Deepfake custou US$ 25 mi à Arup — e sua empresa pode ser a próxima

Em janeiro de 2026, um funcionário do departamento financeiro da Arup — multinacional britânica de engenharia com mais de 18 mil colaboradores — participou de uma videochamada com quem acreditava ser o CFO da empresa e outros colegas seniores. Ao final da reunião, autorizou uma transferência de aproximadamente US$ 25 milhões. Nenhuma das pessoas na tela era real. Todas eram avatares gerados por inteligência artificial, com voz e imagem sintetizadas em tempo real.

O episódio não é ficção científica nem caso isolado de distração humana. É o sinal mais claro até agora de que a fraude corporativa entrou em uma nova fase — e que os controles que funcionavam há dois anos podem não ser suficientes hoje.

O que tornou o golpe possível

Deepfakes de áudio existem desde 2018. Deepfakes de vídeo em tempo real, contudo, exigiam até recentemente hardware caro, latência perceptível e artefatos visuais que denunciavam a falsificação. Esse custo técnico despencou.

Ferramentas como ElevenLabs (clonagem de voz), HeyGen (síntese de avatar em vídeo) e pipelines open-source baseados em modelos de difusão permitem hoje replicar voz e aparência de um executivo com menos de dois minutos de áudio de referência — extraído de entrevistas no YouTube, podcasts ou gravações de eventos corporativos. O resultado não precisa ser perfeito; precisa apenas ser convincente o suficiente para um contexto de estresse, urgência e autoridade hierárquica — exatamente o ambiente que os golpistas constroem.

No caso da Arup, a engenharia social foi precisa: a vítima recebeu um e-mail legítimo solicitando uma reunião confidencial sobre uma aquisição em andamento, entrou na chamada e viu rostos conhecidos. A pressão de tempo e o pedido de sigilo — elementos clássicos de Business Email Compromise (BEC) — foram simplesmente transpostos para o formato de vídeo.

Por que isso importa para empresas brasileiras

A resposta curta: porque o Brasil é o segundo país do mundo com mais vítimas de crimes financeiros digitais, segundo o relatório Febraban 2025, e porque PMEs raramente têm os controles que grandes corporações já operam com dificuldade.

Se a Arup — com seu departamento de segurança, políticas de compliance e equipe jurídica global — não impediu o ataque, a pergunta correta não é "isso vai acontecer com a gente?" mas "o que fazemos quando acontecer?".

O vetor de ataque aqui é fundamental: a fraude não dependeu de phishing por e-mail. O funcionário não clicou em link malicioso. Não abriu anexo. Passou por todos os filtros mentais que treinamentos convencionais de conscientização ensinam — e ainda assim foi enganado. Isso invalida parte significativa do que as empresas chamam de "educação em segurança".

O que muda na prática: verificação fora de banda

A contramedida mais eficaz — e já adotada por bancos globais como JPMorgan e HSBC em seus protocolos internos — é a verificação fora de banda (out-of-band verification). O princípio é simples: qualquer instrução sensível recebida por um canal (e-mail, Teams, Zoom, WhatsApp) precisa ser confirmada por um canal diferente e independente, preferencialmente por ligação telefônica para um número já cadastrado — não o número enviado na própria mensagem.

Na prática, isso significa:

Três regras que devem virar política formal

1. Mudanças em dados bancários de fornecedores — qualquer alteração de conta para pagamento exige confirmação por telefone com o contato previamente registrado no ERP ou sistema de compras. Nunca use o número fornecido no e-mail de solicitação.

2. Instrução de transferência de CFO ou CEO por videoconferência — estabeleça uma palavra-código ou protocolo de autenticação para solicitações financeiras de alto valor. Parece arcaico; funciona. O banco suíço Julius Baer implementou palavras de segurança internas após um incidente análogo em 2024.

3. Aprovação dupla para valores acima de threshold definido — o teto deve ser calibrado para a realidade da empresa. Para uma PME brasileira, R$ 50 mil já justifica dupla aprovação presencial ou por canal alternativo documentado.

O papel do treinamento tem que mudar

O treinamento de conscientização precisa incorporar simulações de deepfake, não apenas phishing simulado. Plataformas como KnowBe4 e Proofpoint Security Awareness já oferecem módulos específicos para isso. A pergunta que o treinamento deve plantar na cabeça do colaborador não é mais "esse e-mail parece suspeito?" — é "como eu verifico que a pessoa na tela é quem diz ser, independentemente do que estou vendo e ouvindo?".

O risco que ainda está sendo subestimado

Há um detalhe operacional que poucos CISOs estão endereçando: a superfície de exposição de voz e imagem de executivos brasileiros é enorme. Entrevistas em portais de negócios, participações em podcasts do setor, painéis gravados em eventos como CIAB Febraban, HSM ou SXSW São Paulo — tudo isso fornece o material de treinamento que um modelo de síntese precisa. Não é preciso invadir nada. Os dados estão públicos.

Isso não significa que executivos devem sumir do espaço público. Significa que as empresas precisam tratar presença digital de liderança como parte da superfície de ataque — e ajustar protocolos de autorização financeira de acordo.

O que fazer nos próximos 30 dias

A Arup vai sobreviver ao prejuízo de US$ 25 milhões. A maioria das PMEs brasileiras não sobreviveria a uma fração desse valor. A ação imediata não exige orçamento de segurança sofisticado:

• Mapeie quais cargos da sua empresa têm autoridade para aprovar pagamentos e transações.
• Defina um protocolo escrito de verificação fora de banda para cada um desses fluxos.
• Teste o protocolo com um exercício simulado antes do fim do trimestre.
• Revise os limites de aprovação individual e implante dupla custódia para valores relevantes.

A tecnologia que viabilizou o golpe contra a Arup está disponível, barata e melhorando a cada mês. Os controles que a combatem são, em grande parte, processuais — e custam muito menos do que um único incidente bem-sucedido.