Golpes com inteligência artificial ficaram mais convincentes, rápidos e personalizados, e o risco para dados bancários agora passa por voz clonada, links falsos, deepfakes e fraudes no Pix.
A pergunta em 2026 não é mais se criminosos vão usar inteligência artificial para aplicar golpes. Eles já usam. A dúvida real é se a vítima consegue perceber a fraude antes de clicar em um link, informar um código, aprovar uma transação ou acreditar em uma voz que parece familiar.
O golpe digital mudou de aparência. A mensagem mal escrita, cheia de erro e enviada de forma genérica, ainda existe, mas deixou de ser o único padrão. Agora, criminosos conseguem criar textos mais naturais, simular atendimentos, clonar vozes, montar vídeos falsos e personalizar abordagens com dados vazados ou informações públicas de redes sociais.
No Brasil, o alerta fica ainda mais sério porque o celular virou agência bancária. Segundo a Febraban, 82% das transações bancárias dos brasileiros foram feitas por canais digitais em 2024, e o celular respondeu por 75% das operações. Essa praticidade facilitou a vida do usuário, mas também ampliou a superfície de ataque para golpes financeiros.
Resumo rápido: a IA não “rouba o dinheiro sozinha”. Ela ajuda o criminoso a parecer mais confiável, falar melhor, personalizar mensagens e pressionar a vítima a agir sem checar.
O que mudou nos golpes digitais com IA
O golpe financeiro sempre explorou medo, pressa e confiança. A diferença é que a inteligência artificial aumentou a qualidade do disfarce. Um criminoso consegue gerar mensagens com tom profissional, criar roteiros de atendimento, traduzir textos, adaptar linguagem para diferentes públicos e imitar a comunicação de bancos, lojas, empresas ou órgãos públicos.
Também ficou mais fácil personalizar o ataque. Em vez de uma mensagem genérica dizendo “sua conta será bloqueada”, o golpe pode citar nome, cidade, cargo, banco usado, compra recente, entrega pendente ou algum dado vazado em outro serviço. Esse detalhe dá aparência de legitimidade.
O relatório IOCTA 2026 da Europol aponta que ferramentas de IA generativa já são usadas para personalizar técnicas de engenharia social, tornando fraudes online mais convincentes e perigosas. Em outras palavras: o golpe não depende apenas de tecnologia avançada; ele depende de confiança fabricada.
Esse é o ponto central. A IA não substitui o criminoso. Ela reduz custo, aumenta escala e melhora a persuasão. O fraudador continua querendo a mesma coisa: senha, token, código de verificação, acesso remoto, autorização de Pix, cartão, documento ou uma brecha para entrar na conta.
O tamanho do problema já aparece nos números
O impacto financeiro não é pequeno. No relatório anual de 2025 do IC3, o FBI informou ter recebido mais de 22 mil reclamações com referência a IA, com perdas ajustadas acima de US$ 893 milhões. O mesmo relatório mostra que o centro recebeu mais de 1 milhão de reclamações totais de crimes pela internet, com perdas reportadas acima de US$ 20 bilhões.
Esses dados são dos Estados Unidos, mas ajudam a entender uma tendência global: golpes digitais estão mais industrializados. O criminoso não precisa abordar uma vítima por vez de forma manual. Ele pode usar automação para criar mensagens, páginas falsas, scripts de atendimento, áudios e campanhas em grande volume.
No Brasil, a digitalização bancária e o uso intenso do Pix tornam a atenção ainda mais necessária. O Pix é uma ferramenta legítima, rápida e útil, mas a velocidade da transferência também pode ser explorada em fraudes autorizadas pela própria vítima, quando ela é manipulada a enviar dinheiro acreditando estar resolvendo um problema real.
Como os golpes com IA funcionam na prática
A maioria dos golpes começa com uma abordagem aparentemente comum. Pode ser um SMS, e-mail, mensagem de WhatsApp, ligação, anúncio patrocinado, perfil falso, QR Code, boleto alterado ou página clonada de banco. A IA entra para melhorar a aparência e a conversa.
