A Inteligência artificial está a alterar as regras “do jogo” da fraude digital

Facto: a fraude de identidade é um dos grandes flagelos do mundo digital e os números, de resto assustadores, comprovam-no. Em 2024, a Federal Trade Commission dos EUA registou qualquer coisa como 5,7 milhões de casos de fraude e roubo de identidade, dos quais 1,4 milhões estavam diretamente relacionados, precisamente, com roubo de identidade. O impacto financeiro é avassalador: o cibercrime custou globalmente 10,2 mil milhões de dólares, quase o dobro do valor registado no ano anterior. Em média, cada vítima perdeu 500 dólares. Mas este não é apenas um problema de números. É um fenómeno que, quer queiramos quer não, está a transformar a forma como as empresas, os governos e mesmo os cidadãos lidam com a segurança digital.

Em 2024, a fraude e o roubo de identidade registaram 5,7 milhões de casos nos EUA, com perdas globais de 10,2 mil milhões de dólares.

Vejamos: nos últimos anos, a evolução das tecnologias de Inteligência Artificial, nomeadamente a generativa, alterou radicalmente o panorama da fraude. Se antes era exigida uma sofisticação técnica elevada e recursos substanciais, hoje está ao alcance de qualquer pessoa com um computador e acesso à internet. Tão simples quanto isso. Não é por isso estranho quando é avançado que, desde 2021, os ataques relacionados com fraude digital aumentaram 2137%. E sim, não há qualquer erro de digitação. É mesmo 2137%. Neste panorama, a combinação de deepfakes, identidades sintéticas e manipulação de documentos digitais tornou-se uma das principais ameaças à confiança no mundo digital. O problema é que a sofisticação destes ataques está a tornar as defesas tradicionais obsoletas. Hoje, os criminosos não precisam de invadir sistemas ou roubar credenciais: podem simplesmente criar uma identidade falsa tão convincente que passa nos processos de verificação sem levantar suspeitas.

Um desafio aos métodos tradicionais

O relatório “Veridas Identity Fraud Report 2024” identifica dois grandes tipos de fraude: ataques de apresentação e ataques de injeção. Embora distintos, ambos desafiam os métodos tradicionais de verificação de identidade exigindo soluções inovadoras para os superar.

Ataques de apresentação

Este tipo de ataque ocorre quando um indivíduo mal-intencionado utiliza um objeto ou uma técnica para iludir a câmara e o software de reconhecimento facial. O objetivo é simular um rosto humano, de forma a enganar o sistema e fazer com que ele interprete a imagem falsa como sendo uma pessoa autêntica.

Podem ser usadas fotografias, vídeos, máscaras ou até mesmo cabeças de manequins. Embora represente um risco, este tipo de ataque exige tempo, recursos físicos e é realizado um a um, o que limita a sua escalabilidade.

Aceda aqui ao Relatório sobre Fraude de Identidade da Veridas

Ataques de injeção: a grande ameaça escalável

A sofisticação da fraude digital já não se limita à biometria facial ou à falsificação de documentos. Os ataques de injeção ganharam força nos últimos anos, impulsionados pelo crescimento de ferramentas de inteligência artificial generativa que permitem criar imagens, vídeos e dados sintéticos com um realismo surpreendente. Atualmente, é uma das formas de fraude mais perigosas, porque não só ilude os sistemas de verificação, como é extremamente difícil de detetar e pode ser executada em massa.

Nestes ataques, o infrator insere diretamente dados manipulados no sistema, sem necessidade de usar uma câmara, sensor ou documento físico. O processo de captura é alterado para que o sistema aceite como válidos conteúdos falsos: deepfakes, vídeos gerados por IA, documentos manipulados… tudo sem ativar qualquer alerta.

Se os ataques de apresentação já representam um grande desafio, os de injeção vão bem mais além: eliminam completamente qualquer necessidade de sensores físicos e podem ser executados automaticamente. Não é um individuo a segurar um telemóvel em frente a uma câmara, mas um software a alimentar o sistema com identidades falsas criadas por IA, em tempo real e em larga escala.

A grande ameaça destes ataques está na sua escalabilidade. Enquanto os ataques de apresentação precisam de ser realizados manualmente, um a um, os de injeção podem ser feitos em massa, permitindo que os criminosos testem milhares de identidades falsas ao mesmo tempo sem serem detetados.

De acordo com o Veridas Identity Fraud Report 2024, 85% das fraudes financeiras registadas em 2024 estavam relacionadas com identidades sintéticas. Ou seja, na maioria dos casos já não se rouba uma identidade real, mas cria-se uma nova, do zero, combinando dados reais e falsos de forma quase indetetável.

A questão que se coloca é: como distinguir um utilizador legítimo de um infrator, quando a identidade apresentada é completamente artificial?

Inovação contra a fraude

Face a esta ameaça crescente, a Veridas desenvolveu uma tecnologia específica para detetar ataques de injeção. Em vez de analisar apenas o que é apresentado ao sistema, esta solução verifica também a integridade do próprio dispositivo, permitindo identificar tentativas de fraude antes que estas sejam concretizadas.

Atualmente, esta tecnologia já está a ser utilizada por entidades financeiras em Itália, Espanha, Estados Unidos e México, e mostrou ser capaz de detetar fraudes que antes passavam completamente despercebidas. De acordo com análises internas da Veridas, um banco europeu pode poupar, em média, 1,5 milhões de euros por ano graças à deteção de fraudes de identidade por injeção.

Para o CTO da Veridas, Javier San Agustín, esta tecnologia representa uma verdadeira revolução: permite às empresas proteger as suas operações, manter a confiança dos clientes e cumprir com os requisitos regulamentares, mesmo face aos desafios colocados pelo uso malicioso da inteligência artificial.