Abecs
Video
•
30/04/2026
Fraudes em 2026: Novos Vetores, Velhas Vulnerabilidades e Ações Concretas | 19º CMEP
Sumário Regulatório
Andrew Barros, gerente executivo de Prevenção a Fraudes da @cartaoelo, Dener Souza, diretor de Risco da @VisaBR, e Felipe Soares, diretor de Customer Compliance & Fraud da @MastercardBrasil, discutem os novos vetores de fraude, as vulnerabilidades persistentes e as ações concretas de combate, em painel do 19º CMEP. O evento foi realizado em 14 e 15 de abril de 2026 no Teatro Santander, em São Paulo.
Transcrição e Conteúdo
Nós vimos aí, né, se por um lado a tecnologia evolui e traz novas possibilidades pro mercado de pagamentos, [música] por outro lado, os riscos também se transformam. Novos vetores de ataque surgem, enquanto algumas vulnerabilidades que já eram conhecidas continuam desafiando o setor. Para mergulhar ainda mais nesse tema, convido agora ao palco o gerente executivo de prevenção...
Nós vimos aí, né, se por um lado a
tecnologia evolui e traz novas
possibilidades pro mercado de
pagamentos, [música]
por outro lado, os riscos também se
transformam. Novos vetores de ataque
surgem, enquanto algumas
vulnerabilidades que já eram conhecidas
continuam desafiando o setor. Para
mergulhar ainda mais nesse tema, convido
agora ao palco o gerente executivo de
prevenção a fraudes da ELO, Andrew
Barros.
Bem-vindo, Andrew. Chamo também o
diretor de Customer Compliancy fraud da
Mastercard Brasil, Felipe Soares.
E para moderar este painel, o diretor de
risco da Visa do Brasil, Dener Souza.
[música]
Por favor, recebam todos com aplausos e
participem.
Façam as suas perguntas pelo QRCE
exibido ali no painel e [música] não
esqueçam de deixar o seu nome também.
Obrigada. Vamos lá.
Boa tarde. Obrigado pela presença de
vocês ou bom dia também, porque eu
também não almocei, então estamos todos
aqui no mesmo barco. O objetivo aqui é
um bate-papo os meus colegas aqui do dia
a dia das nossas batalhas diárias. Então
fiquem super à vontade. O QR code tá
aqui aberto. Vamos fazer dois
combinados. Não pode começar a pergunta
com o que a bandeira tá fazendo, por
favor. e também nem versão de liability,
OK? O restante a gente aceita aqui as
perguntas e acho que o nosso foco aqui
durante esses próximos minutos é bater
um papo com vocês falando sobre o que a
gente viu em 2025, o que que a gente
entende que são os nossos problemas de
2026 e o que que a gente tem feito como
indústria para reduzir e mitigar todos
esses problemas que a gente tem. Então,
o assunto é gostoso, é raro, mas
acontece sempre. A gente vai falar de
fraude, né?
>> É isso aí.
>> Obrigado. Acho que para começar acho que
seria interessante a gente discutir
sobre a gente vem falando muito de A,
né? Tudo é IA, tudo é IA agora. E a
gente tem visto que as fraudes elas elas
cada vez estão mais tecnológicas,
mas ao mesmo tempo
o fraudador descobriu que o elo mais
fraco da fraude é o cliente
e não tem que ter tecnologia.
Como que vocês encaram isso dentro da
casa de vocês e como vocês têm visto
isso olhando pro pro nosso mercado?
Vamos lá, Felipe.
>> É, acho que a gente tem que encarar
eh a Iá como algo que vem para
solucionar muitos temas e algo que vem
para aumentar bastante o desafio, né, de
quem trabalha não só eh na indústria de
cartão de crédito, mas também com
prevenção à fraude.
E o que a IA faz na prevenção a fraude é
simplesmente baratear o processo, né?
Então o que o fraudador antes demorava
porque de repente precisava de um de
algum tipo de eh eh criação, né? Eh,
agora ele não precisa mais disso, né? A
informação ficou muito mais acessível,
né? E a criação, né? né? Ou seja, criar
algum boot, algum agente, enfim, ficou
também muito mais acessível, né? Então,
acho que esse é o grande desafio nosso
com a eh, e aí no meio, como você já
falou, tá o portador, né? E o portador
eh vai ter que aprender a lidar também
com com a IA e com a prevenção a fraude,
né? Andrew.
>> Perfeito. Acho que Fidel você colocou.
Fidel não, perdão, Dener. Eh, Fidel tá
ali tirando a foto. Eh, acho que até
colocando um ponto que você trouxe
pertinente, né? Eh, a gente fala muito
da criptografia, da tokenização, da
proteção do elo tecnológico, mas o
portador a gente não protege com
tecnologia, né? E quando a gente fala na
IA, acho que trouxe muito bem, Felipe,
eh hoje a a engenharia social, ela já
existe há muito tempo. O que a IA fez
foi facilitar alguns caminhos,
automatizar o processo do próprio
fraudador. Então a gente tem muito,
conheça o seu cliente, conheça o seu
merchan, agora tem o New York victim,
né? Conheça a sua vítima, que é o
processo deles, que é conhecer o
processo, conhecer quem é a vítima,
conhecer o portador para conseguir pegar
um elo, seja da necessidade, do medo e
conseguir entrar com a engenharia
social. E acho que a IA entra nesse
processo. E o que como bandeira, como
elo, como meios de pagamento que a gente
precisa agora combater, é em algum
momento a gente tá fazendo máquina
contra máquina, então tem a nossa IA
combatendo a IA do fraudador. Acho que
esse é o nosso grande desafio que eu
colocaria.
>> Se a gente for olhar 2026, que qual
destaque vocês dariam? Que tipo de
fraude mais preocupam eh preocupa vocês
hoje
>> agora com o Andrea, né? Vamos primeiro
com o Andre.
Tô brincando. Vamos lá. Eh, bom,
primeira fraude, engenharia social, né?
Aí não precisa ir muito longe. Eh, é a
que afeta, ou melhor, é a causa raiz de
de da maior parte das dos modos
operandes que a gente tem hoje em dia na
prevenção à fraude, né? Eh, e vai ser ao
longo de muito tempo, né? Ah, e por quê?
Porque a gente já comentou um pouco
atrás, né? Eh, e aí a gente tem aí
alguns outros vetores que a gente vai
comentar logo menos, né? Mas eu acho que
esse é o, na, na minha opinião, o
principal e vai durar alguns tempos,
algum tempo ainda.
>> Concorda?
>> 100%. Eu acredito que na linha da
engenharia social, quando a gente fala
de fraudes, eh, e até trazendo uma uma
conexão, eu tenho Prilix, tem engenharia
social por trás, muitas vezes o técnico,
não é o técnico tá indo fazer uma
manutenção no equipamento ali no
supermercado. Depois a gente explica um
pouco o que é o Prilx, mas ele tá indo
fazer uma manutenção no equipamento, eh,
e tá instalando um MAER. Ele usou uma
engenharia social por trás. a gente fala
do reli ataque, que é um um ataque de
transmissão. Existe uma engenharia
social, as grandes fraudes do ano
passado houveram engenharia. Então,
engenharia social, eu acho que a gente
pode colocar como mal do século aí para
pro que a gente fala de prevenção a
fraude. E acho que ao mesmo tempo,
quando a gente observa o que a gente
passou em 2025, até no no primeiro
trimestre de 2026, a gente continua com
um problema persistente que é o cliente
caindo, né? Acho que a gente vem
trabalhando como indústria através da
AEX, eh, em ações de educação, mas a
gente entende que a gente não conseguiu
chegar lá, né? Eh, a gente vê que muitas
vezes o cliente ele é alertado, né, que
aquela transação
tem um um risco, né? Eh, mas ele ele
persiste, ele persiste e isso em virtude
da confiança que o fraudador passa para
ele durante ali aquele momento que eles
estão juntos, né? Eh, e isso, isso é
isso é uma coisa que que impressiona a
confiança que o fraudador consegue
demonstrar durante um curtíssimo espaço
de tempo e o cliente acaba caindo. É, é
algo que chama atenção.
>> Então, em cima disso, ontem eu tava a
gente tava passando por um outro fórum
também e o comentário, eu estava ouvindo
uma pessoa e o comentário dela é foi
muito interessante. falou assim: "Olha,
eu eh tô perdendo,
tô perdendo o jogo eh porque o cliente
ele tá muito confiante, ele tá vindo
aqui, ele tá eh retirando bloqueios que
são aplicados para, né, obviamente
garantir a segurança. Eu comecei a
contratar psicólogos
para tentar inverter o jogo, né? Então,
é um pouco, acho que essa dor, né, que a
gente tá sentindo, tanto emissores
quanto credenciadores, enfim, né, a
indústria como um todo.
>> Esse é um problema. Acho que agora vamos
começar a entrar um pouco sobre aquilo
que a gente
vivenciou, descobriu ou redescobriu em
em 2025 e nesse primeiro trid de 2026.
Acho que o o Angel já deu ali o o
spoiler falando um pouco de de Príilex,
mas eh dando fazendo um de forma bem
grosseira aqui. A gente convive com
Prilex no mercado desde 2018, mais ou
menos, né? Acho que a primeira a
primeira vez que a gente ouviu falar de
Príilex aqui no Brasil foi em 2018. Ele
acontecia em ATM, né? Eh, de 2020 para
cá, a gente viu que a gente passou a ter
problemas de prx em eh em PDVs. Que que
é o prx? O fraudador aplica uma
engenharia social. Acho que é aqui as
duas palavras que vocês mais vão ouvir
nessa palestra aqui hoje é a engenharia
social, né? Eh, ele aplica a engenharia
social no comerciante,
dizendo que ele é do adquirente, do
credenciador e precisa fazer o quê? uma
atualização do sistema e ele faz uma
atualização no PDV que tem um computador
central e aquele computador vira um
zumbi literalmente e ele consegue
duplicar ou triplicar as transações e
depois essas transações elas são eh
enviadas eh através de um comércio que é
criado para cometer a fraude. E a gente
a gente viu várias ondas do Prilx ao
longo desses últimos anos. A gente foi
criando regras, a gente foi criando
formas de identificação.
Onde você acha que a gente tá hoje?
