Prevenção à Fraude / IA
June 4, 2026
6 minutos

Fraud-as-a-Service: quando a fraude vira produto, a defesa precisa virar infraestrutura

Marcelo Sousa, Vice-Presidente de Produto da Certta
Linkedin

Este artigo desenvolve os argumentos apresentados por Marcelo Sousa, vice-presidente de Produto da Certta, em artigo publicado no IT Forum.

O crime digital se profissionalizou. Não é uma tendência emergente. É uma estrutura em operação, com divisão de papéis, cadeia de fornecimento e modelo de receita recorrente.


Esse modelo ganhou um nome: Fraud-as-a-Service. O FaaS "produtiza" técnicas criminosas e as coloca ao alcance de quem não tem conhecimento técnico avançado. O resultado é a industrialização do delito digital. E enquanto os fraudadores trocam informações em tempo real em milhares de grupos organizados, as empresas ainda operam em silos, cada uma tentando não perder seu diferencial competitivo enquanto combate esses ataques internamente.

O que é Fraud-as-a-Service (FaaS) e como ele opera

O FaaS funciona como um mercado. De um lado, operadores técnicos que desenvolvem ferramentas, kits de dados vazados, scripts automatizados e materiais de treinamento. Do outro, compradores sem habilidade técnica que adquirem esses pacotes e os colocam em prática. Entre os dois, uma infraestrutura de distribuição que opera principalmente em grupos de Telegram e fóruns fechados, com catálogos, suporte e até avaliações de clientes.


O modelo elimina a barreira de entrada para o crime digital. Antes, executar um ataque sofisticado exigia centenas de horas de conhecimento técnico e desenvolvimento próprio. Com o FaaS, o mesmo ataque pode ser contratado por um valor acessível, com instruções e suporte incluídos.

As técnicas comercializadas incluem desde phishing personalizado e engenharia social automatizada até métodos mais sofisticados como identidade sintética, criação de perfis falsos a partir de dados reais combinados com informações geradas artificialmente, e ataques que tentam burlar a prova de vida (liveness defeat), enganando sistemas de verificação biométrica com rostos sintéticos gerados por IA (deepfakes) ou fotos manipuladas. O Banco Central registrou mais de 1.600 incidentes de segurança envolvendo dados pessoais entre 2020 e 2026 no Brasil, com 395 casos só em 2025. Esse volume de credenciais e dados pessoais em circulação é o combustível direto do FaaS e um dos principais vetores da fraude bancária digital no Brasil.

Os infoprodutores de golpes e a cadeia de fornecimento

Uma das facetas mais reveladoras do FaaS é a figura do infoprodutor de golpes: operadores que não executam fraudes diretamente, mas lucram ensinando o sistema a outros. Apostilas, videoaulas, kits prontos. O modelo reduz o risco legal de quem vende porque a responsabilidade pela execução recai sobre o comprador, enquanto a receita do fornecedor é recorrente e escalável.
A cadeia criminosa digital tem divisão clara de trabalho. Há quem rouba dados, quem os processa e organiza, quem desenvolve as ferramentas de ataque, quem as distribui, quem as executa e quem lava o dinheiro resultante. O PIX acelerou a etapa final dessa cadeia: a fraude via PIX, por meio de contas mula e contas laranja, permite movimentar e pulverizar recursos em segundos, antes que qualquer sistema de monitoramento consiga reagir. A Resolução 4.658 do Banco Central e as regras de prevenção à lavagem no contexto do PIX reconhecem explicitamente essa dinâmica, mas a velocidade regulatória ainda não acompanha a velocidade operacional da fraude. Entender essa cadeia criminosa digital é o primeiro passo para combatê-la com a mesma lógica sistêmica com que ela opera.

Por que PMEs viraram o alvo preferencial

À medida que as grandes companhias investem em infraestrutura antifraude robusta, a rede FaaS recalibra seus alvos. Pequenas e médias empresas investem proporcionalmente menos em segurança, têm menos capacidade de detectar padrões anômalos e levam mais tempo para identificar que foram comprometidas. Para o ecossistema FaaS, representam alto retorno com baixo risco.


Segundo estudo da LexisNexis, para cada R$ 1 perdido com fraudes no Brasil, o prejuízo total chega a R$ 3,59, sem contar os custos intangíveis de danos à reputação e perda de clientes. Para PMEs, esse multiplicador pode colocar em risco a própria sobrevivência do negócio.


A fraude opera como um vazamento de água: a mancha aparece em um ponto, mas a origem da fragilidade pode estar em outro lugar completamente distinto. Uma integração de terceiro vulnerável, uma credencial reutilizada, um processo de onboarding que não valida suficientemente. O que hoje é uma gota, amanhã compromete toda a infraestrutura.

