Episódios de Growthaholics, por Pedro Waengertner | Inovação, negócios e empreendedorismo

#310 – Fraude virou software: como empresas estão reconstruindo a confiança digital | Com Marcelo Queiroz, Head Product Innovation ID&F no Serasa Experian, e Pedro Ivo Lima, CEO & Co-Founder na PhishX

07 de maio de 202658min
0:00 / 58:38

Hoje, fraudes não são mais eventos isolados — elas viraram processos automáticos, digitais e orquestrados em escala, impulsionados por IA e pela perda do controle do perímetro tradicional de segurança. Como as empresas estão reagindo a essa nova realidade para proteger dados, reduzir riscos e, ao mesmo tempo, garantir uma boa experiência para o usuário?

No episódio, converso com dois especialistas que estão na linha de frente desse desafio: Marcelo Queiroz, Head Product Innovation ID&F no Serasa Experian, que lidera soluções de identidade digital, prevenção à fraude e cibersegurança Pedro Ivo Lima, CEO & Co-Founder da PhishX, startup focada em transformar o comportamento humano em uma linha de defesa contra ataques digitais.

Falamos sobre a importância da orquestração de múltiplos fatores de autenticação, os dilemas entre segurança versus experiência do usuário, e os riscos trazidos pela IA generativa que pode tanto proteger como facilitar ataques sofisticados.

Também exploramos o conceito de identidade digital reutilizável, a mudança radical no modo como negócios vão se estruturar com agentes digitais autorizados e um olhar prático para startups — que precisam abraçar a segurança desde a concepção do produto, mesmo com recursos limitados.

E por falar em oportunidade para startups: as inscrições para o Programa de Inovação Aberta da Serasa Experian estão abertas! Sua startup pode conquistar investimento de até R$ 50 milhões, mentoria com especialistas, POCs com investimento e acesso a dados e infraestrutura da maior datatech do Brasil — com escala real junto à Serasa Experian. Não deixe para depois: essa é a chance de construir o próximo padrão de confiança digital. Link nas nossas redes sociais.

Se você quer entender como fraude virou software, por que o futuro da segurança digital passa por inovação constante e quais atitudes aplicar hoje no seu negócio para não ser mais uma vítima — dá o play e vem com a gente!

Para conferir mais conteúdos,⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠acesse nosso site⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠!

Instagram:⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠@aceventuresbr⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

Linkedin:⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠ACE Ventures⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

E-mail: ⁠⁠⁠⁠⁠⁠contato@goace.vc⁠⁠⁠

Participantes neste episódio3
P

Pedro van Gertner

HostCEO da Ace Ventures
M

Marcelo Queiroz

ConvidadoHead Product Innovation ID&F no Serasa Experian
P

Pedro Ivo Lima

ConvidadoCEO & Co-Founder na PhishX
Assuntos4
  • Fraudes DigitaisIA generativa e riscos de segurança · Perda do controle do perímetro de segurança · Engenharia social no Brasil · Identidade digital reutilizável · Agentes digitais autorizados · Segurança desde a concepção do produto (Secure by Design) · Orquestração de fatores de autenticação · KYC (Know Your Customer) · Biometria facial e liveness · Fraude como serviço (FaaS)
  • Oportunidades para Startups em Segurança DigitalPrograma de Inovação Aberta da Serasa Experian · Investimento em startups de cibersegurança · Desafios em identidade, prevenção à fraude e cibersegurança · Novas biometrias · Soluções para o setor de saúde · Segurança em fluxos de pagamento · Agentes de IA (AI Agents)
  • TikTok e Estratégia DigitalIA como ferramenta de produtividade e de fraude · IA generativa potencializando ataques · IA na prevenção de fraudes (modelos preditivos, validação de contexto, análise comportamental) · IA para criar identidades sintéticas · IA como agente de compras (AI Agents)
  • Cibersegurança e AIAtaques cibernéticos como processo, não evento · Complexidade da segurança digital · Importância da orquestração de tecnologias · Trade-off entre segurança e experiência do usuário · Bug bounty programs · Segurança multifatorial · Segurança como serviço (SaaS)
Transcrição157 segmentoswhispermlx/large-v3-turbo

A fraude hoje tem uma característica distinta, porque a gente hoje está muito online. E se perdeu uma coisa que antigamente a gente tinha, que era o controle do perímetro. E que a gente tem que cada vez usar mais tecnologias para evoluir esses componentes e essa orquestração. Quanto dinheiro está escoando pelas empresas e por que a AI se tornou um protagonista desse processo também.

Olá, aqui é Pedro van Gertner, sou CEO da Ace Ventures e esse é Growthaholics, o podcast que fala sobre inovação e empreendedorismo. Aqui a gente traz novidades, insights e o que tem de mais novo para você tomar decisões sobre o seu negócio e a sua carreira. Quando a gente fala de AI, a gente fala muito do investimento que está sendo feito, das super novidades, dos novos modelos que estão lançando.