É, a próxima onda vai ser agora em maio,
né? Provavelmente, porque é maio e
novembro, ele ele costuma. Ah, primeiro
assim dizer um pouco a respeito do
Prilx. O Prx tem um nome muito bonito,
né? a fraude para ser feita, ela é muito
complexa. Eh, e no final do dia o o
nível do ataque que a gente recebe, ele
não é relevante, né? Então, acho que
importante a gente dizer isso pro pro
auditório, para quem tá nos escutando
agora, de que eh são fraudes até hoje
que não superaram ali eh a casa dos
milhões, né? pelo que a gente tem eh
dentro do do que a gente apura. Eh, para
onde vai o Prílix?
Bom, eh, é uma ótima pergunta, eu não
sei te responder. [risadas]
A gente tem atualizações sempre, mas o
que a gente pode fazer é olhar pro que a
gente teve no passado, né? Então, o que
que a gente enxerga hoje do Prx no dia
de 2025? uma regressão do próprio
fraudador. Então, o fraudador, e aqui é
um ponto de atenção pros emissores, né?
Então, assim, eh, o fraudador ele ele tá
deixando alguns gaps que ele não
deixava. Aí, lembra quando a gente
começou aqui a nossa fala dizendo que a
IA ela traz a informação, mas ela também
traz a informação. Eh, a informação às
vezes vem ou muito mastigada, né, ou não
vem completa, né? Eh, e aí o fraudador
que tá tentando replicar aquilo, ele vai
replicar de uma maneira que não é
perfeita e isso vai gerar alguns gaps.
Então, o que a gente viu no prilex do
ano passado foram gaps agora gaps que
ainda assim conseguiram em alguns
momentos passar pela proteção dos
emissores, passar pela proteção dos
credenciadores.
Eh, então e é isso, né? Acho que esse
essa linha
>> você acha que a maior dificuldade hoje
que a gente encontra é tá relacionada à
situações dos cartões múltiplos?
>> Não, não. Eu acho que a maior
dificuldade que a gente encontra hoje é
justamente identificar essas falhas.
Quando a gente fala falhas aqui, a gente
fala de falhas na mensageeria, falhas na
ISO da transação, né? Eh, então quando a
gente identifica essas falhas e soma
elas as, por exemplo, informações não
financeiras da transação ou financeiras
da transação, encontrar justamente essa
e eh eh eh essa estratégia de barrar a a
fraude, né, eh do Prelix. Mas de novo,
eu enxergo que a maior dificuldade é é
justamente os bancos conseguirem
seguir segurando as barreiras, porque o
Prilix ele é um pouco chatinho nessa
parte.
>> Andrew, você acha que olhando pra parte
da cópia da transação, né, do da
engenharia social propriamente dita,
quando ela acontece, existem setores que
são mais expostos?
>> Com certeza. Quando a gente fala, como
você explicou bem, dentro do Prilix, ele
envolve o PDV, que é o ponto de venda,
né? Normalmente supermercados, eh,
talvez postos, algumas lojas que têm uma
automação por trás, elas costumam ser
alvos. Até por conhecimento dos
fraudadores, eles sabem que existe um
PDV, existe um TF por trás e normalmente
tem a engenharia social, eles conseguem
via funcionários, via uma engenharia,
como o próprio técnico, de conseguir
instalar esse MAER e com certeza eles
costumam ser os alvos nessa quando a
gente fala o ponto de de
comprometimento, né? Eles costumam ser
os alvos.
Aí voltando um pouco para pros pontos
que você trouxe sobre essas esses pontos
da transação, né? O que a gente consegue
observar na transação? Você acha que
hoje a gente faz bem esse trabalho?
Olhando o mercado, a gente consegue
observar todos os campos da forma? Acho
que a pergunta aqui é pros dois, olhando
para as casas de vocês, a gente, os
bancos estão fazendo o dever de casa de
observar ah atentamente todos os campos
ou a gente já entrou naquele modo
automático de o do básico bem feito?
>> Acho que a gente tem desafios. a gente
tem desafios porque eh e eu entendo
entendo os emissores e entendo os
credenciadores, né, de novo e de repente
a gente tem que olhar retorno versus
risco aqui e tomar a decisão naquele
momento.
Mas sim, a gente tem ainda alguns gaps,
né? gaps que a gente, quando a gente
fala de gaps aqui, são gaps da
autorização em si, né? Algumas
validações que podem ser feitas em
momentos de autorização e que muitas
vezes não são feitas. Eh, mas de novo, o
Prilx ele evoluiu tanto de 2018 até
2025, eh, que trouxe, acho que
praticamente hoje toda todo o mercado,
olhando principalmente eh emissores, eh
a gente tem um um uma pessoal muito
craque ali no no que tange regras do
IMV, né? Então, eh, isso é importante
citar. Agora acho que faltou só uma
explicação nossa aqui, porque a gente
falou aqui o no Prilex que o Prilex ele
faz é a engenharia social, né? O
fraudador faz engenharia social no
comércio eh e instala um MAER. E o que
que ele faz com o MAER, né? em tempo de
transação. Ou seja, imagina, imaginem
vocês com os o cartão de crédito de
vocês dentro de um supermercado, por
exemplo. Eh,
e nesse momento o fraudador o que ele tá
fazendo é em tempo de transação, ele tá
garimpando informações daquela
transação, tá? e ele usa essas
informações, que são as informações
criptografadas daquela transação para
gerar uma nova transação futura que ele
vai fazer dali a algum momento ou dali
alguns dias. Eh, obviamente com a ideia
de realizar a frase,
>> validar o criptograma, né?
>> Exato. Exato. Então, essa é a grande
dificuldade, né? Porque a gente tá
recebendo, na verdade, um dado que ele
é, em teoria real, né? Ele é um dado e é
eh válido, ele não é um dado sintético,
né? Ele é um dado verdadeiro.
>> Andio, agora, olhando para essa fraude
do prilax e olhando pra IA, você acha
que a IA vai conseguir transformar,
gerar uma nova onda de prilax dentro do
nosso mercado?
>> Olha, pergunta chave de ouro, né?
Acredito que a ela vai ajudar em tudo
quando a gente fala, tanto do lado do
mal quanto do lado do bem. Então, o que
a gente pode ver de potencial de no prx
é a automação dos processos que eles
podem fazer depois. instalou o MAER,
eles dependem de um segundo ponto, que é
o que o Felipe tava explicando, de um
segundo ponto, um segundo terminal para
retransmitir. Talvez essa retransmissão
de transações, a a formatação delas, a
IA pode ajudar a fazer muito mais bem
elaborada, muito mais bem estruturada,
complicando a validação quando a gente
fala na na fragilidade do dos emissores.
E acho que até trazendo um outro ponto,
Den Felipe, só um ponto de atenção que a
gente fala muito do Prilix e que ele
volta, né? ele para, volta, para, volta.
E o que que acontece quando ele volta?
Às vezes ele volta com a mesma eh
metodologia, ele passa de novo. E o
frudador ele tem essa mania de regredir
que ele fala: "Opa, já faz um ano,
alguma coisa, algum release, alguma,
alguma atualização de tecnologia
derrubou a validação." Então, acho que é
um ponto que a gente coloca para para
todos do arranjo, né? Eh, as fraudes
elas nascem, mas elas não morrem, elas
voltam porque o fraudador tende a
regredir. E a gente vê o Prilix,
>> ele vai est sempre testando,
>> sempre testando.
>> Ele vai buscar um gap. Exatamente.
>> Olhando, olhando aqui com próximos
passos, acho que eh aí a minha opinião
pessoal eh acho que a gente tem um um
uma questão que a gente precisa resolver
e a gente até pautou isso na nax
próximos eh paraas próximas reuniões,
que hoje a gente quando olha pros
emissores, eles acabam sofrendo com um
falso positivo ruim, porque a gente hoje
em mensageria de autorização não
consegue diferenciar um POS de um PDV,
né? Vocês entendem que com essa
informação trafegando de forma correta,
né, eh, a o emissor ele consiga ser mais
eh direto e mais assertivo?
>> Eu acredito, eu acho que você trouxe
bem, né? Quando a gente tem informação
hoje, dando um passo para trás, quando o
emissor ou o adquirente ou qualquer
player que vai atacar fraude, se ele não
tem informação, ele solta o canhão, né?
Cara, vou barrar o máximo possível
porque eu não sei o que pode ser o Prix,
o que pode estar envolvido. Quando você
começa a ter uma discriminação, opa,
isso é um tef e tá preenchido
corretamente, você não precisa mais do
canhão, vamos na sniper, né? vamos
atingir exatamente o ponto. Então, com
certeza ele ajuda a reduzir muito o
falso positivo
>> e isso vai exigir que o emissor se
atente aos diferentes as diferentes
informações que vão trafegar em em
autorização.
>> É exato. Fora isso, acho que como o
Prilx evoluiu, como a gente disse, de
2018 a 25 e deve trazer mais evoluções
nos próximos nos próximos anos, eh a
gente tem trabalhado como indústria em
vacinas, acho que é importante dizer
isso, né? Eh, a gente tem trabalhado
também nos grupos da Abex que falam de
Prilx. a gente no ano passado trabalhou
eh no no na diretiva 19, que é uma
diretiva que traz boas práticas a
respeito do Prilix. aqui acho que vale
mencionar a Wellington, que fez, né, eh
um um ajudou muito ali no o grupo, né,
coordenou esse grupo. Eh, e acho que a
gente tem hoje pelo menos formas de
contra-atacar, né, o que é muito
interessante pra indústria. Eh, mas de
novo, eu continuo aqui eh esperançoso de
que em algum momento a gente vai acabar
com o Príilex. Eh, até porque o Prileix,
novamente, ele não é um ataque
contundente, né? Ele parece aquele
hacker que acabou de se formar. Ele
invade ali um, né, um site X do governo
e fica feliz e mostra pros amigos, né? É
isso, né?
>> Vamos pra próxima.
>> Bora.
>> Agora eu deixo contigo para explicar
relay ataque
>> comigo.
>> Exato. [risadas]
>> Tá fácil, hein?
>> Não tirou seu sono, né? deu pouco
trabalho o ano passado, né? Foi foi
muito simples, né? Ah, bom, pessoal,
relay ataque, acho que pra gente tentar
aqui de forma didática, eh,
o relay, o relay ataque é um um ataque
de retransmissão também em tempo real.
Então eu preciso ter de um lado um
fraudador eh
conseguindo persuadir uma vítima, né, um
portador. Normalmente essa fraude
acontece com o portador baixando um
aplicativo em teoria de segurança do
emissor, né, um um uma espécie de MAER.
