Além da imagem, alguns golpistas imitam a voz de pessoas conhecidas da vítima, como familiares pedindo dinheiro, ou membros da empresa supostamente autorizando uma transação. "A IA precisa de apenas três segundos da sua voz para imitar você falando qualquer coisa. E ligam para algum familiar fingindo ser você", diz Barsotti.

Para conseguir fazer um deep fake, é preciso ter acesso a alguma imagem, vídeo ou áudio da vítima. Para isso, golpistas normalmente acessam redes sociais, usam fotos de documentos furtados, ou ligam se passando por outra pessoa.

É possível encontrar pacotes de dados de possíveis vítimas à venda em grupos no Telegram, bem como instruções de como aplicar o golpe em cada aplicativo. São os chamados "kit bico". A foto da frente e verso de um documento custa R$ 20. Caso o golpista adquira seis, cada documento sai por R$ 10 a unidade. Já o kit do documento com selfie é anunciado por R$ 150.

"Os fraudadores ganham na escala. Eles não têm apego a banco A, B ou C e estão tentando achar meios de escalar a operação usando deepfake e IA. É visível essa tentativa", diz Barsotti.

Para Barsotti, foi isso o que teria acontecido com José da Silva, 66. O aposentado teve um empréstimo consignado aprovado em seu nome junto ao Banco Master, apesar de nunca ter sido correntista da instituição. "O golpista deve ter usando uma espécie de filtro para simular características fundamentais no rosto da vítima, como o bigode. As tecnologias mais avançadas de biometria, no entanto, conseguiriam barrar esse tipo de golpe", diz Barsotti.

De acordo com Silva, a partir de um vazamento de dados, golpistas teriam contratado alguém parecido com ele para validar a biometria junto ao banco e obter o crédito, em janeiro de 2023. "Percebi que minha aposentadoria veio com um desconto. Liguei no INSS e descobri que fizeram um empréstimo de mais de R$ 4.700 em meu nome no Banco Master. Depois, jogaram [o dinheiro] para o Mercado Pago, sacaram e eu fiquei no prejuízo. Tive que contratar um advogado e até agora não tive resposta", disse Silva.

Além do desconto do consignado, os fraudadores gastaram R$ 94 em um clube de vantagens, somando um prejuízo de R$ 260 para o aposentado que ainda trabalha como porteiro para completar a renda. Segundo Silva, após ordem extrajudicial, o banco teria congelado o crédito, mas a restituição das parcelas descontadas não foi efetuada. Para receber, o aposentado entrou na Justiça.

Procurado, o Banco Master disse que o caso já estava resolvido. Segundo a defesa de Silva, o banco entrou em contato para fazer um acordo após a reportagem ter pedido um posicionamento sobre o caso.

Já Andrea Reis, 44, teve prejuízo de mais de R$ 22 mil após sofrer um golpe no ano passado. A funcionária pública do interior da Bahia suspeita que o crime teve início quando ela entrou em um link falso do site da empresa de recompensas Livelo, após receber uma mensagem de texto informando que tinha pontos acumulados e, para resgatá-los, precisaria informar alguns dados, como CPF, número do cartão de crédito e a senha do cartão.

O prejuízo só veio uma semana depois, quando ela recebeu uma aparente ligação do Banco do Brasil, depois das 16h. O suposto funcionário disse que o cartão de Andrea havia sido clonado e que ela precisaria ir à agência do banco de sua cidade imediatamente para bloqueá-lo. Em uma segunda ligação, já no caixa eletrônico do banco, o suposto atendente pediu que ela não desligasse e orientou os procedimentos que ela deveria fazer no autoatendimento.

Quando a ligação caiu, Andrea ligou para o número oficial de atendimento do Banco do Brasil e descobriu que tinham efetuado um saque e uma transferência de sua conta poupança, que somavam R$ 18 mil. Os fraudadores também pagaram um boleto de R$ 4.000 com o cartão de crédito. O banco também verificou que parte das movimentações foi feita em um aparelho Motorola, enquanto o celular de Andrea era da marca Samsung. "Eles cancelaram minhas senhas, não consegui acessar mais nada", afirma Andrea.

No dia seguinte, na agência, um atendente do Banco do Brasil a teria orientado que não pagasse os R$ 4.000 que viriam na fatura do cartão, quitando apenas o valor restante do boleto. Hoje, por causa dos juros, a dívida ultrapassa os R$ 10 mil. Quase um ano após o ocorrido, o dinheiro ainda não foi restituído. Nesse meio tempo, Andrea deu queixa na polícia e está com um processo contra o BB na Justiça.

