O boom da banca digital no Brasil tem um lado obscuro. As perdas com fraude estão crescendo.

Em 2024, o setor financeiro brasileiro reportou R$10,1 bilhões em perdas relacionadas a fraudes - um aumento de 17% em relação a 2023. Mais da metade (51%) de todos os brasileiros dizem que já experimentaram fraude pessoalmente.

Agora, com o novo mecanismo de reembolso do Pix (MED 2.0) prestes a ser lançado e novos requisitos regulatórios entrando em vigor, os bancos precisam urgentemente reverter essa tendência e combater a causa mais perigosa de fraude bancária brasileira - a engenharia social.

Aproximadamente 70% de todas as perdas com fraude no Brasil são de golpes de engenharia social.

Neste artigo, explicamos quais tipos de engenharia social são os mais perigosos para as instituições financeiras brasileiras e seus clientes, e como os bancos podem mudar de uma detecção de fraude custosa para um foco mais eficaz na prevenção de fraude.

Tendências de engenharia social que os bancos brasileiros precisam observar em 2026

Embora o Brasil lidere a América Latina em inovação de pagamentos digitais (o Brasil é o 2º maior mercado de pagamentos em tempo real do mundo), ele também se tornou o ponto de partida para novas táticas de fraude.

Nossa análise do cenário global e brasileiro de fraude bancária destaca dois tipos principais de fraude que provavelmente criarão o maior risco para os bancos brasileiros em 2026: golpes rápidos do Pix e engenharia social alimentada por IA.

1. Golpes rápidos do Pix

"Os fraudadores vão onde está o dinheiro e, infelizmente, o Pix é o foco hoje", disse Luis Otávio Vissotto, chefe da Divisão de Segurança e Antifraude do Pix.

A maioria dos golpes do Pix (e fraudes em geral) acontecem como resultado de engenharia social. Na verdade, aproximadamente 70% de todas as fraudes bancárias no Brasil são golpes de engenharia social. Estes são esquemas que enganam as vítimas para transferirem dinheiro elas mesmas.

A velocidade desses ataques é alarmante.

61% dos golpes são concluídos em 24 horas, deixando instituições e vítimas com muito pouco tempo para intervir. Quando os sistemas de detecção de fraude sinalizam atividade suspeita, o dinheiro da vítima muitas vezes já passou por várias contas.

Ligações ou mensagens falsas de suporte bancário representam uma porção significativa das tentativas de fraude bem-sucedidas.

Analistas regionais agora chamam os golpes APP (pagamentos push autorizados) de tipo de fraude de crescimento mais rápido na América Latina como um todo, e o Brasil está no epicentro dessa crise.

2. Engenharia social alimentada por IA (também conhecida como deepfakes)

Globalmente, incidentes relacionados a deepfakes aumentaram mais de 3.000% no último ano. À medida que a tecnologia melhora, o Brasil provavelmente experimentará um aumento semelhante nos próximos 12 meses.

Já é conhecido que golpistas no Brasil hackeiam contas de redes sociais ou clonam WhatsApp para se passar por parentes e pedir dinheiro urgente. O "Raio-X dos golpes do Pix 2024" da Silverguard descobriu que entre pessoas acima de 60 anos, os golpes mais comuns envolvem um impostor se passando por um membro da família pedindo dinheiro.

Essa ameaça é agravada pela confiança equivocada. Pesquisas mostram que, embora 69% das pessoas globalmente acreditem que podem reconhecer um golpe, 43% ainda foram vítimas de um no último ano. À medida que as ferramentas de deepfake se tornam mais baratas e fáceis de usar, esses golpes se tornarão virtualmente indistinguíveis de interações reais.

Diferente de tentativas convencionais de phishing ou engenharia social, os deepfakes usam IA para imitar padrões de voz, expressões faciais e até ruído de fundo, permitindo que criminosos se passem por indivíduos confiáveis em videochamadas ou interações de atendimento ao cliente.

Os sistemas de detecção de fraude que a maioria dos bancos e instituições financeiras brasileiras usa não foram projetados para identificar deepfakes.

Os consumidores também permanecem despreparados. Um vídeo ou mensagem de voz gerada por IA convincente de um "representante do banco" pode facilmente contornar a intuição humana e hábitos estabelecidos de verificação.

Por que a autenticação bancária tradicional falha no Brasil

A autenticação multifator tradicional tenta impedir fraudes adicionando fricção: códigos SMS, aplicativos de autenticação e perguntas de segurança.

