Governos e empresas precisam criar estruturas de confiança digital diante da escalada de fraudes sintéticas, clonagem de identidade e campanhas automatizadas de desinformação.
A falsificação de identidade digital deixou de ser um problema técnico para se tornar um modelo de negócio. O deepfake como serviço — oferta de ferramentas de clonagem de voz, geração de vídeo sintético e personificação de executivos como serviço contratável, com preço acessível, interface simples e escala automatizada — converge com um fenômeno mais amplo que o Gartner nomeia como Disinformation-as-a-Service (DaaS): a industrialização da desinformação como vetor de ataque. O crime organizou uma cadeia de fornecimento antes que as empresas organizassem uma cadeia de defesa.
Os dados de 2025 e 2026 convergem para o mesmo diagnóstico. Uma pesquisa do Gartner com 302 líderes de cibersegurança, publicada em setembro de 2025, registrou que 62% das organizações sofreram ao menos um ataque de deepfake nos 12 meses anteriores: 43% em chamadas de áudio, 37% em videoconferências. O mesmo Gartner projeta que menos de 5% das empresas investem hoje em segurança contra desinformação, com previsão de que esse número chegue a 50% até 2027. O intervalo entre os dois pontos mede o tamanho da janela de exposição.
O modelo de negócio do atacante
DaaS representa a commoditização de uma capacidade que, até meados da década passada,exigia infraestrutura computacional cara e conhecimento técnico especializado. A queda de custo das ferramentas de IA Generativa transferiu essa capacidade para operadores sem formação técnica avançada. Hoje, ataques que antes demandavam semanas de preparação são executados em horas.
A cadeia de ataque padrão combina três elementos: coleta automatizada de dados públicos sobre o alvo (LinkedIn, redes sociais, registros corporativos), geração de conteúdo sintético convincente (voz clonada, vídeo manipulado, e-mail com tom calibrado ao histórico de comunicação do executivo) e engenharia social direcionada a funcionários com autorização para mover recursos ou acessar sistemas. O resultado são ataques que contornam controles técnicos sem precisar quebrá-los.
A estrutura de preços do mercado DaaS reflete a maturidade do modelo. Levantamento da empresa de cibersegurança Group-IB publicado em janeiro de 2026 registrou que desenvolvedores cobram entre US$ 10 e US$ 50 por serviço de criação de imagem deepfake,enquanto identidades sintéticas prontas para uso chegam a US$ 15. Serviços de clonagem de voz custam entre US$ 0,01 e US$ 0,20 por minuto. No segmento de vídeo em alta qualidade, usado em ataques corporativos direcionados, o preço ainda alcança US$ 10.000 a US$ 20.000 por minuto,mas a queda em relação a 2022 é substancial o suficiente para expandir o perfil do atacante além de grupos com recursos avançados.
O impacto financeiro do modelo já é mensurável. O Deloitte Center for Financial Services projeta que fraudes viabilizadas por IA Generativa nos Estados Unidos chegarão a US$ 40 bilhões anuais até 2027, ante US$ 12,3 bilhões em 2023, crescimento anual composto de 32%. A projeção cobre o espectro de fraudes por IA, do qual deepfakes são componente central, com foco no setor financeiro americano. O caso mais documentado do período é o da Arup, empresa britânica de engenharia: em janeiro de 2024, um funcionário da filial em Hong Kong foi induzido por deepfakes de colegas e do CFO, exibidos em videoconferência, a executar 15 transferências totalizando US$ 25,6 milhões. A polícia de Hong Kong relatou o caso em fevereiro; a Arup o confirmou publicamente em maio, declarando que vozes e imagens falsas foram usadas. Os fundos permanecem irrecuperados.
O Gartner projeta que agentes de IA reduzirão pela metade o tempo necessário para executar ataques de roubo de contas até 2027, automatizando etapas que hoje ainda dependem de operação humana, incluindo o uso de voz sintética para comprometer canais de autenticação. A janela de resposta das organizações está encolhendo antes que a estrutura de defesa exista.
O Brasil como mercado prioritário
Um levantamento da Veriff em parceria com a Kantar, conduzido em fevereiro de 2026 com mil brasileiros e publicado em maio do mesmo ano, registrou que 80% dos entrevistados já encontraram deepfakes online, índice significativamente superior aos aproximadamente 60% observados nos Estados Unidos e no Reino Unido. A taxa de detecção correta de vídeos manipulados ficou em 29%, desempenho estatisticamente próximo ao acaso. O intervalo entre exposição e capacidade de identificação é o maior registrado entre os três países pesquisados.
Segundo Andrea Rozenberg, diretora de mercados emergentes da Veriff, um ponto que chama atenção no Brasil é a diferença entre confiança e acerto. “Cerca de metade das pessoas acredita que consegue identificar deepfakes.
