Como golpes com IA e deepfake expõem falhas regulatórias. Nas últimas semanas, um caso envolvendo o uso de inteligência artificial para simular a identidade de uma celebridade chamou a atenção do mundo.

Uma mulher acreditou estar em um relacionamento com Brad Pitt, interagindo por mensagens, imagens e até vídeos que aparentavam ser reais.

O desfecho revelou um golpe sofisticado, sustentado por deepfakes, engenharia social e uso estratégico de dados públicos.

Apesar do tom quase absurdo com que parte da mídia tratou o episódio, o caso escancara um problema estrutural muito mais sério.

A mesma tecnologia que foi usada para enganar uma pessoa física já está sendo aplicada, de forma silenciosa, contra empresas, especialmente em setores regulados como o financeiro.

Golpes com IA e deepfake deixaram de ser uma ameaça futura.

Eles já fazem parte do presente e expõem falhas profundas na forma como lidamos com identidade digital, proteção de dados, governança tecnológica e regulação.

Este artigo não é sobre uma história curiosa. É sobre o que ela revela.

O que são golpes com IA e deepfake na prática?

Deepfake é uma tecnologia baseada em inteligência artificial capaz de criar ou manipular imagens, vídeos e áudios de forma extremamente realista.

Ao combinar modelos de aprendizado profundo com grandes volumes de dados visuais e sonoros, é possível simular a aparência, a voz e até os gestos de uma pessoa real.

Quando essa tecnologia é aplicada em golpes, ela raramente atua sozinha.

O deepfake costuma ser apenas a camada mais visível de uma estratégia mais ampla que envolve:

• Engenharia social

• Coleta e cruzamento de dados públicos

• Uso de informações vazadas

• Construção de narrativas emocionais

• Interações prolongadas para gerar confiança

No caso que ganhou notoriedade, o deepfake não foi usado apenas para impressionar, mas para sustentar uma relação contínua, com coerência visual, emocional e narrativa. Isso é exatamente o que torna esse tipo de golpe tão perigoso.

Por que esses golpes funcionam tão bem?

Um erro comum é atribuir o sucesso desses golpes apenas à ingenuidade das vítimas. Essa leitura é superficial e perigosa.

Golpes com IA e deepfake funcionam porque exploram fragilidades estruturais do ambiente digital atual, como:

• Confiança excessiva em provas visuais

• Falta de educação digital sobre IA

• Ausência de mecanismos claros de verificação de identidade

• Uso massivo de dados pessoais em redes sociais

• Normalização de interações digitais sem validação

Além disso, a inteligência artificial permite escalar golpes com um nível de personalização que antes era inviável. Cada interação pode ser adaptada ao perfil emocional, cultural e comportamental da vítima.

O problema não está apenas na tecnologia. Está na falta de controles ao redor dela.

Da pessoa física à empresa: o risco se amplia

Se uma pessoa pode ser enganada por uma identidade sintética, o que impede que o mesmo método seja usado contra uma empresa?

Na prática, já está sendo. Empresas relatam tentativas de fraude envolvendo:

• Executivos falsos solicitando transferências urgentes

• Fornecedores simulados pedindo alteração de dados bancários

• Clientes forjados durante processos de onboarding

• Chamadas de vídeo manipuladas para validar decisões críticas

Em setores como finanças, pagamentos, crédito e banking as a service, o impacto desses golpes vai muito além do prejuízo financeiro. Eles podem gerar:

• Falhas em processos de KYC

• Quebra de protocolos de AML

• Incidentes de segurança da informação

• Responsabilização regulatória

• Danos reputacionais difíceis de reverter

O mesmo mecanismo que sustentou um golpe emocional pode sustentar uma fraude corporativa altamente sofisticada.

Limites dos controles tradicionais de segurança

Grande parte das empresas ainda opera com modelos de segurança pensados para um mundo pré IA generativa.

Autenticação por imagem, reconhecimento facial simples, validação por voz e até chamadas de vídeo já não são garantias suficientes.

Isso cria um paradoxo perigoso: quanto mais avançada a tecnologia, maior a sensação de segurança, mesmo quando os riscos aumentam.

Golpes com IA e deepfake expõem exatamente esse ponto cego. Os controles existem, mas não foram projetados para lidar com conteúdo sintético altamente realista, gerado em tempo quase real.

Onde a regulação entra e onde ela falha

A regulação de inteligência artificial ainda está em construção no mundo todo.

A União Europeia avançou com o AI Act, que estabelece obrigações de transparência, classificação de risco e exigência de rotulagem para conteúdos sintéticos.

Esse movimento é importante, mas revela uma limitação central: a maior parte das regras incide sobre quem desenvolve ou fornece a tecnologia, não sobre quem a utiliza de forma criminosa.

Golpistas operam de maneira descentralizada, anônima e transnacional.

Eles não pedem autorização, não seguem diretrizes e não se submetem a auditorias.

