conduz você pela investigação de pessoas, investigação de empresas, sinais de alerta, conformidade legal e as ferramentas que tornam tudo isso prático.

Principais Conclusões

  • A due diligence com OSINT verifica de forma independente as alegações usando dados públicos, cobrindo pontos cegos que documentos autodeclarados deixam passar.
  • 73% das organizações sofreram interrupções de terceiros em 2025 (Gartner).
  • Este checklist imprimível de 20 itens cobre investigação de pessoas, investigação de empresas, sinais de alerta e conformidade.
  • Aplica-se a contratação, triagem de fornecedores, fusões e aquisições, e decisões de investimento.

O Que É Due Diligence com OSINT?

A due diligence com OSINT é a prática de usar informações disponíveis publicamente para verificar a identidade, reputação e perfil de risco de pessoas ou empresas antes de uma decisão de negócio. O mercado global de OSINT atingiu US$ 12,7 bilhões em 2025, com projeção de crescimento de 26,7% ao ano até 2035 (Global Market Insights, 2025). Esse crescimento reflete o quanto a verificação por fontes abertas se tornou central.

A due diligence tradicional depende de documentos que o investigado fornece: demonstrações financeiras, cartas de referência, certificações. O problema? Um agente mal-intencionado competente entrega exatamente o que você espera ver. Balanços impecáveis. Referências imaculadas. Um site bem polido.

O OSINT inverte o modelo de verificação. Em vez de revisar materiais selecionados, você coleta dados de forma independente a partir de fontes públicas: registros governamentais, bases de dados judiciais, registros de domínio, perfis de redes sociais, bases de dados de vazamentos e arquivos de notícias. O investigado não controla o que essas fontes dizem sobre ele.

Distinção fundamental: A due diligence tradicional pergunta: "A papelada está em ordem?" A due diligence com OSINT pergunta: "As evidências disponíveis publicamente sustentam ou contradizem o que essa entidade alega?" Ambas as perguntas importam. Nenhuma delas, sozinha, é suficiente.

Pense desta forma. Você contrataria alguém com base apenas em um currículo que a própria pessoa escreveu? Claro que não. Você verificaria as datas de emprego, checaria referências de forma independente e buscaria registros públicos. A due diligence com OSINT aplica essa mesma lógica a cada relação de negócio, de contratos com fornecedores a aquisições.

Quando Você Deve Realizar Due Diligence com OSINT?

O custo médio de uma violação de dados atingiu US$ 4,88 milhões globalmente em 2024, com as violações nos EUA atingindo uma média de US$ 9,36 milhões (IBM Cost of a Data Breach Report, 2024). Muitas dessas violações se originaram por meio de relações com terceiros. A due diligence com OSINT deve acontecer antes de cada compromisso de negócio significativo.

Contratação e recrutamento

A verificação de antecedentes com OSINT vai além das bases de dados de registros criminais. Você pode verificar credenciais alegadas, checar conflitos de interesse não declarados e avaliar como um candidato se representa publicamente. Para contratações de executivos, isso é especialmente crítico. Uma contratação de alto escalão com histórico de litígios não declarado ou cargos em conselhos fabricados cria um risco existencial.

Triagem de fornecedores e parceiros

A due diligence de fornecedor protege sua cadeia de suprimentos. Antes de integrar um novo fornecedor, verifique seu histórico operacional real, sinais de estabilidade financeira e reputação em plataformas de avaliação. Um fornecedor que alega ter dez anos de experiência, mas registrou seu domínio há oito semanas, merece escrutínio.

Fusões e aquisições

A due diligence de fusões e aquisições tradicionalmente foca em finanças e documentos legais. O OSINT adiciona uma camada digital: subsidiárias ocultas, transações não declaradas com partes relacionadas e riscos reputacionais que não aparecem nas demonstrações financeiras auditadas. Você já se perguntou o que os funcionários da empresa-alvo dizem no Glassdoor?

Decisões de investimento

Seja você uma firma de venture capital ou um investidor-anjo, o OSINT ajuda a verificar as alegações dos fundadores. Cheque se o perfil do fundador no LinkedIn corresponde aos registros públicos. Busque empreendimentos anteriores e seus resultados. Cruze parcerias alegadas com as próprias comunicações públicas do parceiro.

[IMAGE: Business professional reviewing digital investigation data on multiple screens - search terms: due diligence investigation digital analysis corporate]

Conformidade com KYC e AML

Instituições financeiras usam o KYC com OSINT para verificar identidades de clientes, fazer triagem de Pessoas Politicamente Expostas (PEPs) e monitorar listas de sanções. Os reguladores esperam cada vez mais a verificação por fontes abertas como parte dos programas de conformidade. Cobriremos isso em detalhes na seção de conformidade legal.