A gente não qualifica como um MAER, mas
ele é uma espécie de MAER. Eh, o, então
o fraudador que ele faz nesse momento é
pedir que o que o portador aproxime o
cartão no NFC do celular. O NFC é o
contactless do celular, né? Do outro
lado da linha, ele tá com um POS e ele
tá fazendo a retransmissão em tempo real
daquela transação. Acho que em assim de
maneira muito macro essa a explicação
mais didática que a gente consegue dar.
Falando de Contacles diretamente, onde
envolve essa questão do do NFC, nunca
antes na história do país, uma forma de
pagamento teve tanta fake news, né? Eh,
o contactes, ele veio para facilitar a
vida. Se a gente for olhar hoje, eh,
mais de 52% das transações que a gente
tem no nosso mercado, elas já são feitas
por contacles. A gente prefere usar o
contactless do que o chipsenha, né? Se a
gente for olhar na vida real, a gente
teve um incremento de transação negada
por senha incorreta, porque ninguém mais
lembra a senha, né? E e a gente vê de
forma muito difundida. Eh, vocês já
devem ter visto o vídeo, o vídeo do do
ônibus que a pessoa tá na bolsa e vem
com uma maquininha encosta e surge uma
transação. A própria questão do relay
attack, que é eh você precisa encostar o
o o cartão e encostar e ficar com ele
ali, né? Acho que um ponto importante
aqui para dividir com vocês, eh, dos
vídeos que a gente assistiu durante
todas as análises aqui e das ligações
que a gente presenciou, esse golpe do
relay ataque, eh, ele nunca demorou
menos do que 25 minutos. Então, imagina
você ficar 25 minutos com um fraldador,
o fraldador te dando todas as
coordenadas e você com o cartão grudado
no celular. Então, é eh não é eh você
não consegue multiplicar isso e
retransmitir isso de uma forma
avaçaladora que vai te gerar um volume
extraordinário, né? A mesma coisa do
pagamento com o TEP do cartão, com
tacless, eh, onde a gente aqui na nossa
indústria trabalha até R$ 200 sem uso de
senha. É, é, é preciso que a gente
também seja disseminador de informações
corretas, positivas, e que a gente
trabalhe no entendimento disso, né? Eh,
o pagamento ele não acontece só pela
transmissão, né? Todos os entes aqui,
bandeira, adquirente, emissor, eles têm
camadas de segurança. Uma transação para
ela ser aprovada, por mais que ela dure
milissegundos,
né, ela tem uma série de camadas de
segurança, então não é algo tão simples,
algo tão rápido. E e a gente vê que a
cada temporada a gente sofre com uma
série de fake news em relação a a esse
tipo de transação.
Perfeito. E acho que nessa sua fala,
Dener, quando a gente fala eh do relay
ataque também, acho que os tradadores
eles têm o Fraud Lab, né? É laboratório
de de exploração de fraude. E você disse
bem, 25 minutos com o celular, o
telefone, eh, não menosprezando, pelo
contrário, a fraude, mas a
escalabilidade disso. Eh, então é um é
um laboratório de fraude. Poxa, qual que
eu consigo o maior valor em menos tempo?
Então o fraudador ele ele vai por esse
caminho ou vai pro caminho da
engenheiria social num sistema, numa
invasão de conta que pode render muito
mais dinheiro do Então acho que eu eu tô
contigo nessa parte do da expansão do
relay e acho que da comunicação. Eh, o
Felipe até tava comentando nos
bastidores, a gente tava brincando eh os
fake news, né? O eu não uso mais celular
no bolso, não, mentira. Eh, cartão no
bolso, mentira, né? eu uso. Então, acho
que a mesma poten potencial da fake
news, ela tem que ser também para good
news, né, com os os fatos, o que é fato,
o que é verdade. Acho que como arranja é
o que o Felipe Robana fala dele, que foi
inclusive uma fala nos bastidores, é o
que a gente precisa como indústria, né?
Vamos fazer mais essa comunicação, mais
menos o caos, mais o fato, que acho que
a gente ajuda essa comunicação, que é um
elo importante aí pro pro portador.
>> Eh, aproveitando a fala,
Andrew, [limpando a garganta] eu acho
que a gente tem
assim, a gente é a mensageira do caos,
né? É melhor, é mais gostoso propagar o
caos do que propagar as coisas boas. Mas
a gente também como indústria, bancos
credenciadores de novoex, né, bandeiras,
acho que a gente evoluiu muito na forma
de comunicar a fraude, né, ou na forma
de falar sobre fraude, né? Eh, se a
gente falasse há
15 anos atrás, talvez ia ser um
paradigma, né? Ah, vamos esconder putos
cuidado com isso? Não, agora não. Agora
a gente fala que o que eu o acho que a
próxima evolução que a gente precisa na
indústria não é apenas falar, mas é como
é que eu atingjo o público, como é que
eu torno um vídeo de prevenção a fraude
viral, como é que meu vídeo para no
trend topics de qualquer rede social.
Então acho que é é isso e é importante a
comunicação paraa fraude. Eh, aqui
imagino que todos sejam do meio de de
pagamentos, né, de cartões de crédito,
débito, enfim. Então vocês são vetores
de prevenção à fraude, né, com os seus
familiares, né, e isso é importante, né,
isso é essa a gente tem que levar essa
informação adiante, né, começar a falar
mais de que clonagem de cartão não
existe, por exemplo, desde 2008, né?
Então isso é importante.
>> Olhando em perspectiva, eu não, eu não
sei se vocês concordam, mas o que mais
preocupa da questão do relay ataque não
é este ataque, mas é a tecnologia que
tem ali, que foi criada para que esse
esse ataque de forma específica
acontecesse. Vocês entendem que ainda
existe um potencial para outros ataques?
Olhando para tecnologicamente falando,
>> eu não menosprezo o fraudador, então eu
acredito que existe sim um risco paraas
para para para outros ataques que acho
que o que a gente brincou, né? A Froud
Lab, então ele faz um teste, funcionou?
Opa, aqui eu já sei que funciona, como
que eu escalo isso para outras frentes?
Então, acho que existe sim um risco. Eh,
e acho que aí é o ponto quando a gente
fala da IA, da potencialização da IA que
ela pode entregar nesses quesitos de
automação. Eh,
aqui a gente não pode falar fake news,
até porque a nossa vertente é tratar os
fatos, mas o relique ele pode sair do
celular, ele pode sair do appogíso.
Então, todas essas essas vertentes, elas
acabam corroendo a gente, colocando esse
esse esse risco iminente. Eh, e acho que
o que a gente precisa fazer como
indústria é estar um passo à frente, né,
tanto nas soluções, nas validações,
porque quando eu falo também do relata
ataque, uma outra provocação que eu
trago não são valores de ticket baixo,
né? Então eu eu é uma transação
legítima, mas eu tenho um
descomportamento do portador. Eh, então
os modelos por trás também eles podem
apoiar nessa validação. E acho que é um
ponto de desafio que a gente pode tratar
também esses tipos de ataques.
É, eh, primeiro,
e de novo, todo mundo aqui da indústria,
então vamos lá. Contactless não é eh um
meio de pagamento ruim, muito pelo
contrário, é um baita meio de pagamento
fluído, traz fluidez ao dia a dia das
pessoas, né? Esse é o primeiro ponto.
Segundo, que eh wallets também podem ser
utilizados, né? Eh, e aqui a gente tem
por trás de tudo de uma transação
contactless o a segurança do chip. O
contactless nada mais é do que eu manter
ao redor do cartão, né? ou no próprio
celular, onde a transação é tocenizada,
né? Então a gente tá falando, vejam os
vários elementos que a gente tá
colocando de segurança dentro da cadeia,
né? Eh, o relay, ele, o relay ataque, o
ataque de retransmissão, é um ataque que
a gente tem que olhar com cuidado. E a
gente tem feito isso dentro da BEX, né?
a gente também eh tem praticamente uma
diretiva criada pros credenciadores do
Brasil, pelos credenciadores do Brasil,
o que é muito importante, o que
demonstra também que a gente tá a a à
frente aqui de, né, na vanguarda de
vários assuntos. Eh, e por outro lado,
eh, a gente tem que encarar ele também
como dentro do 1% de fraude ou menos que
a gente tem, né? Então ele tem ele, a
gente precisa ter cuidado, a gente
precisa ter cuidado, mas a gente tem que
entender também que ele faz parte ali de
uma gama de outras fraudes que também
tem que ter cuidado, cartão não
presente, por exemplo, e assim por
diante, né?
>> No final a gente tem que lembrar que
fraude é sempre uma exceção,
né? Quando a gente olha a a gente num
primeiro momento a gente entra num
desespero porque é novo, a gente precisa
entender, não é rápido às vezes, né? Às
vezes vocês emissores, a gente entende a
urgência, mas às vezes leva tempo, né?
Você precisa se cercar de todas as
informações que são importantes para
você chegar num num e num diagnóstico
real do que tá acontecendo e entender
como combater, não só aquele problema,
mas olhando pra frente, né? Eh, e
olhando pro para esse caso do relay, eu
acho que que teve uma coincidência ruim
que ele aconteceu no mesmo momento em
que a gente tenta emplacar o TP to
Phone.
E a gente vê, pelo menos eu vi do meu
lado, muito
medo dos emissores em nesse tipo de
transação, né? Eh,
e aí a gente volta pra questão da
autorização, né? Eh, lendo a
autorização, eu consigo fazer uma
diferenciação se é uma transação tapone
ou não, né? E uma transação do relay
ataque, ela passava com uma transação de
POS normal, né? Eh, até que ponto vocês
entendem que esse tipo de situação ou
esse tipo de caos que acaba sendo gerado
por um volume muito baixo, se a gente
for olhar, eh, a gente a gente não
chegou na casa de milhões aqui de perda,
né? A gente teve centralidade ali de
perdas. Até que ponto vocês entendem que
esse tipo de comportamento ele ele acaba
prejudicando a indústria e o avanço da
indústria eh eh em relação a a à
tecnologia?