No Brasil, a familiaridade conceitual com o termo deepfake é moderada, situando-se em 67%. O problema é que alta exposição sem compreensão não reduz o risco. Pelo contrário: amplifica. Se você encontra mídia manipulada constantemente, mas não tem uma boa compreensão quanto à tecnologia por trás dela, significa que ainda está muito vulnerável.
Pior: 59% dos entrevistados afirmam já ter criado imagens ou vídeos com IA, a maior taxa entre os países do estudo. Alta produção de conteúdo sintético e baixa capacidade de detecção coexistem no mesmo perfil demográfico. A familiaridade com ferramentas de geração não se traduz em reconhecimento de conteúdo manipulado.
No plano institucional, a LC SEC, especializada em cibersegurança, registrou crescimento de 308% em conteúdos falsos gerados com IA no Brasil e de 126% em fraudes com deepfakes em 2025. O país concentrava, naquele ano, aproximadamente 39% dos deepfakes detectados na América Latina. O Tribunal Superior Eleitoral respondeu em março de 2026 com regulação aprovada para as eleições de outubro: obrigatoriedade de rotulagem de conteúdo sintético e proibição de publicar, republicar ou impulsionar conteúdo sintético nas 72 horas anteriores e nas 24 horas posteriores ao pleito. A medida endereça o risco eleitoral. O risco corporativo segue sem equivalente regulatório no país.
O vácuo organizacional
O problema do deepfake corporativo não tem dono declarado nas organizações. A área de tecnologia trata o tema como ameaça técnica. A comunicação, como crise de imagem. O jurídico aguarda regulação. O intervalo entre as três áreas é onde os ataques mais sofisticados operam, e onde o custo ainda não aparece nos balanços.
Esse custo já é visível no comportamento profissional. Reportagem publicada pela WIRED em 2025 documentou o surgimento de rotinas de verificação manual em ambientes corporativos: confirmação em múltiplas etapas antes de reuniões com pessoas desconhecidas, palavras-código entre colegas para autenticar comunicações suspeitas, recusa a executar instruções sem confirmação por canal alternativo. O custo de produtividade dessas práticas não está mensurado de forma sistemática. Sem dado confiável publicado até maio de 2026, sua disseminação indica que o problema está sendo absorvido operacionalmente antes de ser endereçado estruturalmente.
A resposta organizacional que o Gartner identifica como emergente é o TrustOps: uma função dedicada de supervisão de confiança digital, articulando TI, jurídico, comunicação e RH sob coordenação executiva. A projeção da consultoria é que 40% das organizações governamentais terão esse tipo de estrutura até 2028. Para o setor privado, não há projeção equivalente publicada.
O risco governamental: quando o alvo é a credibilidade do Estado
O deepfake dirigido a governos opera em dois vetores distintos, com consequências diferentes.
O primeiro é externo: campanhas de desinformação que exploram a confiança pública em instituições, com falsificação de declarações de chefes de governo, réplicas de portais oficiais e evidentes sintéticos de autoridades anunciando medidas que não existem. O segundo é interno:ataques a sistemas que dependem de autenticação biométrica, como reconhecimento de voz ou facial, ou engenharia social que usa a aparência de autoridade para induzir funcionários a executar ações prejudiciais.
Daniel Nieto, diretor Analista Sênior do Gartner, descreveu a dimensão do primeiro vetor: “Os deepfakes podem minar ou até mesmo transformar em arma as noções de identidade digital, atacando a credibilidade do próprio Estado. Se os cidadãos não conseguirem distinguir um anúncio legítimo do primeiro-ministro ou um portalseguro da agência tributária de uma réplica, a arquitetura fundamental da verdade entra em colapso.”
A formulação indica que o risco governamental do deepfake excede a fraude financeira e ataca a legitimidade operacional do Estado como emissor confiável de informação.
Organizações, principalmente governamentais não devem tratar os deepfakes apenas como um problema de TI, mas como uma crise envolvendo múltiplas funções, que exige coordenação executiva e uma educação contínua e prolongada da força de trabalho e do público; não há apenas um único responsável em uma estrutura organizacional tradicional. Elas também devem evitar depender de remoções reativas. Não é possível conter um deepfake depois que ele se torna viral. As organizações devem saturar primeiro o espaço de informação com a verdade.
Por fim, elas não devem confiar excessivamente na conscientização dos cidadãos. Embora a educação seja necessária, o ônus da verificação deve ser transferido do usuário final para a arquitetura institucional por meio da proveniência criptográfica.
