Desde o boom das criptomoedas e a digitalização massiva dos serviços financeiros, o mercado tem testemunhado uma evolução sombria e silenciosa. Se por volta de 2017 os golpes mais comuns orbitavam em torno de pirâmides financeiras rudimentares e promessas irreais de lucro fácil, hoje o cenário é drasticamente mais sofisticado. A criminalidade digital abandonou as táticas amadoras e abraçou tecnologias de ponta, tornando o roubo de identidade e a clonagem de carteiras virtuais operações altamente complexas.
Para entender como as empresas de tecnologia estão se armando contra essa nova geração de cibercriminosos, o Livecoins conversou com Julia Monteiro, representante da Veriff, uma gigante estoniana especializada em verificação de identidade com atuação global. Em uma análise profunda sobre o estado atual da segurança cibernética, Julia desconstruiu o conceito tradicional de “Conheça Seu Cliente” (KYC – Know Your Customer) e revelou os bastidores de uma verdadeira guerra invisível: a Inteligência Artificial de defesa contra a Inteligência Artificial de ataque.
Ameaça dos deepfakes
A digitalização trouxe inegáveis benefícios para a sociedade. Hoje, é perfeitamente possível e corriqueiro que um cidadão no interior do Ceará abra uma conta em uma fintech sediada em São Paulo ou acesse uma corretora de criptomoedas internacional em questão de minutos. No entanto, a descentralização e a democratização do acesso a serviços financeiros abriram, simultaneamente, portas gigantescas para novos negócios e para atores mal-intencionados.
O grande vilão contemporâneo tem nome e já faz parte do vocabulário popular: os deepfakes. O que antes exigia laboratórios de computação avançada e orçamentos milionários, hoje pode ser feito no quarto de qualquer golpista com acesso à internet. Sobre essa democratização do crime, Julia Monteiro é categórica:
“O advento da inteligência artificial, ela é uma preocupação pra gente há muitos anos, mesmo agora que ela ficou mais democrática, que está mais na mídia, a questão do deep fake, porque você pode gerar de fake em casa, é muito fácil”.
Segundo a especialista, a grande dificuldade atual é o avanço impressionante das técnicas utilizadas para esconder que uma mídia foi manipulada. Os algoritmos de geração de imagem e vídeo estão tão avançados que o olho humano já não é mais capaz de distinguir a realidade da ficção. Como exemplo da audácia e da qualidade técnica dessas fraudes, Julia citou casos recentes e peculiares que inundaram a internet: desde um vídeo hiper-realista de um canguru sendo embarcado em um aeroporto com passaporte, até golpes extremamente bem elaborados simulando o presidente dos Correios do Brasil em um site falso, exigindo pagamentos para a liberação de encomendas.
A percepção de que a tecnologia atingiu um ponto de inflexão perigoso é compartilhada por profissionais da área de Tecnologia da Informação. Há poucos anos, as ferramentas de manipulação facial geravam imagens borradas, dentes assimétricos e artefatos visuais óbvios — servindo muito mais para brincadeiras em redes sociais (como os filtros de envelhecimento no Facebook) do que para fraudes institucionais. Hoje, os fraudadores utilizam deepfakes para forjar entrevistas de emprego com falsos departamentos de Recursos Humanos e até mesmo para aplicar golpes multimilionários, como o emblemático caso em Hong Kong, onde funcionários transferiram 100 milhões de dólares após participarem de uma videoconferência com uma diretoria inteiramente forjada por IA.
IA contra IA
Se o olho nu foi derrotado, como as empresas de verificação de identidade conseguem barrar essas tentativas? A resposta, de acordo com a Veriff, está nos dados invisíveis. “É IA contra IA, inteligência artificial brigando com a inteligência artificial”, disse Julia.
A detecção de fraudes modernas vai muito além de olhar para uma foto e tentar encontrar falhas de renderização. O processo envolve a análise simultânea de milhares de variáveis ligadas aos metadados da mídia enviada e às características intrínsecas do dispositivo de entrada. Antes mesmo de avaliar se o rosto na tela pertence a uma pessoa viva, o algoritmo varre o ecossistema do usuário em busca de sinais de alerta: o aparelho possui jailbreak? A conexão de internet está roteada por uma rede VoIP suspeita ou uma VPN mascarando a localização real? O endereço IP e o ID do dispositivo (Device ID) têm histórico de atividades criminosas?.
Ao conectar as características do dispositivo com a biometria facial capturada, a plataforma consegue isolar ameaças em sua raiz. Mas a genialidade da detecção antifraude reside na observação de anomalias sensoriais que a Inteligência Artificial invasora frequentemente “esquece” de emular com perfeição.
A especialista da Veriff revelou detalhes sobre o funcionamento do motor de regras. Por exemplo, a compreensão de que uma imagem verdadeira possui profundidade 3D, em oposição a uma projeção 2D de um deepfake de baixa qualidade. O alinhamento sonoro também é crítico: o algoritmo verifica o lip sync (a sincronia labial microscópica entre o som emitido e o movimento da boca). O próprio silêncio pode denunciar um crime. Como a prova de vida exige a gravação de um vídeo, o sistema captura o áudio ambiente. A ausência total e absoluta de ruído de fundo é considerada um fortíssimo indicador de que a mídia foi gerada artificialmente em um ambiente virtual estéril: “Imagina que a ausência de som é um sinal de fraude”, explica Julia.
