Deepfakes, Scams e Engenharia Social como um Novo Desafio da Proteção de Dados 

Texto por: Alexandre Fonte, Marcela Gomes e Hanna Wurman

O avanço das tecnologias de Inteligência Artificial trouxe inúmeras inovações para o mundo digital. Contudo, também deu origem a novas formas de fraude, especialmente com o uso de deepfakes — vídeos, áudios ou imagens gerados artificialmente para simular pessoas reais. 

Deepfakes e Engenharia Social: Conceitos e Intersecções

O termo deepfake surge da fusão entre deep learning – é um conjunto de comandos utilizados, simulando o poder de tomada de decisão de um cérebro humano, chamado de redes neurais profundas, para treinar os modelos de Inteligência Artificial – e fake (falso), representando a aplicação dessas redes neurais profundas para criar conteúdo falsos, mas extremamente realistas. 

Já a engenharia social é a técnica de manipular pessoas para que revelem informações confidenciais ou realizem ações que comprometam a segurança digital. 

A combinação desses elementos cria o “deepfake scam”, no qual criminosos usam vídeos ou áudios falsificados de executivos, influenciadores, investidores ou até mesmo familiares para persuadir vítimas. 

A grande questão dos deepfakes está na sua capacidade de manipular a confiança humana, reproduzindo de forma convincente vozes e rostos de pessoas conhecidas — como líderes empresariais, colegas de trabalho, familiares ou figuras públicas —, dessa forma, os fraudadores utilizam de um dos traços mais fundamentais da cognição humana: a tendência de acreditar naquilo que é percebido visual e auditivamente como real ou conhecido. Essa manipulação da percepção cria um ambiente ideal para golpes de engenharia social, que se apoiam justamente na emoção e na urgência para induzir decisões precipitadas. 

Casos reais já ocorreram em que vozes – também conhecido como vishing – de CEOs foram clonadas por IA para autorizar transferências milionárias em criptomoedas. 

O Desequilíbrio Entre Avanço Tecnológico e Segurança Jurídica

O avanço dos deepfakes e sua integração em golpes de engenharia social representam uma ameaça em desenvolvimento à proteção de dados pessoais e à própria noção de autenticidade digital. 

Diferentemente dos ataques cibernéticos tradicionais, que exploram vulnerabilidades técnicas (como falhas em sistemas), os golpes baseados emdeepfakes exploram vulnerabilidades humanas — confiança, medo, curiosidade ou autoridade. Essa característica torna sua prevenção muito mais complexa, pois envolve dimensões comportamentais e psicológicas, não apenas tecnológicas. 

O uso indevido dessas ferramentas pode resultar em vazamento de dados sensíveis, fraudes financeiras, extorsão etc. Em um cenário corporativo, por exemplo, já há casos em que criminosos utilizam deepfakes de executivos para autorizar transferências bancárias ou solicitar informações sigilosas a funcionários — um tipo de golpe que alia engenharia social e manipulação audiovisual. 

Do ponto de vista jurídico, surge um problema central: como atribuir responsabilidade e comprovar o nexo causal em um ambiente digital manipulado?

A manipulação de dados e identidades por deepfakes dificulta a identificação dos Autores, cria incertezas quanto à origem das informações e pode levar à responsabilização indevida de terceiros. Além disso, a natureza descentralizada e pseudônima das redes digitais. 

Outro ponto sensível é o impacto na confiança. A proteção de dados pessoais depende, em grande medida, da confiança entre titulares, empresas e instituições públicas. A proliferação de conteúdos falsos e de golpes baseados em manipulação audiovisual mina essa confiança, reduzindo a disposição dos usuários em compartilhar dados e fragilizando o próprio ecossistema digital. 

