Phishing, emails e mensagens com links que visam roubar dados sensíveis. Whaling, a mesma tática, mas com foco em executivos C-level. O vocabulário das fraudes até pode soar como história de pescador, mas vai muito além — e não está restrito ao ambiente digital.
Seja por métodos online — como QR Code falso e clonagem de chip e de voz por inteligência artificial (IA), seja offline — como abertura de contas e fraudes logísticas, comissionadas ou em contratos, os criminosos têm se tornado cada vez mais sofisticados. Reflexo disso é uma estimativa de perdas de até US$ 130 bilhões ao ano em fraudes para as empresas da América Latina, segundo a nova pesquisa da McKinsey sobre o tema.
A boa notícia é que há uma grande oportunidade: metade dos prejuízos podem ser evitados. Uma economia que chegaria a US$ 65 bilhões na América Latina com uma estratégia preventiva e integrada, que vai desde definir o apetite ao risco a criar um Centro Integrado de Inteligência de Ameaças.
Os consumidores estão de olho
Nos últimos dois anos, 54% das corporações da região registraram aumento nas perdas. No Brasil, esse índice é de 60%. Por aqui, enquanto links maliciosos como malwares e phishing são protagonistas nas ameaças digitais, a fraude logística é a campeã nas operações físicas, seja pela falsa devolução de itens, seja pelo desvio de mercadorias que não chegam aos clientes.
Maximizar as oportunidades de prevenção requer colocar o assunto no topo da agenda dos negócios, o que, hoje, não acontece em metade das empresas latino-americanas: apenas 49% dos CEOs entrevistados pela McKinsey indicam o tema como uma das suas top 3 prioridades.
Varejistas, em especial, devem tornar suas estratégias antifraude mais focadas no cliente. Pesquisas prévias da McKinsey apontam que 70% dos consumidores só realizam transações com empresas que protegem seus dados. Mesmo assim, cerca de 40% das empresas de varejo ainda não consideram a experiência do consumidor em sua estratégia de combate a fraudes.
Uma das razões seria que, ao incluir mais camadas de proteção ao cliente, aumentaria a fricção e reduziria a retenção. O desafio para o setor é achar o equilíbrio entre prevenção e experiência do consumidor. Um caminho? Definir claramente o apetite ao risco, grau de exposição a perdas que a empresa considera aceitável. Outro passo fundamental é garantir sinergia entre as áreas de risco e negócios da empresa, a fim de construir indicadores que levem em conta as metas de receita e as perspectivas de fraudes nos processos.
Além do que se vê
Não contabilizada no montante de perdas há uma parcela daquelas não identificadas — erroneamente classificada como operacional ou de crédito —, que representa cerca de 15% a 35% dos prejuízos.
Dois exemplos são ilustrativos. Uma empresa de telecom descobriu que 35% de suas “vendas ruins” (clientes em default) eram fraudes de comissão — o vendedor fazia vendas fictícias ao cadastrar um CPF que se tornaria inadimplente. Já um banco notou que 25% de suas inadimplências eram “créditos podres” — o fraudador abria a conta, pagava tudo por alguns meses e depois não quitava mais nada.
Essas perdas são “invisíveis” devido a: (1) desafios para diferenciar fraudadores de vítimas; (2) inovações constantes dos tipos de fraude para se antecipar às ferramentas de prevenção, como o uso da GenAI para imitar vozes e driblar a autenticação; (3) automatizações e proliferação da expertise em ciberataques (compartilhamento de hacks na deep web e bots em profusão que massificam ataques a servidores, tentando enganar o captcha até garantir a fraude).
Sem padronização nas métricas de fraude e com o compartilhamento de informação limitado, mesmo quando um golpe é detectado, é difícil avaliar se uma empresa está exercendo um bom trabalho em prevenção ou gestão de ameaças.
Para ajudar a descobrir, as lideranças podem se perguntar se as políticas de gestão de fraude são revisadas com frequência e se os papéis e responsabilidades antifraude estão claros. Outra forma de mitigar riscos é escalar os talentos das áreas de prevenção à fraude para participar desde o início da jornada de criação de um serviço ou produto, permitindo à empresa ser mais proativa do que reativa na hora de prevenir.
Centros Integrados, a evolução da defesa
Se os ataques ainda não diminuem, as organizações não podem abrir mão de um Centro de Operações de Segurança (SOC) para vigiar, detectar e responder às ameaças digitais. Mas é possível ir além com o Centro Integrado de Inteligência de Ameaças (CIIA), ou fusion center. Diferente do SOC, o CIIA não se restringe apenas ao ambiente digital, aumentando em 50% o potencial de detecção de uma fraude.
Isso é possível porque o CIIA integra áreas como gestão de fraude, segurança cibernética, compliance e AML (prevenção à lavagem de dinheiro) que, por questões históricas, não compartilham informações. Não se trata da criação de uma nova área, mas da otimização de áreas já existentes — como na reforma de imóvel, quando paredes são derrubadas para garantir melhor circulação entre diferentes cômodos.
Há, ainda, mais tendências antifraude. Uma das mais promissoras é a GenAI, capaz de garantir rapidez não apenas na identificação de golpes como também no atendimento aos consumidores fraudados — via call center ou chatbot — e na elaboração de relatórios. E as redes colaborativas, em que empresas dividem experiências com suas concorrentes — 56% das companhias de serviços já estão alavancando essas redes, mas ainda existe espaço para interação entre os diferentes setores.
O Brasil em ação
Práticas de mitigação a ameaças serão cada vez mais disseminadas a partir de iniciativas, como a LGPD (Lei Geral de Proteção de Dados Pessoais), que entrou em vigor em 2020, e outras diretrizes específicas em diferentes setores.
Apesar dos esforços, num cenário em que a evolução das fraudes vem em escala oceânica, já não é mais uma questão de “se”, mas de “quando” uma organização será alvo de ameaças. E só uma estratégia avançada antifraude permitirá às empresas estar dois passos à frente dos criminosos.