>> Eu acho que você trouxe um ponto
pertinente. Se a gente atuar só no caos
e só no desespero, a gente vai ver em
arhum e eu não vou tratar o principal
que é o diagnóstico, a causa raiz, né,
do problema. E acho que você colocou bem
a infeliz coincidência do Tepone junto
ao Relay Attack, colocou ali o Tepone
como um alvo potencializador da fraude,
mas ao mesmo tempo como prevenção a
fraude, eu acho que uma vertente que a
gente tem que ter é o negócio. O TEP
facilita demais, né, quando a gente fala
em negócio, a vida do consumidor. Então
acho que temos que ter o o cuidado. Eh,
cara, a gente viu eh teve parceiros que
por pouco não fechou o Tap to Phone como
um todo. Eh, ó o impacto que você causa
para R$ 200.000 na indústria inteira,
nem milhões, vamos colocar assim. Então,
acho que esse cuidado a gente tem que
diferenciar bem. Acho que os tanto os
parceiros, eh, acho que você colocou bem
até do dos emissores credenciadores como
bandeira, como investigação que a gente
tem que fazer. Acho que atuar muito mais
na parceria e na união para identificar
o diagnóstico a causa raiz do que o
desespero de vamos fechar tudo. Eh, e o
desespero de vamos fechar tudo, ele
coloca o próprio mercado. Eh, poxa, eu
tenho medo de colocar até pomfone na rua
e e o o emissor, poxa, eu tenho medo de
aprovar o Então, começa a colocar um
solução que poderia facilitar, a gente
começa a colocar uma solução como a
vilã, né? E na verdade o vilão é uma
frodador, não a solução.
Quer completar?
>> Não.
>> Tranquilo. Então beleza.
Acho que aqui um ponto antes da gente
partir para as perguntas, a gente tem um
pouquinho menos de 10 minutos. Eh, acho
que seria interessante também a gente
compartilhar com as pessoas o que que a
gente fez durante esse ano. Eu acho que
pela primeira vez em muitos anos, a
gente tem conseguido chegar em consensos
através da Bex, né? Eh, a gente tá no
momento de construção de uma base
conjunta de fraude unificada,
eh, para ser usada por emissores e
adquirentes. Então, acho que esse é um
primeiro ponto importante dentro da casa
de vocês. Se vocês ainda não não estão
participando, acho que procurem a Beex,
procurem a Luciane, ela adora falar
sobre esse assunto. A gente tá criando
junto com a Data Raider uma base
unificada de fraude, porque a gente sabe
que o fraudador ele só tem êxito porque
ele consegue sair de um lugar e ir pro
outro. E aqui a gente tá falando tanto
pra parte de comércio quanto pra parte
de clientes, né? Então, eh, pela
primeira vez, a indústria está se unindo
para ter uma base unificada de fraude.
Esse é um primeiro passo super
importante para que a gente tenha essa
comunhão de informação e a gente
consiga, eh, mitigar os problemas que a
gente tem hoje, porque o que a gente vê
hoje é ele pulando de galho em galho,
literalmente.
E acho que quiserem destacar aqui, acho
que a gente tem os nossos fóruns mensais
na BEX, eh, onde a gente consegue
discutir com os bancos as ações, eh, que
estão sendo tomadas, entender. Às vezes
viram um murdas lamentações, mas tá tudo
certo. Eh, eh, onde a gente consegue
entender quais são os problemas e
entender se a gente consegue soluções em
conjunto. Certo? Vou para as perguntas
aqui. Fiquem à vontade que Ar tá aqui
atrás.
Deixa eu ver se nenhuma começa com o que
a o que as bandeiras estão fazendo.
Vou mandando para vocês, tá?
>> Vamos lá.
>> No contexto de do avanço de fraudes via
engenharia social, como os participantes
do arranjo podem atuar conjuntamente e
de forma colaborativa para educar e
proteger o portador? Existem iniciativas
já em andamento?
Eu
volto pra parte da comunicação. Eu acho
que hoje a gente não comunica bem e a
gente não consegue ser claro nas
comunicações que a gente faz com os
nossos clientes, né? Eh, eh, para mim é
aterrorizante quando eu vejo e a gente
vai conversar com os bancos, o banco
nega a transação, o cliente entra em
contato, confirma e depois ele
desconhece a transação.
>> Mas eu acho que aqui o problema é o
seguinte, eh, e eu vou voltar de novo no
caso do, vou voltar de novo no caso do
e-mail, tá? Eh, o banco, ele vai lá e
envia o e-mail ou envia o WhatsApp e ele
fala: "Ó, no carnaval tome esta ação,
né?"
Eh,
>> não deu cartão na mão do do
>> Exato. Mas eu vou traçar um paralelo
aqui. Outro dia eu tava com um amigo meu
e ele falou assim para mim: "Poxa, eh eh
eu comprei um produto, esse produto eu
não gostei, fui devolver o produto e
achei uma página no enfim, qualquer rede
social e tava escrito lá eh página tal
oficial. entrei em contato, conversei
com eles lá, foi me passando o que eu
deveria fazer e de repente ele pediu
para eu passar o código do WhatsApp.
Eh, e eu passei o código do WhatsApp e
ele falou que agora passa o código, tem
outro telefone porque eu tinha o da
minha filha, então passei o da minha
filha também. Falou: "Cara, então assim,
impressionante como é fácil". Eu falei
para ele, pô, mas tá escrito lá, né? Não
passar o código, né? O texto é literal,
está dizendo, né, não passe o código,
né,
>> antes do código.
>> Exato. Então assim, por que você passou
o código, né? E porque a frase em
português é muito clara, né? Então eu
acho que é isso que falta também um
pouco de novo, por isso que nós somos
vetores de prevenção à fraude, né, com
os nossos familiares. Eu eu entendo que
a minha avó que tem 90 anos, ela
realmente não vai ter a mesma, né, eh eh
facilidade com a tecnologia. Mas então é
por isso que eu tenho que ir lá e
ajudar, né?
>> Aí tem uma pergunta provocativa aqui.
Eh, ainda colocou assim: "Pergunte as
pergunta às bandeiras".
Atualmente, as bandeiras criaram
programas de repatriação de recursos
oriundos de golpes por engenharia
social. É substancial que o emissor
reporte de maneira adequada a transação
proveniente do golpe.
Eh, todavia, observamos que os
parâmetros para eleger um determinado
EC, um EC conivente, são altos, tais
como faturamento, reportes de fraude. A
caso em que o se o EC não estiver
elegível, não há possibilidade de se
solicitar a repatriação dos recursos.
A perspectiva de revisitação em curto
prazo das regras para eleger esses
coniventes, se sim, teriam spoilers.
Vai lá, Felipe. [risadas]
Ó, durante a pergunta não deu para
entender se era contra ou a favor. é
sempre contra,
>> mas eh eu acho que é importante aqui
mencionar eh até imagino qual é o
programa, mas não vou citar, dado que a
gente tem casas diferentes aqui. Eh, mas
o programa ele não veio só devolver o
dinheiro, né? Ele veio para estabelecer
eh diligências maiores de ambos os
lados, eu diria, né? Então, a gente tem
hoje credenciadores mais diligentes, né?
E como é que a gente enxerga isso?
porque os indicadores de golpe no país
estão a cada trimestre menores. E a
gente monitora isso nos grupos da Bex, a
gente monitora nas próprias casas, né?
Eh, então acho que é isso, é importante,
né? É onde a gente consegue eh regular
aquilo que de repente com as regras que
a gente tinha anteriormente a gente não
conseguia, né? E se a gente conversa
hoje, e eu e se e eu imagino que a gente
tem aqui no, né, na audiência com
credenciadores, os credenciadores são a
favor, né, os emissores são a favor. Eh,
e eu acho que indo pra pergunta agora
muito rápido, é acho que a gente já faz
isso no programa, né? O, o
estabelecimento conivente tá dentro do
programa, né? Talvez ele esteja de outra
forma, ele esteja escondido, invisível,
né? Mas ele ele já é endereçado.
Eu acho que eu posso trazer um spoiler,
sim, né? A gente revisita os programas,
revisita to shows e obviamente eh a
gente mexe neles, tá? né? Então, no
próximo semestre, pelo menos do lado da
de uma das bandeiras, a gente, como as
três bandeiras revisitam do próximo
semestre, a gente vai ter algumas
validações, algumas alterações, mas acho
que o ponto principal e primordial, acho
que como você colocou, é o programa,
talvez hoje acho que como colocou na
pergunta, o thrash tá alto, poxa, faltou
isso, faltou aquilo. E acho que tudo
isso é um processo de educação, eh,
tanto de um lado quanto do outro, não é
um programa de penalidade, né? Ele é um
programa, ele penaliza quem desvia do do
da trilha, mas acho que a ideia é a
gente fomentar, né, o apoio de ambos os
lados. E e acho que na primeira pergunta
coloca quais iniciativas? É uma das que
o Gustavo trouxe do tentáculo. Só a
gente tem outras frentes se conectando e
quanto mais rápido a gente atuar, menos
eu vou me preocupar com o programa e
mais a gente vai atuar no que precisa
ser atuado, que é a repatriação e o
bloqueio dos dos fraudadores. Então acho
que é uma palavra, eu sei que como
bandeira parece fácil falar, mas é menos
atuação que o programa ele se torna
que no final do dia o programa ele
existe e e se a gente voltar um pouco no
tempo, antes da criação dos programas a
gente trabalhou por mais de 2 anos
com todos os entes tentando remediar o
problema, reduzir a exposição e o
programa ele só existiu porque a gente
não teve sucesso, né? Então, foi uma
quase que uma obrigação moral criar um
programa para que a gente conseguisse
ter isso. Mas é importante a gente
lembrar, existe responsabilidade dos
dois lados, né, de quem coloca um
comércio ruim para dentro. E a gente
sabe que hoje a a gente tem muito menos
problemas de comércios que nascem ruins
e muito mais problemas de contas
laranjas. E aí é um não é mais um
problema de onboarding como a gente
tinha há dois anos atrás. Mas a gente
também tem um tem uma questão da
autorização, né? a gente olha e aquelas
transações elas fazem sentido. Eu tô eu
tô avaliando aquele ticket médio para
aquele MCC, o perfil do meu cliente.
Então é é importante. E a os emissores,
eh, eu sei, eu entendo as reclamações,
mas eu acho que é importante pensar o
seguinte: as regras de disputa elas são
pró-emissores, né? os emissores eles
conseguem recuperar mais de 80% do que
se do que se abre de disputa hoje no
mercado. Então é importante também que a
gente consiga deixar essa balança mais
ajustada, não fugindo aqui de
responsabilidades. E sobre revisão de
thrashhold, é é importante lembrar que
revisão de threshold envolve, no nosso
caso agora uma aprovação do Bassen, né?
Então isso não é rápido,
>> isso e muito rápido aqui. Eu acho que a
gente dentro da Abex evoluiu muito nos
últimos anos nas discussões, né? Então
eh isso também é super importante. Acho
que acho que vale uma menção honrosa pro
Fidel. Eh, acho que ele trouxe isso
também pro pro grupo. Eh, a gente tem
muitos grupos trabalhando em várias
partes, né, diferentes hoje, em ataques
diferentes. Eh, e aí é uma contribuição
de todos sobre essa coordenação do Fidel
que
>> foi muito importante. Vencendo muito.
