Phishing, emails e mensagens com links que visam roubar dados sensíveis. Whaling, a mesma tática, mas com foco em executivos C-level.

O vocabulário das fraudes até pode soar como história de pescador, mas vai muito além — e não está restrito ao ambiente digital.

Seja por métodos online — como QR Code falso e clonagem de chip e de voz por inteligência artificial (IA), seja offline — como abertura de contas e fraudes logísticas, comissionadas ou em contratos, os criminosos têm se tornado cada vez mais sofisticados.

Reflexo disso é uma estimativa de perdas de até US$ 130 bilhões ao ano em fraudes para as empresas da América Latina, segundo a nova pesquisa da McKinsey sobre o tema.

A boa notícia é que há uma grande oportunidade: metade dos prejuízos podem ser evitados. Uma economia que chegaria a US$ 65 bilhões na América Latina com uma estratégia preventiva e integrada, que vai desde definir o apetite ao risco a criar um Centro Integrado de Inteligência de Ameaças.

No McKinsey Talks, Patrick Rinski conversou sobre o tema com John Sato, CRO da Delta Energia, e Pedro Abramovic, CISO e Head de Prevenção a Fraudes do Banco Galicia, na Argentina. Assista aqui ao episódio ‘Gestão antifraude: como evitar perdas milionárias nas empresas’.  

Os consumidores estão de olho

Nos últimos dois anos, 54% das corporações da região registraram aumento nas perdas. No Brasil, esse índice é de 60%. Por aqui, enquanto links maliciosos como malwares e phishing são protagonistas nas ameaças digitais, a fraude logística é a campeã nas operações físicas, seja pela falsa devolução de itens, seja pelo desvio de mercadorias que não chegam aos clientes.

Maximizar as oportunidades de prevenção requer colocar o assunto no topo da agenda dos negócios, o que, hoje, não acontece em metade das empresas latino-americanas: apenas 49% dos CEOs entrevistados pela McKinsey indicam o tema como uma das suas top 3 prioridades.

Varejistas, em especial, devem tornar suas estratégias antifraude mais focadas no cliente. Pesquisas prévias da McKinsey apontam que 70% dos consumidores só realizam transações com empresas que protegem seus dados. Mesmo assim, cerca de 40% das empresas de varejo ainda não consideram a experiência do consumidor em sua estratégia de combate a fraudes.

Uma das razões seria que, ao incluir mais camadas de proteção ao cliente, aumentaria a fricção e reduziria a retenção. O desafio para o setor é achar o equilíbrio entre prevenção e experiência do consumidor. Um caminho? Definir claramente o apetite ao risco, grau de exposição a perdas que a empresa considera aceitável. Outro passo fundamental é garantir sinergia entre as áreas de risco e negócios da empresa, a fim de construir indicadores que levem em conta as metas de receita e as perspectivas de fraudes nos processos.

Além do que se vê

Não contabilizada no montante de perdas há uma parcela daquelas não identificadas — erroneamente classificada como operacional ou de crédito —, que representa cerca de 15% a 35% dos prejuízos.

Dois exemplos são ilustrativos. Uma empresa de telecom descobriu que 35% de suas “vendas ruins” (clientes em default) eram fraudes de comissão — o vendedor fazia vendas fictícias ao cadastrar um CPF que se tornaria inadimplente. Já um banco notou que 25% de suas inadimplências eram “créditos podres” — o fraudador abria a conta, pagava tudo por alguns meses e depois não quitava mais nada.

Essas perdas são “invisíveis” devido a: (1) desafios para diferenciar fraudadores de vítimas; (2) inovações constantes dos tipos de fraude para se antecipar às ferramentas de prevenção, como o uso da GenAI para imitar vozes e driblar a autenticação; (3) automatizações e proliferação da expertise em ciberataques (compartilhamento de hacks na deep web e bots em profusão que massificam ataques a servidores, tentando enganar o captcha até garantir a fraude).

Sem padronização nas métricas de fraude e com o compartilhamento de informação limitado, mesmo quando um golpe é detectado, é difícil avaliar se uma empresa está exercendo um bom trabalho em prevenção ou gestão de ameaças.

Para ajudar a descobrir, as lideranças podem se perguntar se as políticas de gestão de fraude são revisadas com frequência e se os papéis e responsabilidades antifraude estão claros. Outra forma de mitigar riscos é escalar os talentos das áreas de prevenção à fraude para participar desde o início da jornada de criação de um serviço ou produto, permitindo à empresa ser mais proativa do que reativa na hora de prevenir.

Centros Integrados, a evolução da defesa

Se os ataques ainda não diminuem, as organizações não podem abrir mão de um Centro de Operações de Segurança (SOC) para vigiar, detectar e responder às ameaças digitais. Mas é possível ir além com o Centro Integrado de Inteligência de Ameaças (CIIA), ou fusion center. Diferente do SOC, o CIIA não se restringe apenas ao ambiente digital, aumentando em 50% o potencial de detecção de uma fraude.

Isso é possível porque o CIIA integra áreas como gestão de fraude, segurança cibernética, compliance e AML (prevenção à lavagem de dinheiro) que, por questões históricas, não compartilham informações. Não se trata da criação de uma nova área, mas da otimização de áreas já existentes — como na reforma de imóvel, quando paredes são derrubadas para garantir melhor circulação entre diferentes cômodos.

Há, ainda, mais tendências antifraude. Uma das mais promissoras é a GenAI, capaz de garantir rapidez não apenas na identificação de golpes como também no atendimento aos consumidores fraudados — via call center ou chatbot — e na elaboração de relatórios. E as redes colaborativas, em que empresas dividem experiências com suas concorrentes — 56% das companhias de serviços já estão alavancando essas redes, mas ainda existe espaço para interação entre os diferentes setores.

O Brasil em ação

Práticas de mitigação a ameaças serão cada vez mais disseminadas a partir de iniciativas, como a LGPD (Lei Geral de Proteção de Dados Pessoais), que entrou em vigor em 2020, e outras diretrizes específicas em diferentes setores.

Apesar dos esforços, num cenário em que a evolução das fraudes vem em escala oceânica, já não é mais uma questão de “se”, mas de “quando” uma organização será alvo de ameaças. E só uma estratégia avançada antifraude permitirá às empresas estar dois passos à frente dos criminosos.

*Elias Goraieb é sócio sênior da McKinsey em São Paulo e líder das práticas de risco estratégico e advanced analytics & data na América Latina.

*Roberto Marchi é sócio sênior da McKinsey em São Paulo e co-líder da prática de serviços financeiros na América Latina.

*Patrick Rinski é sócio da McKinsey em São Paulo e líder da prática de cibersegurança e riscos não financeiros na América Latina e da prática de seguros no Brasil.

Entre em contato: on_business_by_mckinsey@mckinsey.com