Por fim, a problemática dos deepfakes evidencia uma lacuna regulatória e cultural: enquanto a tecnologia avança em velocidade exponencial, a legislação, a fiscalização e a educação digital devem acompanhar o mesmo ritmo. A LGPD oferece princípios valiosos — como o da segurança, da prevenção e da responsabilização —, mas sua aplicação enfrenta desafios práticos diante de ameaças que não se limitam ao tratamento indevido de dados, mas ao próprio engano sobre a realidade. 

Responsabilidade na Era Digital

A responsabilização pelos impactos dos deepfakesscams e práticas de engenharia social é um tema complexo e multifacetado. Isso porque os danos resultam de uma cadeia de ações e omissões que envolve tanto agentes maliciosos quanto instituições que tratam dados pessoais, plataformas digitais e até os próprios usuários.

Do ponto de vista jurídico, a Lei Geral de Proteção de Dados (LGPD) estabelece o princípio da responsabilização e prestação de contas, segundo o qual os agentes de tratamento devem demonstrar que adotam medidas eficazes de proteção e segurança. Assim, ainda que a autoria de um deepfake seja de difícil rastreamento, controladores e operadores de dados têm o dever de adotar políticas preventivas e mecanismos de mitigação de risco, sob pena de responsabilidade solidária ou subsidiária, dependendo do caso concreto. 

  • Agentes maliciosos e criadores de conteúdo falso: São os principais responsáveis diretos pelos danos causados. Utilizam tecnologias de IA para manipular identidades, enganar vítimas e obter vantagens indevidas — financeiras, políticas ou reputacionais. No entanto, a anonimização e a descentralização da internet dificultam sua identificação, o que exige aprimoramento da legislação penal em matéria digital; 
  • Controladores e operadores de dados: Empresas e plataformas que armazenam, processam ou disseminam conteúdo digital possuem um papel essencial na prevenção e resposta a incidentes, ainda que também seja vítimas em casos de deepfakes. Elas devem investir em sistemas de verificação de autenticidade, detecção de manipulações audiovisuais e monitoramento de comportamentos suspeitos; 
  • Usuários e titulares de dados: Embora sejam as principais vítimas, os usuários também têm papel relevante na manutenção de um ecossistema digital seguro. A falta de educação digital e a disseminação inconsciente de conteúdos falsos contribuem para ampliar o impacto dos deepfakes. A responsabilidade individual, nesse contexto, não é jurídica em primeiro plano, mas ética e social — reforçando a importância da conscientização e da verificação de fontes antes do compartilhamento de informações;
  • Poder público e autoridades regulatórias: Órgãos como a Autoridade Nacional de Proteção de Dados (ANPD), o Ministério da Justiça e as autoridades policiais especializadas em crimes cibernéticos são corresponsáveis pela criação de um ambiente regulatório e fiscalizatório eficaz. Devem fomentar políticas públicas de educação digital, cooperação internacional e atualização legislativa para acompanhar a velocidade do avanço tecnológico. 
    A atuação preventiva e coordenada do Estado é essencial para evitar que a proteção de dados se torne um sistema reativo, agindo apenas após a ocorrência de danos irreversíveis. 

As Origens Estruturais da Vulnerabilidade Digital

A causa raiz do avanço dos deepfakes e da eficácia dos golpes baseados em engenharia social não está apenas na tecnologia em si, mas no descompasso entre inovação e preparo humano, ético e institucional.

Vivemos uma era em que a inteligência artificial evolui de forma exponencial, com algoritmos cada vez mais acessíveis, baratos e potentes. Ferramentas capazes de gerar imagens e vozes realistas estão disponíveis a qualquer pessoa, sem necessidade de conhecimento técnico aprofundado. Essa democratização da IA é positiva do ponto de vista criativo, mas abre espaço para usos maliciosos em escala global. 

Por outro lado, a sociedade — incluindo indivíduos, empresas e governos — ainda opera sob uma maturidade digital insuficiente. Muitos usuários não compreendem plenamente como seus dados são coletados, tratados e explorados, tampouco têm mecanismos eficazes para distinguir o que é real do que é sintético. Isso cria uma assimetria informacional profunda: os atacantes dominam as tecnologias, enquanto as vítimas ainda estão aprendendo a lidar com as consequências. 

