O deepfake já é um gasto operacional: como uma PME perde controle financeiro quando a voz do CEO deixa de ser prova
A narrativa típica do fraude corporativa costumava ser linear: um e-mail falso, uma nova conta bancária, um funcionário distraído e um pagamento injustificado. A tecnologia de deepfakes quebrou esse padrão e o substituiu por algo mais difícil de defender, porque ataca onde mais valor se concentra em uma organização: a autoridade.
Os dados já descrevem uma transição de "risco emergente" para "fuga de caixa recorrente". Em 2025, o fraude com deepfakes drenou 1,1 bilhão de dólares de contas corporativas nos Estados Unidos, triplicando os 360 milhões de 2024. Em paralelo, o volume de deepfakes subiu de 500.000 em 2023 para mais de oito milhões em 2025, e o ritmo de ataques já é medido em frequência diária. Apesar disso, a preparação organizacional é baixa: apenas 32% dos executivos acredita estar pronto para gerenciar um incidente, e 61% declara não ter protocolos para lidar com esse risco.
Para uma PME, isso não é um tema de "governança sofisticada" nem de comitês. É um problema de continuidade: quando uma empresa não consegue distinguir uma ordem real de uma simulada, seu sistema de pagamentos se torna uma vulnerabilidade de margem.
A mecânica do golpe: o deepfake transforma urgência em autorização
Os casos documentados mostram o padrão com precisão. Em 2024, um empregado transferiu 25 milhões de dólares após uma videoconferência com suposta alta direção, que depois revelou-se uma clonagem. No caso Arup, a perda foi de 25,6 milhões por uma videoconferência deepfake. Em 2025, foi reportado um ataque onde um gerente financeiro recebeu uma mensagem de voz clonada que soava como o CEO e, em seguida, um e-mail perfeitamente redigido solicitando uma transação sensível, explorando detalhes de estilo e hábitos.
O que é relevante para uma PME não é o valor específico, mas a estrutura de persuasão.
1) O deepfake não "hackea" sistemas, hackea processos humanos. A videoconferência ou o áudio são o equivalente moderno do "passe por favor, é urgente". Em organizações com controles frouxos, a urgência substitui a verificação.
2) O ataque já é multicanal. Foto em mensageria, chamada em Teams, e-mail formal, e às vezes pressão temporal. Essa combinação cria uma falsa sensação de "confirmação cruzada". Quando o atacante simula várias fontes, a vítima acredita que validou.
3) Se dirige ao ponto onde a empresa transforma confiança em dinheiro: tesouraria. Não é necessário penetrar um ERP se o processo permite que uma instrução de pagamento saia por "autoridade percebida".
Colocado em termos financeiros simples, o deepfake é um imposto sobre a liquidez: aumenta a probabilidade de que uma saída de caixa ocorra sem contraprestação real. E esse tipo de fuga não se recupera com marketing ou mais vendas; se recupera com disciplina de controles ou com capital externo.
O custo real nas PMEs: não é a fraude, é o redesenho do controle interno
Uma PME costuma pensar em cibersegurança como um gasto discrecional até que apareça um incidente. O deepfake obriga a tratá-lo como custo estrutural, porque eleva o custo esperado de cada exceção em pagamentos.
A métrica chave é o valor esperado de perda, que não requer matemática sofisticada: probabilidade de incidente multiplicada por impacto médio.
Os dados da indústria marcam direção, mas não permitem fixar a probabilidade exata para cada empresa. Contudo, permitem afirmar que a frequência sobe de forma acentuada: pelo menos sete ataques por dia, incidentes verificados por milhares a cada trimestre, e um crescimento que vários rastreadores descrevem como explosivo. Nesse ambiente, uma PME com processos informais tem dois multiplicadores de risco.
- Concentração de autoridade. Em PMEs, um CEO ou um CFO geralmente aprova pagamentos, mudanças de conta e exceções. Se essa identidade for clonada, o "selo" da empresa é clonado.
- Tolerância operativa às exceções. As PMEs ganham velocidade com atalhos: pagamentos por WhatsApp, aprovações por áudio, mudanças de conta confirmadas por telefone. O deepfake transforma essa velocidade em vetor de perda.
O efeito secundário é igualmente caro: paralisação operacional. Se a empresa reage tarde, congela pagamentos, freia compras, compromete relacionamentos com fornecedores e pode incorrer em penalidades. O fraude é a saída de caixa; o dano operacional é a compressão de margem por ineficiência e urgências.
A leitura correta para a direção geral é esta: a defesa não consiste em "detectar deepfakes" como se fosse um antivírus, mas em fazer com que a autorização de pagamentos não dependa de um canal falsificável. A voz e o vídeo já são falsificáveis a custo baixo.
