Por que os credores dos EUA não podem depender dos PII: o papel da inteligência de dispositivos

Em 2024, os consumidores norte-americanos relataram mais de US$ 12,5 bilhões em perdas por fraude à Federal Trade Commission (FTC). As perdas reais provavelmente são ainda maiores, devido à subnotificação crônica de incidentes de fraude digital.

No fim de 2024, os credores dos Estados Unidos enfrentavam uma exposição recorde de US$ 3,3 bilhões relacionada à fraude de identidade sintética — abrangendo financiamentos de veículos, cartões de crédito bancários e de varejo, além de empréstimos pessoais sem garantia. A Deloitte projeta que o problema poderá gerar pelo menos US$ 23 bilhões em perdas até 2030.

Diante desse contexto, uma pergunta surge com frequência nas minhas conversas com credores em todo o país: até que ponto podemos avançar na prevenção de fraudes confiando mais na inteligência de dispositivos? Minha resposta é: muito mais do que se pensa. Os dados pessoais continuam sendo importantes, mas o verdadeiro progresso vem de fortalecer a avaliação de risco com informações baseadas em dispositivos e focadas na privacidade.

O ponto cego dos EUA: a dependência excessiva dos PII

Muitos credores norte-americanos ainda consideram os dados de dispositivos e de comportamento como algo secundário — um complemento opcional às informações “reais” fornecidas por bureaus de crédito, operadoras de telecomunicação ou provedores externos de dados.

A pressão é ainda maior entre credores digitais e de médio porte: grandes demais para revisões manuais, mas pequenos demais para investir em uma infraestrutura antifraude personalizada. No entanto, essa visão ignora o ponto central. Fraudadores conseguem reunir informações de identificação pessoal (PII) suficientes para parecerem legítimos — inclusive apresentando documentos ou contas verificadas.

A questão essencial não é se o cliente “parece real” no papel, mas se os rastros digitais por trás da solicitação pertencem a um indivíduo autêntico e consistente. E é exatamente aí que os dados de dispositivos oferecem uma resposta simples e eficaz.

Por que a fraude de identidade sintética passa despercebida

A fraude de identidade sintética explora de forma especialmente eficaz os sistemas baseados em PII. Ao combinar identificadores autênticos com atributos falsos, esses perfis conseguem burlar os mecanismos tradicionais de verificação.

Na prática, candidatos sintéticos parecem estáveis à primeira vista: passam nas verificações de bureaus, recebem aprovações e até constroem um histórico positivo antes de desaparecer com altos valores inadimplentes. Como essas identidades são parcialmente reais, as perdas se tornam mais difíceis de rastrear e contestar.

Os modelos tradicionais de scoring, mesmo aqueles reforçados com dados de terceiros baseados em PII, não foram projetados para detectar esse tipo de engano. O que falta a eles é a camada de comportamento digital e consistência em nível de dispositivo — fraudadores podem falsificar documentos, mas não o DNA digital.

Por que os dispositivos devem ser tratados como dados primários

Nos mercados emergentes, as filosofias de crédito evoluíram de maneira diferente — moldadas pela necessidade, não pela abundância. Em países como Índia e Brasil, onde a cobertura dos bureaus de crédito ainda é parcial, vemos credores confiando cada vez mais em dados de dispositivos, comportamento e rede como uma camada essencial de confiança no ambiente digital e avaliação de risco. Os modelos de decisão foram obrigados a evoluir desde o início em torno de sinais não baseados em PII. Inteligência de dispositivos, análise comportamental e indicadores contextuais de risco não são “diferenciais” — são elementos centrais da avaliação de risco.

A inteligência em nível de dispositivo oferece essa estabilidade: uma camada de dados independente de identificadores pessoais e resistente à manipulação. Cada interação — a configuração do navegador, os padrões de login, as sutis diferenças nos atributos de conexão — cria uma impressão digital muito mais difícil de falsificar. Esses sinais são estáveis ao longo do tempo, resistentes à manipulação e independentes dos PII.