Em muitos casos, o contato segue uma sequência previsível. Primeiro, cria urgência. Depois, oferece uma explicação plausível. Em seguida, pede uma ação pequena: clicar, confirmar, responder, instalar, informar ou autorizar. Quando a vítima percebe, já entregou dados suficientes para o ataque avançar.
- Primeiro contato: mensagem sobre bloqueio, compra suspeita, entrega pendente, atualização cadastral ou suposta fraude.
- Construção de confiança: uso de linguagem parecida com a do banco, dados pessoais e tom de atendimento profissional.
- Pressão emocional: ameaça de bloqueio, multa, perda de acesso, urgência familiar ou risco de prejuízo imediato.
- Captura de dados: pedido de senha, token, código SMS, selfie, documento, acesso remoto ou autorização no app.
- Movimentação financeira: Pix, boleto, transferência, compra no cartão, empréstimo ou tomada de conta.
O golpe fica perigoso porque cada etapa parece pequena. A vítima não sente que está entregando tudo de uma vez. Mas o criminoso vai montando o quebra-cabeça até conseguir acessar, convencer ou movimentar dinheiro.
Voz clonada: quando o golpe parece vir de alguém conhecido
A clonagem de voz é uma das formas mais assustadoras de fraude com IA. O criminoso usa amostras de áudio disponíveis em vídeos, redes sociais, mensagens ou gravações vazadas para criar uma fala sintética parecida com a voz de outra pessoa.
A Federal Trade Commission, órgão de defesa do consumidor dos Estados Unidos, alerta que golpistas podem clonar a voz de um familiar, fingir uma emergência e pedir dinheiro rapidamente. O golpe funciona porque ativa medo e afeto ao mesmo tempo.
No Brasil, esse tipo de abordagem pode aparecer como falso filho pedindo dinheiro, falso parente em apuros, falso chefe solicitando transferência ou suposto gerente confirmando uma operação urgente. O realismo da voz não deve ser tratado como prova. Hoje, voz convincente pode ser apenas uma camada do golpe.
Dica prática: combine uma palavra de segurança com familiares próximos. Se alguém ligar pedindo dinheiro em situação urgente, peça essa confirmação antes de agir.
Deepfake em vídeo: a fraude que usa rosto e reunião falsa
O deepfake em vídeo é uma evolução do mesmo problema. Em vez de apenas texto ou voz, o criminoso tenta simular presença visual. Isso pode acontecer em videochamadas, vídeos gravados, supostos atendimentos ou conteúdos usados para convencer a vítima de que está falando com alguém real.
Casos internacionais mostram como essa técnica pode causar prejuízos altos. Em Hong Kong, autoridades reportaram um golpe com videoconferência deepfake que levou a perdas milionárias. A lógica é simples: se a vítima vê rosto, voz e contexto de reunião, tende a confiar mais rápido.
Para usuários comuns, o risco aparece em versões menores: falso atendente por vídeo, suposto suporte técnico, perfil falso com vídeo convincente, chamada familiar manipulada ou pedido de validação facial em página fraudulenta. O problema é que a aparência de realidade deixou de ser garantia de autenticidade.
Phishing ficou mais difícil de reconhecer
Phishing é o golpe que tenta enganar a vítima para revelar dados ou clicar em algo perigoso. A versão antiga dependia muito de mensagens mal escritas. A versão atual pode ser muito mais limpa, natural e convincente.
Com IA, criminosos conseguem escrever e-mails e mensagens sem erros óbvios, adaptar o tom ao perfil da vítima e criar páginas falsas que imitam serviços reais. Também podem montar campanhas por SMS, WhatsApp, e-mail e anúncios pagos, aumentando a chance de atingir alguém no momento certo.
