3º Identity & Business Day vai debater fraude alimentada por IA e nova regulação europeia

A decorrer na Fintech House, no próximo dia 24 de junho, o evento ganha particular relevância numa altura em que a evolução tecnológica está a alterar profundamente o equilíbrio entre inovação, experiência do cliente e segurança. Se, por um lado, as organizações aceleram os seus processos de digitalização e procuram proporcionar jornadas cada vez mais simples e rápidas aos utilizadores, por outro enfrentam ameaças que se tornam mais sofisticadas e difíceis de detetar.

Obviamente que a proliferação de ferramentas de inteligência artificial generativa veio acrescentar uma nova dimensão ao já de si complexo problema. Os sistemas capazes de produzir imagens, vozes e vídeos altamente realistas abriram caminho ao crescimento dos chamados deepfakes e a novas formas de fraude baseadas na manipulação da identidade.

Para Tomás Conceição, Especialista em Sistemas de Prevenção de Fraude do Santander Portugal, o fenómeno explica parte do aparente paradoxo vivido atualmente pelo setor financeiro. Apesar do aumento dos investimentos em segurança – 53% das entidades financeiras aumentaram os seus orçamentos contra a fraude –, 70% dos bancos continuam a registar perdas crescentes. Segundo o responsável, a fraude está a evoluir mais rapidamente do que os modelos tradicionais de controlo. “Hoje falamos de fraude industrializada, com recurso a inteligência artificial, engenharia social sofisticada, spoofing de comunicações, deepfakes e ataques cada vez mais personalizados”, afirma.

Perante este cenário, o Santander aposta numa estratégia assente em múltiplas camadas de proteção. A defesa passa pela proteção da identidade digital, autenticação forte, análise comportamental, inteligência sobre dispositivos, monitorização transacional em tempo real e mecanismos de intervenção adaptados ao contexto de cada operação.

Ainda assim, Tomás Conceição alerta que a tecnologia, por si só, não resolve o problema. “Em muitos casos, tenta-se manipular o cliente para que seja ele próprio a autorizar a operação utilizando técnicas elaboradas de engenharia social”, explicou o especialista. No Santander, esse trabalho passa, por exemplo, “pelas dicas de cibersegurança disponíveis no nosso site público, pelas comunicações diretas aos clientes através dos vários canais e pelas sessões sobre segurança digital que dinamizamos ao longo do ano nos WorkCafés Santander, em várias zonas do país”. Ou seja, a sensibilização e a literacia digital assumem, para este responsável, um papel crescente na estratégia das instituições financeiras.

O especialista sublinha ainda que a resposta à fraude exige uma abordagem permanente e colaborativa. “A fraude é global, automatizada e sofisticada, pelo que exige monitorização contínua, investimento em tecnologia e colaboração entre bancos, reguladores, telecomunicações, plataformas digitais e autoridades”, defende.

Proteção ou fricção?

A crescente exposição dos consumidores a esquemas de fraude através de SMS, chamadas telefónicas, correio eletrónico, redes sociais ou plataformas de compra e venda está também a alterar a forma como os clientes encaram as questões de segurança. Tomás Conceição explica que até recentemente, os mecanismos de proteção foram muitas vezes vistos como elementos de fricção que tornavam os processos mais lentos ou complexos. Contudo, essa perceção começa a mudar à medida que os riscos se tornam mais visíveis.

O especialista em Sistemas de Prevenção de Fraude do Santander Portugal considera que o cliente português começa a valorizar mais a confiança, a clareza da comunicação, a rapidez de resposta e a sensação de controlo. “Ainda assim, não acredito que procure ‘mais segurança’ de forma abstrata. O que procura é sentir-se protegido sem perder autonomia”, defende.

Na perspetiva do responsável, a segurança pode mesmo tornar-se um fator diferenciador na escolha de uma instituição financeira, desde que seja implementada de forma equilibrada. “Segurança que interrompe sem explicar gera irritação, enquanto segurança que aparece no momento certo, com linguagem simples e uma razão clara, gera confiança. A perceção de segurança passou a ser valorizada como fator de escolha. A oportunidade para o Santander é tornar essa proteção mais visível, simples e humana antes de algo falhar”, reitera.

Uma mudança estrutural

Mas a transformação em curso não se limita à evolução das ameaças. Paralelamente, as organizações enfrentam uma das maiores vagas regulatórias dos últimos anos, impulsionada por iniciativas europeias como o AMLR, o eIDAS2 e o DORA.

O novo Regulamento Anti-Branqueamento de Capitais (AMLR), que começará a aplicar-se diretamente em julho de 2027, representa, segundo os especialistas, uma mudança estrutural na forma como as entidades financeiras e seguradoras abordam os processos de identificação e monitorização de clientes.

Pedro Barreira, da direção de Compliance da Fidelidade, considera que o mercado português “pelo menos no setor financeiro, já percebeu que o AMLR não é uma atualização incremental, mas sim uma mudança estrutural”, afirma. Apesar disso, o responsável reconhece que continuam a existir dúvidas relativamente à aplicação prática das novas regras, numa altura em que a Autoridade Europeia de Combate ao Branqueamento de Capitais (AMLA) ainda se encontra a consolidar standards, atos técnicos e mecanismos de supervisão harmonizados para todo o espaço europeu.

A necessidade de cumprir novas exigências sem comprometer a experiência dos clientes ou a eficiência operacional está a obrigar as organizações a prepararem-se em várias frentes em simultâneo.

No caso da Fidelidade, Pedro Barreira explica que a adaptação não pode ser encarada apenas como uma questão de compliance. A resposta envolve a revisão de políticas e normas internas, o reforço dos processos de due diligence e monitorização contínua e, igualmente, uma forte componente tecnológica.  “Numa grande seguradora, a preparação para o AMLR não pode ser vista como um projeto exclusivamente de Compliance”, sublinha o diretor. “Temos de abordar este tema em três frentes. Primeiro, a normativa, revendo políticas, standards internos e critérios de aceitação de clientes. Numa segunda frente, reforçar os processos de due diligence e monitorização contínua. Em terceiro lugar, a frente tecnológica, de forma a garantir que os canais de comercialização suportam métodos mais robustos de prova de identidade de clientes”.