Por que empilhar ferramentas antifraude amplia a vulnerabilidade

A resposta predominante do mercado ao avanço do FaaS foi adicionar camadas: mais fornecedores, mais APIs, mais pontos de verificação distribuídos ao longo da jornada. O resultado, em muitos casos, foi fragmentação com aparência de integração.


Cada ferramenta enxerga uma parte da jornada do usuário. Nenhuma enxerga o todo. Quando o contexto está disperso entre sistemas que não compartilham informação, a operação responde a sinais isolados em vez de padrões completos. O atacante, por outro lado, opera como sistema unificado, explorando exatamente as lacunas entre ferramentas que não conversam entre si.


A era da solução única que prometia resolver identidade, documento e autenticação em uma só integração chegou ao fim. Mas empilhar fornecedores sem uma camada que concentre e interprete contexto não resolve o problema. Apenas distribui a responsabilidade sem garantir a decisão.


A LGPD adiciona uma camada de complexidade a esse cenário. Empresas que operam com múltiplos fornecedores de dados precisam garantir que cada ponto de verificação esteja em conformidade com os princípios de minimização e finalidade. Fragmentação tecnológica frequentemente gera fragmentação de governança de dados, com operadores e controladores que não têm visibilidade completa sobre o que está sendo coletado, onde e para quê.

Verificação inteligente: de custo operacional a alavanca de receita

Existe um equívoco recorrente na forma como o antifraude é posicionado internamente nas organizações: como custo operacional, não como variável de receita.

Uma operação que reduz falsos positivos aprova mais usuários legítimos. Uma operação que adapta o nível de fricção ao risco real de cada transação entrega melhor experiência para quem não representa risco. No setor financeiro, soluções robustas de antifraude reduzem bloqueios indevidos e garantem que o usuário finalize operações com mais confiança. No e-commerce, uma boa infraestrutura de segurança protege tanto o negócio quanto o consumidor.

Esses ganhos não são colaterais. São o resultado direto de uma operação que consegue distinguir padrão de comportamento legítimo de padrão de ataque, em tempo real, sem tratar todo usuário como suspeito em potencial.

Investir em inteligência antifraude não é custo. É uma das maiores alavancas de ROI disponíveis para operações digitais.

Como a infraestrutura de confiança digital quebra o script do FaaS

O FaaS opera com scripts. Kits prontos que foram testados contra determinados tipos de defesa e que funcionam quando essa defesa é previsível e estática. Uma empresa que usa sempre o mesmo fluxo de verificação para todas as transações entrega ao atacante um mapa do que precisa ser contornado.


O combate ao FaaS exige uma mudança igualmente estrutural. Jornadas hiperpersonalizadas não apenas dificultam a atuação de fraudadores ao quebrar seus scripts, mas também otimizam a experiência do cliente legítimo. Um sistema que calibra o nível de verificação de acordo com o risco real de cada interação não precisa tratar um cliente recorrente de baixo risco da mesma forma que trata um cadastro novo em um segmento de alto risco.


É isso que separa uma infraestrutura de confiança digital de um orquestrador simples. Não é sobre ter mais ferramentas. É sobre ter uma camada que interpreta contexto, distribui decisões com inteligência e aprende com cada interação.


A liderança que não compreender essa nova realidade estará combatendo o crime com as ferramentas de ontem. Operações que estruturam verificação dessa forma não reagem à fraude depois que ela ocorre. Elas operam dentro de um padrão que dificulta a execução do ataque antes que ele se complete.

O que avaliar na sua operação antifraude hoje

Antes de adicionar mais um fornecedor ao stack, vale responder três perguntas:

  1. Seus sistemas de verificação compartilham contexto entre si ou cada um toma decisões de forma isolada? Se a resposta for isolada, você tem fragmentação com aparência de cobertura.
  2. Seu fluxo de verificação é o mesmo para todas as transações, independente do perfil de risco? Se sim, você está entregando previsibilidade para quem quer explorar exatamente isso.
  3. Você consegue medir quanto em receita está deixando na mesa por falsos positivos? Se não consegue, o seu fluxo antifraude ainda está sendo tratado como custo, não como alavanca.

Uma infraestrutura de verificação digital responde às três perguntas com contexto compartilhado, fricção calibrada por risco e visibilidade sobre impacto na receita. É o que o Flow e Hubby foi construído para entregar.

Leitura complementar
Este artigo desenvolve argumentos apresentados originalmente por Marcelo Sousa no IT Forum.

Assuntos Relacionados

Prevenção à Fraude / Inteligência Artificial
Fraude digital, IA e confiança digital: a visão do CEO da Certta

Uma conversa com Jason Howard, CEO da Certta, sobre os temas que moldaram a Special Edition do MIT Technology Review Brasil.

Prevenção à Fraude / Inteligência Artificial
Fraude Digital e IA: a corrida que nunca termina

Especialistas em segurança digital, fraude e estratégia de negócios se reúnem no documentário produzido pela Certta e Prosa Press.