Privacidade e conformidade: por que a mudança é inevitável

A regulamentação está acelerando a transição para uma prevenção de fraudes centrada na privacidade.Regulamentos globais como o GDPR da União Europeia, a DPDP Act da Índia e a LGPD do Brasil já restringem o uso de identificadores pessoais. Os Estados Unidos seguem o mesmo caminho: embora ainda não exista uma lei federal de privacidade, legislações estaduais — como a CCPA, a CPRA e normas semelhantes no Colorado, Virgínia e Connecticut — estão estabelecendo novos padrões. Além disso, propostas federais estão em discussão, e os órgãos reguladores vêm ampliando a fiscalização sobre como credores, fintechs e corretores de dados tratam as informações dos consumidores.

Paralelamente, os padrões do setor também evoluem. O Shared Signals Framework (SSF) da OpenID Foundation define métodos para compartilhar eventos de segurança entre organizações sem expor PII — refletindo a evolução para uma inteligência orientada por sinais e telemetria, que sustenta os sistemas modernos de detecção de fraude por dispositivos.

Para as instituições financeiras, essa convergência entre regulamentação e inovação transforma a proteção de dados em uma necessidade estratégica. A inteligência de dispositivos centrada na privacidade oferece um caminho escalável: permite avaliar riscos sem a necessidade de processar identificadores pessoais. Os modelos da JuicyScore utilizam mais de 65 mil sinais técnicos e comportamentais — da configuração do dispositivo e qualidade da conexão à consistência comportamental — para criar um ID de dispositivo estável e um perfil de risco dinâmico.

Nenhum desses sinais identifica o usuário pessoalmente, mas juntos fornecem informações precisas, compatíveis e preparadas para o futuro, em conformidade com as leis globais de privacidade.

Lições da prática global

Como parte de uma mudança global em direção a avaliações de risco privacy-by-design, os modelos da JuicyScore operacionalizam inteligência não baseada em PII em grande escala — em mais de 45 mercados.

Os clientes que integram o scoring de dispositivo e comportamento relatam uma detecção de fraude mais precisa e menos falsos positivos, sem comprometer a conformidade. Isso é alcançado por meio da correlação entre padrões de dispositivo e comportamento — sem coletar nem armazenar identificadores sensíveis.

Por exemplo, um credor digital de médio porte nos EUA percebe um aumento de inadimplências associadas a perfis sintéticos, embora os modelos baseados em bureaus não mostrem anomalias. Ao aplicar a inteligência de dispositivos da JuicyScore, o panorama muda: identificam-se grupos de solicitações originadas da mesma infraestrutura de dispositivos, com anomalias semelhantes de conexão e padrões de comportamento aleatórios, porém artificiais. Esses sinais expõem a dimensão da fraude e permitem ao credor ajustar suas regras de decisão.

O resultado não é apenas a redução das perdas, mas também maiores taxas de aprovação para clientes genuínos — já que a segmentação de risco passa a se basear no comportamento autêntico do dispositivo, e não apenas nos PII.

Do complementar ao essencial

O setor de crédito dos Estados Unidos está em um ponto de inflexão. As taxas de inadimplência estão crescendo — e uma parte significativa está diretamente ligada a atividades fraudulentas. As identidades sintéticas continuam em ascensão, e a confiança do consumidor se deteriora gradualmente. Tratar os dados de dispositivos e de comportamento como algo secundário já não é viável: eles precisam se tornar um elemento central da avaliação moderna de risco.

O risco é alto demais para deixar os dados de dispositivos à margem.

Conclusão

A fraude nos Estados Unidos não é apenas uma perda financeira — é uma erosão sistêmica da confiança. A fraude de identidade sintética evidencia os limites das defesas baseadas em PII — e a necessidade de uma camada mais profunda e resiliente de inteligência.

Para os credores, o próximo passo é claro: transformar a inteligência de dispositivos e comportamento na base, não em um detalhe. Essa mudança é possível e necessária — e quem a adotar estará mais preparado para a realidade digital da próxima década.

Agende uma demo com a equipe da JuicyScore para descobrir como nossas soluções podem fortalecer a prevenção de fraudes, aprimorar a tomada de decisões e proteger seu portfólio.