A funcionária pública afirma que não confia mais no banco. "Para sacar R$ 5.000, existe toda uma burocracia, mas em 20 minutos levei esse golpe de mais de R$ 18 mil. É uma dor."

Procurado, o Banco do Brasil disse que não comenta sobre processos judiciais em andamento e nem sobre casos específicos diante de sigilo bancário. "Ligações solicitando qualquer documento, senhas, dados cadastrais e financeiros, estornos, realização de transferências ou instalação de aplicativos não são práticas das instituições financeiras, portanto, os clientes não devem, em hipótese alguma, digitar ou informar senhas no aparelho telefônico quando não efetuaram a ligação de forma ativa e espontânea", afirma o banco.

De acordo com Sofia Kilmar, sócia da área de Contencioso Civil, de TozziniFreire Advogados, não há uma jurisprudência clara quanto à responsabilização desses golpes. "Depende muito da investigação do ocorrido. O juiz vai analisar a conduta do banco e a postura da vítima", afirma.

Em muitos casos, conta a advogada, o banco vence o processo porque o juiz avalia que o cliente não tomou as proteções devidas, fornecendo diversos dados aos golpistas. "O banco não pode proteger o cliente sem que ele adote diligência", diz Sofia.

Hoje, porém, os softwares bancários mais avançados já contam com tecnologias que identificariam os golpes sofridos por Silva e Andrea como fraudes, pois conseguem combinar informações e distinguir detalhes de cada transação instantaneamente, de modo a verificar se ela é habitual, feita no aparelho, na rede de internet e na localização de costume do usuário.

A régua do que é suspeito e o que não é, porém, não fica a cargo dos provedores, e, sim, de cada banco. Para melhorar a usabilidade dos usuários e otimizar o custo da operação, alguns adotam menos medidas de proteção, enquanto outros priorizam a segurança.

"Criamos um padrão para cada pessoa, e isso não tem como ser forjado. A cada uso dos aplicativos com os quais trabalhamos, como marketplaces, delivery e bancos, cruzamos dados do wifi, bluetooth, GPS e antena de celular", afirma Diogo Sersante, diretor da Incognia no Brasil, que tem entre seus clientes Ifood e Rappi, além de bancos e fintechs.

A coleta de tantos dados permitiu que a empresa identificasse locais em que tentativas de golpes são frequentes, como imóveis nos centros de grandes cidades. "São as chamadas 'Fazendas de fraudes', onde os golpistas desbloqueiam celulares e tentam fazer transações. Entendemos essas transferências como de risco e bloqueamos o aparelho", diz Sersante.

De acordo com a Febraban (Federação Brasileira de Bancos), a praxe é o ressarcimento integral em casos de golpe. "Recomendamos que o banco recolha a denúncia, analise e cheque se procede. Se não é a assinatura da pessoa, a geolocalização habitual e a biometria verdadeira, o banco tem que ressarcir o cliente e ponto", diz Adriano Volpini, do Comitê de Prevenção a Fraudes da Febraban.

Procurado, o Banco Central disse que não há perspectiva para o emprego de uma norma de padronização nos softwares de segurança nas instituições financeiras. A autoridade, contudo, recolhe críticas de clientes e, se necessário, faz uma averiguação junto aos bancos.

Dada a falta de uma régua que eleve a segurança do sistema financeiro, a Febraban está desenvolvendo um selo de segurança para os participantes do mercado que cumprirem determinados critérios.

Como se prevenir

• Não digite ou comunique suas senhas em qualquer circunstância que não o aplicativo oficial do banco;
• Ative a geolocalização dos aplicativos de bancos e de entregas e do próprio celular;
• Ative a autenticação de dois fatores no WhatsApp;
• Faça o máximo de transações de casa, de preferência conectado ao wifi do domicílio;
• Baixe os apps de bancos apenas diretamente da Play Store ou da Apple Store;
• Não clique em links enviados como se fossem do banco;
• Reduza os limites de transações quando estiver fora de casa e em horários inusitados;
• Tenha diligência na escolha do banco;
• Não permita que contatos não adicionados vejam sua foto no WhatsApp;
• Evite usar fotos de rosto em redes sociais abertas, como no perfil de WhatsApp;
• Comunique-se com o banco apenas via canais oficiais.