Pular para o conteúdo

[OPINIÃO] A nova engenharia social não tenta enganar você. Ela já sabe quem você é.

Da voz clonada do gerente de banco ao funcionário que cola o contrato do cliente no ChatGPT, professor da ESPM e CEO da WS Labs explica por que a inteligência artificial virou o maior problema — e a maior oportunidade — da agenda de qualquer CEO brasileiro em 2026. E apresenta o protocolo mínimo, para empresas e para famílias, que pode evitar o próximo desastre

Wilson Silva

A ligação chegou em um número conhecido. Do outro lado, a voz da gerente do banco — timbre, entonação, pausas. Chamou pelo primeiro nome, o nome de registro. Foi esse detalhe — e só ele — que salvou o professor Wilson Silva, da ESPM São Paulo e CEO da WS Labs, de uma tentativa de fraude com voz clonada por inteligência artificial.

“Todo mundo me conhece pelo segundo nome. Minha gerente me conhece pelo segundo nome. A IA pegou meu nome de algum cadastro vazado e entregou o primeiro. Foi o único ruído em uma ligação perfeita. Qualquer pessoa de boa-fé teria caído”, conta.

O caso, isolado, parece sorte. Visto em escala, é sintoma. Segundo a Serasa Experian, o Brasil registrou 6,9 milhões de tentativas de fraude apenas no primeiro semestre de 2025 — uma a cada 2,3 segundos, com mais da metade direcionada a bancos e cartões Microsoft. O Observatório Febraban mostra que 39% dos brasileiros já foram vítimas de algum golpe bancário em 2025 3STRUCTURE. E, no Brasil, a Agência Lupa documentou crescimento de 308% na produção de conteúdos falsos com IA entre 2024 e 2025.

O CEO acorda com dois problemas novos — e não sabe que tem

Para Silva — palestrante do Web Summit Rio 2025 e do AI Brasil Experience 2025, professor das disciplinas de Marketing de Conteúdo, Otimização para Buscadores e GEO no curso de Administração da ESPM — o dirigente brasileiro enfrenta hoje duas frentes que, há dois anos, sequer existiam:

A primeira é externa: clientes, executivos e colaboradores estão sendo atacados por fraudes com IA que não se parecem mais com fraude. A voz é real, o e-mail tem o endereço correto, o vídeo do “CEO” pedindo transferência chega pelo Teams. Os sinais clássicos que o mercado ensinou o brasileiro a identificar desapareceram.

A segunda é interna e, segundo Silva, mais grave: colaboradores bem-intencionados usando IA pública para ganhar tempo — e, no processo, expondo a empresa. “Tenho visto gente colar folha de pagamento, contrato de cliente sob NDA, código proprietário e planejamento estratégico em ChatGPT público com a naturalidade de quem usa calculadora. Depois instala extensões de navegador que ninguém auditou, autoriza ‘agentes de IA’ a acessar e-mail e calendário, e segue a vida. Não é má-fé. É desconhecimento do risco.”

O custo invisível disso aparece em um número: segundo a consultoria de cibersegurança Check Point, no início de 2026, uma em cada 31 interações com IA em redes corporativas teve alto potencial de vazamento de dados. “Quer dizer que, se a sua empresa tem 300 colaboradores usando IA, está vazando algo sensível mais de nove vezes por dia. E ninguém está vendo.”

Por que isso é pauta de CEO, e não só de TI

“O erro recorrente que encontro nos comitês executivos é tratar IA como assunto do departamento de tecnologia. Não é. É risco de conselho”, afirma Silva, cuja consultoria pela WS Labs apoia empresas brasileiras na estruturação de políticas de uso responsável de IA. “Um vazamento via IA vira multa de LGPD, processo trabalhista, perda de contrato B2B, quebra de NDA com cliente estratégico e manchete negativa. Chega no CEO do mesmo jeito — só que tarde demais.”

O especialista aponta que os grandes clientes corporativos internacionais já começaram a exigir, em processos de due diligence e em renovações contratuais, adesão à norma internacional ISO/IEC 42001 — o padrão global de gestão de inteligência artificial — e ao framework de gestão de risco de IA do NIST americano. “Empresa brasileira que quer vender para grande cliente global em 2026 vai ouvir essa pergunta. Hoje, a maioria não sabe responder.”