A resposta que o Gartner recomenda para organizações governamentais tem três etapas de curto prazo: criação de um conselho de confiança que articule TI, jurídico, comunicação e RH sob supervisão executiva; auditoria de fluxos de trabalho de alto risco, especialmente desembolsos financeiros, com implementação de autenticação em múltiplos níveis para eliminar pontos únicos de falha; e desenvolvimento de procedimentos operacionais padrão para verificação de interações digitais suspeitas. As mesmas etapas se aplicam ao ambiente corporativo, com adaptações de escala.
O mecanismo de contenção reativa tem eficácia limitada por design. O Gartner indica que tentar conter um deepfake depois que ele se torna viral é operacionalmente inviável e recomenda a inversão da lógica: saturar o espaço informacional com conteúdo verificável antes que o ataque ocorra.
C2PA: o que a proveniência criptográfica resolve — e o que não resolve
O protocolo C2PA (Coalition for Content Provenance and Authenticity) representa a resposta técnica mais estruturada ao problema de autenticidade de conteúdo digital. Desenvolvido em consórcio por Adobe, Microsoft, Intel, BBC e parceiros, o padrão incorpora metadados criptográficos diretamente nos arquivos de mídia no momento da criação. Esses metadados registram a origem do conteúdo, as ferramentas utilizadas, as edições realizadas e a cadeia de custódia desde a captura até a distribuição. O padrão criptográfico não impede adulteração, mas torna qualquer alteração posterior rastreável e evidenciável.
O mecanismo transfere o ônus da verificação do usuário final para a arquitetura institucional. Em vez de depender da capacidade de detecção visual de quem recebe o conteúdo, capacidade que o estudo Veriff/Kantar de fevereiro de 2026 indica estar próxima do acaso no Brasil, o protocolo permite que plataformas, navegadores e aplicativos verifiquem automaticamente se um vídeo, imagem ou áudio possui credenciais de proveniência válidas — confirmando a origem declarada, não a autenticidade do conteúdo em si. Conteúdo sem credenciais não é necessariamente falso, mas a ausência de proveniência torna-se um sinal verificável.
Para organizações governamentais, o Gartner recomenda tornar obrigatória a adoção do C2PA em toda mídia digital oficial: comunicados, vídeos institucionais, documentos públicos. A lógica é que conteúdo governamental autenticado criptograficamente cria um padrão de referência contra o qual réplicas sintéticas podem ser comparadas, mesmo após múltiplos compartilhamentos em redes sociais.
O protocolo tem limites operacionais que importam para a avaliação executiva. Primeiro: o C2PA autentica conteúdo legítimo, mas não detecta conteúdo ilegítimo, pois atacantes simplesmente não usam ferramentas compatíveis com o padrão. Segundo: a utilidade do protocolo depende de adoção em toda a cadeia, das ferramentas de criação às plataformas de distribuição e aplicativos de consumo. Hoje, a adoção está concentrada em produtos Adobe e em algumas câmeras profissionais. Terceiro: o C2PA não tem efeito retroativo sobre conteúdo já em circulação sem credenciais.
O valor estratégico do protocolo está no longo prazo. Na medida em que a adoção cresce, o conjunto de conteúdo com proveniência verificável se expande, tornando a ausência de credenciais progressivamente mais suspeita. Organizações que adotam o padrão hoje constroem infraestrutura que se valoriza conforme o ecossistema amadurece — não uma solução imediata para deepfakes em circulação, mas uma camada de confiança que o DaaS não pode falsificar sem acesso às chaves criptográficas da instituição emissora.
Regulação: três lógicas, sem marco específico para fraude corporativa
Três marcos regulatórios convergem em 2026, cada um com lógica distinta e escopo limitado.
O Take It Down Act entrou em vigor nos Estados Unidos em 19 de maio de 2026. A lei criminaliza a distribuição de imagens íntimas não consensuais, incluindo deepfakes explícitos, e impõe às plataformas digitais prazo de 48 horas para remoção após notificação. A Federal Trade Commission enviou cartas de advertência à Amazon, Alphabet, Meta e 12 empresas que oferecem ferramentas de geração de “nudes” sintéticos na mesma semana.
Na mesma semana, um grupo bipartidário de legisladores americanos reapresentou o NO FAKES Act, que atribuiria a qualquer pessoa direito de propriedade intelectual sobre sua voz e imagem. A abrangência da proposta gerou controvérsia técnica: especialistas consultados pela publicação Digital Future Daily apontaram que mobilizar propriedade intelectual como mecanismo universal contra deepfakes cria passivo desproporcional para usos legítimos de IA Generativa e levanta questões sobre desequilíbrios de poder em contratos de licenciamento.
