Falar com Consultor
Falar com Consultor

Golpes Digitais Cresceram 65% no Brasil e a IA Virou a Principal Arma dos Criminosos — Veja Como se Proteger

R$ 29 bilhões em prejuízo com Pix e boletos. 4.600 tentativas de fraude por hora. Uso de deepfakes em golpes cresceu 830% em um ano. Os números de 2026 mostram que o crime digital no Brasil deixou de ser risco eventual para se tornar risco contínuo — e a inteligência artificial está no centro dessa mudança. Este artigo explica como os golpes funcionam hoje, quem são os alvos e o que empresas e pessoas podem fazer de concreto para se proteger.

TECNOLOGIA E SEGURANÇA DA INFORMAÇÃODIREITO DIGITAL

SecSirius - Desenvolvido com Auxilio de IA

6/2/20268 min read

Introdução

Existe uma diferença importante entre saber que golpes digitais existem e entender o tamanho real do problema. Os dados de 2026 fazem essa diferença com clareza.

Entre julho de 2024 e junho de 2025, os golpes envolvendo Pix e boletos causaram R$ 29 bilhões em prejuízo no Brasil. A perda média por vítima foi de R$ 6.311. O país registrou cerca de 4.600 tentativas de fraude digital por hora — o equivalente a uma nova tentativa a cada menos de um segundo. O volume de golpes cresceu 65% em um único ano. E o uso de deepfakes — vídeos, áudios e imagens falsos gerados por inteligência artificial — em fraudes cresceu 830% no mesmo período.

Esses não são números de tendência ou projeção. São dados apurados e publicados por instituições como o Fórum Brasileiro de Segurança Pública, a Serasa Experian e a Febraban em relatórios divulgados ao longo de 2025 e 2026.

O que eles revelam é uma mudança estrutural: o crime digital brasileiro deixou de ser uma ameaça episódica — "cuidado com e-mails suspeitos" — e se tornou uma indústria organizada, com divisão de tarefas, uso intensivo de tecnologia e escala industrial. E a inteligência artificial acelerou tudo isso de forma dramática.

Como a IA mudou o jogo para os criminosos

Durante anos, o principal obstáculo para um golpista convencer alguém era a qualidade da abordagem. Uma mensagem com erros de português, um áudio com voz robótica, um perfil falso com foto genérica de banco de imagem — todos sinais que o usuário mais atento conseguia identificar.

A IA generativa eliminou boa parte desses sinais.

Hoje, um criminoso com acesso a ferramentas acessíveis — muitas delas gratuitas ou de baixo custo — consegue:

Clonar a voz de uma pessoa a partir de poucos segundos de áudio real. O áudio gerado é indistinguível do original para a grande maioria dos ouvintes, incluindo familiares próximos.

Criar um vídeo de chamada com o rosto e as expressões de alguém, em tempo real, substituindo a imagem do criminoso durante uma videochamada.

Gerar mensagens de texto perfeitamente escritas, no tom exato de uma empresa, banco ou pessoa específica, sem nenhum erro gramatical ou inconsistência de estilo.

Montar perfis falsos completos — com fotos, histórico de postagens, conexões sociais — em questão de minutos.

O resultado prático disso está nos números. O chamado "Golpe do CEO 2.0" — em que o criminoso clona a voz do dono de uma empresa para instruir funcionários a realizar transferências — causou R$ 1,2 bilhão em prejuízo às empresas brasileiras só em 2025, segundo o Observatório de Cibersegurança da Febraban. O FBI registrou crescimento de 400% entre 2024 e 2026 nos ataques de comprometimento de e-mail empresarial que usam áudio deepfake para autorizar transações.

O Brasil é especialmente vulnerável a esse tipo de golpe por um motivo cultural específico: o WhatsApp é o canal oficial de comunicação empresarial para milhões de negócios, especialmente PMEs. Quando o "dono da empresa" manda um áudio pelo WhatsApp pedindo uma transferência urgente, o funcionário não questiona — é o canal que sempre usou para falar com ele.

Os golpes que mais causam prejuízo em 2026

O panorama de fraudes digitais no Brasil em 2026 não é uniforme. Cada modalidade tem perfil de vítima, valor médio de prejuízo e mecanismo de execução distintos. Conhecer as principais ajuda a identificar os riscos antes que eles se materializem.

Golpe de investimento falso — Prejuízo médio entre R$ 15 mil e R$ 50 mil por vítima. É o mais devastador financeiramente. Funciona com a criação de plataformas falsas de investimento que mostram rentabilidade crescente por semanas, incentivando aportes maiores, até que o acesso é bloqueado e o dinheiro desaparece. Em 2026, deepfakes de figuras públicas e influenciadores endossando essas plataformas são comuns.