>> Teve paciência.
>> Exato.
>> Teve paciência e resiliência.
Bom, acabou o nosso tempo, ficaram
várias perguntas aqui, a gente responde
depois e manda aqui para aí compartilha
com vocês. Quero agradecer o tempo.
Foram firmes aqui no horário do almoço.
Muito obrigado, gente. Boa tarde,
tecnologia evolui e traz novas
possibilidades pro mercado de
pagamentos, [música]
por outro lado, os riscos também se
transformam. Novos vetores de ataque
surgem, enquanto algumas
vulnerabilidades que já eram conhecidas
continuam desafiando o setor. Para
mergulhar ainda mais nesse tema, convido
agora ao palco o gerente executivo de
prevenção a fraudes da ELO, Andrew
Barros.
Bem-vindo, Andrew. Chamo também o
diretor de Customer Compliancy fraud da
Mastercard Brasil, Felipe Soares.
E para moderar este painel, o diretor de
risco da Visa do Brasil, Dener Souza.
[música]
Por favor, recebam todos com aplausos e
participem.
Façam as suas perguntas pelo QRCE
exibido ali no painel e [música] não
esqueçam de deixar o seu nome também.
Obrigada. Vamos lá.
Boa tarde. Obrigado pela presença de
vocês ou bom dia também, porque eu
também não almocei, então estamos todos
aqui no mesmo barco. O objetivo aqui é
um bate-papo os meus colegas aqui do dia
a dia das nossas batalhas diárias. Então
fiquem super à vontade. O QR code tá
aqui aberto. Vamos fazer dois
combinados. Não pode começar a pergunta
com o que a bandeira tá fazendo, por
favor. e também nem versão de liability,
OK? O restante a gente aceita aqui as
perguntas e acho que o nosso foco aqui
durante esses próximos minutos é bater
um papo com vocês falando sobre o que a
gente viu em 2025, o que que a gente
entende que são os nossos problemas de
2026 e o que que a gente tem feito como
indústria para reduzir e mitigar todos
esses problemas que a gente tem. Então,
o assunto é gostoso, é raro, mas
acontece sempre. A gente vai falar de
fraude, né?
>> É isso aí.
>> Obrigado. Acho que para começar acho que
seria interessante a gente discutir
sobre a gente vem falando muito de A,
né? Tudo é IA, tudo é IA agora. E a
gente tem visto que as fraudes elas elas
cada vez estão mais tecnológicas,
mas ao mesmo tempo
o fraudador descobriu que o elo mais
fraco da fraude é o cliente
e não tem que ter tecnologia.
Como que vocês encaram isso dentro da
casa de vocês e como vocês têm visto
isso olhando pro pro nosso mercado?
Vamos lá, Felipe.
>> É, acho que a gente tem que encarar
eh a Iá como algo que vem para
solucionar muitos temas e algo que vem
para aumentar bastante o desafio, né, de
quem trabalha não só eh na indústria de
cartão de crédito, mas também com
prevenção à fraude.
E o que a IA faz na prevenção a fraude é
simplesmente baratear o processo, né?
Então o que o fraudador antes demorava
porque de repente precisava de um de
algum tipo de eh eh criação, né? Eh,
agora ele não precisa mais disso, né? A
informação ficou muito mais acessível,
né? E a criação, né? né? Ou seja, criar
algum boot, algum agente, enfim, ficou
também muito mais acessível, né? Então,
acho que esse é o grande desafio nosso
com a eh, e aí no meio, como você já
falou, tá o portador, né? E o portador
eh vai ter que aprender a lidar também
com com a IA e com a prevenção a fraude,
né? Andrew.
>> Perfeito. Acho que Fidel você colocou.
Fidel não, perdão, Dener. Eh, Fidel tá
ali tirando a foto. Eh, acho que até
colocando um ponto que você trouxe
pertinente, né? Eh, a gente fala muito
da criptografia, da tokenização, da
proteção do elo tecnológico, mas o
portador a gente não protege com
tecnologia, né? E quando a gente fala na
IA, acho que trouxe muito bem, Felipe,
eh hoje a a engenharia social, ela já
existe há muito tempo. O que a IA fez
foi facilitar alguns caminhos,
automatizar o processo do próprio
fraudador. Então a gente tem muito,
conheça o seu cliente, conheça o seu
merchan, agora tem o New York victim,
né? Conheça a sua vítima, que é o
processo deles, que é conhecer o
processo, conhecer quem é a vítima,
conhecer o portador para conseguir pegar
um elo, seja da necessidade, do medo e
conseguir entrar com a engenharia
social. E acho que a IA entra nesse
processo. E o que como bandeira, como
elo, como meios de pagamento que a gente
precisa agora combater, é em algum
momento a gente tá fazendo máquina
contra máquina, então tem a nossa IA
combatendo a IA do fraudador. Acho que
esse é o nosso grande desafio que eu
colocaria.
>> Se a gente for olhar 2026, que qual
destaque vocês dariam? Que tipo de
fraude mais preocupam eh preocupa vocês
hoje
>> agora com o Andrea, né? Vamos primeiro
com o Andre.
Tô brincando. Vamos lá. Eh, bom,
primeira fraude, engenharia social, né?
Aí não precisa ir muito longe. Eh, é a
que afeta, ou melhor, é a causa raiz de
de da maior parte das dos modos
operandes que a gente tem hoje em dia na
prevenção à fraude, né? Eh, e vai ser ao
longo de muito tempo, né? Ah, e por quê?
Porque a gente já comentou um pouco
atrás, né? Eh, e aí a gente tem aí
alguns outros vetores que a gente vai
comentar logo menos, né? Mas eu acho que
esse é o, na, na minha opinião, o
principal e vai durar alguns tempos,
algum tempo ainda.
>> Concorda?
>> 100%. Eu acredito que na linha da
engenharia social, quando a gente fala
de fraudes, eh, e até trazendo uma uma
conexão, eu tenho Prilix, tem engenharia
social por trás, muitas vezes o técnico,
não é o técnico tá indo fazer uma
manutenção no equipamento ali no
supermercado. Depois a gente explica um
pouco o que é o Prilx, mas ele tá indo
fazer uma manutenção no equipamento, eh,
e tá instalando um MAER. Ele usou uma
engenharia social por trás. a gente fala
do reli ataque, que é um um ataque de
transmissão. Existe uma engenharia
social, as grandes fraudes do ano
passado houveram engenharia. Então,
engenharia social, eu acho que a gente
pode colocar como mal do século aí para
pro que a gente fala de prevenção a
fraude. E acho que ao mesmo tempo,
quando a gente observa o que a gente
passou em 2025, até no no primeiro
trimestre de 2026, a gente continua com
um problema persistente que é o cliente
caindo, né? Acho que a gente vem
trabalhando como indústria através da
AEX, eh, em ações de educação, mas a
gente entende que a gente não conseguiu
chegar lá, né? Eh, a gente vê que muitas
vezes o cliente ele é alertado, né, que
aquela transação
tem um um risco, né? Eh, mas ele ele
persiste, ele persiste e isso em virtude
da confiança que o fraudador passa para
ele durante ali aquele momento que eles
estão juntos, né? Eh, e isso, isso é
isso é uma coisa que que impressiona a
confiança que o fraudador consegue
demonstrar durante um curtíssimo espaço
de tempo e o cliente acaba caindo. É, é
algo que chama atenção.
>> Então, em cima disso, ontem eu tava a
gente tava passando por um outro fórum
também e o comentário, eu estava ouvindo
uma pessoa e o comentário dela é foi
muito interessante. falou assim: "Olha,
eu eh tô perdendo,
tô perdendo o jogo eh porque o cliente
ele tá muito confiante, ele tá vindo
aqui, ele tá eh retirando bloqueios que
são aplicados para, né, obviamente
garantir a segurança. Eu comecei a
contratar psicólogos
para tentar inverter o jogo, né? Então,
é um pouco, acho que essa dor, né, que a
gente tá sentindo, tanto emissores
quanto credenciadores, enfim, né, a
indústria como um todo.
>> Esse é um problema. Acho que agora vamos
começar a entrar um pouco sobre aquilo
que a gente
vivenciou, descobriu ou redescobriu em
em 2025 e nesse primeiro trid de 2026.
Acho que o o Angel já deu ali o o
spoiler falando um pouco de de Príilex,
mas eh dando fazendo um de forma bem
grosseira aqui. A gente convive com
Prilex no mercado desde 2018, mais ou
menos, né? Acho que a primeira a
primeira vez que a gente ouviu falar de
Príilex aqui no Brasil foi em 2018. Ele
acontecia em ATM, né? Eh, de 2020 para
cá, a gente viu que a gente passou a ter
problemas de prx em eh em PDVs. Que que
é o prx? O fraudador aplica uma
engenharia social. Acho que é aqui as
duas palavras que vocês mais vão ouvir
nessa palestra aqui hoje é a engenharia
social, né? Eh, ele aplica a engenharia
social no comerciante,
dizendo que ele é do adquirente, do
credenciador e precisa fazer o quê? uma
atualização do sistema e ele faz uma
atualização no PDV que tem um computador
central e aquele computador vira um
zumbi literalmente e ele consegue
duplicar ou triplicar as transações e
depois essas transações elas são eh
enviadas eh através de um comércio que é
criado para cometer a fraude. E a gente
a gente viu várias ondas do Prilx ao
longo desses últimos anos. A gente foi
criando regras, a gente foi criando
formas de identificação.
Onde você acha que a gente tá hoje?
É, a próxima onda vai ser agora em maio,
né? Provavelmente, porque é maio e
novembro, ele ele costuma. Ah, primeiro
assim dizer um pouco a respeito do
Prilx. O Prx tem um nome muito bonito,
né? a fraude para ser feita, ela é muito
complexa. Eh, e no final do dia o o
nível do ataque que a gente recebe, ele
não é relevante, né? Então, acho que
importante a gente dizer isso pro pro
auditório, para quem tá nos escutando
agora, de que eh são fraudes até hoje
que não superaram ali eh a casa dos
milhões, né? pelo que a gente tem eh
dentro do do que a gente apura. Eh, para
onde vai o Prílix?