As três iniciativas — Take It Down, NO FAKES e TSE — respondem a categorias específicas de dano: pornografia não consensual, fraude de identidade pública e manipulação eleitoral. Nenhuma cobre o deepfake como vetor de fraude corporativa: clonagem de executivos para autorização de transferências, personificação de lideranças em canais internos, comprometimento de autenticação biométrica em sistemas financeiros. Normas existentes sobre fraude, falsidade ideológica e crimes cibernéticos podem enquadrar casos pontuais, mas não há ainda um marco regulatório específico para deepfake como vetor de fraude corporativa nos dois principais mercados em que empresas brasileiras operam.
Próximo passo
O Gartner registrou em 2024 que 62% dos CEOs e executivos seniores globais acreditam que deepfakes criarão custos operacionais e complicações para suas organizações nos próximos três anos. A percepção do risco está disseminada. A estrutura para endereçá-lo, não.
O indicador a monitorar nos próximos 12 meses é a criação de funções formais de gestão de confiança digital no setor privado, equivalentes corporativos do TrustOps que o Gartner projeta para o setor público. A ausência dessas funções até o final de 2026 indicará que o mercado está aguardando um incidente de grande escala antes de agir estruturalmente.
Esses tipos de esquemas se tornaram tão comuns que surgiram startups de IA prometendo detectar outros deepfakes com suporte de IA, incluindo a iProov e a GetReal Security.
Um comunicado afirma que o iProov Verified Meetings “permite que as organizações autentiquem a identidade dos participantes em videochamadas sem interromper a experiência do usuário”. O vídeo é vulnerável, como evidenciado pela notória chamada do Zoom adulterada por deepfake que custou US$ 25 milhões a uma empresa de Hong Kong. Técnicas e táticas de ataque de injeção tornam qualquer fluxo de mídia ou câmera virtual um alvo.
“O vídeo se tornou o padrão de comunicação tanto para empresas quanto para consumidores, desde reuniões com colegas e fornecedores até contratações, integração e aprovação de transações financeiras”, afirma Andrew Bud, CEO da iProov. “Mas as organizações ainda presumem, em grande parte, que ver uma pessoa na tela significa que ela é real. Essa presunção não se sustenta mais. As organizações precisam ter certeza de com quem estão realmente interagindo. O iProov Verified Meetings oferece essa capacidade, permitindo que as organizações autentiquem se os participantes são pessoas reais usando câmeras reais, protegendo a integridade de interações críticas.”
Disponibilizado como um plugin nativo para plataformas de videoconferência, o iProov Verified Meetings faz parte do pacote iProov Workforce Solutions Suite.
A GetReal Security anunciou a disponibilidade geral da verificação contínua de identidade em seu principal produto, o GetReal Protect. Um comunicado afirma que a plataforma está “agora disponível para qualquer organização que dependa de fluxos de trabalho e interações digitais essenciais para a sua missão”.
O lançamento visa atender ao apelo da Gartner por defesas proativas diante da avalanche de deepfakes. Dados do recente Relatório de Benchmarking de Preparação para Deepfakes da GetReal mostram que oito em cada dez organizações se deparam com deepfakes de IA ou tentativas de personificação pelo menos ocasionalmente, e 45% se deparam com elas frequentemente. Esse tipo de penetração exige uma resposta ativa, incorporando detecção de deepfakes e personificação, verificação contínua de identidade e inteligência global de ameaças.
“Nossas vidas digitais são compostas de ondas sonoras e pixels, e até agora temos sido tecnologicamente limitados em como podemos proteger a imagem de uma pessoa”, diz Matt Moynahan, CEO da GetReal Security. “É hora de repensarmos e reinventarmos o conceito de verificação de antecedentes e passarmos para uma verificação prévia. A identidade deve vir em primeiro lugar. Esse é o tipo de segurança digital que empresas, governos e indivíduos merecem neste novo ambiente de IA.”
Para continuar navegando como visitante, vá por aqui.
Nenhum cadastro foi encontrado. Verifique os dados inseridos!
Cadastre-se grátis, leia até 5 conteúdos por mês,
e receba nossa newsletter diária.
Já recebe a newsletter? Ative seu acesso
Pronto! Só falta um passo.
Clique no link do e-mail que enviamos para retornar aqui e começar a ler seus 5 conteúdos exclusivos.
Se você já recebe nossas newsletters,
preencha seu e-mail que lhe mandaremos instruções
VoltarOpa! Parece que este e-mail não está cadastrado ainda. Tente novamente ou, se quiser fazer um novo cadastro, clique aqui.
Este e-mail que escolheu já está cadastrado.
Se ele é seu e você já tem uma senha, faça login para prosseguir com a assinatura. Se não tiver ainda ativado seu acesso, clique aqui para criar sua senha, logar e continuar o processo de assinatura.
