Deepfake

Nos últimos anos, deepfake tornou-se um dos termos mais preocupantes tanto na cibersegurança quanto na gestão de identidade digital. Derivado de “deep learning” e “fake”, o termo se refere a conteúdos sintéticos –imagens, vídeos ou áudios– criados ou manipulados por meio de inteligência artificial para parecerem autênticos. Os deepfakes podem imitar o rosto, a voz ou o comportamento de uma pessoa com tamanha precisão que até profissionais experientes ou ferramentas avançadas de detecção têm dificuldade para distingui-los de conteúdos reais.

O que é um deepfake?

Um deepfake é um conteúdo gerado por inteligência artificial que substitui a aparência ou a voz de uma pessoa pela de outra utilizando redes neurais. Ao ser treinado com grandes volumes de dados de expressões faciais, padrões de fala e movimentos, esse tipo de modelo é capaz de produzir falsificações hiper-realistas. Embora os deepfakes tenham ganhado notoriedade inicialmente no entretenimento e nas redes sociais, rapidamente se tornaram uma ameaça relevante para instituições e empresas –especialmente no setor financeiro– (veja o guia da JuicyScore sobre fraude impulsionada por IA generativa para mais informações).

A tecnologia de deepfake vai muito além das simples trocas de rosto em vídeo. Deepfakes de áudio podem simular de forma convincente a voz de um CEO para autorizar uma transferência fraudulenta. Deepfakes visuais podem falsificar documentos de identidade ou chamadas de vídeo em tempo real durante processos de onboarding digital. E deepfakes de texto –gerados por grandes modelos de linguagem– podem reproduzir estilos de escrita ou de comunicação usados em ataques de engenharia social.

Por que os deepfakes importam para as instituições financeiras

Para bancos, fintechs, seguradoras e credores, a fraude via deepfake representa uma nova dimensão do risco digital. Os sistemas tradicionais de detecção de fraude baseiam-se em verificações estáticas –como validação de documentos ou correspondência biométrica–, mas os deepfakes exploram justamente essas camadas. Um vídeo sintético pode enganar o reconhecimento facial. Uma voz clonada pode burlar a verificação em centrais de atendimento. Um documento de identidade alterado digitalmente pode passar por verificações KYC de baixa qualidade.

Esse tipo de fraude, muitas vezes combinado com account takeover, identidade sintética ou esquemas de falsificação, mina a confiança em larga escala. Enfraquece a credibilidade do onboarding digital e desafia as instituições a verificar quem realmente está por trás de uma transação.

Como detectar e prevenir a fraude com deepfake

Prevenir a fraude com deepfake exige uma abordagem adaptável e em múltiplas camadas, que vá além da superfície do conteúdo. Em vez de focar apenas em sinais visuais ou de áudio, as instituições líderes estão recorrendo à inteligência de dispositivos e à análise comportamental para detectar anomalias invisíveis ao olho humano.

Sinais em nível de dispositivo –como a consistência do hardware, padrões de acesso remoto e indicadores de virtualização– revelam se uma sessão digital está sendo conduzida a partir de um dispositivo real ou de um ambiente sintético e manipulado. Combinados com behavioral scoring, esses insights podem revelar ataques baseados em deepfake muito antes de chegarem à etapa de transação.

A tecnologia da JuicyScore, por exemplo, ajuda organizações financeiras a identificar correlações sutis entre o comportamento do dispositivo e a intenção do usuário. Ao analisar centenas de parâmetros não pessoais –incluindo integridade do dispositivo, aleatoriedade e contexto de acesso–, as empresas conseguem fortalecer seus processos de autenticação sem depender de dados biométricos que podem ser facilmente falsificados ou roubados.

Caso real: o golpe de deepfake da Arup

Em maio de 2024, o Financial Times um dos casos mais emblemáticos de fraude com deepfake. O grupo britânico de engenharia Arup perdeu aproximadamente US$ 25 milhões (HK$ 200 milhões) depois que criminosos utilizaram uma versão digitalmente clonada de seu diretor financeiro para instruir transferências durante uma videoconferência falsa em Hong Kong.

Segundo a polícia local, um funcionário recebeu uma mensagem aparentemente legítima do CFO do escritório do Reino Unido sobre uma transação confidencial. Ele então participou de uma chamada de vídeo que incluía supostos colegas e o próprio CFO —todos eles eram, na verdade, deepfakes gerados por IA—. Durante a reunião, o funcionário realizou 15 transferências para cinco contas bancárias locais, totalizando milhões de dólares.

O avanço da tecnologia de deepfake deixa claro que a verificação humana, por si só, já não é suficiente. Os sistemas de prevenção de fraude precisam evoluir para avaliações contínuas e baseadas em contexto, capazes de detectar não apenas quem está falando ou aparecendo, mas como isso está sendo feito –por meio da pegada digital, dos sinais de confiança do dispositivo e da consistência comportamental–.

O futuro da detecção de deepfakes

À medida que a inteligência artificial generativa se torna mais acessível, a linha entre o real e o sintético tende a se tornar cada vez mais tênue. Para as instituições financeiras, isso significa integrar a detecção de deepfakes diretamente em suas estruturas de risco e conformidade. Não se trata apenas de tecnologia, mas também de políticas, capacitação e confiança do cliente.

Construir resiliência digital requer testes contínuos dos controles antifraude, validação cruzada das fontes de dados e sistemas de scoring adaptativos que evoluam com cada novo padrão detectado. Em essência, as instituições que conseguirem combinar inteligência orientada por dados com princípios éticos de inteligência artificial estarão mais bem posicionadas para enfrentar a era dos deepfakes –protegendo tanto seus usuários quanto sua reputação.