O Checklist de Due Diligence com OSINT de 20 Pontos

Em 2025, mais de 3.300 comprometimentos de dados foram registrados apenas nos EUA, um aumento de 79% em cinco anos (Identity Theft Resource Center, 2026). A superfície para investigação nunca foi tão grande. Este checklist imprimível organiza 20 pontos de verificação em quatro categorias.

Checklist Imprimível de Due Diligence com OSINT

A. Investigação de Pessoas (Itens 1-7)

  • Verifique o nome legal completo em registros governamentais e registros públicos
  • Execute uma busca reversa de e-mail em bases de dados de vazamentos e plataformas sociais
  • Valide a titularidade do número de telefone e o histórico de operadora
  • Busque o nome de usuário em mais de 200 plataformas em busca de contas vinculadas
  • Revise os perfis de redes sociais quanto à consistência com as alegações declaradas
  • Cheque registros judiciais por processos cíveis, criminais e regulatórios
  • Faça triagem em listas de sanções (OFAC, UE, ONU) e bases de dados de PEPs

B. Investigação de Empresas (Itens 8-14)

  • Confirme o registro corporativo, a situação e o histórico de declarações
  • Verifique a idade do domínio, os registros WHOIS e os detalhes do certificado SSL
  • Cruze diretores e administradores com declarações de outras entidades
  • Busque registros financeiros, ônus e pedidos de falência
  • Revise o histórico do Wayback Machine quanto à consistência do site
  • Analise avaliações de funcionários (Glassdoor, Indeed, Blind)
  • Cheque plataformas de reputação do consumidor (BBB, Trustpilot, Google Reviews)

C. Detecção de Sinais de Alerta (Itens 15-18)

  • Sinalize datas de registro de domínio que contradizem a idade alegada da empresa
  • Identifique endereços, telefones ou registrantes compartilhados entre entidades
  • Detecte exposição de e-mail corporativo em bases de dados de vazamentos
  • Busque em arquivos de notícias por ações regulatórias, alegações de fraude ou investigações

D. Conformidade e Documentação (Itens 19-20)

  • Documente todas as fontes, registros de data e hora, e a metodologia para defensabilidade legal
  • Verifique se o tratamento de dados atende ao GDPR, à LGPD ou às regulamentações de privacidade aplicáveis

Imprima este checklist ou salve-o como referência. Nem todo item se aplica a toda investigação. Para uma triagem de fornecedor, você pode priorizar os itens 8 a 14 e 15 a 18. Para a contratação de um executivo, os itens 1 a 7 são seu ponto de partida. A chave é a cobertura sistemática.

Como Investigar uma Pessoa com OSINT?

Há 5,24 bilhões de usuários de redes sociais no mundo no início de 2025, representando 63,9% da população global (DataReportal, 2025). As pessoas deixam rastros digitais extensos. A investigação de pessoas com OSINT segue esses rastros de forma sistemática.

Investigação de e-mail

Comece pelo endereço de e-mail do investigado. Uma busca reversa de e-mail pode revelar contas de redes sociais vinculadas, exposição em vazamentos, histórico de registro e, às vezes, nomes reais por trás de endereços anônimos. Cheque se o e-mail aparece em vazamentos de dados conhecidos. Um executivo cujo e-mail corporativo aparece em 12 bases de dados de vazamentos diferentes indica higiene de segurança fraca.

Não pare no e-mail principal. Busque variações: nome.sobrenome, inicial do primeiro nome + sobrenome, apelidos. As pessoas costumam manter contas separadas para propósitos diferentes. O e-mail profissional do LinkedIn pode estar limpo, mas um Gmail pessoal usado para cadastros em fóruns pode revelar muito mais.

Análise de número de telefone

Números de telefone se conectam a registros de operadora, aplicativos de mensagens e serviços de verificação de identidade. Uma busca reversa de telefone pode confirmar o nome do titular, identificar contas vinculadas (WhatsApp, Telegram, Signal) e revelar se o número é um descartável, uma linha VoIP ou uma conta legítima de operadora. Números VoIP usados como contatos comerciais principais podem sinalizar operações transitórias.