 

🏢 A AGENDA CORPORATIVA: sete frentes que todo CEO deveria revisar no próximo comitê

Silva organiza a decisão estratégica do dirigente em sete frentes práticas:

1. IA corporativa exclusivamente via API — não por interface pública

Esta é a recomendação número um de Silva para qualquer empresa, de qualquer porte. “O ChatGPT que o colaborador usa no navegador e o ChatGPT acessado via API são dois produtos diferentes. No primeiro, você é o produto. No segundo, você é o cliente — e tem direito a todas as garantias contratuais que um cliente tem.”

As diferenças práticas, segundo o especialista:

  • Não há treinamento com os seus dados. Os principais fornecedores (OpenAI, Anthropic, Google, AWS Bedrock, Azure OpenAI) garantem contratualmente, no acesso via API, que o conteúdo enviado não é usado para treinar modelos futuros. Na versão gratuita, a regra costuma ser oposta.
  • Logs ficam na sua empresa, não no servidor do fornecedor. Você tem auditoria, rastreabilidade e prova legal em caso de incidente.
  • Controle de data residency: você escolhe em qual região o processamento acontece, atendendo exigências de LGPD, GDPR e contratos B2B internacionais.
  • Permite construir camadas de segurança próprias: filtros de entrada, sanitização de prompt, anonimização de dados sensíveis, bloqueio automático de informações confidenciais antes de sair da empresa.
  • Elimina a superfície de ataque via navegador: sem extensão, sem cookie, sem histórico em nuvem de terceiros.

“Acesso via API não é sofisticação técnica. É higiene mínima. A empresa que ainda opera em interface pública está entregando para fornecedor gringo, de graça, o ativo mais valioso que ela tem: os dados dos seus clientes e a sua própria propriedade intelectual.”

2. Política de uso de IA formalizada e comunicada

Regras claras sobre o que pode e o que não pode entrar em qualquer ferramenta de IA, dividindo dados em quatro níveis de sensibilidade (público, interno, confidencial, restrito). “Se o seu jurídico não tem isso por escrito, você não tem política — tem torcida.”

3. Canal corporativo homologado com cláusula de não treinamento

Licenças empresariais (ChatGPT Enterprise, Claude for Work, Gemini Enterprise, Microsoft Copilot corporativo) — todas acessadas via infraestrutura controlada — eliminam o incentivo para o colaborador usar a versão gratuita no celular pessoal. “Custa menos do que um processo trabalhista por vazamento de dados.”

4. Protocolo anti-fraude executiva

Verificação multicanal obrigatória para qualquer solicitação financeira ou de transferência de dados, mesmo com vídeo e voz aparentemente legítimos do solicitante. Executivos são alvo prioritário porque têm autoridade para aprovar — e IA simula autoridade com perfeição.

5. Treinamento de liderança em reconhecimento de deepfake

O C-level brasileiro é o mais despreparado da cadeia. Reuniões por Zoom e Teams com vídeo clonado já são realidade operacional do crime organizado. “Treinar a diretoria para desconfiar do óbvio é o ROI mais rápido em segurança hoje.”

6. Governança de agentes autônomos com supervisão humana

“Agente autônomo é um estagiário brilhante com acesso irrestrito: produtivo, mas perigoso sem supervisão.” Qualquer agente de IA contratado ou desenvolvido pela empresa precisa operar com escopo limitado, registro completo de ações e aprovação humana obrigatória para decisões sensíveis (financeiras, envio de comunicação externa, alteração de dados de cliente).

7. Governança de IA com reporte ao comitê

Trazer o tema para a pauta do comitê executivo, com métricas, indicadores e responsável nomeado. “O que não vai ao comitê, não existe para a empresa. E IA precisa existir para a empresa.”

 

👤 A AGENDA PESSOAL: o que toda família brasileira deveria adotar este mês

Silva defende que a proteção do colaborador começa antes do expediente — na casa dele. As recomendações abaixo valem para qualquer pessoa, de qualquer idade:

1. Palavra-combinada com a família — um termo nunca dito em gravação, exigido em qualquer pedido urgente por voz, vídeo ou áudio de WhatsApp. Especialmente crítico para idosos e pais de adolescentes.

2. Regra do retorno de ligação — recebeu ligação de banco, cartório, polícia ou delegacia pedindo ação imediata? Desligue. Ligue de volta pelo número oficial (do verso do cartão, do site oficial, da fatura). Sem exceção, mesmo que a voz pareça conhecida.

