No início deste ano, um fato ocorrido em uma multinacional de Hong Kong mandou um recado importante para profissionais de combate à fraude. Em um incidente sem precedentes, a companhia sofreu um golpe orquestrado através de inteligência artificial, que resultou na perda de cerca de US$25,5 milhões.
Sem perceber, um colaborador da empresa participou de uma videoconferência falsa, onde criminosos usaram IA para criar vozes e imagens que imitavam outros profissionais da organização, incluindo o diretor financeiro. Durante a reunião, instruções para realizar várias transações bancárias foram dadas – e seguidas. O golpe e o prejuízo só foram descobertos quando o colaborador falou com seu verdadeiro chefe, e percebeu que havia sido enganado.
O caso se tornou um grande alerta sobre os perigos do uso indevido de IA em fraudes e a necessidade de medidas de segurança mais rigorosas. Além disso, a situação destaca como a inteligência artificial tem desempenhado um papel duplo na segurança digital: ao mesmo tempo em que permite fraudes cada vez mais sofisticadas, também é uma ferramenta essencial para identificar, prevenir e mitigar essas atividades.
A IA como assistente para o crime
A inteligência artificial tem sido usada de forma intensiva para apoiar as atividades de cibercriminosos. O estudo da McAfee "The Hidden Costs of Cybercrime" revelou que o crime cibernético deve crescer 15% ao ano até 2025, atingindo a cifra de $10,5 bilhões anualmente. Grande parte desse aumento pode ser atribuída ao uso crescente da IA como uma verdadeira assistente para perpetrar atividades criminosas.
Uma das maneiras pelas quais a IA tem sido usada para cometer fraudes é a geração de conteúdo falso, como as deepfakes utilizadas no caso de Hong Kong. Através do uso de inteligência artificial generativa, que é capaz de criar coisas novas e originais a partir do que aprende, é possível gerar imagens e áudios realistas de pessoas. Isso facilita a criação de identidades sintéticas e a simulação de comunicações corporativas.
Infelizmente, casos como golpes telefônicos onde criminosos usam informações detalhadas sobre compras online para convencer vítimas a fazerem pagamentos se tornaram algo comum, e com alto potencial de sucesso. Abordagens como esta são possíveis graças à capacidade da IA de gerar conteúdo convincente.
O uso de IA para automatizar fraudes também tem aumentado, por meio de recursos como a criação de scripts de ataques. Nesta nova indústria do crime cibernético também existem serviços pagos que oferecem ferramentas de IA para esse fim, como o Fraude GPT, que gera códigos maliciosos e sites falsos para phishing. Além disso, ferramentas como o Worm GPT são usadas para gerar scripts automatizados de malware e executar ataques.
Já está claro que a IA se tornou um grande risco de segurança, pois criminosos tem à sua disposição um enorme arsenal tecnológico para cometer fraudes de maneira automatizada e em larga escala. O ponto agora é: como reagir a este cenário?
Contra-atacando fraudadores com IA
Ao mesmo tempo em que a IA tem sido adotada amplamente por criminosos, ela também tem sido utilizada como uma solução para a detecção e prevenção de fraudes. Um caminho adotado nas empresas que estão à frente neste sentido é combinar técnicas de machine learning e processamento de linguagem natural com validação humana.
Nesta abordagem, modelos de machine learning podem ser usados para identificar anomalias e padrões de fraude com base em dados históricos, enquanto o processamento de linguagem natural pode analisar textos e conversas em busca de indicativos de atividade fraudulenta. Mas, empresas trilhando este caminho precisam lembrar que esses sistemas devem ser supervisionados por humanos, para validar decisões e evitar erros.
Outra estratégia possível é o uso de dados sintéticos para treinar modelos de prevenção de fraudes. A geração de dados semelhantes aos reais possibilita aprimorar a precisão dos modelos de detecção – algo especialmente útil quando os dados reais de fraude são escassos. Além disso, dados sintéticos podem ser usados para simular cenários e testar a resiliência dos sistemas contra novos tipos de fraude.
Apesar das oportunidades, a adoção de soluções de IA para prevenir fraudes ainda enfrenta desafios. No Brasil e na América Latina, por exemplo, o uso de dados sintéticos para enriquecer os modelos preditivos ainda é muito incipiente, e existem diversos fatores que explicam esta imaturidade. Muitas empresas na região ainda engatinham na resolução de problemas imediatos com IA tradicional, quem dirá com o uso de IA Generativa. No entanto, estas organizações tendem a acreditar que esta tecnologia irá resolver seus problemas como num passe de mágica ao invés de investir na capacitação interna para lidar com a IA, inclusive a generativa, o que não ajuda no avanço da adoção.
Além destes entraves, também é importante frisar que mesmo que as empresas tenham acesso a ferramentas avançadas de IA, elas ainda precisam desenvolver uma governança robusta para garantir o uso responsável e ético dessa tecnologia. Nestas decisões, entra o bom e velho bom senso: não convém confiar inteiramente na IA, é necessário ter processos de validação e aprovação humana em etapas-chave.
Para os próximos meses, entre os possíveis horizontes está um movimento de intensificação do uso de dados sintéticos para a prevenção de fraudes, simulação de cenários e antecipação de possíveis fraudes, e enriquecimento de conjuntos de dados para treinamento de modelos preditivos. Também é provável que novas fontes de dados – como informações de satélites, por exemplo – sejam integradas a esses esforços de detecção e prevenção.
Um cenário de fraudes transformado pela IA requer que as empresas se preparem com soluções que possam não só detectar, mas também protegê-las desses ataques. Neste processo, será preciso lembrar que para aproveitar os benefícios desta tecnologia é necessário investir na capacitação de equipes. Também será crucial desenvolver uma governança robusta, se atentar a novas fontes de dados e técnicas de análise avançada de dados em constante evolução. É um plano de combate nada trivial, mas inteiramente possível de ser traçado – e colocado em prática.
Ricardo Saponara, Head de prevenção a fraude para América Latina do SAS.