Isso cria uma zona cinzenta regulatória onde a tecnologia avança mais rápido do que a capacidade de controle institucional.

Enquanto isso, empresas ficam expostas, muitas vezes sem clareza sobre suas próprias responsabilidades.

Proteção de dados como parte do problema

Outro ponto central revelado por golpes com IA e deepfake é o papel dos dados pessoais. Nenhum deepfake convincente nasce do zero. Ele depende de dados.

Fotos, vídeos, entrevistas, postagens em redes sociais, registros públicos e até vazamentos alimentam os modelos que tornam esses golpes possíveis.

Isso significa que falhas em proteção de dados não são apenas um problema de privacidade. Elas se tornam combustível direto para fraudes sofisticadas.

Empresas que coletam, armazenam ou processam dados pessoais precisam entender que governança de dados hoje também é governança de risco.

Governança de IA como necessidade estratégica

Falar em governança de IA não é falar apenas em ética ou boas intenções. É falar em estrutura operacional.

Empresas precisam responder, de forma clara, a perguntas como:

• Onde usamos inteligência artificial?

• Para quais finalidades?

• Quais dados alimentam esses sistemas?

• Como prevenimos usos indevidos?

• Como detectamos conteúdos sintéticos?

• Quem responde em caso de incidente?

Sem esse mapeamento, a organização opera no escuro.

Golpes com IA e deepfake mostram que não basta adotar tecnologia. É preciso governá-la.

O que empresas reguladas precisam fazer agora

Diante desse cenário, algumas medidas deixam de ser opcionais:

• Mapear riscos associados ao uso e ao abuso de IA

• Revisar processos de verificação de identidade

• Implementar autenticação em múltiplos fatores e canais

• Treinar equipes para reconhecer sinais de engenharia social avançada

• Estabelecer políticas claras sobre uso de conteúdo gerado por IA

• Criar planos de resposta a incidentes envolvendo deepfake

Essas ações não eliminam o risco, mas reduzem drasticamente a exposição.

O papel de empresas especializadas em dados, IA e regulação

Golpes com IA e deepfake não são apenas um problema tecnológico. Eles são um problema de estrutura.

Empresas que atuam na interseção entre dados, inteligência artificial, compliance e regulação têm um papel fundamental em ajudar organizações a navegar esse novo cenário.

Isso envolve desde o diagnóstico de riscos até a implementação de controles técnicos, políticas internas, monitoramento contínuo e alinhamento regulatório.

Prevenção, nesse contexto, é mais eficiente do que qualquer resposta emergencial.

Onde a Pyros entra nesse cenário

Golpes com IA e deepfake expõem um ponto crítico do mercado atual: a maioria das empresas não sofre por falta de tecnologia, mas por falta de estrutura para governar tecnologia.

É exatamente nesse espaço que a Pyros atua.

A Pyros trabalha na interseção entre inteligência artificial, dados e regulação, ajudando empresas, especialmente fintechs e negócios regulados, a estruturar operações que não apenas utilizam IA, mas que operam com controle, rastreabilidade e segurança.

Na prática, isso significa apoiar organizações em frentes como:

• Mapeamento de riscos associados ao uso e ao abuso de IA, incluindo deepfakes e engenharia social

• Estruturação de governança de dados alinhada à LGPD e às exigências regulatórias

• Revisão de processos de identidade, KYC, AML e antifraude sob a ótica de novos vetores de ataque com IA

• Definição de políticas claras para uso de inteligência artificial, conteúdos sintéticos e automações

• Apoio na criação de processos auditáveis, monitoráveis e preparados para fiscalização

O foco da Pyros não está em promessas genéricas sobre tecnologia, mas em transformar complexidade regulatória e técnica em operações claras, seguras e escaláveis.

Em um cenário onde a IA evolui mais rápido do que as regras e os controles, empresas que não estruturam sua base acabam reagindo a crises. Empresas que estruturam, antecipam riscos.

Conclusão

O caso que trouxe o debate sobre golpes com IA e deepfake ao centro da atenção pública não é um ponto fora da curva.

Ele revela, de forma explícita, o que já acontece de maneira silenciosa em ambientes corporativos.

A tecnologia avançou. A sofisticação dos golpes também. O que ainda não avançou na mesma velocidade foi a forma como empresas estruturam governança, dados, identidade e uso responsável de inteligência artificial.

Para organizações que operam em ambientes regulados, o risco não está apenas em ser vítima de um golpe, mas em não saber onde estão suas fragilidades quando a tecnologia passa a ser usada contra a própria operação.

Mais do que reagir a incidentes, o momento exige visão estrutural, clareza operacional e decisões baseadas em dados e regulação.

Porque, no cenário atual, improvisar deixou de ser apenas um erro estratégico. Tornou-se um risco sistêmico.

Leia também: Método S.O.F.I.A. estrutura fintechs com clareza e escala