Em 2024, os prejuízos com fraudes digitais no Brasil somaram R$ 10,1 bilhões, um aumento de 17% em relação ao ano anterior, segundo a Federação Brasileira de Bancos (Febraban). O comércio eletrônico se tornou o principal alvo, impulsionado pela combinação entre crescimento das vendas online e estratégias cada vez mais sofisticadas dos cibercriminosos.

A Serasa Experian aponta que mais da metade da população brasileira já foi vítima de golpe digital. Desse total, 54,2% relataram perdas financeiras. O ticket médio das fraudes subiu 30% e superou R$ 1.300 por pedido. Os ataques vão desde phishing até acessos indevidos com credenciais reais, e afetam tanto consumidores quanto empresas.

Técnicas mais usadas pelos golpistas

Segundo Wagner Elias, CEO da Conviso, especializada em segurança de aplicações, os principais vetores de ataque incluem o phishing, o uso de credenciais vazadas e a ação de insiders maliciosos. Esse último, inclusive, representa o tipo de violação com maior custo médio: US$ 4,99 milhões.

Dois métodos em crescimento são o skimming digital — que injeta código malicioso na página de pagamento — e o account takeover (ATO), em que os criminosos assumem o controle de contas reais e realizam compras. Um levantamento da AllowMe indica que 72% das fraudes no varejo digital têm origem em acessos indevidos.

Produtos com alta liquidez, como games, celulares e eletrônicos, são os alvos preferidos. Os golpes ocorrem principalmente com cartões de crédito, devido à facilidade de uso e à demora na detecção.

Segurança precisa ser pensada desde o início

Para conter os ataques, as empresas precisam integrar a segurança ao processo de desenvolvimento das aplicações. “Pensar na proteção apenas depois que o sistema está funcionando é um erro comum”, afirma Wagner Elias. Ele defende a adoção de práticas como o PCI DSS desde o início e o uso de ferramentas como WAFs para proteção em tempo real.

WAFs (Web Application Firewalls) monitoram o tráfego, identificam padrões suspeitos e bloqueiam tentativas de invasão. Esses sistemas agem diretamente contra ataques como injeções de código e acessos não autorizados.

Além disso, a aplicação de inteligência artificial tem ajudado a antecipar ações maliciosas. Segundo o estudo “Cost of a Data Breach 2024”, da IBM, o uso de IA reduz os custos com violações em até US$ 2,2 milhões.

Conformidade com PCI DSS reduz incidentes

O PCI DSS (Payment Card Industry Data Security Standard) estabelece padrões de segurança para empresas que operam com dados de cartões. De acordo com o relatório DBIR 2024, da Verizon, negócios que seguem o PCI DSS têm 52% menos incidentes de segurança.

O estudo da IBM mostra que o PCI DSS também acelera em 54% o tempo de resposta aos ataques. Já os WAFs bloqueiam até 80% dos ataques a aplicações web. Quando combinadas, essas ferramentas podem reduzir em até 75% os prejuízos financeiros, segundo o Ponemon Institute.

Custo das violações e falta de profissionais especializados

Mesmo com essas soluções, o tempo médio para detectar e conter uma violação ainda é de 258 dias. Quando envolve credenciais roubadas, esse tempo pode chegar a 292 dias. A escassez de profissionais especializados cresceu 26,2% no último ano, o que contribuiu para um aumento de US$ 1,76 milhão no custo médio por incidente.

Nos Estados Unidos, uma violação custa, em média, US$ 9,36 milhões. Mais da metade das empresas americanas já indicou que repassará parte desse valor ao consumidor final, o que reforça a ideia de que investir em segurança não é apenas proteção, mas também uma estratégia de mercado.

Wagner Elias conclui: “Ignorar a segurança digital é abrir mão de receita, reputação e competitividade. Em um ambiente de dados valiosos e consumo online intenso, proteger a operação é preservar a empresa”.