Um vazamento de dados de proporções homéricas pode abrir uma nova fase em ataques fraudulentos no Brasil. Na semana passada, foi revelado um vazamento de dados — ainda de origem desconhecida — que inclui informações de mais de 223 milhões de CPFs distintos.

Os dados vazados vão muito além de informações pessoais como nome completo, CPF, data de nascimento e gênero — que por si só, já mereceriam grande atenção da nossa comunidade e altas multas da LGPD. Mas, incluem dessa vez, dados pessoais ‘avançados’ que permitem a confecção de identidades sintéticas de alta fidelidade e a imitação digital fidedigna de mais de 200 milhões de brasileiros.

Um fraudador pode hoje comprar na dark web por pouco mais de R$5 uma gama completa de informações sobre qualquer CPF no Brasil, como telefone, endereço, renda, RG, status na Receita Federal e até uma foto do rosto — como reporta Felipe Ventura do Tecnoblog.

Com essas informações em mãos, esse usuário mal intencionado consegue driblar a grande maioria de sistemas menos sofisticados de combate a fraude, que se baseiam quase que exclusivamente em enriquecimentos externos de dados sintéticos.

Dessa maneira, o fraudador vai conseguir com grande facilidade gerar grandes prejuízos (às vezes alcançando 2 a 3% da receita anual) a e-commerces que dependem de ferramentas internas pouco flexíveis ou de plataformas que se baseiam nesses dados estáticos.

Um vazamento de tais proporções cria também uma grande dificuldade para potenciais sistemas de análise manual, que irão depender necessariamente de procedimentos de alta fricção — como a tentativa de contato direto com o cliente — para a aprovação de uma porcentagem cada vez maior de compras.

Na Legiti, como já detalhei no artigo “Os limite da biometria estática”, nossos modelos preditivos baseiam-se fundamentalmente em informações dinâmicas e adaptativas que não são diretamente impactadas por vazamentos desse tipo. Nossa inteligência é baseada em comportamentos globais de usuários, não atribulados a um ou outro CPF ou a cruzamentos de dados já manjados por fraudadores (por exemplo, a verificação de endereço ou telefones conhecidos).

Se sua empresa ainda depende de regras de derivação fixas, mesas de análise manual ou plataformas antifraude baseadas primariamente em enriquecimentos externos, é hora de se preocupar.