Golpes digitais envolvendo dados vazados durante o período do Imposto de Renda estão se tornando mais sofisticados e escaláveis no Brasil, impulsionados pela combinação entre exposição de informações financeiras e uso de inteligência artificial por criminosos. A avaliação é da Sec4U, empresa especializada em segurança de identidades digitais, que aponta o pós-declaração como um momento de grande risco para fraudes financeiras e roubo de identidade.
Segundo Douglas Barbosa, Business Development Manager da Sec4U e especialista em identidade digital, tudo pode acontecer rápido: “o compartilhamento de informes de rendimentos, comprovantes bancários, documentos pessoais e declarações por canais como WhatsApp, e-mail e plataformas digitais cria um ambiente favorável para ataques de phishing, invasão de contas e golpes personalizados. Os criminosos utilizam dados reais para simular contatos de bancos, operadoras e até da Receita Federal, aumentando a credibilidade das abordagens e reduzindo a desconfiança das vítimas”, explica.
“O fato de que o contribuinte pode, agora, fazer uso do celular ou tablet para preencher a declaração do imposto de renda só facilita este tipo de ataque, já que, normalmente, a comunicação fraudulenta ou ilegítima chega no mesmo dispositivo em que o usuário, de fato, está fazendo uso durante o período de declaração”, explica Douglas.
O alerta ocorre em meio ao avanço recorde das fraudes digitais no país. Dados da Serasa Experian apontam que quase 7 milhões de tentativas de fraude foram registradas no primeiro semestre de 2025, alta de 29,5% na comparação anual. Já informações citadas pela Febraban mostram que o Brasil registrou quase 12 milhões de tentativas de golpe ao longo do último ano, o equivalente a uma ocorrência a cada três segundos, enquanto mais da metade dos brasileiros já foi alvo desse tipo de crime.
“Os dados do Imposto de Renda são extremamente valiosos porque permitem que os criminosos construam uma narrativa muito convincente. Quando informações como CPF, renda, patrimônio, dados bancários e vínculos familiares são combinadas, o golpe deixa de ser genérico e passa a parecer legítimo. Isso aumenta significativamente o risco de fraude baseada em engenharia social”, aponta Barbosa.
Entre os golpes mais recorrentes observados após o período de declaração estão falsas mensagens sobre restituição, alertas de malha fina, cobranças fraudulentas e solicitações de atualização cadastral. Barbosa explica que os ataques começam com a coleta de informações vazadas ou compartilhadas sem proteção adequada e evoluem para uma etapa de cruzamento de dados públicos e privados, permitindo aos criminosos criar abordagens personalizadas por SMS, e-mail, WhatsApp e telefone.
A expansão do uso de inteligência artificial tem acelerado esse movimento. Relatório da Microsoft Security aponta que já existem agentes maliciosos automatizados capazes de criar campanhas de phishing com IA generativa. Já a IBM Brasil Newsroom identificou que 16% das violações analisadas em seu relatório global envolveram hackers utilizando IA, principalmente em golpes de phishing e deepfakes.
Na avaliação do especialista, a dependência de autenticação baseada apenas em login e senha tornou-se insuficiente diante do avanço das fraudes orientadas à identidade digital. O movimento tem levado empresas a reforçar investimentos em análise comportamental, autenticação multifator e monitoramento contextual de acessos para reduzir riscos de invasão e sequestro de contas.
“A discussão não é mais adicionar fricção ao usuário, mas implementar inteligência de contexto e risco nas jornadas digitais. Mesmo que um atacante consiga acesso à credencial, as empresas precisam ser capazes de identificar comportamentos suspeitos e bloquear a fraude antes da transação acontecer”, pondera Barbosa.
Além dos consumidores, empresas também passaram a enfrentar impactos mais severos, incluindo abertura fraudulenta de contas, invasão de ambientes corporativos, fraudes em canais digitais e danos reputacionais. Segundo a Sec4U, setores com grande volume de dados financeiros e pessoais, como saúde, bancos e varejo, estão entre os mais visados.
Para mitigar os riscos no pós-Imposto de Renda, a recomendação para usuários é redobrar a atenção a notificações suspeitas. No dia a dia, as boas práticas de segurança digital envolvem evitar clicar em links enviados por SMS, WhatsApp e e-mails, ativar autenticação multifator, utilizar senhas diferentes em cada serviço e monitorar movimentações bancárias e alterações cadastrais.. Alertas de compras não realizadas, trocas de senha e movimentações desconhecidas estão entre os principais sinais de comprometimento de dados. Na outra ponta, o desafio para as empresas consolida-se na urgência de blindar os acessos e implementar soluções de análise de comportamento, reduzindo assim os riscos de comprometimento das identidades digitais.
Vazamentos de dados: empresas devem informar clientes em caso de risco – Jornal Empresas & Negócios