Rastreamento de nome de usuário

A maioria das pessoas reutiliza nomes de usuário entre plataformas. Se você encontrar o nome de usuário do investigado no GitHub, esse mesmo identificador pode existir no Reddit, no Twitter, em plataformas de jogos e em fóruns de nicho. O rastreamento de nome de usuário em mais de 200 plataformas pode construir uma imagem abrangente dos interesses, opiniões e associações de alguém que um currículo jamais menciona.

Revisão aprofundada de redes sociais

Vá além do resumo do perfil. Cheque o histórico de publicações, as conexões, as participações em grupos e as interações. A expertise alegada pelo investigado corresponde ao que ele discute publicamente? Ele está conectado a pessoas ou organizações que geram preocupações de conflito de interesse? A consistência nas redes sociais é um forte sinal de credibilidade.

Dica prática: Ao investigar uma pessoa, comece pelo identificador mais forte (geralmente o e-mail) e expanda a partir dele. Cada dado que você confirma fornece novos identificadores para buscar. É um círculo de verificação que se expande, não um checklist linear.

Como Investigar uma Empresa com OSINT?

As perdas com fraude corporativa atingiram US$ 3,1 bilhões nos casos analisados em 2024, com uma perda mediana de US$ 145.000 por caso (Association of Certified Fraud Examiners, 2024). A investigação de empresas por meio de OSINT capta riscos que auditorias financeiras e documentos autodeclarados deixam passar.

Domínio e infraestrutura web

O domínio é sua primeira parada. Cheque os registros WHOIS quanto à data de registro, detalhes do registrante e configuração de servidores de nomes. Compare a idade do domínio com a data de fundação alegada pela empresa. Uma suposta empresa de 15 anos operando em um domínio registrado há três meses é um sinal de alerta que você não pode se dar ao luxo de ignorar.

Use o Wayback Machine para revisar capturas históricas do site da empresa. O site existiu continuamente ou apareceu de repente? Grandes mudanças inexplicadas na marca, nos serviços oferecidos ou na descrição da empresa podem indicar mudanças de propriedade ou pivôs que merecem investigação.

Registro corporativo e diretores

Verifique a situação legal da empresa no registro corporativo pertinente. Nos EUA, isso é a Secretaria de Estado do estado de incorporação. No Brasil, é a Receita Federal para registros de CNPJ. No Reino Unido, a Companies House oferece acesso gratuito. Cheque se a entidade está ativa, quando foi constituída e quem são os diretores atuais.

Cruze diretores e administradores com outras declarações corporativas. Um diretor que aparece em 40 registros de empresas diferentes em cinco jurisdições não é necessariamente fraudulento, mas exige explicação. Ele é um diretor nomeado profissional? Um empreendedor serial? Ou alguém que empresta seu nome a empresas de fachada?

Indicadores financeiros e declarações públicas

Registros financeiros publicamente declarados, registros de ônus e registros de falência fornecem sinais objetivos de saúde financeira. Busque registros UCC, ônus fiscais e registros de sentenças. Para empresas de capital aberto, as declarações da SEC (10-K, 10-Q) estão disponíveis pelo EDGAR. Para empresas privadas, agências de crédito e buscas em registros públicos oferecem visibilidade parcial.

Cobertura: Due Diligence Tradicional vs OSINT Identidade Financeiro Rastro Digital Conexões Exposição a Vazamentos Tradicional OSINT Comparação de cobertura relativa baseada na análise do framework de due diligence
O OSINT se destaca em rastro digital, conexões e exposição a vazamentos, áreas em que os métodos tradicionais têm pontos cegos.

Análise de reputação e avaliações

As plataformas voltadas ao consumidor mostram o que os clientes reais da empresa vivenciam. Cheque o Better Business Bureau, o Trustpilot, o Google Reviews e plataformas específicas do setor. Uma avaliação negativa é ruído. Um padrão de reclamações sobre não entrega, quebras de contrato ou disputas de cobrança é um sinal que vale a pena investigar mais a fundo.

As avaliações de funcionários no Glassdoor e no Indeed oferecem uma perspectiva interna. Sinais de alta rotatividade, reclamações sobre a ética da gestão ou relatos de salários não pagos podem indicar instabilidade operacional que os documentos financeiros não revelam. O que as pessoas que trabalham lá realmente dizem sobre trabalhar lá?

Quais Sinais de Alerta Você Deve Observar?

A fraude ocupacional leva, em média, 12 meses para ser detectada, segundo o Report to the Nations de 2024 da ACFE (ACFE, 2024). A due diligence com OSINT pode comprimir drasticamente essa janela de detecção. Aqui estão os sinais de alerta que investigadores experientes priorizam.