Protocolos que realmente mudam o número: separar autoridade de execução
Os dados mostram um vazio claro: 61% não possuem protocolos para o risco deepfake e 80% não têm protocolos específicos de resposta. Isso é um convite à perdas, porque o atacante aposta que o primeiro incidente encontre a empresa improvisando.
Em uma PME, o objetivo não é burocratizar, mas desenhar um sistema onde o fraude precise romper várias peças ao mesmo tempo. Três decisões práticas geram impacto direto no controle de caixa.
1) Limites de pagamento com duplo controle real, não nominal.
Duplo controle significa duas pessoas e dois canais distintos, com evidência. Se uma transferência ultrapassa um limite, a aprovação não pode ser feita por áudio, videoconferência nem mensageria. Deve existir um segundo fator operacional: um fluxo em banco corporativo com permissões separadas, ou uma confirmação por canal previamente acordado e registrado.
2) Contas bancárias de fornecedores com "período de resfriamento".
A mudança de conta é o ponto clássico do fraude. A regra financeiramente sensata é simples: mudanças de conta não se aplicam no mesmo dia para pagamentos altos. O registro da mudança é feito, validado por um canal não improvisado, e executado após um período mínimo. Isso reduz o valor do ataque de urgência, que é sua principal alavanca.
3) Processo de exceções com rastreabilidade.
O deepfake prospera na exceção: "faça rápido", "é confidencial", "não escale isso". Uma PME precisa do equivalente a um "fechamento contábil" para pagamentos urgentes: qualquer exceção requer registro, motivo e evidência. Não para punir, mas para que a equipe saiba que a exceção é um evento auditável.
Essas medidas não exigem orçamentos gigantes. Exigem aceitar uma ideia desconfortável: a confiança interna já não é evidência. Em 2025, o fraude por clonagem de voz cresceu 680% em um ano, e o vishing habilitado por IA subiu mais de 1.600% em um período reportado. Nesse contexto, proteger caixa implica projetar fricção inteligente.
O ângulo que a diretoria costuma ignorar: o deepfake atinge o fluxo, não a reputação
Os titulares na mídia costumam focar na reputação ou no "risco de imagem do CEO". Para uma PME, o golpe material ocorre antes: na tesouraria diária.
Quando uma empresa sofre uma transferência fraudulenta, não perde apenas dinheiro. Perde opções.
- Perde poder de negociação com fornecedores se ficar sem liquidez no momento errado.
- Perde margem se tiver que se financiar caro para cobrir um buraco de caixa.
- Perde capacidade de investimento se redirecionar orçamento para tapar o buraco.
Em empresas financiadas por seus próprios clientes, o fluxo é seu oxigênio. Um incidente de fraude, mesmo de menor escala do que os casos emblemáticos, pode forçar descontos agressivos para gerar caixa rápida, alterar políticas de cobrança ou postergar compras críticas. Isso se traduz em deterioração do serviço, rotatividade de clientes e queda nas receitas futuras. O ataque é pago duas vezes: primeiro como perda pontual, depois como erosão operacional.
Por isso, o debate “a diretoria não está pronta para a era da IA” chega às PMEs como uma instrução concreta: o CEO e a equipe financeira devem acordar uma matriz de autorizações que sobreviva à falsificação de identidade.
A estatística de percepção também importa: 31% dos líderes acredita que os deepfakes não aumentaram seu risco de fraude. Essa crença barateia o ataque, porque retarda investimento em controles e mantém processos frouxos. O atacante não precisa que todos sejam vulneráveis; precisa que uma empresa mantenha a porta aberta.
A direção correta: transformar pagamentos em um sistema verificável, não em um ato de fé
A resposta efetiva combina tecnologia e processo, mas a ordem importa. Se uma PME compra ferramentas sem redesenhar seu fluxo de autorização, o custo sobe e o risco se mantém. Se redesenhar o fluxo primeiro, a tecnologia se torna multiplicadora.
Minha recomendação, estritamente da arquitetura financeira, é tratar cada saída de caixa como um contrato em miniatura: evidência, rastreabilidade e separação de funções. A empresa não precisa assumir paranoia, mas precisa assumir contabilidade.
A normalização do deepfake exige uma mudança cultural operacional: ninguém deve “obedecer” a uma voz quando há dinheiro em jogo. Deve-se obedecer a um protocolo. No mundo descrito pelos dados de 2025, onde o volume de deepfakes já é massivo e o fraude escala para bilhões, a PME que preservar controle será a que transformar a autorização de pagamentos em um sistema repetível.
A caixa não é defendida com discursos nem com hierarquia; é defendida com mecanismos que tornem mais caro errar do que verificar, porque o único financiamento que mantém o controle de uma empresa é o dinheiro do cliente, cobrado com margem e protegido por processos.
