A rápida evolução da inteligência artificial (IA) trouxe consigo um paradoxo alarmante: ao mesmo tempo em que impulsiona avanços tecnológicos notáveis, abre portas para novas e sofisticadas modalidades de fraude digital. Ferramentas de IA generativa, como o ChatGPT, que se popularizaram por sua capacidade de criar textos e imagens originais, estão sendo desviadas de seus propósitos legítimos para gerar malwares, esquemas de phishing e falsificações hiper-realistas.
Recentemente tivemos o caso em que fraudadores exploraram ferramentas de inteligência artificial como a da OpenAI para disseminar mensagens de spam altamente personalizadas, atingindo cerca de 80 mil sites com uma falsa oferta de serviços de SEO. Os textos adaptados ao conteúdo de cada site permitiam aos criminosos contornar filtros de segurança e captchas, aumentando significativamente o alcance e a efetividade do golpe. A OpenAI desativou a chave de API (Interface de Programação de Aplicações, em tradução livre – um conjunto de regras e protocolos que permite que diferentes softwares se comuniquem e troquem informações) envolvida e iniciou uma investigação sobre o incidente.
Esse fenômeno, apelidado de “FraudeGPT”, exemplifica como modelos avançados de linguagem e visão podem ser explorados por criminosos para automatizar e ampliar golpes virtuais. A prática desafia as tecnologias de segurança existentes e compromete a confiança na identidade digital, mesmo diante dos controles de segurança e privacidade que vêm sendo continuamente implementados nessas plataformas. O atual cenário demonstra uma possível crise de identidade digital, cujos impactos se estendem do indivíduo à sociedade como um todo. Vítimas de roubo de identidade ou golpes habilitados por IA sofrem prejuízos financeiros diretos, perdem acesso a serviços e enfrentam longos processos para restaurar sua identidade e reputação.
Segundo o Relatório de Identidade e Fraude 2025, divulgado pela Serasa Experian, 51% dos brasileiros foram vítimas de alguma fraude no ano passado. Dentre eles, 54,2% sofreram prejuízos financeiros decorrentes desse crime.
Biometria facial 2D: vulnerabilidades e limitações
A autenticação biométrica facial, amplamente adotada em dispositivos móveis, apresenta limitações estruturais que comprometem sua eficácia em contextos que exigem alto nível de segurança. A maioria dos smartphones realiza o reconhecimento facial com base em imagens 2D, sem utilizar mapeamento de profundidade em 3D. Isso resulta em uma captura menos detalhada da face do usuário, o que torna o sistema significativamente mais suscetível a ataques de spoofing — técnica em que um fraudador simula ou falsifica a identidade de um indivíduo para enganar sistemas de autenticação.
Mesmo quando aliada a mecanismos adicionais de detecção de vivacidade (liveness detection) baseados em IA, como a análise de piscadelas ou pequenos movimentos faciais, muitos programas têm falhado diante de falsificações sofisticadas. Fotos, vídeos ou máscaras podem facilmente enganar esses sistemas quando injetadas corretamente através do dispositivo do fraudador, expondo os usuários a fraudes.
A escalada da sofisticação de fraudes e a necessidade de novas defesas
Com a evolução das tecnologias de fraude, criminosos têm empregado IA generativa para criar falsificações cada vez mais convincentes, frequentemente superando as contramedidas de segurança existentes.
Técnicas como o deepfake permitem a criação de vídeos e imagens falsas altamente realistas, capazes de simular identidades visuais e vocais com precisão, muitas vezes superando mecanismos tradicionais de segurança. Paralelamente, os chamados ataques de metamorfose utilizam a manipulação de traços faciais para gerar imagens híbridas, dificultando a detecção por sistemas antifraude baseados em reconhecimento facial.
Esse cenário se torna ainda mais preocupante com a expansão do modelo de Fraude como Serviço (FaaS), no qual ferramentas e recursos utilizados em golpes são comercializados em fóruns, comunidades criminosas e na dark web. Essa dinâmica facilita o acesso a técnicas sofisticadas, permitindo que até mesmo usuários inexperientes executem ataques complexos com relativa facilidade. Um exemplo alarmante foi o caso da plataforma OnlyFake, que vendeu documentos falsos criados por IA, capazes de burlar processos de verificação de identidade (KYC – sigla para “conheça seu cliente”, em inglês), evidenciando a vulnerabilidade dos sistemas de autenticação e a urgência por soluções mais robustas e adaptadas à nova realidade tecnológica.