Talvez o exemplo mais emblemático do cruzamento entre hardware e biometria citado na entrevista envolva o uso do giroscópio do aparelho celular. Imagine um fraudador tentando injetar um vídeo perfeitamente renderizado de um rosto humano, com voz sincronizada e iluminação impecável. O sistema de defesa da Veriff analisa os sensores físicos do dispositivo no momento exato da suposta gravação:
“Você tá pegando um celular na mão, você tá contando pro seu rosto, parece que tudo tem profundidade, você tem som, você tem uma voz, você tem um lipsink que tá bem apurado, mas o giroscópio do celular não se mexe. Como assim? […] Não tem toque em tela. […] Por isso que eu reforço aqui uma boa parte da detecção de deep fake está na origem do dado”.
Apesar do forte apoio tecnológico, a Veriff entende que a Inteligência Artificial, de forma isolada, não é autossuficiente. A máquina precisa de direcionamento humano. Para isso, a empresa conta com especialistas de verificação — profissionais altamente treinados que revisam verificações complexas e alimentam o sistema com inputs manuais, ensinando o algoritmo com seus próprios erros e refinando continuamente a acurácia da ferramenta. Como resume Julia: “A IA sem humano, ela sem um prompt, que que ela faz? Nada”.
A Guerra fria digital
Engana-se quem pensa que as empresas de cibersegurança apenas reagem aos ataques. Existe uma postura proativa, similar a uma agência de inteligência governamental. A Veriff mantém profissionais infiltrados na Deep Web e em grupos obscuros do Telegram para monitorar as conversas de fraudadores, antecipar o lançamento de novas ferramentas criminosas e atualizar seus mecanismos de defesa em tempo real.
Ainda assim, a engenharia social e a falha humana continuam sendo calcanhares de Aquiles. Muitos golpes ocorrem não por falhas tecnológicas na ponta da empresa, mas porque os usuários são coagidos ou manipulados emocionalmente. Um criminoso pode ligar para uma vítima usando um deepfake de voz, fingir ser do suporte técnico e induzir a pessoa a fornecer senhas, códigos de autenticação em duas etapas (2FA) e realizar os procedimentos de biometria para autorizar transferências espúrias. Há também situações críticas de segurança corporativa, onde funcionários de corretoras e instituições financeiras vendem dados privilegiados para golpistas, permitindo que eles simulem localizações geográficas através de VPNs específicas.
Para combater esse cenári, a Veriff aposta em um conceito fundamental: a “fricção inteligente”.
Por muito tempo, a verificação de identidade foi sinônimo de “fricção burra”. Aquele processo frustrante onde o usuário genuíno tenta tirar uma selfie cinco vezes e é rejeitado repetidamente porque o algoritmo interpretou mal um reflexo no óculos, o uso de um boné, a iluminação do quarto ou o crescimento da barba. Esse excesso de rigor cego afasta bons clientes e destrói as taxas de conversão de qualquer plataforma.
A fricção inteligente atua de maneira diametralmente oposta. Em vez de impor barreiras intransponíveis logo na entrada ou bloquear sumariamente um usuário por uma atividade minimamente atípica, o sistema injeta obstáculos cirúrgicos baseados no risco momentâneo. Se um usuário tenta esvaziar abruptamente o saldo de sua carteira digital de criptomoedas — um comportamento clássico de roubo de contas —, a plataforma exige uma autenticação biométrica com prova de vida em tempo real antes de liberar o saque.
Essa estratégia, além de impedir o roubo de recursos, serve como proteção jurídica implacável. Se o usuário estiver agindo em conluio com golpistas (fornecendo acesso intencionalmente para depois alegar invasão), a biometria exigida no momento do saque servirá como prova incontestável de que o titular da conta estava presente e autorizou a operação. Em muitos casos, a simples exigência da biometria faz com que o fraudador abandone a operação imediatamente.
Um caso de sucesso prático do uso da fricção inteligente relatado por Julia envolveu a Uber, cliente da Veriff. A plataforma de mobilidade não sofria tanto com golpistas tentando criar novas contas, mas sim com o “aluguel” ou venda de contas legítimas. Motoristas aprovados repassavam seus perfis para pessoas inaptas ou com histórico criminal operarem na plataforma. A solução adotada não foi banir os aparelhos aleatoriamente, mas inserir validações biométricas aleatórias e dinâmicas durante a jornada de trabalho. Se o motorista estiver no meio do dia e falhar no reconhecimento facial instantâneo exigido pelo aplicativo, a conta é bloqueada sumariamente, garantindo a segurança contínua dos passageiros.
Paradigma da jornada do usuário
Ao longo da entrevista, Julia Monteiro fez questão de desconstruir o jargão mais comum da sua indústria. Para ela, o termo KYC (Know Your Customer) é inadequado, pois transmite a falsa sensação de que a verificação de identidade é um evento único e pontual — um “pedágio” que o usuário paga no momento de abrir a conta apenas para satisfazer a Receita Federal.