Bom, eh, é uma ótima pergunta, eu não
sei te responder. [risadas]
A gente tem atualizações sempre, mas o
que a gente pode fazer é olhar pro que a
gente teve no passado, né? Então, o que
que a gente enxerga hoje do Prx no dia
de 2025? uma regressão do próprio
fraudador. Então, o fraudador, e aqui é
um ponto de atenção pros emissores, né?
Então, assim, eh, o fraudador ele ele tá
deixando alguns gaps que ele não
deixava. Aí, lembra quando a gente
começou aqui a nossa fala dizendo que a
IA ela traz a informação, mas ela também
traz a informação. Eh, a informação às
vezes vem ou muito mastigada, né, ou não
vem completa, né? Eh, e aí o fraudador
que tá tentando replicar aquilo, ele vai
replicar de uma maneira que não é
perfeita e isso vai gerar alguns gaps.
Então, o que a gente viu no prilex do
ano passado foram gaps agora gaps que
ainda assim conseguiram em alguns
momentos passar pela proteção dos
emissores, passar pela proteção dos
credenciadores.
Eh, então e é isso, né? Acho que esse
essa linha
>> você acha que a maior dificuldade hoje
que a gente encontra é tá relacionada à
situações dos cartões múltiplos?
>> Não, não. Eu acho que a maior
dificuldade que a gente encontra hoje é
justamente identificar essas falhas.
Quando a gente fala falhas aqui, a gente
fala de falhas na mensageeria, falhas na
ISO da transação, né? Eh, então quando a
gente identifica essas falhas e soma
elas as, por exemplo, informações não
financeiras da transação ou financeiras
da transação, encontrar justamente essa
e eh eh eh essa estratégia de barrar a a
fraude, né, eh do Prelix. Mas de novo,
eu enxergo que a maior dificuldade é é
justamente os bancos conseguirem
seguir segurando as barreiras, porque o
Prilix ele é um pouco chatinho nessa
parte.
>> Andrew, você acha que olhando pra parte
da cópia da transação, né, do da
engenharia social propriamente dita,
quando ela acontece, existem setores que
são mais expostos?
>> Com certeza. Quando a gente fala, como
você explicou bem, dentro do Prilix, ele
envolve o PDV, que é o ponto de venda,
né? Normalmente supermercados, eh,
talvez postos, algumas lojas que têm uma
automação por trás, elas costumam ser
alvos. Até por conhecimento dos
fraudadores, eles sabem que existe um
PDV, existe um TF por trás e normalmente
tem a engenharia social, eles conseguem
via funcionários, via uma engenharia,
como o próprio técnico, de conseguir
instalar esse MAER e com certeza eles
costumam ser os alvos nessa quando a
gente fala o ponto de de
comprometimento, né? Eles costumam ser
os alvos.
Aí voltando um pouco para pros pontos
que você trouxe sobre essas esses pontos
da transação, né? O que a gente consegue
observar na transação? Você acha que
hoje a gente faz bem esse trabalho?
Olhando o mercado, a gente consegue
observar todos os campos da forma? Acho
que a pergunta aqui é pros dois, olhando
para as casas de vocês, a gente, os
bancos estão fazendo o dever de casa de
observar ah atentamente todos os campos
ou a gente já entrou naquele modo
automático de o do básico bem feito?
>> Acho que a gente tem desafios. a gente
tem desafios porque eh e eu entendo
entendo os emissores e entendo os
credenciadores, né, de novo e de repente
a gente tem que olhar retorno versus
risco aqui e tomar a decisão naquele
momento.
Mas sim, a gente tem ainda alguns gaps,
né? gaps que a gente, quando a gente
fala de gaps aqui, são gaps da
autorização em si, né? Algumas
validações que podem ser feitas em
momentos de autorização e que muitas
vezes não são feitas. Eh, mas de novo, o
Prilx ele evoluiu tanto de 2018 até
2025, eh, que trouxe, acho que
praticamente hoje toda todo o mercado,
olhando principalmente eh emissores, eh
a gente tem um um uma pessoal muito
craque ali no no que tange regras do
IMV, né? Então, eh, isso é importante
citar. Agora acho que faltou só uma
explicação nossa aqui, porque a gente
falou aqui o no Prilex que o Prilex ele
faz é a engenharia social, né? O
fraudador faz engenharia social no
comércio eh e instala um MAER. E o que
que ele faz com o MAER, né? em tempo de
transação. Ou seja, imagina, imaginem
vocês com os o cartão de crédito de
vocês dentro de um supermercado, por
exemplo. Eh,
e nesse momento o fraudador o que ele tá
fazendo é em tempo de transação, ele tá
garimpando informações daquela
transação, tá? e ele usa essas
informações, que são as informações
criptografadas daquela transação para
gerar uma nova transação futura que ele
vai fazer dali a algum momento ou dali
alguns dias. Eh, obviamente com a ideia
de realizar a frase,
>> validar o criptograma, né?
>> Exato. Exato. Então, essa é a grande
dificuldade, né? Porque a gente tá
recebendo, na verdade, um dado que ele
é, em teoria real, né? Ele é um dado e é
eh válido, ele não é um dado sintético,
né? Ele é um dado verdadeiro.
>> Andio, agora, olhando para essa fraude
do prilax e olhando pra IA, você acha
que a IA vai conseguir transformar,
gerar uma nova onda de prilax dentro do
nosso mercado?
>> Olha, pergunta chave de ouro, né?
Acredito que a ela vai ajudar em tudo
quando a gente fala, tanto do lado do
mal quanto do lado do bem. Então, o que
a gente pode ver de potencial de no prx
é a automação dos processos que eles
podem fazer depois. instalou o MAER,
eles dependem de um segundo ponto, que é
o que o Felipe tava explicando, de um
segundo ponto, um segundo terminal para
retransmitir. Talvez essa retransmissão
de transações, a a formatação delas, a
IA pode ajudar a fazer muito mais bem
elaborada, muito mais bem estruturada,
complicando a validação quando a gente
fala na na fragilidade do dos emissores.
E acho que até trazendo um outro ponto,
Den Felipe, só um ponto de atenção que a
gente fala muito do Prilix e que ele
volta, né? ele para, volta, para, volta.
E o que que acontece quando ele volta?
Às vezes ele volta com a mesma eh
metodologia, ele passa de novo. E o
frudador ele tem essa mania de regredir
que ele fala: "Opa, já faz um ano,
alguma coisa, algum release, alguma,
alguma atualização de tecnologia
derrubou a validação." Então, acho que é
um ponto que a gente coloca para para
todos do arranjo, né? Eh, as fraudes
elas nascem, mas elas não morrem, elas
voltam porque o fraudador tende a
regredir. E a gente vê o Prilix,
>> ele vai est sempre testando,
>> sempre testando.
>> Ele vai buscar um gap. Exatamente.
>> Olhando, olhando aqui com próximos
passos, acho que eh aí a minha opinião
pessoal eh acho que a gente tem um um
uma questão que a gente precisa resolver
e a gente até pautou isso na nax
próximos eh paraas próximas reuniões,
que hoje a gente quando olha pros
emissores, eles acabam sofrendo com um
falso positivo ruim, porque a gente hoje
em mensageria de autorização não
consegue diferenciar um POS de um PDV,
né? Vocês entendem que com essa
informação trafegando de forma correta,
né, eh, a o emissor ele consiga ser mais
eh direto e mais assertivo?
>> Eu acredito, eu acho que você trouxe
bem, né? Quando a gente tem informação
hoje, dando um passo para trás, quando o
emissor ou o adquirente ou qualquer
player que vai atacar fraude, se ele não
tem informação, ele solta o canhão, né?
Cara, vou barrar o máximo possível
porque eu não sei o que pode ser o Prix,
o que pode estar envolvido. Quando você
começa a ter uma discriminação, opa,
isso é um tef e tá preenchido
corretamente, você não precisa mais do
canhão, vamos na sniper, né? vamos
atingir exatamente o ponto. Então, com
certeza ele ajuda a reduzir muito o
falso positivo
>> e isso vai exigir que o emissor se
atente aos diferentes as diferentes
informações que vão trafegar em em
autorização.
>> É exato. Fora isso, acho que como o
Prilx evoluiu, como a gente disse, de
2018 a 25 e deve trazer mais evoluções
nos próximos nos próximos anos, eh a
gente tem trabalhado como indústria em
vacinas, acho que é importante dizer
isso, né? Eh, a gente tem trabalhado
também nos grupos da Abex que falam de
Prilx. a gente no ano passado trabalhou
eh no no na diretiva 19, que é uma
diretiva que traz boas práticas a
respeito do Prilix. aqui acho que vale
mencionar a Wellington, que fez, né, eh
um um ajudou muito ali no o grupo, né,
coordenou esse grupo. Eh, e acho que a
gente tem hoje pelo menos formas de
contra-atacar, né, o que é muito
interessante pra indústria. Eh, mas de
novo, eu continuo aqui eh esperançoso de
que em algum momento a gente vai acabar
com o Príilex. Eh, até porque o Prileix,
novamente, ele não é um ataque
contundente, né? Ele parece aquele
hacker que acabou de se formar. Ele
invade ali um, né, um site X do governo
e fica feliz e mostra pros amigos, né? É
isso, né?
>> Vamos pra próxima.
>> Bora.
>> Agora eu deixo contigo para explicar
relay ataque
>> comigo.
>> Exato. [risadas]
>> Tá fácil, hein?
>> Não tirou seu sono, né? deu pouco
trabalho o ano passado, né? Foi foi
muito simples, né? Ah, bom, pessoal,
relay ataque, acho que pra gente tentar
aqui de forma didática, eh,
o relay, o relay ataque é um um ataque
de retransmissão também em tempo real.
Então eu preciso ter de um lado um
fraudador eh
conseguindo persuadir uma vítima, né, um
portador. Normalmente essa fraude
acontece com o portador baixando um
aplicativo em teoria de segurança do
emissor, né, um um uma espécie de MAER.
A gente não qualifica como um MAER, mas
ele é uma espécie de MAER. Eh, o, então
o fraudador que ele faz nesse momento é
pedir que o que o portador aproxime o
cartão no NFC do celular. O NFC é o
contactless do celular, né? Do outro
lado da linha, ele tá com um POS e ele
tá fazendo a retransmissão em tempo real
daquela transação. Acho que em assim de
maneira muito macro essa a explicação
mais didática que a gente consegue dar.