Golpe da conta PJ — Prejuízo médio entre R$ 10 mil e R$ 30 mil. Direccionado a empresas. O criminoso se passa por fornecedor, parceiro ou funcionário, solicita mudança de dados bancários e redireciona pagamentos legítimos para contas fraudulentas. Com 65% dos valores desviados em golpes digitais sendo direcionados a contas PJ, esse padrão mostra que o crime organizado prefere atacar empresas.

Falso suporte bancário — Prejuízo médio entre R$ 5 mil e R$ 20 mil. O criminoso liga se passando por funcionário do banco, informa que a conta está comprometida e conduz a vítima a "resolver o problema" — que na prática significa transferir dinheiro para uma conta do golpista. Em 2026, essas ligações chegam com número do banco spoofado e voz sintetizada por IA que imita o tom formal dos atendentes reais.

Clonagem de WhatsApp — Prejuízo médio entre R$ 300 e R$ 3 mil, mas impacto em escala enorme. O criminoso acessa a conta da vítima, assume a identidade e pede dinheiro a toda a lista de contatos simultaneamente. Para uma PME, a conta do WhatsApp Business é o principal canal de vendas — perder o acesso por horas ou dias é um dano que vai além do financeiro.

Phishing e smishing — Mensagens falsas por e-mail, SMS ou WhatsApp que imitam bancos, Receita Federal, Correios, operadoras de cartão. Em 2026, o nível de personalização aumentou: os criminosos usam dados vazados para incluir nome completo, CPF parcial e referências a transações reais, tornando a mensagem extremamente convincente.

O problema do dado vazado como matéria-prima

Para entender por que os golpes ficaram tão mais precisos, é preciso entender o papel dos vazamentos de dados.

O Brasil acumulou nos últimos anos alguns dos maiores vazamentos de dados da história — incluindo o vazamento de 2021 que expôs CPF, nome, endereço, telefone, e-mail e histórico financeiro de mais de 220 milhões de brasileiros. Esse dado circula na dark web, é comercializado em grupos do Telegram e é comprado por quadrilhas especializadas em fraude.

O criminoso que quer aplicar um golpe hoje não precisa inventar nada. Ele compra uma base, filtra por perfil de renda e localização, personaliza a abordagem com os dados disponíveis e dispara em escala. Com IA generando o texto e clonando a voz, a barreira técnica caiu ao ponto em que quadrilhas amadores conseguem operar com nível de sofisticação que antes exigia expertise técnica.

Para empresas, isso significa que dados de clientes, fornecedores e funcionários que vazaram há anos ainda estão sendo ativamente usados para montar golpes hoje. A proteção de dados não é só obrigação legal — é gestão de risco operacional direto.

O que a legislação diz — e o que ela ainda não resolve

O arcabouço legal brasileiro para crimes digitais evoluiu nos últimos anos. A Lei 14.155/2021 endureceu as penas para invasão de dispositivos, furto e estelionato eletrônico — o estelionato digital, que inclui o golpe do Pix, tem pena de reclusão de 4 a 8 anos. O Marco Civil da Internet, a LGPD e os decretos 12.975 e 12.976 de maio de 2026 reforçaram a responsabilidade das plataformas.

O Banco Central mantém o Mecanismo Especial de Devolução (MED) — uma ferramenta que permite o bloqueio e reversão de transações Pix identificadas como fraudulentas, desde que acionado rapidamente. Agir nas primeiras horas após perceber o golpe é determinante para a recuperação dos valores.

O que a legislação ainda não resolve completamente é a velocidade da investigação. Crimes digitais deixam rastros, mas esses rastros desaparecem: logs de acesso, endereços IP e registros de transação têm prazos de guarda limitados. O criminoso que atua com contas laranjas, VPNs e cartões pré-pagos consegue criar camadas de dificuldade que tornam a investigação demorada e, em muitos casos, infrutífera sem ação jurídica imediata.

A responsabilização das plataformas também continua em debate. Com os novos decretos, a lógica de "falha sistêmica" abre espaço para acionar judicialmente plataformas que tenham permitido a operação de golpistas de forma sistemática — mas isso ainda depende de desenvolvimento jurisprudencial.

O que empresas precisam fazer agora

Para PMEs e empresas de qualquer porte, o cenário de 2026 exige ações concretas — não apenas política de senha e antivírus.

Estabeleça um protocolo de verificação para transferências. Nenhuma transferência acima de um valor definido deve ser autorizada por um único canal, especialmente WhatsApp. Crie a regra de "confirmação em dois canais": se a instrução veio por WhatsApp, confirme por ligação direta ao número cadastrado — não ao número que enviou a mensagem.