Por fim, a causa mais profunda desse cenário é a ausência de um alinhamento ético e educacional diante da tecnologia. Falta uma compreensão coletiva de que a IA não é apenas uma ferramenta, mas um poder transformador que exige responsabilidade, transparência e educação. Enquanto o desenvolvimento tecnológico seguir desvinculado da reflexão social, ética e jurídica, o risco de abusos — como os deepfakes — continuará crescendo. 

Em síntese, a raiz do problema está na disparidade entre a velocidade da inovação e a lentidão da adaptação humana e institucional. A tecnologia não é, por si só, o inimigo — o verdadeiro desafio é o modo como a utilizamos e a ausência de estruturas adequadas para controlá-la.

Medidas Técnicas e Jurídicas de Mitigação

A resposta a esses novos riscos exige uma abordagem multidisciplinar, combinando tecnologia, regulação e conscientização tanto da empresa, quanto do usuário. A complexidade desse problema demanda soluções preventivas, colaborativas e sustentáveis, voltadas tanto à proteção de dados quanto à reconstrução da confiança no ambiente virtual. 

  • Soluções tecnológicas, da detecção à autenticação: A primeira linha de defesa está na inovação tecnológica responsável. É essencial que empresas e desenvolvedores invistam em ferramentas capazes de identificar manipulações digitais por meio de técnicas de machine learning, análise de inconsistências visuais e marcações de origem (watermarking). 
    Além disso, mecanismos de autenticação multifatorial (MFA), assinaturas digitais podem reduzir os riscos de falsificação e usurpação de identidade. 
    Essas soluções, porém, só serão eficazes se acompanhadas de políticas transparentes sobre o uso de IA e o tratamento de dados, em conformidade com os princípios da LGPD; 
  • Soluções jurídicas e regulatórias: No campo normativo, é necessário fortalecer o papel da Autoridade Nacional de Proteção de Dados (ANPD) e promover cooperação internacional para combater crimes digitais transnacionais. 
    O ordenamento jurídico deve evoluir para abranger condutas associadas à criação e disseminação maliciosa de deepfakes, definindo responsabilidades civis e penais de forma mais clara. 
    No âmbito das empresas, políticas de governança de dados e compliance digital devem ser incorporadas à cultura organizacional, tornando a proteção da privacidade um elemento estratégico — e não apenas uma exigência regulatória; 
  • Soluções educacionais e culturais: A educação digital é talvez o pilar mais importante e, paradoxalmente, o mais negligenciado. 
    É preciso capacitar a sociedade para reconhecer – como verificar a autenticidade de mensagens, vídeos e áudios recebidos – e reagir – utilização de autenticação em dois fatores (2FA) de preferência em aparelhos distintos, senhas fortes e exclusivas etc – a ameaças baseadas em engenharia social. Campanhas de conscientização, treinamentos corporativos e programas escolares que abordem verificação de informações, segurança de dados pessoais e pensamento crítico digital são essenciais. 
    A cultura de segurança deve ser contínua e transversal, todos os níveis da sociedade precisam compreender que a proteção de dados começa no comportamento individual. 

Conclusão

Os deepfake scams representam uma evolução sofisticada das fraudes digitais, e sua associação com engenharia social cria um novo esquema de risco para a proteção de dados pessoais, especialmente em setores digitais e descentralizados como o mercado de criptoativos. 

A LGPD, ao estabelecer princípios como segurança, prevenção e responsabilização, oferece bases sólidas para mitigar esses riscos, mas sua efetividade depende da maturidade tecnológica e cultural das organizações envolvidas e dos usuários.  

O futuro da proteção de dados nesse contexto passa pelo desenvolvimento de tecnologias de autenticação descentralizada e detecção automática de deepfakes, além da promoção de uma educação digital robusta que empodere os titulares de dados frente às manipulações de IA.