O risco cresce quando o phishing captura autenticação em duas etapas. A vítima digita usuário e senha em uma página falsa, depois informa o código recebido por SMS ou app. Em alguns ataques, o criminoso usa esse código imediatamente para entrar na conta real.
Por isso, a regra mudou: não basta procurar erro de português. Uma mensagem perfeita também pode ser golpe. O critério principal deve ser o canal. Se o contato chegou por link, mensagem avulsa ou ligação inesperada, a verificação precisa ser feita fora daquele contato, sempre pelo app oficial ou telefone conhecido.
O golpe da falsa central continua forte
Entre os golpes mais perigosos para dados bancários está a falsa central de atendimento. A vítima recebe uma ligação dizendo que houve compra suspeita, invasão na conta, tentativa de Pix ou necessidade de atualização de segurança. O falso atendente fala com calma, usa termos bancários e orienta a vítima a “proteger” a conta.
Na verdade, cada orientação abre uma nova porta para o criminoso. Ele pode pedir código de verificação, orientar instalação de aplicativo de acesso remoto, solicitar confirmação no app ou convencer a vítima a transferir dinheiro para uma “conta segura”.
A Febraban mantém orientações sobre golpes financeiros e reforça um ponto essencial: bancos não pedem senha, token ou código de segurança por telefone. Também não solicitam instalação de aplicativos de acesso remoto para resolver problema em conta.
Pix, boletos e malware bancário: o risco vai além da conversa
Nem todo golpe depende apenas de convencer a vítima por conversa. Em alguns casos, há malware envolvido. O malware é um programa malicioso que pode monitorar o computador ou celular, capturar informações, alterar dados copiados e até interferir em transações.
Em 2026, a Kaspersky alertou sobre a evolução do trojan bancário GoPix no Brasil, com técnicas para redirecionar Pix de empresas, boletos e pagamentos com criptomoedas. O caso mostra que o golpe bancário moderno pode misturar anúncio falso, página clonada, infecção e manipulação de pagamento.
Outro exemplo é o Maverick, também documentado pela Securelist Brasil, distribuído por WhatsApp em campanha voltada a brasileiros. Esse tipo de ameaça mostra que o usuário pode estar no ambiente legítimo do banco, mas com o dispositivo comprometido por fora.
Por isso, baixar arquivos recebidos por mensagem, instalar programas fora de lojas oficiais ou clicar em anúncios suspeitos pode ser tão perigoso quanto informar uma senha. A fraude pode começar antes mesmo de a vítima abrir o aplicativo bancário.
Por que o Brasil é um alvo atraente
O Brasil combina três fatores que interessam a golpistas: uso intenso de celular, alta adoção de Pix e grande volume de dados pessoais já expostos em vazamentos anteriores. Isso cria terreno fértil para abordagens personalizadas.
Quando um criminoso usa nome completo, CPF parcial, cidade, banco, endereço antigo ou informação de compra, a vítima tende a pensar: “se ele sabe isso, deve ser verdade”. Mas dados pessoais podem circular em bases vazadas, cadastros antigos, redes sociais, grupos criminosos e mercados clandestinos.
Além disso, a rotina financeira ficou rápida. Muitas pessoas pagam, transferem, investem, contratam crédito e resolvem problemas pelo celular. A conveniência é enorme, mas a pressa também favorece erros. Golpes com IA exploram exatamente esse intervalo entre a mensagem recebida e a checagem racional.
