QuickUse Generator

Gerador de CPF (test-only)

CPFs com formato válido para QA, fixtures de teste e dados seed. Algoritmo módulo 11 da Receita Federal. 100% client-side — nada sai do navegador.

cpfApenas para fins de teste

Os CPFs gerados aqui seguem o formato válido da Receita Federal mas NÃO são CPFs reais cadastrados. Use para QA, fixtures de teste e dados seed — nunca para transações ou identificação real.

Usar identificadores falsos para fins fraudulentos é crime federal no Brasil (Art. 299 do Código Penal — falsidade ideológica).

Modo
Opções de geração
Entre 1 e 50.
CPFs gerados
Ajuste quantidade ou região para gerar.

11 dígitos · Formatado XXX.XXX.XXX-XX

Guia editorial

Sobre este gerador

Leitura técnica honesta sobre o que está acontecendo por trás do botão Gerar.

O CPF — Cadastro de Pessoas Físicas — é o identificador fiscal do contribuinte brasileiro. Onze dígitos, dois deles verificadores, um deles indicando a região fiscal onde o documento foi emitido pela primeira vez. Todo adulto no Brasil tem um, todo estrangeiro com obrigação fiscal local também, e todo formulário brasileiro mais cedo ou mais tarde vai pedir o número. Este gerador produz CPFs com formato válido apenas para testes e dados seed — eles passam pelo módulo 11 mas não existem na base da Receita Federal.

O que é o CPF, oficialmente

O CPF nasceu em 1965 pelo Art. 11 da Lei nº 4.862 sob o nome Registro de Pessoas Físicas e foi definitivamente instituído pelo Decreto-Lei nº 401, de 30 de dezembro de 1968. A administração é da Receita Federal. Cada inscrição é um número de onze dígitos, escrito convencionalmente como XXX.XXX.XXX-XX — pontos separando os três primeiros grupos de três dígitos e um traço antes dos dois dígitos verificadores finais.

Desde a sanção da Lei nº 14.534/2023, o CPF também é o número único de registro nacional — substituindo os antigos RGs estaduais na nova Carteira de Identidade Nacional (CIN). O prazo de migração vai até fevereiro de 2032, mas o formato do CPF em si permanece o mesmo.

Anatomia: nove dígitos base mais dois verificadores

Os nove primeiros dígitos formam a base. O 9º dígito acumula o papel de marcador da região fiscal (detalhes mais abaixo). O 10º e o 11º são checksums calculados sobre os dígitos anteriores usando o esquema ponderado módulo 11 — o mesmo que a Receita Federal reaproveita em CNPJ, PIS/PASEP e outros identificadores oficiais.

Os verificadores pegam erro de digitação — basta trocar dois dígitos de posição na base e os checksums quase certamente deixam de bater. Mas não pegam fraude deliberada, porque qualquer pessoa que conheça o algoritmo consegue forjar um CPF com formato válido. É exatamente o que este gerador faz, e exatamente por isso todo CPF gerado aqui vem acompanhado do aviso test-only.

O algoritmo módulo 11, passo a passo

Para o primeiro verificador d₁₀: multiplique cada um dos nove dígitos da base pelos pesos [10, 9, 8, 7, 6, 5, 4, 3, 2] na ordem, some os produtos, tire o resto da divisão por 11. Se o resto for 0 ou 1, o dígito é 0. Caso contrário, é 11 − resto. Para o segundo verificador d₁₁, repita com os dez dígitos já conhecidos (base + d₁₀) e os pesos [11, 10, 9, 8, 7, 6, 5, 4, 3, 2].

A escolha do 11 não é arbitrária. O número 11 é primo, então o espaço de restos (0 a 10) não colapsa sob multiplicação — isso dá ao esquema propriedades de detecção de erro mais fortes do que um módulo 10 daria. O mesmo padrão de ponderação aparece em CNPJ e outros documentos brasileiros, formando uma família coerente de identificadores fiscais.

Uma sutileza importante: CPFs com todos os onze dígitos iguais — 00000000000, 11111111111, …, 99999999999 — satisfazem a matemática do módulo 11 por coincidência, mas a Receita Federal os exclui explicitamente. É o caso clássico de algoritmo que passa em validador ingênuo e é rejeitado na porta do banco ou do KYC. Este gerador filtra esses casos.

