Um australiano denuncia um crime cibernético a cada seis minutos. Somente em 2024, as perdas relatadas por golpes totalizaram impressionantes AUD 2,74 bilhões. Entre elas, os golpes de comprometimento de e-mail comercial (BEC), também conhecidos como golpes de engenharia social, representaram AUD 91,6 milhões. Esses números destacam tanto a escala crescente quanto a sofisticação dos crimes cibernéticos — e os desafios cada vez maiores que eles representam para seguradoras, empresas e indivíduos.

De moletons com capuz a estruturas corporativas

Quando imaginamos um cibercriminoso, a imagem que nos vem à mente geralmente é inspirada em filmes: uma figura solitária vestindo um moletom com capuz, trabalhando no escuro diante de uma tela brilhante. Embora esses criminosos ainda existam, o cibercriminoso moderno é muito diferente.

Hoje, muitos operam dentro de organizações estruturadas que refletem negócios legítimos. Os criminosos são recrutados, recebem salários e até bônus e férias. Os processos de recrutamento ocorrem na dark web, onde os cibercriminosos devem apresentar referências e passar por testes de habilidades, assim como no mundo corporativo. 

Grupos patrocinados pelo Estado, principalmente na Coreia do Norte e na Rússia, levam isso a outro nível, investindo pesadamente em tecnologia e pesquisa para aprimorar suas capacidades. Essa evolução permitiu que eles lançassem golpes cada vez mais complexos e convincentes em grande escala.

O surgimento da engenharia social sofisticada

Há uma década, as tentativas de engenharia social geralmente envolviam e-mails desajeitados, repletos de erros ortográficos, instruções vagas e endereços de e-mail incompatíveis. Esses golpes eram relativamente fáceis de identificar.

Hoje, os cibercriminosos utilizam mineração de dados, pesquisa de código aberto e informações comerciais roubadas para criar ataques muito mais convincentes. Ao vasculhar plataformas como o LinkedIn, os criminosos identificam profissionais financeiros com autoridade para movimentar dinheiro e adaptam as comunicações de acordo com isso. Esses e-mails agora refletem correspondências legítimas, adotando o tom, a linguagem e até mesmo os apelidos usados dentro da empresa.

Em alguns casos, os criminosos passam semanas dentro de uma rede comprometida, estudando fluxos de trabalho, relações com fornecedores e faturas futuras para criar golpes altamente direcionados. O resultado: menos sinais de alerta e maior chance de sucesso.

O papel da IA e dos deepfakes

A inteligência artificial acelerou drasticamente a evolução da engenharia social. A tecnologia deepfake agora permite que criminosos reproduzam de forma convincente vozes e até mesmo rostos de executivos.

Em um caso de grande repercussão, um funcionário de uma empresa multinacional em Hong Kong autorizou um pagamento de HKD 200 milhões (cerca de AUD 39,5 milhões) após participar de uma chamada pelo Zoom com o que parecia ser a alta administração. O único problema? Os executivos eram deepfakes gerados por IA.

Os deepfakes já não são as falsificações desajeitadas e robóticas de há alguns anos. Hoje em dia, são altamente realistas, tornando difícil — mesmo para profissionais experientes — distinguir a diferença. Combinados com gravações de voz roubadas e videoclipes que podem ser recolhidos na Internet, os criminosos podem agora criar imitações altamente convincentes.

Do ponto de vista das reclamações, isso representa desafios significativos. Os golpes por voz e vídeo deixam poucos rastros documentais, dificultando a verificação. Além disso, as vítimas podem não perceber que foram enganadas até muito mais tarde, reduzindo a probabilidade de recuperar os fundos com sucesso através dos bancos.

Ameaças emergentes: agentes de IA

A próxima fronteira do crime cibernético deverá ser os agentes de IA — sistemas autônomos capazes de raciocinar, aprender e tomar decisões sem intervenção humana. Ao contrário dos assistentes de IA atuais, que requerem comandos, os agentes de IA podem agir de forma independente.