Os sinais de alerta que mais aparecem
Mesmo com IA, muitos golpes ainda deixam pistas. A diferença é que as pistas ficaram menos óbvias. Em vez de procurar apenas erros de linguagem, o usuário precisa observar comportamento, pressão e contexto.
| Sinal | Como aparece | O que fazer |
|---|---|---|
| Urgência | “Faça agora ou sua conta será bloqueada” | Pare, feche a mensagem e entre pelo app oficial |
| Pedido de código | Solicitação de SMS, token, OTP ou confirmação no app | Nunca informe códigos fora do ambiente oficial |
| Link externo | URL encurtada, domínio estranho ou página parecida com banco | Não clique; digite o endereço oficial ou abra o app |
| Pedido de segredo | “Não fale com ninguém” ou “não desligue a chamada” | Desligue e procure o canal oficial |
| Voz familiar sob pressão | Parente ou chefe pedindo dinheiro com urgência | Confirme por outro canal e use palavra de segurança |
| Instalação de app | Suposto suporte pede acesso remoto ou atualização fora da loja oficial | Não instale; bancos não resolvem conta por acesso remoto solicitado por ligação |
Autenticação em duas etapas ainda ajuda?
Ajuda, mas depende do tipo. Autenticação em duas etapas por SMS é melhor do que usar apenas senha, mas não é a forma mais resistente contra phishing. Se a vítima digita o código em uma página falsa, o criminoso pode usar esse código na hora.
A CISA, agência de segurança cibernética dos Estados Unidos, recomenda autenticação resistente a phishing, como métodos baseados em FIDO/WebAuthn, chaves de segurança e passkeys. Esses métodos reduzem o risco porque vinculam a autenticação ao site ou serviço legítimo.
Para o usuário comum, a orientação prática é ativar o melhor método disponível. Se o banco oferecer passkey, biometria no dispositivo, confirmação in-app com contexto da transação ou chave de segurança, vale preferir essas opções. Se só houver SMS, ainda é melhor do que nada, mas exige atenção redobrada para não informar o código a terceiros.
Biometria não é senha mágica
Muita gente acredita que biometria resolve tudo. Não resolve. Impressão digital, rosto e voz são úteis, mas não devem ser tratados como segredo absoluto. Ao contrário de uma senha, a biometria não pode ser simplesmente “trocada” se for comprometida.
O NIST, referência técnica em identidade digital, afirma nas diretrizes SP 800-63B-4 que comparação biométrica por voz não deve ser usada. O documento também reforça a necessidade de proteção contra ataques de apresentação, especialmente em reconhecimento facial.
Na prática, biometria funciona melhor como parte de um conjunto: dispositivo confiável, senha forte, confirmação contextual, prova de vida, análise de comportamento e monitoramento de risco. Sozinha, ela pode ser contornada por fraude documental, deepfake, engenharia social ou falhas no processo de recuperação de conta.
O que fazer para proteger seus dados bancários
A defesa mais eficiente é simples na teoria e exigente na prática: reduzir exposição, desconfiar de urgência, confirmar por canal oficial e não entregar códigos. Segurança digital é menos sobre paranoia e mais sobre rotina.
- Use o app oficial: quando receber alerta sobre banco, feche a mensagem e abra o aplicativo manualmente.
- Nunca informe códigos: SMS, token, OTP, senha e link de confirmação não devem ser compartilhados.
- Ative o melhor MFA disponível: prefira passkeys, biometria local e confirmação in-app quando o serviço oferecer.
- Evite acesso remoto: não instale aplicativos de controle do celular ou computador a pedido de atendente.
- Atualize celular e apps: correções de segurança fecham falhas exploradas por criminosos.
- Reduza exposição pública: evite publicar rotina, dados pessoais, documentos, viagens e detalhes financeiros.
- Crie palavra de segurança: combine com familiares uma frase para confirmar pedidos urgentes por ligação ou áudio.
- Revise limites: reduza limites de Pix e cartões para valores compatíveis com sua rotina.
Essas medidas não eliminam todos os riscos, mas reduzem bastante a chance de um golpe virar prejuízo. O objetivo é criar barreiras. Se uma falhar, outra ainda pode impedir o ataque.
Como agir se cair em um golpe
Se a fraude aconteceu, os primeiros minutos importam. O ideal é agir rápido, registrar tudo e acionar os canais corretos. Não apague conversas, comprovantes, números, áudios ou links. Esses dados podem ajudar na análise do banco e no registro policial.
