IA transforma fraude em operação automatizada, barata e em larga escala
A rápida evolução da inteligência artificial está mudando profundamente o cenário da fraude digital. De acordo com o relatório “O Estado da Identidade 2026”, da Prove Identity, tecnologias de IA e, sobretudo, de IA generativa, permitiram que quadrilhas criminosas transformassem a fraude em uma “linha de produção”: automatizada, escalável e com custo operacional cada vez menor.
O estudo mostra um dado alarmante: usuários conseguem identificar corretamente vídeos deepfake em apenas 40% dos casos. Isso significa que, na maioria das vezes, conteúdos falsos com voz e imagem manipuladas passam despercebidos, minando a confiança em um dos mecanismos mais intuitivos de verificação de identidade – o reconhecimento visual. A checagem “a olho nu” deixou de ser um filtro confiável.
Desde 2022, cerca de 2,2 bilhões de identidades digitais foram expostas em vazamentos ao redor do mundo. Esse gigantesco volume de dados pessoais roubados serve como combustível para ferramentas de IA generativa, que conseguem cruzar informações, gerar documentos falsos, simular padrões de escrita e até reproduzir estilos de comunicação de vítimas legítimas. Com isso, o poder de ataque dos fraudadores cresce de forma exponencial.
O relatório também revela que 76% das empresas registraram aumento no volume de ataques nos últimos anos. Não é apenas uma questão de quantidade: 69% das organizações afirmam enfrentar ameaças muito mais sofisticadas, em especial ligadas à engenharia social. Golpes antes baseados em mensagens mal escritas ou contatos suspeitos agora utilizam IA para criar interações quase perfeitas, com linguagem convincente, personalização e alto grau de persuasão.
Apesar da clara escalada do risco, o nível de preparo ainda é baixo. Embora 88% das companhias esperem crescimento nas fraudes potencializadas por IA generativa nos próximos dois anos, 65% ainda não possuem um plano de defesa abrangente para esse novo cenário. Ou seja: a maioria sabe que o problema vai piorar, mas não está estruturada para enfrentá-lo.
No setor financeiro, o alerta é ainda mais crítico. Cerca de 75% das instituições projetam que a sofisticação das fraudes documentais apoiadas por IA deverá impactar diretamente os processos de onboarding digital já nos próximos 12 meses. Simulações de documentos, provas de vida falsas e perfis digitais sintéticos tendem a colocar em xeque os modelos tradicionais de abertura de conta e concessão de crédito.
Outro ponto sensível é a eficácia do MFA (autenticação multifator) tradicional. Segundo o levantamento, 62% das empresas já perceberam que métodos clássicos de MFA vêm sendo burlados por meio de phishing e engenharia social. Códigos de SMS, tokens e senhas de uso único, que antes eram considerados camadas adicionais robustas, estão sendo explorados e enganados com apoio de scripts automatizados e ataques em tempo real.
A verificação baseada apenas em “segredos compartilhados” (como senhas, perguntas de segurança ou códigos únicos) ou na biometria facial isolada já não é suficiente. A IA generativa consegue imitar com alto grau de fidelidade aparência, voz e até microexpressões humanas, além de reproduzir comportamentos típicos de navegação ou digitação. Isso eleva o risco de fraudes em qualquer sistema que dependa desses fatores isolados como prova definitiva de identidade.
O relatório expõe outro ponto crítico: 68% das empresas não monitoram de forma adequada o que ocorre depois que o usuário faz login. Em outras palavras, a maioria das organizações continua focada apenas no momento da autenticação inicial, deixando sem supervisão comportamentos posteriores que poderiam indicar um sequestro de sessão, o uso de credenciais roubadas ou ações incompatíveis com o histórico do usuário. Essa lacuna reforça a urgência de implementar mecanismos de autenticação e validação contínuas ao longo de toda a jornada digital.
Para Andrea Rufino, Marketing Manager LATAM da Prove Identity, o foco da proteção precisa migrar da simples checagem do usuário “na porta” para a integridade dos dados relacionados ao número de telefone, ao dispositivo utilizado e a sinais de rede invisíveis ao usuário, mas rastreáveis em tempo real. Esses sinais silenciosos – como padrões de conexão, mudanças bruscas de localização, anomalias no uso do dispositivo ou do número – tornam mais difícil a vida dos fraudadores, pois exigem que eles reproduzam não apenas a identidade, mas também o contexto de uso legítimo.
Segundo a executiva, modernizar a gestão de identidade não é apenas uma exigência de segurança, mas também uma oportunidade estratégica. Ao adotar tecnologias capazes de validar identidades e transações em milissegundos, com baixa fricção para o usuário legítimo, as empresas conseguem transformar a segurança de um centro de custo para um diferencial competitivo. Organizações que aprovam rapidamente operações genuínas enquanto bloqueiam, de forma inteligente, tentativas suspeitas, tendem a ganhar em fidelização, redução de chargeback e aumento de receita.
Por que a fraude ficou tão barata e escalável com IA?
