Se algo foge do padrão, novas camadas de autenticação podem ser acionadas antes que uma operação seja concluída Quase 1,5 milhão de tentativas de fraude de identidade foram registradas no Brasil no primeiro trimestre de 2026 - uma a cada cinco segundos. Se todas tivessem sido bem-sucedidas, poderiam ter causado prejuízos de R$ 1,98 bilhão. O dado da Serasa Experian ajuda a explicar por que, mesmo após anos de investimentos em tecnologia, os bancos brasileiros continuam ampliando seus gastos com segurança digital. Segundo a Pesquisa Febraban de Tecnologia Bancária, desenvolvida pela Deloitte, o setor deve investir R$ 50,4 bilhões em tecnologia neste ano, alta de 8% em relação a 2025 e de 58% em cinco anos. Esse aporte acompanha uma mudança mais profunda. Há alguns anos, os ataques buscavam explorar falhas em infraestrutura e agora o principal objetivo é convencer a própria vítima a abrir a porta para o golpe. “Antes, os investimentos estavam mais concentrados em controles e respostas a incidentes. Hoje vemos uma estratégia mais integrada, que combina prevenção, detecção e resposta”, afirma Sergio Biagini, sócio-líder da indústria de banking e capital markets da Deloitte. Na avaliação do Banco Central, a digitalização reduziu crimes tradicionais, como ataques a agências e carros-fortes, mas abriu espaço para tentativas cada vez mais sofisticadas de exploração de falhas tecnológicas e, principalmente, do comportamento humano. Para Felipe Tambelini, diretor de prevenção a fraudes do Itaú Unibanco, o fortalecimento dos sistemas elevou as barreiras técnicas e empurrou os criminosos para outro caminho. “Os sistemas tornaram-se extremamente robustos. Como consequência, as organizações criminosas passaram a direcionar seus esforços para os golpes, nos quais a principal vulnerabilidade explorada é o comportamento humano”, diz. Os episódios mais frequentes seguem um roteiro semelhante: o criminoso se passa por funcionário do banco, gerente ou advogado e cria uma situação de urgência para induzir a vítima a fazer um Pix, fornecer dados ou autorizar uma operação. Também se multiplicam páginas falsas de comércio eletrônico, mensagens por WhatsApp, links de phishing e falsas oportunidades de investimento. O principal objetivo dos criminosos hoje é convencer a vítima a abrir a porta para o golpe No Bradesco, o golpe da falsa central é hoje o de maior incidência. “Por isso, o banco investe em estratégias de interação com o cliente, como comunicações preventivas e alertas no próprio aplicativo”, diz Cristiano Gomes de Moura, diretor de segurança corporativa da instituição. A tendência, porém, é que esses ataques se tornem ainda mais convincentes. A Serasa Experian observa o avanço da IA generativa, das identidades sintéticas - que combinam dados reais e falsos - e do chamado “fraud as a service”, modelo em que ferramentas, roteiros e grupos especializados profissionalizam o crime digital. Apenas no primeiro trimestre deste ano, a empresa identificou mais de 19 milhões de mensagens associadas a golpes e quase 2 mil grupos dedicados à esse tipo de conteúdo. “O fraudador brasileiro é muito tecnológico, trabalha em escala e testa continuamente novas brechas”, afirma Eric Dhaese, vice-presidente de autenticação e prevenção a fraude da Serasa Experian. Nesse contexto, ganharam espaço tecnologias como inteligência artificial, biometria comportamental e autenticação baseada em risco. Os sistemas analisam, em tempo real, variáveis como dispositivo utilizado, localização, horário, forma de uso do celular e histórico das transações. Se algo foge do padrão, novas camadas de autenticação podem ser acionadas antes que um Pix ou outra operação seja concluída. “Essas tecnologias permitem identificar padrões suspeitos em tempo real e bloquear transações indevidas antes que causem prejuízo”, afirma Ivo Mósca, diretor de inovação, produtos e segurança da Febraban. Os bancos têm incorporado esses recursos em soluções cada vez mais discretas para o usuário. No Itaú Unibanco, por exemplo, o “modo protegido” utiliza informações como geolocalização e contexto de acesso para reforçar a segurança, enquanto o “alerta pix” sinaliza operações com indícios de risco antes da confirmação da transferência. No Bradesco, sistemas analisam continuamente o perfil de uso, a integridade do dispositivo e o contexto da operação. Em situações suspeitas, o aplicativo pode exibir alertas ao cliente - inclusive quando detecta que ele está acessando a conta durante uma ligação telefônica, comportamento frequentemente associado ao golpe da falsa central. A lógica é reduzir perdas sem transformar cada operação em um processo burocrático. “Durante muitos anos protegemos identidades. Agora, precisamos proteger comportamentos”, resume Thiago Cunha, vice-presidente de segurança e prevenção a crimes financeiros da Dock. Para Doug Storf, presidente da Abbaas (Associação Brasileira de Banking as a Service), o endurecimento regulatório elevou o padrão de segurança das instituições, mas a principal vulnerabilidade continua fora dos sistemas. “O elo mais fraco na segurança ainda são as pessoas”, afirma.
Banco mira comportamentos, não só blindagem de sistemas
Se algo foge do padrão, novas camadas de autenticação podem ser acionadas antes que uma operação seja concluída