Em caso de Pix, o Banco Central orienta que a vítima registre o pedido de devolução pelo Mecanismo Especial de Devolução, o MED, na própria instituição financeira em até 80 dias da data da transação, quando se tratar de fraude, golpe ou crime.
Também vale usar recursos oficiais de proteção de identidade. O BC Protege+, do Banco Central, funciona como camada adicional contra fraudes de identidade no Sistema Financeiro Nacional, ajudando a evitar abertura de contas ou inclusão de titularidade sem conhecimento da pessoa.
- Bloqueie cartões e acessos: use o app oficial ou telefone do banco para bloquear conta, cartão e sessões ativas.
- Avise o banco: informe horário, valor, destinatário, número usado no golpe e o caminho da fraude.
- Peça o MED no caso de Pix: registre a contestação o quanto antes pela instituição financeira.
- Troque senhas: priorize e-mail, banco, redes sociais e serviços usados para recuperação de conta.
- Registre boletim de ocorrência: guarde protocolo, prints, áudios, comprovantes e links.
- Monitore seu CPF: verifique abertura de contas, empréstimos, cartões e movimentações desconhecidas.
Importante: em golpe com Pix, não espere “ver se o dinheiro volta”. Acione o banco imediatamente e peça análise pelo MED. Quanto mais cedo a instituição for avisada, melhor.
Como bancos e fintechs estão reagindo
Bancos e fintechs passaram a investir em defesa em camadas. Isso inclui biometria, análise de comportamento, confirmação dentro do aplicativo, monitoramento de dispositivo, bloqueio de transações suspeitas, inteligência antifraude e comunicação educativa.
O problema é que o criminoso também se adapta. Se o banco melhora a senha, o fraudador tenta enganar a pessoa para entregar o código. Se o banco exige confirmação no app, ele pressiona a vítima a aprovar. Se o banco usa biometria, ele tenta explorar recuperação de conta, documento falso ou engenharia social.
Por isso, a proteção não pode depender apenas do usuário nem apenas da tecnologia. O sistema mais seguro combina produto bem desenhado, autenticação forte, limites transacionais, análise de risco e educação clara. Avisos confusos, mensagens técnicas demais e fluxos apressados ajudam o criminoso.
O novo risco para empresas: funcionário enganado por IA
Empresas também estão na mira. Golpes de comprometimento de e-mail corporativo, conhecidos como BEC, podem usar IA para imitar executivos, fornecedores, escritórios de advocacia ou departamentos financeiros. O objetivo é convencer alguém a pagar uma fatura falsa, alterar dados bancários de fornecedor ou aprovar uma transferência urgente.
Com deepfake de voz e vídeo, o risco cresce em reuniões, mensagens de áudio e chamadas internas. Um pedido vindo de “alguém conhecido” pode passar por cima de controles informais. Por isso, empresas precisam ter regras claras para pagamentos, especialmente quando há urgência, mudança de conta ou pedido fora do fluxo normal.
A melhor defesa não é tentar adivinhar se o vídeo é falso. É criar processo: dupla aprovação, confirmação por canal independente, limite por valor, registro formal, validação de fornecedor e proibição de transferências sensíveis baseadas apenas em mensagem ou ligação.
Prompt injection: quando a IA também pode ser enganada
O risco não está apenas em golpes contra pessoas. Sistemas com IA também podem ser alvo. Um exemplo é o prompt injection, técnica em que comandos maliciosos são escondidos em documentos, páginas ou mensagens para tentar manipular o comportamento de um modelo de linguagem.
Em 2026, o Superior Tribunal de Justiça informou tentativas de uso de prompt injection em documentos, com comandos inseridos de forma invisível ao olho humano para tentar interferir em sistemas de IA. O caso foi neutralizado pelas camadas de segurança do tribunal, mas mostra que a ameaça já chegou a ambientes institucionais brasileiros.
