Information Security

Uma voz familiar já não é prova

A voz e o vídeo deepfake já aprovam transferências reais, e a fraude do CEO atinge cerca de 400 empresas por dia. A solução é redesenhar controlos, não comprar software.

Por Leon Soliman · 2026-06-25 · 2 min de leitura

Pontos principais

A voz sintética é hoje a forma mais usada como arma na fraude por deepfake, e um clone utilizável precisa apenas de alguns segundos de áudio de uma teleconferência de resultados pública, de uma palestra ou de um podcast.
A personificação de executivos já gera cerca de um quarto das perdas por fraude com deepfake, e as imitações de CEO e CFO visam, segundo relatos, cerca de 400 empresas por dia.
As perdas não são pequenas. As grandes empresas perdem em média 680.000 dólares por ataque, e uma equipa financeira aprovou 25 milhões de dólares em 15 transferências após uma videochamada totalmente falsa.
A maioria das defesas ainda não existe. Quase dois terços das organizações não gastaram nada em defesa contra deepfakes, e apenas uma pequena fração tem um plano de resposta formal.

Os seus controlos ainda confiam numa voz

A maioria dos processos de aprovação de pagamentos foi concebida em torno de um pressuposto simples. Uma voz familiar ao telefone, ou um rosto reconhecido numa videochamada, era tratada como prova de que o pedido era real. Durante décadas esse pressuposto manteve-se, porque falsificar qualquer um deles era difícil, lento e caro.

Isso já não é verdade. Um clone de voz convincente pode ser construído a partir de poucos segundos de áudio que os seus executivos já publicaram em teleconferências de resultados, palestras em conferências e entrevistas. Os deepfakes de vídeo em tempo real passam agora pelas ferramentas de reunião comuns. O controlo que protegia a sua tesouraria nunca foi a tecnologia. Era a dificuldade da personificação, e essa dificuldade desapareceu.

O ataque visa o processo, não o software

A personificação de executivos representa hoje cerca de um quarto das perdas por fraude com deepfake, e o método é consistente. Alguém na área financeira recebe um pedido urgente que parece vir de um líder sénior, por vezes durante uma chamada ao vivo em que cada rosto no ecrã é sintético. A pressão é a autoridade e o tempo, não uma firewall comprometida.

É por isso que as ferramentas de deteção, por si só, não resolvem o problema. A fraqueza está no fluxo de trabalho que permite a uma pessoa mover dinheiro com base numa voz reconhecida. Num caso, um colaborador financeiro libertou 25 milhões de dólares em 15 transferências separadas após uma única videoconferência falsa. Não houve malware envolvido. O processo fez exatamente aquilo para que foi criado.

Reconstruir a autorização em torno da verificação

A solução é organizacional, e nada glamorosa. A autoridade de pagamento nunca deve assentar numa voz ou num rosto. Qualquer transferência acima de um limite definido precisa de confirmação por um canal separado, de um segundo aprovador que não estava na chamada original, e de um número de retorno conhecido que o solicitante nunca fornece.

Nada disto exige software novo, e é esse o ponto. Exige uma regra escrita que se mantenha sob pressão, inclusive quando a pessoa na chamada soa exatamente como o seu diretor executivo. As empresas que permanecem seguras serão aquelas que decidiram, com antecedência, que a urgência não é razão para saltar um passo.

Leia a seguir: A IA Sombra É a Sua Próxima Violação · O conteúdo da sua IA pode levar a empresa a tribunal

Perguntas frequentes

O software de deteção de deepfakes pode travar isto?

Ajuda, mas não é o controlo principal. A deteção fica atrás das ferramentas usadas para criar as falsificações, e não pode correr em todas as chamadas telefónicas. A defesa fiável é um processo de pagamento que exija verificação independente, fora da banda, por mais convincente que o pedido pareça.

Isto é apenas um risco para as grandes empresas?

Não. As empresas de média dimensão e as familiares são alvos atrativos precisamente porque costumam ter uma aprovação direta, baseada na confiança, entre os líderes e a área financeira. Alguns segundos do áudio público de um proprietário bastam para começar, e as empresas mais pequenas raramente têm um plano de resposta formal.

A voz em que confia é agora a coisa mais fácil de falsificar. As empresas que sobreviverem a isto não serão as que têm a melhor deteção. Serão aquelas cujas pessoas foram autorizadas a abrandar e a verificar, mesmo quando o chefe estava na linha.

Deepfake CEO Fraud Information Security Payment Fraud Risk Management Mittelstand

Mais do Servola Journal

AI Governance

A IA Sombra É a Sua Próxima Violação

2026-06-25 · 3 min de leitura

Ler o artigo →

Risk Management

O conteúdo da sua IA pode levar a empresa a tribunal

2026-06-25 · 2 min de leitura

Ler o artigo →

Infrastructure

A energia e o novo limite da IA

2026-06-25 · 3 min de leitura

Ler o artigo →

Servola

A Servola ajuda proprietários e equipas financeiras a redesenhar a autorização de pagamentos para que um deepfake não possa aprovar uma transferência, em alemão e inglês.

Solicitar uma apresentação privada Sobre a Servola →

A Servola é aconselhamento tecnológico para um pequeno número de famílias e family offices. Quando uma decisão não pode ser delegada, sentamo-nos do seu lado da mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos os artigos