“Eu não gosto de falar KYC porque o KYC ele dá uma sensação de que é uma verificação pontual, mas quando a gente fala de fraude, a gente tem que falar de jornada […] Eu tenho que proteger a minha empresa contra comportamento”.
A segurança não termina, portanto, no onboarding. Ela começa ali. A tecnologia da Veriff mapeia o comportamento contínuo dos usuários dentro de uma vastíssima rede. Através de uma tecnologia proprietária chamada Cross Links, a empresa transforma rostos, dispositivos e documentos em hashes criptografados (códigos alfanuméricos irreversíveis, garantindo total conformidade com leis globais de proteção de dados como a GDPR europeia).
Esses hashes permitem que a Veriff identifique padrões de comportamento suspeitos de forma anônima, porém rastreável. A plataforma consegue detectar, por exemplo, se dois CPFs diferentes estão abrindo contas sequencialmente utilizando o mesmo exato aparelho celular físico. A IA percebe as conexões invisíveis na jornada: “Por que que dois usuários estão compartilhando dispositivo? Faz sentido para uma carteira de cripto compartilhar dispositivo?”, questiona a especialista.
ulia revelou que, hoje, a Veriff já reconhece a biometria ou o rastro digital de 1 a cada 4 pessoas (cerca de 25%) que passam por seu sistema em todo o mundo, graças à abrangência de seus clientes, que incluem governos, companhias aéreas, bancos e grandes casas de apostas. Quando um fraudador contumaz tenta entrar em uma nova plataforma associada à Veriff, o sistema já o reconhece no background. A estratégia é tão refinada que, muitas vezes, a Veriff permite que o criminoso termine o seu cadastro, dando-lhe uma falsa sensação de sucesso. Simultaneamente, nos bastidores, o sistema já bloqueou o indivíduo no algoritmo e enviou um alerta silencioso e categorizado para o banco ou corretora: “Conheça esse cara como fraudador”.
A preocupação com a segurança e com vazamentos de dados se estende aos processos internos da própria fornecedora. O backoffice de operações da Veriff trabalha de forma presencial ininterrupta, sendo terminantemente proibido o formato home office para evitar o trânsito de equipamentos sensíveis fora das fronteiras corporativas. Além disso, se o sistema detecta que uma empresa cliente, às três da manhã, começa a fazer um download massivo e em cadeia dos dados de seus próprios usuários — um forte indício de que a rede do cliente foi invadida e sofre ransomware —, a Veriff age proativamente bloqueando o acesso daquela empresa, impedindo que o vazamento de terceiros se agrave através de suas APIs.
O fim do “falso crescimento”
No encerramento de nossa conversa, Julia Monteiro entregou a que talvez seja a reflexão estratégica mais importante e definidora para executivos e fundadores de startups na atualidade. Existe uma cultura nociva no mercado de tecnologia onde as empresas tratam a verificação de identidade como um mal necessário, uma mera obrigação de compliance que atrapalha o ganho agressivo de usuários.
Entretanto, as empresas que facilitam demais a entrada em suas plataformas para inflar artificialmente seus relatórios de crescimento estão, na verdade, caminhando para a ruína financeira. Um usuário fraudador, um robô ou um perfil falso não gera receita legítima; pelo contrário, ele consome recursos preciosos.
“A gente vem muito trabalhando essa mensagem pro mercado de que o KYC, a verificação de identidade, ela é proteção de margem, é você não perder tempo com usuário ruim, você não colocar usuário ruim para receber uma campanha de marketing, é você não gastar com CRM, deixar aquela plataforma online para mais um usuário, sendo que aquela pessoa não vai ser bacana pro seu negócio”.
O alerta final da especialista ressoa como uma profecia para o mercado financeiro e de tecnologia dos próximos anos. A era do crescimento inconsequente, baseada em vaidade e números absolutos inflados por bots ou redes de fraudadores da Ásia Oriental e do leste europeu, está com os dias contados. O grande divisor de águas entre o fracasso e a sustentabilidade no futuro digital não será apenas quem capta mais usuários, mas quem consegue filtrar o joio do trigo com eficiência matemática.
O aviso da Veriff é direto para os conselhos de administração de todo o mundo: “A disparidade vai vir nesse falso crescimento que as plataformas vão começar a perceber que grande parte dos usuários não deveriam estar lá dentro. Então elas cresceram em número de usuários, mas uma boa parte não tem qualidade e esse falso crescimento vai começar a diferenciar bastante quem vai continuar bem no mercado ou não”.
Em um mundo onde as Inteligências Artificiais são capazes de criar rostos do zero, forjar vozes perfeitamente familiares e contornar protocolos rígidos, a proteção real deixou de ser um cadeado na porta da frente. Hoje, a segurança é uma malha invisível, baseada em giroscópios silenciosos, padrões dinâmicos de comportamento e uma fricção inteligente capaz de expulsar o fraudador antes mesmo que ele perceba que perdeu o jogo.