Para bancos, escritórios, empresas e órgãos públicos, isso abre uma frente nova. Se uma IA lê e-mails, PDFs, contratos, mensagens ou documentos externos, ela precisa ser protegida contra instruções escondidas. Caso contrário, um arquivo aparentemente normal pode tentar induzir o sistema a ignorar regras, revelar dados ou executar ações indevidas.
O que muda na educação do usuário
Durante muito tempo, campanhas de segurança diziam para observar erros de português, links estranhos e remetentes suspeitos. Isso continua útil, mas ficou insuficiente. Um golpe com IA pode escrever bem, falar bem e parecer educado.
A educação do usuário precisa mudar de foco. Em vez de ensinar apenas a identificar aparência ruim, é preciso ensinar a validar processo. A pergunta não deve ser “a mensagem parece verdadeira?”, mas sim “esse canal é o canal correto para esse pedido?”.
Se alguém pede código, não importa se a voz é bonita. Se alguém pede Pix com urgência, não importa se o texto está bem escrito. Se alguém pede instalação de app remoto, não importa se o atendente parece técnico. O processo está errado.
Checklist rápido para não cair em golpe com IA
| Situação | Risco | Resposta segura |
|---|---|---|
| Banco liga falando de fraude | Falsa central | Desligue e ligue para o número oficial do cartão ou abra o app |
| Parente manda áudio pedindo dinheiro | Voz clonada | Confirme por outro canal e use palavra de segurança |
| Mensagem pede código SMS | Roubo de autenticação | Não informe; códigos são pessoais |
| Anúncio leva para página de banco | Phishing por anúncio falso | Não clique; acesse digitando o endereço oficial ou pelo app |
| Atendente pede app de acesso remoto | Controle do dispositivo | Recuse e encerre o contato |
| Pix para “conta segura” | Transferência autorizada por golpe | Não existe conta segura indicada por atendente em ligação suspeita |
O futuro dos golpes com IA
Os golpes devem ficar mais personalizados. A tendência é que criminosos combinem dados vazados, automação, voz sintética, páginas falsas, anúncios maliciosos e atendimento por bots. Também deve crescer o uso de agentes de IA para automatizar partes do golpe, como criação de roteiros, resposta a vítimas e adaptação de mensagens.
Ao mesmo tempo, bancos, empresas de segurança e reguladores vão aumentar controles. Passkeys, confirmação in-app, análise comportamental, detecção de deepfake, monitoramento de contas-mula e regras mais duras para instituições de pagamento devem ganhar espaço.
Mas a disputa não será vencida apenas com tecnologia. O ponto fraco continuará sendo a decisão humana sob pressão. O criminoso quer que a vítima aja antes de pensar. A defesa começa quando a pessoa faz o contrário: pausa, verifica e só então decide.
O alerta que não dá para ignorar
Golpes com IA não são ficção distante. Eles já aparecem em mensagens, ligações, vídeos, anúncios, malwares e páginas falsas. O risco para dados bancários cresce porque a fraude ficou mais convincente justamente no ponto mais sensível: a confiança.
A melhor defesa em 2026 é combinar tecnologia com hábito. Use autenticação forte, mantenha aplicativos atualizados, desconfie de urgência, confirme pedidos por canais oficiais e nunca entregue códigos. Em caso de dúvida, pare. A pausa pode ser a diferença entre reconhecer um golpe e autorizar o próprio prejuízo.
Para quem usa Pix com frequência, também vale reforçar hábitos básicos de segurança e revisar limites no aplicativo do banco. O guia sobre segurança do Pix ajuda a entender como pequenas decisões no dia a dia podem reduzir riscos em transferências instantâneas.
Para levar: se uma mensagem, ligação ou vídeo pede pressa, segredo, código ou dinheiro, trate como suspeito. Em golpe com IA, parecer real não significa ser real.