As dez regiões fiscais codificadas no 9º dígito

A Receita Federal divide o Brasil em dez regiões fiscais para fins administrativos, e o 9º dígito do CPF (índice 8) carrega o código da região onde o titular fez o primeiro cadastro. A correspondência é canônica e estável desde a unificação do sistema:

  • 0 — Rio Grande do Sul
  • 1 — Distrito Federal, Goiás, Mato Grosso, Mato Grosso do Sul, Tocantins
  • 2 — Acre, Amazonas, Amapá, Pará, Rondônia, Roraima
  • 3 — Ceará, Maranhão, Piauí
  • 4 — Alagoas, Paraíba, Pernambuco, Rio Grande do Norte
  • 5 — Bahia, Sergipe
  • 6 — Minas Gerais
  • 7 — Espírito Santo, Rio de Janeiro
  • 8 — São Paulo
  • 9 — Paraná, Santa Catarina

O código é imutável: quem se cadastrou no Rio em 1985 e mudou para Florianópolis em 2010 continua com CPF de 9º dígito 7. Para fluxos de teste que dependem da região — heurísticas antifraude, geografia de entrega, precificação regional — este gerador permite fixar uma região específica por CPF, recomputando os verificadores para manter o módulo 11 íntegro.

Ética test-only: gerar não é a mesma coisa que falsificar

Gerar CPFs com formato válido para fixtures de QA, testes de integração e dados seed é prática padrão no desenvolvimento de software no Brasil. Os principais guias de boas práticas, inclusive os guias oficiais do Governo Digital sobre LGPD, recomendam expressamente o uso de CPFs sintéticos em ambientes não-produtivos em vez de dados reais — privacy by design começa no fixture.

Usar um CPF gerado para assumir a identidade de outra pessoa, abrir conta sob identidade falsa, declarar à Receita ou passar por KYC sob pretensão falsa é falsidade ideológica — Art. 299 do Código Penal — com pena de 1 a 5 anos de reclusão e multa quando o documento é público (1 a 3 anos quando privado). É o limite jurídico, não uma interpretação. A Receita Federal não disponibiliza API pública de consulta de CPF; se você precisa verificar um CPF real, o titular precisa consentir e você precisa usar um provedor KYC regulado (consultar Bacen + ANPD para a sua aplicação específica).

CPF e LGPD: classificação e cuidados

A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) classifica o CPF como dado pessoal no Art. 5º, inciso I. Não é dado sensível no sentido técnico da lei (que reserva esse status para origem racial, convicção religiosa, biometria, saúde, vida sexual etc.), mas o risco prático é alto: o CPF é chave forte de cruzamento entre bases fiscais, financeiras e de crédito. A ANPD (Autoridade Nacional de Proteção de Dados) já fiscalizou vazamentos massivos envolvendo CPF — o caso Serasa de 2021 expôs dados de mais de 220 milhões de pessoas e gerou recomendações técnicas específicas.

Trate CPF como chave primária sensível, não descarte. Hash ou tokenize antes de logar; minimize armazenamento; nunca envie em texto claro por e-mail. Este gerador roda 100% no navegador. Nenhum CPF — gerado ou validado — é transmitido a servidor algum. A implementação usa crypto.getRandomValues com rejection sampling para os nove dígitos da base, o mesmo primitivo Web Crypto que o navegador usa para gerar chaves TLS. Entradas recentes (apenas configurações, nunca os valores gerados) ficam no localStorage local e podem ser limpas a qualquer momento.

Casos de uso onde este gerador entrega valor

Três padrões aparecem repetidamente. Primeiro, popular um banco de desenvolvimento com cinquenta clientes plausíveis em um clique — seletor de quantidade, copiar todos, próximo. Segundo, validar um formulário que aceita CPF formatado e cru — cole, veja o veredito ao vivo, embarque. Terceiro, exercitar um backend region-aware fixando o 9º dígito e confirmando que o code path certo é chamado. Os três fluxos substituem o atalho comum-mas-ilegal de usar seu próprio CPF em testes de produção.