A combinação de dados vazados, ferramentas de IA generativa e kits de crime-as-a-service criou um “ecossistema industrial” do crime digital. Hoje, mesmo golpistas com baixo conhecimento técnico conseguem:
– Comprar bases de dados roubados na darknet;
– Utilizar modelos de IA para gerar textos, e-mails e mensagens altamente persuasivos em diversos idiomas;
– Criar deepfakes de voz ou vídeo para enganar centrais de atendimento e processos de verificação;
– Automatizar abordagens em massa, testando diferentes scripts até encontrar o mais eficiente.
Esse modelo reduz drasticamente o custo por tentativa de fraude e permite testar milhares de ataques simultâneos, filtrando automaticamente os que dão resultado. É a lógica do marketing digital aplicada ao crime, com segmentação, testes A/B e automação, porém impulsionada por IA.
MFA tradicional em xeque: o que mudou?
Se antes bastava pedir um SMS com código ou um token gerado por aplicativo, hoje esses métodos são facilmente explorados. Fraudes como o “MFA fatigue” (bombardeio de solicitações de autenticação até a vítima aceitar uma delas) e o uso de proxies em tempo real, que capturam códigos digitados pelo usuário em páginas falsas, se popularizaram. Sistemas de telefonia também são manipulados com troca ilícita de SIM, desvio de chamadas e clonagem.
A IA torna esses golpes ainda mais convincentes: ela pode escrever roteiros que imitam o atendimento do próprio banco, gerar áudios com voz semelhante à de um atendente real e adaptar respostas conforme as reações da vítima. Sem uma abordagem baseada em múltiplos sinais de contexto – e não apenas no “algo que você sabe” ou “algo que você possui” – o MFA se torna vulnerável.
Autenticação contínua: do login à última ação
Um dos principais pontos de evolução é abandonar a ideia de segurança como “evento pontual” (o login) e tratá-la como um processo contínuo. A autenticação contínua observa:
– Como o usuário navega pela aplicação;
– Se o padrão de dispositivo, IP ou localização muda repentinamente;
– Se há tentativas de ações incomuns, como aumentar limites, alterar e-mail de recuperação ou cadastrar novos dispositivos de pagamento;
– Se a velocidade e a sequência de cliques são compatíveis com o uso humano ou sugerem automação.
Com base nisso, é possível elevar dinamicamente o nível de segurança: exigir uma checagem adicional quando há suspeita, reduzir a necessidade de passos extras quando o risco é baixo e, em casos extremos, bloquear a sessão instantaneamente.
Identidade moderna como motor de negócios
A visão de que segurança “atrapalha” a experiência do cliente está cada vez mais ultrapassada. As empresas que investem em soluções de identidade modernas conseguem:
– Aprovar mais rapidamente clientes legítimos, reduzindo abandono em cadastros e processos de abertura de conta;
– Diminuir falsos positivos, evitando negar transações seguras por excesso de rigidez;
– Personalizar níveis de verificação conforme o perfil e histórico de cada usuário;
– Reduzir perdas financeiras com fraudes e chargebacks, melhorando margens de lucro.
Na prática, isso significa transformar o sistema de identidade em uma engrenagem central da estratégia digital, e não em um simples filtro de acesso. Quem conseguir equilibrar segurança forte com conveniência alta terá vantagem competitiva clara em setores como bancos, varejo online, telecomunicações, saúde e serviços digitais em geral.
Como as organizações podem se preparar melhor
Diante desse cenário, algumas linhas de ação se tornam essenciais:
1. Rever a dependência de MFA tradicional isolado
É preciso complementar fatores clássicos com sinais de contexto, dados de dispositivo, reputação do número de telefone, análise de comportamento e mecanismos anti-phishing.
2. Adotar monitoramento pós-login
A jornada do usuário deve ser acompanhada do início ao fim, com análise contínua de risco, detecção de anomalias e políticas dinâmicas de autenticação.
3. Investir em educação contra engenharia social
Tecnologia sozinha não resolve. Treinar equipes internas e orientar clientes sobre golpes baseados em IA, deepfakes e abordagens muito personalizadas é parte crítica da defesa.
4. Modernizar a governança de identidade
Unificar visão de identidade em diferentes canais (app, web, telefone, atendimento presencial) reduz brechas exploradas por fraudadores que testam o elo mais fraco.
5. Utilizar IA também na defesa
A mesma tecnologia que fortalece os criminosos pode ser usada para detê-los. Modelos avançados de detecção de fraude, alimentados por grandes volumes de dados e atualizados em tempo real, são cada vez mais necessários.
O papel estratégico das lideranças de segurança
Para que essa transformação aconteça, é fundamental que CISOs, líderes de risco e executivos de negócios conversem na mesma linguagem. O tema identidade não pode ficar restrito a times técnicos: precisa entrar na pauta de estratégia, inovação e experiência do cliente. Investimentos em plataformas modernas de identidade, orquestração de autenticação e análise de risco em tempo real devem ser avaliados não apenas pelo custo, mas pelo impacto em crescimento, fidelização e redução de perdas.
Em um ambiente em que a IA tornou a fraude industrial, automatizada e barata, ficar apenas na defesa reativa significa aceitar desvantagem permanente. Empresas que enxergarem a identidade digital como ativo central e alavanca de negócios estarão mais bem posicionadas para competir – e sobreviver – na próxima onda de ameaças impulsionadas por inteligência artificial.