Sinais de alerta de identidade e registro

Sinais de alerta digitais e reputacionais

Sinais de alerta legais e financeiros

A regra da ausência: Não procure apenas por achados negativos. A ausência completa de rastro digital é, por si só, um sinal de alerta. Empresas legítimas que operam há anos deixam rastros: avaliações, menções em redes sociais, cobertura jornalística, páginas web arquivadas. Quando você não encontra nada, pergunte por quê.

Quais Ferramentas Apoiam a Due Diligence com OSINT?

Nenhuma ferramenta isolada cobre todos os aspectos de uma investigação de due diligence. Com mais de 14,6 bilhões de registros expostos em vazamentos de dados durante 2024 (IT Governance, 2025), você precisa de um ecossistema de ferramentas de verificação. Veja como organizar seu conjunto de ferramentas por função.

Categoria Ferramentas O Que Revelam
Domínio e Web WHOIS, Wayback Machine, crt.sh, Shodan Idade do domínio, histórico de registro, certificados SSL, infraestrutura exposta
Exposição a Vazamentos Have I Been Pwned, DeHashed, módulo de vazamentos da espectrosint Credenciais comprometidas, frequência de vazamentos, tipos de dados expostos
Registro Corporativo OpenCorporates, SEC EDGAR, Companies House, portais das Secretarias de Estado Situação legal, diretores, histórico de declarações, entidades relacionadas
Registros Judiciais PACER, CourtListener, portais de tribunais estaduais Litígios cíveis, registros criminais, ações regulatórias
Sanções e PEP Lista SDN da OFAC, Sanções da UE, Lista Consolidada da ONU Entidades sancionadas, status de PEP, contrapartes restritas
Social e Reputação LinkedIn, Glassdoor, BBB, Trustpilot, Google Reviews Sentimento dos funcionários, experiência do cliente, reputação pública
OSINT Consolidado espectrosint, Maltego, SpiderFoot Busca entre fontes, vinculação de entidades, coleta automatizada

O desafio não é encontrar ferramentas. É a eficiência. Verificar manualmente 15 plataformas diferentes para uma única entidade leva horas. É aqui que as plataformas consolidadas agregam mais valor, ao automatizar a fase de coleta para que os analistas possam se concentrar na interpretação e no julgamento.

Como a espectrosint se Encaixa nos Fluxos de Due Diligence?

Organizações que usam IA extensivamente em segurança economizaram US$ 2,22 milhões por violação em comparação com aquelas que não usaram (IBM, 2024). A automação não substitui o julgamento do analista. Ela elimina as horas gastas na coleta manual de dados, liberando os investigadores para focar no que importa: interpretar achados e tomar decisões.

A espectrosint busca em mais de 200 fontes abertas com uma única consulta. Insira um e-mail, número de telefone, nome de usuário, domínio ou identificador de empresa. A plataforma retorna resultados estruturados organizados por fonte, com registros de data e hora e links diretos para os dados originais. Os itens 1 a 5, 8 a 10 e 15 a 17 do checklist acima rodam automaticamente.

Os itens restantes, particularmente a interpretação de sinais de alerta (itens 15-18) e a documentação de conformidade (itens 19-20), exigem análise humana. A espectrosint fornece os dados brutos. Você fornece o julgamento. Essa divisão de trabalho é intencional. A coleta automatizada com análise humana produz os resultados mais confiáveis.

Automatize seu fluxo de due diligence: Busque pessoas e empresas em mais de 200 fontes em segundos. Comece com uma conta gratuita da espectrosint e execute sua primeira investigação hoje.

As multas do GDPR totalizaram mais de 2,1 bilhões de euros de 2018 a 2024 (GDPR Enforcement Tracker, 2025). A conformidade legal não é opcional. A due diligence com OSINT é legal quando conduzida corretamente, mas "disponível publicamente" não significa "vale tudo".

Considerações sobre o GDPR

Sob o GDPR, o Artigo 6(1)(f) permite o tratamento de dados com base no legítimo interesse. A due diligence para proteção do negócio se qualifica. No entanto, você deve realizar uma avaliação de legítimo interesse, aplicar o princípio da proporcionalidade (não colete mais dados do que o necessário) e estar preparado para responder a solicitações de acesso do titular dos dados.

Os dados de categoria especial sob o Artigo 9, que incluem informações de saúde, opiniões políticas e dados biométricos, exigem base legal adicional mesmo quando disponíveis publicamente. Se as redes sociais públicas de alguém revelarem condições de saúde ou afiliações políticas, você precisa avaliar se o tratamento desses dados é proporcional ao seu propósito de due diligence.