3. Menos áudio e vídeo falado em redes sociais — cada story no Instagram, cada podcast, cada vídeo no LinkedIn é matéria-prima para clonagem de voz. A IA precisa de menos de 60 segundos. Reveja privacidade de perfis e ambiente de exposição.

4. Autenticação em dois fatores por aplicativo, nunca por SMS — o golpe do SIM swap (clonagem do chip de celular) continua ativo. Use Google Authenticator, Microsoft Authenticator ou Authy. Para contas críticas, chaves físicas (YubiKey) são o padrão-ouro.

5. Senhas únicas por serviço, gerenciadas em cofre — 1Password, Bitwarden, Proton Pass. O gerenciador de senhas tem um superpoder que pouca gente conhece: ele não preenche em site falso. Se pediu senha e o cofre não ofereceu, desconfie.

6. Faxina trimestral de aplicativos e extensões autorizados — entre em Google, Apple, Microsoft, Instagram, Facebook, X e banco. Revise quais apps e extensões têm acesso a e-mail, drive, calendário, fotos, contatos. Revogue tudo o que você não lembra para que serve.

7. Nunca clique em links recebidos — digite o endereço manualmente ou use o app oficial. Regra que vale para banco, Receita Federal, correios, plataforma de streaming, Amazon. Link recebido em SMS, WhatsApp ou e-mail: não clique, jamais.

8. Cuidado redobrado com QR Code em lugar público — “QRishing” é a fraude em crescimento. QR Code em restaurante, estacionamento, pedágio, cartaz — criminosos colam adesivos por cima. Verifique o domínio para onde o código aponta antes de digitar qualquer coisa.

9. Configure alertas em todos os cartões e contas — notificação por aplicativo em tempo real para qualquer movimentação. Tempo de reação é o ativo mais valioso em caso de fraude.

10. Converse com os mais vulneráveis da família — idosos, adolescentes e pessoas menos familiarizadas com tecnologia são os alvos preferenciais. Proteção de rede familiar vale mais que qualquer antivírus.

O diagnóstico final

“A IA não trouxe um risco novo. Trouxe uma velocidade nova para riscos antigos — e uma facilidade inédita para o lado errado da curva”, resume Silva. “O CEO que entender isso no próximo trimestre vai capturar eficiência, proteger reputação e atrair cliente corporativo global. O que tratar o assunto como moda vai descobrir, provavelmente por uma manchete, que a empresa dele tinha um problema.”

E encerra com a frase que costuma fechar suas palestras executivas: “Na era da IA, confiança não é um valor — é uma vulnerabilidade. A regra nova é simples: confiança zero, verificação sempre. E, para empresa, uma regra anterior a todas: IA séria só se acessa por API.”

 

SOBRE O ESPECIALISTA

Wilson Silva é professor da ESPM São Paulo nas disciplinas de Marketing de Conteúdo, Otimização para Buscadores e GEO, no curso de Administração, e CEO da WS Labs (wslabs.ai) — laboratório dedicado a estratégias orientadas por inteligência artificial, governança e segurança aplicada a modelos generativos. Foi palestrante do Web Summit Rio 2025 e do AI Brasil Experience 2025, os dois maiores eventos de tecnologia e IA realizados na América Latina em 2025. Atua na fronteira entre IA generativa, segurança digital, marketing e estratégia de negócios, orientando empresas na estruturação de políticas de uso responsável de IA e em programas de capacitação executiva.

Canais oficiais: 🔗 Site: wslabs.ai 📱 Instagram: @wilsonsilva_mkt 🎓 Instituição: ESPM São Paulo

Continue lendo no GuaíraNews
Estratégias de defesa digital para a chegada do CNPJ alfanumérico
Estratégias de defesa digital para a chegada do CNPJ alfanumérico
23/04/2026
 Conheça a estratégia que pode dobrar a velocidade de venda de imóveis de luxo
Conheça a estratégia que pode dobrar a velocidade de venda de imóveis de luxo
22/04/2026
 Tecnologia para controlar a adubação por celular ganha espaço no campo e chega à Agrishow 2026 com a Marispan
Tecnologia para controlar a adubação por celular ganha espaço no campo e chega à Agrishow 2026 com a Marispan
22/04/2026