Perguntas frequentes

Os CPFs gerados aqui são reais?

Não. Todo CPF produzido por esta ferramenta passa pelo algoritmo módulo 11 usado pela Receita Federal, que é exatamente o que os torna úteis para fixtures de QA e testes de integração — não vão ser rejeitados por um validador de formato bem implementado. Mas eles não estão cadastrados na base da Receita Federal e não pertencem a nenhuma pessoa real. Usar um CPF gerado como se fosse real e tentar assumir a identidade de outra pessoa é falsidade ideológica (Art. 299 do Código Penal), com pena de 1 a 5 anos de reclusão para documento público.

Posso usar estes CPFs para abrir conta em serviços reais brasileiros?

Não. Bancos, serviços financeiros e portais de governo brasileiros tipicamente não checam apenas formato — eles cruzam direto com a base da Receita Federal. Um CPF de formato válido mas que não está no cadastro falha no segundo check. Além da rejeição técnica, tentar burlar o KYC com CPF falso configura crime federal no Brasil. O caso de uso legal é fechado: testar seu próprio software, popular seu próprio banco de desenvolvimento, treinar sua própria lógica de validação.

Como a Receita Federal verifica um CPF de verdade?

Em duas camadas. Primeiro, o checksum módulo 11 — o que este gerador emite corretamente. Segundo, consulta direta à base do cadastro. A Receita não disponibiliza API pública de consulta; provedores KYC regulados (Serasa, SPC, bureaus licenciados pelo Bacen) consomem os dados via contratos formais. Serviços públicos como a página "Comprovante de Situação Cadastral" exigem consentimento explícito do titular (data de nascimento, nome da mãe) antes de devolver o status.

O que o 9º dígito do CPF realmente significa?

Ele codifica a região fiscal da Receita Federal onde o titular fez o primeiro cadastro. Existem 10 regiões (dígitos 0 a 9) cobrindo os 26 estados e o Distrito Federal. A região 8 é São Paulo sozinha, a região 6 é Minas Gerais sozinha, as demais são agrupamentos multi-estado. A codificação é imutável — mudar de estado não altera seu CPF — então o 9º dígito reflete o cadastro histórico, não a residência atual. O mapeamento completo está na seção editorial acima.

Por que CPFs como 11111111111 são considerados inválidos?

Matematicamente eles satisfazem o checksum módulo 11 (a soma ponderada se cancela simetricamente), mas a Receita Federal exclui explicitamente, por política, todos os CPFs com dígitos repetidos. A razão é operacional: esses números são os "fáceis de lembrar" historicamente usados por fraudadores, e excluí-los elimina um vetor de ataque comum. Qualquer validador de CPF profissional (e este gerador) filtra esses casos como regra dura.

A reforma do CPF de 2023 mudou o formato?

Não. A Lei nº 14.534/2023 promoveu o CPF a número único de registro nacional — a nova Carteira de Identidade Nacional (CIN) usa o CPF como identificador, substituindo os RGs estaduais antigos. Mas o formato de onze dígitos, o algoritmo módulo 11 e a codificação da região fiscal continuam idênticos. O prazo para migração para a CIN vai até fevereiro de 2032; CPFs existentes seguem inalterados.

Por que o gerador usa crypto.getRandomValues e não Math.random?

Duas razões. Primeiro, é o padrão do projeto — todo primitivo aleatório neste produto usa Web Crypto com rejection sampling para evitar bias de módulo. Segundo, mesmo para dados de teste, usar CSPRNG é uma melhoria sem custo que impede alguém de fazer engenharia reversa da seed e prever saídas futuras a partir de uma amostra. Se você está populando uma demo pública com CPFs gerados, não quer que um curioso consiga enumerar todo o espaço de saída.

Onde está o código-fonte do algoritmo?

A implementação vive em lib/_shared/validators/cpf.ts neste repositório (open source). O algoritmo em si está descrito na documentação da Receita Federal e é também conteúdo de qualquer disciplina introdutória de matemática discreta em curso de Ciência da Computação no Brasil — é infraestrutura matemática conhecida e pequena, não segredo industrial. A seção "Fontes e referências" abaixo lista os documentos canônicos.