Em um contexto de criminalidade cibernética, isso significa que um agente de IA poderia:

  • Pesquise alvos na internet
  • Crie bancos de dados CRM de profissionais da área financeira
  • Redigir correspondência convincente
  • Envie milhares de e-mails fraudulentos em grande escala

E tudo isso sem supervisão humana. O custo é mínimo, o alcance é enorme e, mesmo que apenas uma tentativa seja bem-sucedida, os retornos podem ser significativos.

Respostas legislativas e bancárias

Os governos e as instituições financeiras estão respondendo. Em fevereiro de 2025, a Lei de Prevenção contra Golpes foi aprovada na Austrália, exigindo que os bancos implementem controles mais rígidos para detectar, prevenir e impedir golpes.

Entre as novidades, destaca-se a criação do Scam-Safe Accord pela Associação Bancária Australiana, que inclui um investimento de US$ 100 milhões em tecnologia de verificação de nomes, que confirma se o nome da conta corresponde ao BSB e ao número da conta inseridos. Outras iniciativas incluem o aumento de avisos, a retenção de pagamentos para novas contas bancárias e perguntas de segurança adicionais.

Prevemos que, para as PME, estes controlos possam introduzir desafios operacionais que devem ser considerados e, sempre que possível, planeados com antecedência. Quaisquer atrasos nos pagamentos, por exemplo, podem perturbar o fluxo de caixa dos fornecedores.  

Implicações para os pedidos de indenização de seguros

Do ponto de vista dos seguros, a redação das apólices também evoluiu. Muitas apólices agora incluem exclusões ou franquias mais altas se determinados controles de verificação não estiverem em vigor ou não forem seguidos. Por exemplo, as seguradoras podem exigir:

  • Verificação por telefone de quaisquer alterações nos dados bancários do fornecedor
  • Segregação de funções no processamento de faturas
  • Procedimentos documentados para aprovações de pagamento

Os tribunais têm ecoado essa posição. Em 2025, um tribunal na Austrália Ocidental responsabilizou uma empresa pelo pagamento de uma fatura fraudulenta, após seus métodos de verificação terem sido considerados insuficientes. A expectativa é clara: as empresas devem tomar medidas razoáveis para se protegerem.

O que as organizações podem fazer

Apesar da sofisticação dos ataques, as empresas podem reduzir significativamente seus riscos com os processos corretos em vigor:

  • Protocolos de verificação: sempre confirme as alterações nos dados bancários por telefone, utilizando números de telefone independentes.
  • Empoderamento da equipe: incentive os funcionários a questionar solicitações incomuns, mesmo que venham de “executivos seniores”.
  • Treinamento: atualize regularmente a equipe sobre ameaças emergentes e sinais de alerta.
  • Controles de TI: Implemente autenticação multifatorial, restrinja privilégios de administrador e imponha mudanças regulares de senha.

Em última análise, a vigilância a nível individual e organizacional continua a ser a defesa mais forte.

Como a Sedgwick pode ajudar

O aumento dos crimes cibernéticos sofisticados destaca a crescente complexidade do gerenciamento de sinistros. Cada caso requer uma análise cuidadosa, não apenas das perdas financeiras, mas também da conformidade com os termos da apólice, dos processos de verificação e das perspectivas de recuperação.

Na Sedgwick, nossa equipe de contabilidade forense tem a experiência necessária para lidar com esses desafios. Como um dos maiores grupos de contadores forenses da Austrália, apoiamos seguradoras, empresas e clientes jurídicos com quantificação e resolução precisas e abrangentes de reclamações relacionadas a crimes cibernéticos e engenharia social. Além dos crimes cibernéticos, nossos especialistas trabalham com uma ampla gama de reclamações especializadas, garantindo clareza, precisão e resultados confiáveis em situações complexas.

Se você quiser saber mais sobre como a Sedgwick pode ajudá-lo com sinistros cibernéticos, de engenharia social ou especializados, entre em contato com Beth Fieldhouse[email protected], Lucy Tang[email protected]ou Emma Levett[email protected].