Este caso OnlyFake demonstra que protocolos KYC tradicionais, baseados em envio de foto do documento e selfie do usuário, podem não ser mais suficientes diante da IA generativa. A existência da plataforma à luz do dia indica que tais ferramentas podem se proliferar, tornando a fraude de identidade um serviço acessível e aumentando drasticamente o volume de tentativas de golpes.
As defesas baseadas em IA, por sua vez, têm dificuldade em acompanhar esse arsenal em rápida mutação. Deepfakes de última geração já incorporam movimentos realistas e até respondem a comandos, tornando defasadas técnicas que antes eram eficazes, como solicitar ao usuário que se mova para provar que não é um vídeo gravado.
Para combater a escalada da fraude, é necessário aprimorar a segurança das plataformas de IA oficiais para dificultar derivações maliciosas, infiltrar e desmantelar os mercados clandestinos de FaaS. Tecnologia avançada será o único caminho para combater um sistema cada vez mais explorado por organizações criminosas com acessos a inteligência de ponta.
A urgência da proteção contínua, contextual e baseada em dados
Os modelos atuais de KYC, que se concentram na verificação inicial da identidade do cliente, estão sendo colocados à prova como nunca. Com fraudadores capazes de contornar facilmente essas verificações iniciais através da injeção de imagens e vídeos, a biometria facial e a conferência documental podem perder sua eficiência rapidamente – um alto risco em um mercado onde majoritariamente a proteção é baseada na biometria facial.
Torna-se evidente a urgência de soluções mais robustas, capazes de entender todo o contexto do cliente e o monitoramento contínuo das sessões — incluindo o comportamento do usuário ao longo do tempo, seu perfil transacional, dispositivos utilizados, redes de acesso, localização, entre outros fatores. Por meio de algoritmos de machine learning e políticas de risco, é possível desenvolver jornadas adaptativas que equilibram a experiência do cliente, privacidade de dados e segurança. Essas soluções identificam, em tempo real, padrões anômalos ou comportamentos de risco com base no contexto do usuário, permitindo respostas mais precisas e a aplicação de uma camada dinâmica de segurança – inclusive a identificação de golpes em tempo real para proteção dos clientes, uma epidemia no Brasil e que gera prejuízos enormes aos brasileiros.
O uso combinado de dados com a biometria comportamental é uma das estratégias mais eficazes para garantir segurança e privacidade com a melhor experiência. Essa abordagem permite identificar padrões únicos de comportamento, como a forma de digitar, movimentar o mouse ou interagir com dispositivos, criando uma camada adicional de proteção que vai além das tradicionais. Aliada ao uso de machine learning e à análise intensiva de dados, essa tecnologia permite adaptar dinamicamente o nível de segurança durante a jornada do cliente. Com base no comportamento detectado, é possível aumentar o nível de atrito quando necessário — por exemplo, solicitando verificações adicionais — ou, em situações de baixo risco, permitir uma autenticação fluida e discreta.
Essa flexibilidade é essencial para equilibrar segurança e usabilidade, adaptando-se ao contexto de cada interação. Por exemplo, diante de comportamentos suspeitos ou que fogem do padrão habitual do usuário, o sistema pode exigir camadas adicionais de autenticação — como reconhecimento facial, aplicativos autenticadores ou outros métodos de maior rigor. Trata-se de uma abordagem dinâmica e baseada em risco, que reduz a exposição a fraudes sem comprometer a experiência do usuário legítimo, poupando-o de etapas desnecessariamente intrusivas em contextos de baixo risco. O resultado é uma solução inteligente, adaptável e centrada no usuário, capaz de equilibrar segurança e conveniência de forma eficaz frente aos desafios crescentes da era digital.
Em síntese, a migração para sistemas inteligentes e robustos baseados em dados não é mais opcional, mas inevitável na perspectiva de muitos profissionais de prevenção a fraudes, sob risco de os modelos atuais “quebrarem” completamente em face dos ataques modernos.Para combater essa escalada, novas contramedidas precisam ser continuamente desenvolvidas e implementadas em diversos sistemas. Investir em algoritmos que possam integrar sinais de deepfake por IA, injeção de câmeras e combinar a biometria comportamental para elevar a barreira são algumas das abordagens urgentes.
Cassiano Cavalcanti
Fonte: TI INSIDE Online - Leia mais