Embora esses métodos retardem alguns ataques, eles criam três vulnerabilidades críticas em uma sociedade mobile-first como o Brasil:

1. A autenticação visível treina os usuários a esperar interrupções. Quando os clientes são constantemente solicitados a inserir códigos ou responder perguntas de segurança, distinguir entre verificações de segurança reais e tentativas de phishing se torna mais difícil. Os criminosos sabem disso e podem aprender quando pedir códigos, como formular solicitações e como parecer legítimos.

2. Códigos SMS e de e-mail podem ser interceptados ou obtidos por engenharia social. Fraudadores aprenderam a fazer troca de SIM ou simplesmente orientar as vítimas através das etapas de autenticação, convencendo-as de que inserir seu "código de segurança" faz parte da resolução de um suposto problema na conta.

3. A autenticação escalonada interrompe os fluxos do usuário. Quando as operações bancárias acontecem através de dispositivos móveis, solicitações de códigos 2FA ou verificações podem prejudicar os fluxos bancários e tornar o mobile banking desajeitado e irritante para os clientes.

O problema fundamental com a MFA tradicional é que ela trata a autenticação como um evento discreto, ou seja, algo que acontece no login ou antes de transações de alto risco.

Fraudadores podem prever e sequestrar esses eventos, e os usuários rapidamente ficam ressentidos com interrupções repetidas.

Quanto mais eventos de autenticação os provedores de serviços financeiros colocam na frente dos usuários, mais provável é que os usuários fiquem insatisfeitos e irritados com o provedor de serviços.

Com a banca brasileira acontecendo de forma contínua e mobile-first, a autenticação precisa evoluir para acompanhar.

O custo em R$ da detecção de fraude baseada em sinais

Os bancos brasileiros normalmente dependem de sistemas de detecção de fraude baseados em sinais, projetados para detectar fraudes depois que elas acontecem.

Mas a economia desse modelo reativo não funciona. Para cada R$ roubado, os bancos gastam até R$4,49 em esforços de resposta e recuperação.

Quando dependem da detecção de fraude baseada em sinais, os bancos enfrentam uma escolha difícil: apertar a segurança e aumentar as recusas falsas ou reduzir as detecções e aceitar perdas com fraude mais altas.

Vinculando identidade à segurança

As instituições financeiras brasileiras podem parar a engenharia social na origem mudando de autenticação orientada por eventos para autenticação contínua.

Essa abordagem elimina os pontos de ataque previsíveis que tornam a engenharia social possível.

● A autenticação tradicional interrompe as sessões em certos momentos (previsíveis) com solicitações de código ou prompts de verificação.

● A autenticação contínua opera de forma silenciosa e invisível durante toda a sessão, confirmando constantemente a legitimidade do usuário sem nenhuma fricção.

Com autenticação contínua, mesmo se um fraudador enganar uma vítima para "aprovar" uma transferência Pix, o sistema reconhece imediatamente que o comportamento ou sinais do dispositivo não correspondem ao titular legítimo da conta e automaticamente encerra a sessão.

A transação é bloqueada antes que o dinheiro se mova, não depois.

Para tentativas de tomada de conta móvel, a autenticação contínua monitora a identidade do usuário, incluindo sinais comportamentais e de dispositivo, para garantir que o usuário seja legítimo.

Também fornece forte proteção contra ameaças emergentes como deepfakes, já que a identidade verificada de um usuário, não apenas sua aparência ou credenciais, determina se uma transação pode continuar.

Identidade, ações e intenção são todos medidos e monitorados para prevenir fraudes.

Em vez de verificar a identidade em momentos discretos, a autenticação contínua verifica o usuário em cada interação de forma silenciosa, invisível e sem interrupção.

Previna fraudes bancárias com autenticação biométrica contínua

IronVest ActionID™: Segurança invisível para bancos brasileiros

O IronVest ActionID™ autentica continuamente os usuários em todos os canais sem uma única interrupção para o usuário. Não há códigos SMS para interceptar, não há momentos de autenticação previsíveis para os fraudadores planejarem, e não há fricção para clientes legítimos.

Com o IronVest, os bancos podem:

● Parar a engenharia social na origem ● Obter evidência da intenção do usuário para disputas que são negadas ● Derrotar deepfakes automaticamente ● Substituir sinais estatísticos de fraude por autenticação comportamental contínua

Agende uma demo do IronVest hoje para saber mais.