Falando de Contacles diretamente, onde
envolve essa questão do do NFC, nunca
antes na história do país, uma forma de
pagamento teve tanta fake news, né? Eh,
o contactes, ele veio para facilitar a
vida. Se a gente for olhar hoje, eh,
mais de 52% das transações que a gente
tem no nosso mercado, elas já são feitas
por contacles. A gente prefere usar o
contactless do que o chipsenha, né? Se a
gente for olhar na vida real, a gente
teve um incremento de transação negada
por senha incorreta, porque ninguém mais
lembra a senha, né? E e a gente vê de
forma muito difundida. Eh, vocês já
devem ter visto o vídeo, o vídeo do do
ônibus que a pessoa tá na bolsa e vem
com uma maquininha encosta e surge uma
transação. A própria questão do relay
attack, que é eh você precisa encostar o
o o cartão e encostar e ficar com ele
ali, né? Acho que um ponto importante
aqui para dividir com vocês, eh, dos
vídeos que a gente assistiu durante
todas as análises aqui e das ligações
que a gente presenciou, esse golpe do
relay ataque, eh, ele nunca demorou
menos do que 25 minutos. Então, imagina
você ficar 25 minutos com um fraldador,
o fraldador te dando todas as
coordenadas e você com o cartão grudado
no celular. Então, é eh não é eh você
não consegue multiplicar isso e
retransmitir isso de uma forma
avaçaladora que vai te gerar um volume
extraordinário, né? A mesma coisa do
pagamento com o TEP do cartão, com
tacless, eh, onde a gente aqui na nossa
indústria trabalha até R$ 200 sem uso de
senha. É, é, é preciso que a gente
também seja disseminador de informações
corretas, positivas, e que a gente
trabalhe no entendimento disso, né? Eh,
o pagamento ele não acontece só pela
transmissão, né? Todos os entes aqui,
bandeira, adquirente, emissor, eles têm
camadas de segurança. Uma transação para
ela ser aprovada, por mais que ela dure
milissegundos,
né, ela tem uma série de camadas de
segurança, então não é algo tão simples,
algo tão rápido. E e a gente vê que a
cada temporada a gente sofre com uma
série de fake news em relação a a esse
tipo de transação.
Perfeito. E acho que nessa sua fala,
Dener, quando a gente fala eh do relay
ataque também, acho que os tradadores
eles têm o Fraud Lab, né? É laboratório
de de exploração de fraude. E você disse
bem, 25 minutos com o celular, o
telefone, eh, não menosprezando, pelo
contrário, a fraude, mas a
escalabilidade disso. Eh, então é um é
um laboratório de fraude. Poxa, qual que
eu consigo o maior valor em menos tempo?
Então o fraudador ele ele vai por esse
caminho ou vai pro caminho da
engenheiria social num sistema, numa
invasão de conta que pode render muito
mais dinheiro do Então acho que eu eu tô
contigo nessa parte do da expansão do
relay e acho que da comunicação. Eh, o
Felipe até tava comentando nos
bastidores, a gente tava brincando eh os
fake news, né? O eu não uso mais celular
no bolso, não, mentira. Eh, cartão no
bolso, mentira, né? eu uso. Então, acho
que a mesma poten potencial da fake
news, ela tem que ser também para good
news, né, com os os fatos, o que é fato,
o que é verdade. Acho que como arranja é
o que o Felipe Robana fala dele, que foi
inclusive uma fala nos bastidores, é o
que a gente precisa como indústria, né?
Vamos fazer mais essa comunicação, mais
menos o caos, mais o fato, que acho que
a gente ajuda essa comunicação, que é um
elo importante aí pro pro portador.
>> Eh, aproveitando a fala,
Andrew, [limpando a garganta] eu acho
que a gente tem
assim, a gente é a mensageira do caos,
né? É melhor, é mais gostoso propagar o
caos do que propagar as coisas boas. Mas
a gente também como indústria, bancos
credenciadores de novoex, né, bandeiras,
acho que a gente evoluiu muito na forma
de comunicar a fraude, né, ou na forma
de falar sobre fraude, né? Eh, se a
gente falasse há
15 anos atrás, talvez ia ser um
paradigma, né? Ah, vamos esconder putos
cuidado com isso? Não, agora não. Agora
a gente fala que o que eu o acho que a
próxima evolução que a gente precisa na
indústria não é apenas falar, mas é como
é que eu atingjo o público, como é que
eu torno um vídeo de prevenção a fraude
viral, como é que meu vídeo para no
trend topics de qualquer rede social.
Então acho que é é isso e é importante a
comunicação paraa fraude. Eh, aqui
imagino que todos sejam do meio de de
pagamentos, né, de cartões de crédito,
débito, enfim. Então vocês são vetores
de prevenção à fraude, né, com os seus
familiares, né, e isso é importante, né,
isso é essa a gente tem que levar essa
informação adiante, né, começar a falar
mais de que clonagem de cartão não
existe, por exemplo, desde 2008, né?
Então isso é importante.
>> Olhando em perspectiva, eu não, eu não
sei se vocês concordam, mas o que mais
preocupa da questão do relay ataque não
é este ataque, mas é a tecnologia que
tem ali, que foi criada para que esse
esse ataque de forma específica
acontecesse. Vocês entendem que ainda
existe um potencial para outros ataques?
Olhando para tecnologicamente falando,
>> eu não menosprezo o fraudador, então eu
acredito que existe sim um risco paraas
para para para outros ataques que acho
que o que a gente brincou, né? A Froud
Lab, então ele faz um teste, funcionou?
Opa, aqui eu já sei que funciona, como
que eu escalo isso para outras frentes?
Então, acho que existe sim um risco. Eh,
e acho que aí é o ponto quando a gente
fala da IA, da potencialização da IA que
ela pode entregar nesses quesitos de
automação. Eh,
aqui a gente não pode falar fake news,
até porque a nossa vertente é tratar os
fatos, mas o relique ele pode sair do
celular, ele pode sair do appogíso.
Então, todas essas essas vertentes, elas
acabam corroendo a gente, colocando esse
esse esse risco iminente. Eh, e acho que
o que a gente precisa fazer como
indústria é estar um passo à frente, né,
tanto nas soluções, nas validações,
porque quando eu falo também do relata
ataque, uma outra provocação que eu
trago não são valores de ticket baixo,
né? Então eu eu é uma transação
legítima, mas eu tenho um
descomportamento do portador. Eh, então
os modelos por trás também eles podem
apoiar nessa validação. E acho que é um
ponto de desafio que a gente pode tratar
também esses tipos de ataques.
É, eh, primeiro,
e de novo, todo mundo aqui da indústria,
então vamos lá. Contactless não é eh um
meio de pagamento ruim, muito pelo
contrário, é um baita meio de pagamento
fluído, traz fluidez ao dia a dia das
pessoas, né? Esse é o primeiro ponto.
Segundo, que eh wallets também podem ser
utilizados, né? Eh, e aqui a gente tem
por trás de tudo de uma transação
contactless o a segurança do chip. O
contactless nada mais é do que eu manter
ao redor do cartão, né? ou no próprio
celular, onde a transação é tocenizada,
né? Então a gente tá falando, vejam os
vários elementos que a gente tá
colocando de segurança dentro da cadeia,
né? Eh, o relay, ele, o relay ataque, o
ataque de retransmissão, é um ataque que
a gente tem que olhar com cuidado. E a
gente tem feito isso dentro da BEX, né?
a gente também eh tem praticamente uma
diretiva criada pros credenciadores do
Brasil, pelos credenciadores do Brasil,
o que é muito importante, o que
demonstra também que a gente tá a a à
frente aqui de, né, na vanguarda de
vários assuntos. Eh, e por outro lado,
eh, a gente tem que encarar ele também
como dentro do 1% de fraude ou menos que
a gente tem, né? Então ele tem ele, a
gente precisa ter cuidado, a gente
precisa ter cuidado, mas a gente tem que
entender também que ele faz parte ali de
uma gama de outras fraudes que também
tem que ter cuidado, cartão não
presente, por exemplo, e assim por
diante, né?
>> No final a gente tem que lembrar que
fraude é sempre uma exceção,
né? Quando a gente olha a a gente num
primeiro momento a gente entra num
desespero porque é novo, a gente precisa
entender, não é rápido às vezes, né? Às
vezes vocês emissores, a gente entende a
urgência, mas às vezes leva tempo, né?
Você precisa se cercar de todas as
informações que são importantes para
você chegar num num e num diagnóstico
real do que tá acontecendo e entender
como combater, não só aquele problema,
mas olhando pra frente, né? Eh, e
olhando pro para esse caso do relay, eu
acho que que teve uma coincidência ruim
que ele aconteceu no mesmo momento em
que a gente tenta emplacar o TP to
Phone.
E a gente vê, pelo menos eu vi do meu
lado, muito
medo dos emissores em nesse tipo de
transação, né? Eh,
e aí a gente volta pra questão da
autorização, né? Eh, lendo a
autorização, eu consigo fazer uma
diferenciação se é uma transação tapone
ou não, né? E uma transação do relay
ataque, ela passava com uma transação de
POS normal, né? Eh, até que ponto vocês
entendem que esse tipo de situação ou
esse tipo de caos que acaba sendo gerado
por um volume muito baixo, se a gente
for olhar, eh, a gente a gente não
chegou na casa de milhões aqui de perda,
né? A gente teve centralidade ali de
perdas. Até que ponto vocês entendem que
esse tipo de comportamento ele ele acaba
prejudicando a indústria e o avanço da
indústria eh eh em relação a a à
tecnologia?
>> Eu acho que você trouxe um ponto
pertinente. Se a gente atuar só no caos
e só no desespero, a gente vai ver em
arhum e eu não vou tratar o principal
que é o diagnóstico, a causa raiz, né,
do problema. E acho que você colocou bem
a infeliz coincidência do Tepone junto
ao Relay Attack, colocou ali o Tepone
como um alvo potencializador da fraude,
mas ao mesmo tempo como prevenção a
fraude, eu acho que uma vertente que a
gente tem que ter é o negócio. O TEP
facilita demais, né, quando a gente fala
em negócio, a vida do consumidor. Então
acho que temos que ter o o cuidado. Eh,
cara, a gente viu eh teve parceiros que
por pouco não fechou o Tap to Phone como
um todo. Eh, ó o impacto que você causa
para R$ 200.000 na indústria inteira,
nem milhões, vamos colocar assim. Então,
acho que esse cuidado a gente tem que
diferenciar bem. Acho que os tanto os
parceiros, eh, acho que você colocou bem
até do dos emissores credenciadores como
bandeira, como investigação que a gente
tem que fazer. Acho que atuar muito mais
na parceria e na união para identificar
o diagnóstico a causa raiz do que o
desespero de vamos fechar tudo. Eh, e o
desespero de vamos fechar tudo, ele
coloca o próprio mercado. Eh, poxa, eu
tenho medo de colocar até pomfone na rua
e e o o emissor, poxa, eu tenho medo de
aprovar o Então, começa a colocar um
solução que poderia facilitar, a gente
começa a colocar uma solução como a
vilã, né? E na verdade o vilão é uma
frodador, não a solução.
