Pablo Amilibia, Diretor EMEA Veridas: “A fraude tornou-se uma linha de montagem”

A fraude potenciada por IA generativa é já um facto consumado. Existe e deixou de ser apenas uma tendência macro. “Portugal também está a ser afetado por este fenómeno”, afirmou ao PT50 Pablo Amilibia, regional director EMEA da Veridas, que no próximo dia 24 de junho sobe ao palco da Fintech House, em Lisboa, para a terceira edição do Identity & Business Day, do qual o Jornal PT50 é, mais uma vez, media partner.

Trabalhando de perto com grandes instituições nacionais, o especialista admite estar a assistir a um cenário que mudou drasticamente nos últimos anos. “Para os setores financeiro, segurador e das telecomunicações, a urgência resume-se a algumas tendências críticas”, explica, destacando desde logo a industrialização da fraude.

“Já não é um trabalho artesanal, tornou-se uma linha de montagem automatizada e altamente eficiente. Vemos a IA a ser utilizada na fase de preparação para gerar, em massa, identificações deepfake; durante o onboarding, para implementar avatares digitais que contornam os controlos; e, finalmente, na fase de execução, para escalar transações fraudulentas e falsas participações de sinistros nos seguros”, descreve.

Em segundo lugar, Pablo Amilibia destaca a maturidade crescente dos cibercriminosos e a migração para os chamados ataques de injeção. “Estão a afastar-se da simples exibição de uma fotografia ou vídeo falso em frente a uma câmara — o que chamamos de ataques de apresentação.”

“A ameaça crítica que estamos a combater é agora a injeção, onde os burlões utilizam emuladores para transmitir deepfakes diretamente para o servidor da organização, mimetizando na perfeição um ambiente móvel seguro”, acrescenta.

Segundo o diretor, esta explosão é alimentada pela democratização destas ferramentas, já que qualquer pessoa pode aceder gratuitamente a IA generativa avançada, combinada com uma perigosa falta de perceção de crime entre os infratores ocasionais. “Tudo acontece atrás de um ecrã. Isto cria uma assimetria brutal.”

Uma estatística particularmente preocupante ilustra este cenário. “Embora mais de metade das instituições financeiras tenham aumentado os seus orçamentos antifraude, 70% dos bancos continuam a sofrer perdas económicas crescentes”, refere. “Isto prova que as defesas tradicionais e legadas já não são capazes de fazer face à IA maliciosa.”

Pressão regulatória sem precedentes

Se a fraude é uma frente de batalha, a regulação é outra. Entre o AMLR, o eIDAS2 e o DORA, o setor financeiro enfrenta uma pressão regulatória sem precedentes.

Mas Pablo Amilibia defende que a identidade digital pode transformar esse fardo numa oportunidade. “Não devemos encarar a identidade digital como um entrave burocrático, mas sim como um impulsionador de eficiência que transforma a conformidade regulatória numa verdadeira melhoria da experiência do utilizador.”

“Do nosso ponto de vista, uma abordagem Identity-First simplifica totalmente este complexo ecossistema regulatório”, acrescenta.

Para começar, explica, esta abordagem permite unificar o puzzle regulatório. “Em vez de obrigar os nossos clientes a lidar com cada regulamento de forma isolada, uma plataforma centralizada de identidade digital satisfaz simultaneamente os requisitos para a prevenção de fraude financeira ao abrigo do AMLR, MiCA e PSD3, a cibersegurança ao abrigo do DORA, a proteção de dados através do RGPD e a identidade verificada via eIDAS2.”

Além disso, diz, “elimina a fricção ao criar jornadas de segurança fluidas”. Ao transitar para um modelo de autenticação contínua — o chamado Perpetual KYC — cria-se um “token de confiança” para o utilizador.

Isto permite, segundo Pablo Amilibia, que os clientes realizem operações críticas sem enfrentar barreiras repetitivas sempre que interagem com a instituição. “Esta arquitetura centralizada reduz drasticamente o custo total de propriedade, porque as instituições eliminam a enorme complexidade técnica e os custos de tentar integrar e manter múltiplos fornecedores de nicho.”

“Em última análise, as nossas soluções garantem uma conformidade imediata, sem necessidade de remendos temporários, porque cobrimos nativamente as três vias exigidas pela nova lei de uma só vez”, afirma.

Isso significa, explica, a verificação de identidade remota ao abrigo das normas ETSI, certificados eletrónicos qualificados e preparação atempada para a Carteira Europeia de Identidade Digital.

“Em suma, ajudamos a que a identidade digital deixe de ser um centro de custos de conformidade para se tornar numa verdadeira vantagem competitiva, permitindo às instituições abrir novos canais de aquisição e crescer com segurança.”

Segurança e crescimento do negócio não são opostos

Questionado sobre a evolução do mercado português desde a primeira edição do Identity & Business Day, Pablo Amilibia nota uma mudança radical de prioridades.

A verificação de identidade, diz, “já não diz respeito apenas ao registo inicial ou onboarding”. A prioridade passou a ser o Perpetual KYC.

Segundo o responsável, “um em cada dois processos de identidade” que a Veridas executa atualmente destina-se a proteger os utilizadores ao longo do seu ciclo de vida, “durante momentos críticos, como a autorização de uma transação, a alteração de um número de telemóvel ou de dados sensíveis”.

Essa maturidade crescente resulta também da monitorização contínua exigida pelo AMLR, que obriga a atualizações periódicas de dados entre um e cinco anos, elevando “drasticamente” a fasquia tecnológica das soluções disponíveis no mercado.

“O mercado deixou para trás os remendos rápidos e as organizações exigem agora plataformas Identity-First abrangentes”, afirma, referindo que as soluções da Veridas integram atualmente certificações como a especificação CEN/TS 18099 para deteção de ataques de injeção e normas ISO para deteção de ataques de apresentação.

Para esta edição, o regional director EMEA da Veridas resume a mensagem que pretende transmitir aos participantes numa fórmula dupla: urgência e oportunidade.

“Faltam apenas 59 semanas para a entrada em vigor do AMLR, em julho de 2027, e apenas 85 semanas até que a aceitação da EUDI Wallet se torne obrigatória”, avisa.

Mas a contagem decrescente, sublinha, não deve ser lida apenas como uma ameaça. “A segurança e o crescimento do negócio não são opostos. Conceber jornadas de segurança transparentes e fluidas protege a reputação da marca, trava a fraude de forma radical e, em última análise, acelera o crescimento do negócio.”

O 3.º Identity & Business Day decorre na Fintech House, em Lisboa, no dia 24 de junho, entre as 9h30 e as 13h00.