Considerações sobre a LGPD

A LGPD do Brasil, sob o Artigo 7(IX), permite explicitamente o tratamento de dados tornados manifestamente públicos pelo titular. Isso fornece uma base legal relativamente clara para a due diligence com OSINT usando informações publicadas publicamente. A restrição-chave: o tratamento ainda deve respeitar as legítimas expectativas do titular dos dados e o contexto original da publicação.

Boas práticas para defensabilidade legal

[IMAGE: Legal compliance document with GDPR and privacy regulations - search terms: data privacy compliance legal document regulation]

Perguntas Frequentes

A due diligence com OSINT substitui as verificações de antecedentes tradicionais?

Não. O OSINT complementa as verificações tradicionais ao adicionar uma camada de verificação digital. Os métodos tradicionais examinam demonstrações financeiras e referências fornecidas pelo investigado. O OSINT verifica de forma independente alegações de identidade, presença online, exposição a vazamentos e conexões ocultas usando dados disponíveis publicamente. Os programas de due diligence mais fortes combinam ambas as abordagens.

Quanto tempo leva uma investigação de due diligence com OSINT?

Uma investigação manual de OSINT normalmente leva de 4 a 8 horas por entidade. Plataformas automatizadas reduzem a coleta inicial de dados em mais de 200 fontes para menos de 2 minutos. A fase de análise, que exige julgamento humano, adiciona de 1 a 3 horas dependendo do volume e da gravidade dos achados. Investigações complexas de fusões e aquisições com múltiplas entidades relacionadas podem levar significativamente mais tempo.

A due diligence com OSINT é legal sob o GDPR e a LGPD?

Sim, quando conduzida corretamente. O OSINT depende de informações disponíveis publicamente. O Artigo 6(1)(f) do GDPR permite o tratamento sob legítimo interesse, e o Artigo 7(IX) da LGPD permite o tratamento de dados manifestamente públicos. Você deve documentar sua metodologia, aplicar a proporcionalidade e tratar dados de categoria especial com cuidado adicional. Consulte assessoria jurídica para investigações transfronteiriças.

Quais são os sinais de alerta mais comuns na due diligence com OSINT?

Datas de registro de domínio contradizendo a idade alegada da empresa, e-mails corporativos em múltiplas bases de dados de vazamentos, diretores vinculados a dezenas de entidades não relacionadas, incompatibilidades entre a receita declarada e o rastro digital real, e padrões de litígio envolvendo fraude ou violações regulatórias. A ausência de qualquer rastro digital para empresas supostamente estabelecidas é igualmente preocupante.

O OSINT pode ser usado para conformidade com KYC e AML?

Sim. Reguladores financeiros, incluindo o FinCEN e a Autoridade Bancária Europeia, recomendam a inteligência de fontes abertas como parte da due diligence de clientes. O OSINT ajuda a verificar identidades, fazer triagem de PEPs, checar listas de sanções e identificar conexões suspeitas entre entidades que o monitoramento de transações sozinho deixaria passar.

Quais ferramentas eu preciso para a due diligence com OSINT?

Um conjunto completo de ferramentas inclui busca WHOIS para domínios, Have I Been Pwned para verificações de vazamentos, bases de dados de registros judiciais (PACER, portais estaduais), registros corporativos (OpenCorporates, SEC EDGAR), bases de dados de sanções (OFAC, UE) e ferramentas de análise de redes sociais. Plataformas consolidadas como a espectrosint combinam mais de 200 fontes em uma única busca, reduzindo a troca manual de ferramentas.

Conclusão

A due diligence que depende apenas de documentos fornecidos pelo investigado é incompleta por concepção. Em um cenário em que o crime cibernético global custa US$ 10,5 trilhões anualmente (Statista, 2025) e as violações de terceiros afetam 73% das organizações, a verificação independente não é opcional. É uma habilidade de sobrevivência empresarial.

Os 20 itens deste checklist cobrem quatro dimensões críticas: quem a pessoa é (identidade), o que a empresa mostra ao mundo (presença digital), o que os registros públicos revelam (legal e financeiro) e o que está faltando (sinais de alerta). Nenhum item isolado decide uma investigação. É o cruzamento entre eles que constrói o quadro completo.

Pronto para aplicar este checklist? Comece com uma conta gratuita da espectrosint e busque pessoas e empresas em mais de 200 fontes abertas. A coleta automatizada cuida da reunião de dados que consome tempo. Você foca em interpretar os resultados e tomar decisões.