Quer completar?
>> Não.
>> Tranquilo. Então beleza.
Acho que aqui um ponto antes da gente
partir para as perguntas, a gente tem um
pouquinho menos de 10 minutos. Eh, acho
que seria interessante também a gente
compartilhar com as pessoas o que que a
gente fez durante esse ano. Eu acho que
pela primeira vez em muitos anos, a
gente tem conseguido chegar em consensos
através da Bex, né? Eh, a gente tá no
momento de construção de uma base
conjunta de fraude unificada,
eh, para ser usada por emissores e
adquirentes. Então, acho que esse é um
primeiro ponto importante dentro da casa
de vocês. Se vocês ainda não não estão
participando, acho que procurem a Beex,
procurem a Luciane, ela adora falar
sobre esse assunto. A gente tá criando
junto com a Data Raider uma base
unificada de fraude, porque a gente sabe
que o fraudador ele só tem êxito porque
ele consegue sair de um lugar e ir pro
outro. E aqui a gente tá falando tanto
pra parte de comércio quanto pra parte
de clientes, né? Então, eh, pela
primeira vez, a indústria está se unindo
para ter uma base unificada de fraude.
Esse é um primeiro passo super
importante para que a gente tenha essa
comunhão de informação e a gente
consiga, eh, mitigar os problemas que a
gente tem hoje, porque o que a gente vê
hoje é ele pulando de galho em galho,
literalmente.
E acho que quiserem destacar aqui, acho
que a gente tem os nossos fóruns mensais
na BEX, eh, onde a gente consegue
discutir com os bancos as ações, eh, que
estão sendo tomadas, entender. Às vezes
viram um murdas lamentações, mas tá tudo
certo. Eh, eh, onde a gente consegue
entender quais são os problemas e
entender se a gente consegue soluções em
conjunto. Certo? Vou para as perguntas
aqui. Fiquem à vontade que Ar tá aqui
atrás.
Deixa eu ver se nenhuma começa com o que
a o que as bandeiras estão fazendo.
Vou mandando para vocês, tá?
>> Vamos lá.
>> No contexto de do avanço de fraudes via
engenharia social, como os participantes
do arranjo podem atuar conjuntamente e
de forma colaborativa para educar e
proteger o portador? Existem iniciativas
já em andamento?
Eu
volto pra parte da comunicação. Eu acho
que hoje a gente não comunica bem e a
gente não consegue ser claro nas
comunicações que a gente faz com os
nossos clientes, né? Eh, eh, para mim é
aterrorizante quando eu vejo e a gente
vai conversar com os bancos, o banco
nega a transação, o cliente entra em
contato, confirma e depois ele
desconhece a transação.
>> Mas eu acho que aqui o problema é o
seguinte, eh, e eu vou voltar de novo no
caso do, vou voltar de novo no caso do
e-mail, tá? Eh, o banco, ele vai lá e
envia o e-mail ou envia o WhatsApp e ele
fala: "Ó, no carnaval tome esta ação,
né?"
Eh,
>> não deu cartão na mão do do
>> Exato. Mas eu vou traçar um paralelo
aqui. Outro dia eu tava com um amigo meu
e ele falou assim para mim: "Poxa, eh eh
eu comprei um produto, esse produto eu
não gostei, fui devolver o produto e
achei uma página no enfim, qualquer rede
social e tava escrito lá eh página tal
oficial. entrei em contato, conversei
com eles lá, foi me passando o que eu
deveria fazer e de repente ele pediu
para eu passar o código do WhatsApp.
Eh, e eu passei o código do WhatsApp e
ele falou que agora passa o código, tem
outro telefone porque eu tinha o da
minha filha, então passei o da minha
filha também. Falou: "Cara, então assim,
impressionante como é fácil". Eu falei
para ele, pô, mas tá escrito lá, né? Não
passar o código, né? O texto é literal,
está dizendo, né, não passe o código,
né,
>> antes do código.
>> Exato. Então assim, por que você passou
o código, né? E porque a frase em
português é muito clara, né? Então eu
acho que é isso que falta também um
pouco de novo, por isso que nós somos
vetores de prevenção à fraude, né, com
os nossos familiares. Eu eu entendo que
a minha avó que tem 90 anos, ela
realmente não vai ter a mesma, né, eh eh
facilidade com a tecnologia. Mas então é
por isso que eu tenho que ir lá e
ajudar, né?
>> Aí tem uma pergunta provocativa aqui.
Eh, ainda colocou assim: "Pergunte as
pergunta às bandeiras".
Atualmente, as bandeiras criaram
programas de repatriação de recursos
oriundos de golpes por engenharia
social. É substancial que o emissor
reporte de maneira adequada a transação
proveniente do golpe.
Eh, todavia, observamos que os
parâmetros para eleger um determinado
EC, um EC conivente, são altos, tais
como faturamento, reportes de fraude. A
caso em que o se o EC não estiver
elegível, não há possibilidade de se
solicitar a repatriação dos recursos.
A perspectiva de revisitação em curto
prazo das regras para eleger esses
coniventes, se sim, teriam spoilers.
Vai lá, Felipe. [risadas]
Ó, durante a pergunta não deu para
entender se era contra ou a favor. é
sempre contra,
>> mas eh eu acho que é importante aqui
mencionar eh até imagino qual é o
programa, mas não vou citar, dado que a
gente tem casas diferentes aqui. Eh, mas
o programa ele não veio só devolver o
dinheiro, né? Ele veio para estabelecer
eh diligências maiores de ambos os
lados, eu diria, né? Então, a gente tem
hoje credenciadores mais diligentes, né?
E como é que a gente enxerga isso?
porque os indicadores de golpe no país
estão a cada trimestre menores. E a
gente monitora isso nos grupos da Bex, a
gente monitora nas próprias casas, né?
Eh, então acho que é isso, é importante,
né? É onde a gente consegue eh regular
aquilo que de repente com as regras que
a gente tinha anteriormente a gente não
conseguia, né? E se a gente conversa
hoje, e eu e se e eu imagino que a gente
tem aqui no, né, na audiência com
credenciadores, os credenciadores são a
favor, né, os emissores são a favor. Eh,
e eu acho que indo pra pergunta agora
muito rápido, é acho que a gente já faz
isso no programa, né? O, o
estabelecimento conivente tá dentro do
programa, né? Talvez ele esteja de outra
forma, ele esteja escondido, invisível,
né? Mas ele ele já é endereçado.
Eu acho que eu posso trazer um spoiler,
sim, né? A gente revisita os programas,
revisita to shows e obviamente eh a
gente mexe neles, tá? né? Então, no
próximo semestre, pelo menos do lado da
de uma das bandeiras, a gente, como as
três bandeiras revisitam do próximo
semestre, a gente vai ter algumas
validações, algumas alterações, mas acho
que o ponto principal e primordial, acho
que como você colocou, é o programa,
talvez hoje acho que como colocou na
pergunta, o thrash tá alto, poxa, faltou
isso, faltou aquilo. E acho que tudo
isso é um processo de educação, eh,
tanto de um lado quanto do outro, não é
um programa de penalidade, né? Ele é um
programa, ele penaliza quem desvia do do
da trilha, mas acho que a ideia é a
gente fomentar, né, o apoio de ambos os
lados. E e acho que na primeira pergunta
coloca quais iniciativas? É uma das que
o Gustavo trouxe do tentáculo. Só a
gente tem outras frentes se conectando e
quanto mais rápido a gente atuar, menos
eu vou me preocupar com o programa e
mais a gente vai atuar no que precisa
ser atuado, que é a repatriação e o
bloqueio dos dos fraudadores. Então acho
que é uma palavra, eu sei que como
bandeira parece fácil falar, mas é menos
atuação que o programa ele se torna
que no final do dia o programa ele
existe e e se a gente voltar um pouco no
tempo, antes da criação dos programas a
gente trabalhou por mais de 2 anos
com todos os entes tentando remediar o
problema, reduzir a exposição e o
programa ele só existiu porque a gente
não teve sucesso, né? Então, foi uma
quase que uma obrigação moral criar um
programa para que a gente conseguisse
ter isso. Mas é importante a gente
lembrar, existe responsabilidade dos
dois lados, né, de quem coloca um
comércio ruim para dentro. E a gente
sabe que hoje a a gente tem muito menos
problemas de comércios que nascem ruins
e muito mais problemas de contas
laranjas. E aí é um não é mais um
problema de onboarding como a gente
tinha há dois anos atrás. Mas a gente
também tem um tem uma questão da
autorização, né? a gente olha e aquelas
transações elas fazem sentido. Eu tô eu
tô avaliando aquele ticket médio para
aquele MCC, o perfil do meu cliente.
Então é é importante. E a os emissores,
eh, eu sei, eu entendo as reclamações,
mas eu acho que é importante pensar o
seguinte: as regras de disputa elas são
pró-emissores, né? os emissores eles
conseguem recuperar mais de 80% do que
se do que se abre de disputa hoje no
mercado. Então é importante também que a
gente consiga deixar essa balança mais
ajustada, não fugindo aqui de
responsabilidades. E sobre revisão de
thrashhold, é é importante lembrar que
revisão de threshold envolve, no nosso
caso agora uma aprovação do Bassen, né?
Então isso não é rápido,
>> isso e muito rápido aqui. Eu acho que a
gente dentro da Abex evoluiu muito nos
últimos anos nas discussões, né? Então
eh isso também é super importante. Acho
que acho que vale uma menção honrosa pro
Fidel. Eh, acho que ele trouxe isso
também pro pro grupo. Eh, a gente tem
muitos grupos trabalhando em várias
partes, né, diferentes hoje, em ataques
diferentes. Eh, e aí é uma contribuição
de todos sobre essa coordenação do Fidel
que
>> foi muito importante. Vencendo muito.
>> Teve paciência.
>> Exato.
>> Teve paciência e resiliência.
Bom, acabou o nosso tempo, ficaram
várias perguntas aqui, a gente responde
depois e manda aqui para aí compartilha
com vocês. Quero agradecer o tempo.
Foram firmes aqui no horário do almoço.
Muito obrigado, gente. Boa tarde,
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
