*Por Rodrigo Jorge
Os alertas sobre fraude apresentados no World Economic Forum, na última semana, têm provocado boas reflexões e discussões relevantes — especialmente na interseção entre fraude, identidades e inteligência artificial.
Tenho acompanhado muitas dessas publicações com interesse. O problema começa quando esse debate chega às organizações sem clareza sobre o que exatamente está sendo chamado de fraude.
Antes de reagir ao alerta, vale parar e alinhar o fundamento: qual a semântica, qual o conceito e do que, afinal, estamos falando?
Durante anos, o risco cibernético foi simbolizado por ataques barulhentos e disruptivos, como o ransomware. Eram incidentes fáceis de explicar: sistemas parados, dados criptografados, pedidos de resgate.
O sinal recente é outro. A fraude passa a ocupar esse espaço não por ser novidade, mas por ser silenciosa, contínua e muito mais difícil de distinguir de operações legítimas — agora amplificada pelo uso de IA.
Esse contexto ajuda a explicar por que o tema ganhou tanta atenção. O problema surge quando a urgência atropela a clareza.
Na prática, tenho visto muita confusão quando tudo vira apenas “fraude”. Quando isso acontece, a organização tropeça no básico: escopo, ownership e expectativa. Projetos paralelos surgem, áreas disputam território e o risco real continua exposto — muitas vezes ampliado.
Fraude não é um conceito único. Estamos lidando com fenômenos distintos, que exigem tratamento diferente, ainda que conectado.
Fraude operacional
Fraude operacional envolve a violação de regras de negócio, mercado ou processos operacionais, com impacto financeiro direto.
Entram aqui transações irregulares, manipulação de registros, abuso de exceções e fraudes internas clássicas. Esse tipo de fraude pode existir mesmo sem qualquer ataque tecnológico e, por isso, costuma ser conduzido por áreas de Riscos, Mercado, Compliance e Controles Internos.
Fraude cibernética
Fraude cibernética é de outra natureza.
Ela envolve o uso malicioso de tecnologia, identidade, acesso ou dados para obter vantagem ou causar dano. Credenciais comprometidas, acessos indevidos com identidade válida, engenharia social, deepfakes e uso de dados vazados para golpes são exemplos recorrentes.
É algo do tipo:
O problema não está em uma falha técnica evidente, mas no uso, no contexto e no comportamento associado àquele acesso.
Incidentes de segurança que habilitam fraude
Há ainda um terceiro elemento, frequentemente subestimado: incidentes de segurança que não configuram fraude por si só, mas habilitam fraudes posteriormente.
Vazamento de dados, exposição de credenciais, falhas de segregação de acesso e ausência de visibilidade ou trilha de auditoria não são fraude por definição. No entanto, são exatamente esses eventos que criam o terreno para que fraudes — inclusive operacionais — aconteçam depois.
Uma frase costuma ajudar a organizar essa distinção:
Fraude operacional e fraude cibernética têm naturezas, controles, métricas e donos distintos — mas precisam conversar. Quando isso não acontece, a defesa falha justamente nos pontos de transição.
Identidade no centro do problema
Diferentemente do ransomware, que interrompe operações, a fraude se apoia justamente no funcionamento normal dos sistemas.
Por trás da maioria desses cenários existe um ponto comum: identidade.
Fraudes modernas escalam não porque os sistemas falharam, mas porque a confiança foi explorada. Confiamos em quem acessa, no contexto e na legitimidade de pedidos, transações e decisões.
Quando essa confiança é abusada, o ataque deixa de parecer ataque.
Isso vale tanto para identidades humanas — colaboradores, parceiros e terceiros — quanto para identidades não humanas: APIs, integrações, máquinas conversando com máquinas, agentes automatizados e, cada vez mais, sistemas baseados em IA.
Boa parte dos modelos de segurança ainda parte de uma premissa implícita:
Se a identidade é válida, o comportamento é confiável.
Essa premissa já não se sustenta.
O cenário atual impõe uma pergunta mais realista: como proteger a organização quando a confiança já foi quebrada?
Proteger quando a confiança falha
Responder a esse desafio exige mais do que controles pontuais ou camadas adicionais de autenticação.
É preciso deslocar o eixo do modelo: de permissão para uso, de identidade isolada para contexto, de acesso binário para comportamento esperado e impacto no negócio.
Proteger contra fraude, nesse cenário, não significa apenas bloquear acessos. Significa compreender quem acessa, o que faz com esse acesso, o que é esperado desse uso e o que acontece quando esse padrão é desviado — seja por um humano, uma API ou um agente automatizado.
Sem essa lente, a organização investe em tecnologia, mas permanece vulnerável exatamente onde a fraude mais cresce.
Para reflexão
Volto à pergunta inicial: de qual fraude estamos falando?
Faça esse exercício na sua organização.
Existe uma resposta única ou cada área entende algo diferente?
O negócio compreende como controles de identidade, acesso e dados ajudam — ou não — a proteger contra fraudes operacionais?
Se essas respostas não forem claras, esse já é um sinal relevante.
Antes de reagir ao alerta, investir mais ou automatizar mais, talvez o passo mais valioso seja alinhar o fundamento.
Porque proteger o negócio começa por saber do que estamos falando.
*Rodrigo Jorge é CISO e Cyber Security Advisor – CISM e SACP