Treine sua equipe para os golpes atuais. Os funcionários que mais caem em golpes corporativos não são os menos inteligentes — são os que nunca viram uma demonstração de como um deepfake funciona. Mostrar como um áudio de voz pode ser clonado a partir de trinta segundos de gravação muda completamente a percepção de risco.

Revise quem tem acesso ao quê. Princípio do menor privilégio: cada funcionário deve ter acesso apenas aos sistemas e dados que precisa para sua função. Uma conta comprometida com acesso amplo é muito mais destrutiva do que uma com acesso restrito.

Monitore vazamentos de dados da sua empresa. Existem ferramentas que alertam quando e-mails ou domínios corporativos aparecem em bases vazadas. Saber que dados foram comprometidos permite agir antes que eles sejam usados em engenharia social direcionada à sua equipe.

Tenha um plano de resposta a incidentes. Saber o que fazer nas primeiras horas após um golpe — quem acionar no banco, como registrar o BO, como acionar o MED do Banco Central — pode ser determinante para recuperar valores. Empresas que improvisam essa resposta perdem tempo crítico.

O que fazer se você já foi vítima

Se o golpe já aconteceu, a velocidade da resposta é o fator mais importante.

Para fraudes via Pix, acione imediatamente o banco para registrar a transação como suspeita e solicitar o bloqueio pelo MED — o prazo de efetividade desse mecanismo é medido em horas. Registre boletim de ocorrência na delegacia de crimes cibernéticos do seu estado, presencialmente ou pelo portal online. Preserve todas as evidências: prints de conversas, e-mails, comprovantes, URLs, números de telefone — qualquer rastro digital tem valor probatório.

Se o golpe envolveu uma plataforma digital que demorou a agir após denúncia, os novos decretos de 2026 reforçam a base para responsabilização civil. Consulte um advogado especialista em direito digital — a janela de prescrição para crimes dessa natureza começa a correr a partir do momento em que você identifica o autor, e o prazo é de seis meses para a maioria dos crimes contra a honra digital.

Conclusão

Os números de 2026 não deixam margem para subestimar o problema. R$ 29 bilhões em prejuízo. 65% de crescimento em um ano. 830% de aumento no uso de deepfakes em fraudes. Esses dados descrevem um ecossistema criminoso que amadureceu tecnologicamente no mesmo ritmo que as ferramentas de IA se tornaram acessíveis — e que encontrou no Brasil um terreno especialmente fértil, dada a combinação de alta bancarização digital, uso massivo de Pix e WhatsApp, e histórico de grandes vazamentos de dados.

A resposta para esse cenário não é o medo paralisante, mas a preparação sistemática. Protocolos claros, equipes treinadas, dados protegidos e resposta ágil a incidentes são a diferença entre uma empresa que absorve um golpe sem grandes danos e uma que sofre consequências financeiras e reputacionais duradouras.

A SecSirius trabalha exatamente nesse ponto de interseção entre segurança digital e operação de negócios. Se você quer entender os riscos reais da sua empresa e montar uma estratégia de proteção adequada ao seu porte e setor, fale com a nossa equipe.

Fontes

  • Fórum Brasileiro de Segurança Pública — Anuário Brasileiro de Segurança Pública 2025forumseguranca.org.br

  • Gutemberg Amorim — Golpes Digitais em 2026: Panorama e Plano de Ação Jurídicogutembergamorim.com.br

  • Febraban / Observatório de Cibersegurança — Golpe do CEO 2.0 e deepfakes corporativosfebraban.org.br

  • Serasa Experian — Relatório de Identidade e Fraude 2026serasa.com.br

  • Correio Braziliense — Perdas com deepfake custam US$ 2 bilhõescorreiobraziliense.com.br

  • CNN Brasil — Golpe do amor cresce com IA e causa bilhões em prejuízo; relatório Febraban Tech 2026cnnbrasil.com.br

  • Estado de Minas — Fraudes digitais com IA desafiam segurança no Brasilem.com.br

  • TI Inside — Phishing, deepfakes e IA autônoma: os golpes que já estão moldando 2026tiinside.com.br

  • Kronoos — Qual a tendência de fraudes digitais para 2026?kronoos.com

  • RC Advocacia — Crimes Digitais em 2026: Como Denunciarribeirocavalcante.com.br

Publicado por SecSirius Tecnologia Digital — Marketing Digital & Cibersegurança para empresas que querem crescer com estratégia.

SecSIRIUS

Tecnologia Digital que une inovação e resultados para fazer seu negócio crescer de forma segura e sustentável.

Informações

redes sociais

SecSIRIUS Tecnologia Digital

CNPJ: 62.293.719/0001-15

São Paulo, SP

© 2026 SecSIRIUS Tecnologia Digital. Todos os direitos reservados.

Fale Conosco