Mas existe um outro lado que é também a segurança. A gente está vendo aí um kit de ferramentas que nos dá produtividade, mas também dá muita produtividade para a gente falar de fraude, de vários outros riscos de segurança. E para a gente falar sobre isso, também sobre oportunidade de mercado para empreendedores e o que as empresas podem...

pensar a respeito disso. Eu trouxe dois feras aqui para discutir sobre o tema. Eu queria dar boas-vindas aqui para o nosso primeiro convidado, para o Marcelo. Marcelo, que é Head de Inovação da área de Cybersegurança e Fraude do Serasa. Eu peço para o Marcelo se apresentar aqui rapidinho.

Obrigado, Pedro, pela oportunidade. Então, meu nome é Marcelo Queiroz, a gente está há algum tempo nesse mercado de tecnologia e inovação, e aí há alguns anos nesse mercado de identidade, prevenção, de sabersegurança, e aí dentro da Serasa Experience, a gente explora muito isso, desenvolvendo novas soluções, que já carregam a inteligência artificial há algum tempo, mas que agora com a A generativa a gente tem novos desafios, a gente vai falar um pouquinho sobre isso aqui.

Vamos falar sobre isso aí, obrigado Marcelo. E Pedro Ivo, meu chará aí de longa data, tudo bem Pedro? Comenta um pouquinho, Pedro que é founder da FicheX, comenta um pouquinho aí o que a FicheX faz e seja muito bem-vindo. Valeu Pedrão, obrigado pelo convite primeiramente, ao Pedro e todo o time da ACE, obrigado Marcelo aqui que está dividindo a bancada com a gente, vamos trocar várias ideias aqui legais sobre o tema. E a FicheX hoje trabalha com toda a parte de comportamento humano.

A gente executa de forma automatizada, usando muita IAR desde a fundação, para automatizar esse processo hercúleo de transformar pessoas em agentes ativos de proteção e antifraude. Porque no final das contas, negócios são feitos entre empresas, na grande maioria dos casos, mas quem fecha o negócio, quem habilita, quem autoriza, quem suspende, quem compra, quem vende, são pessoas. Então as pessoas fazem parte do centro de qualquer interação negocial. E é nesse foco que a Fichex atua.

Muito obrigado, Pedro, pela presença. Eu queria fazer o kick-off aqui, Marcelo. Vou te perguntar para você nos dar o panorama. Por que esse problema é tão grande? Onde está o buraco? Que números de mercado a gente tem hoje? Quanto dinheiro está escoando pelas empresas? E por que a AI se tornou um protagonista desse processo também?

Hoje a gente fala muito de AI, a generativa em especial, que eu acho que gerou muito destaque para todo mundo. Mas na verdade, quando a gente fala de inteligência artificial, o Pedro comentou aqui, na verdade, AI a gente já implementa na longa data.

desde modelos preditivos, regressão, validações de contexto, análise comportamental. Então, o IA já está na vida de quem se preocupa e está tentando proteger a população de uma forma geral, em N aspectos, em todos os seus serviços digitais. Para ter uma ideia de números, que eu acho que isso ajuda a contabilizar,

No nosso caso, no Serasa Experian, a gente tem um portfólio gigantesco de soluções que vão ajudar desde lá uma biometria que tem a embutida na hora que você faz uma validação de liveness até um fluxo de documentoscopia ou até fluxos de cibersegurança e coisas novas como identidade digital. Eu vou querer saber tudo, o que significam esses termos todos aí. Esses termos ali na frente.

E aí quando a gente está nessas jornadas, a gente tem muitos clientes de vários segmentos diferentes. Para ter uma ideia em termos de número, acho que isso é relevante, em 2005 a gente conseguiu proteger no mercado brasileiro 70, com bem de bola, 70 bilhões de reais em tentativas de fraude.

Não foram fraudes realizadas, foram tentativas que as nossas soluções dentro de N jornadas diferentes conseguiram evitar. Que ano isso, Marcelo? 2025. 2025. Número super recente. Então isso mostra, de fato, um impacto. O que significa isso?

Eu acho que já existia um fluxo de digitalização muito forte, em especial no Brasil. A gente é uma sociedade com digitalização elevada. E, óbvio, existem Brasis diferentes, mas uma média. Pós-pandemia, isso explodiu.

desde a utilização de um PIX, que acontece justamente no início da pandemia, como vários outros serviços digitais. Quanto maior o número de serviços digitais, maior a exposição você tem a ambientes digitais, mais exposto você está a fraudes e golpes. E aí é que entra justamente soluções de tecnologia super especializadas que ajudam em empresas diferentes a conseguir trabalhar esses contextos de prevenção a fraude ou proteção propriamente dita.

E onde é que agora, pegando o Pedro e complementa também, Marcelo, onde é que estão os buracos aqui? Onde que são os pontos onde existem as fragilidades do sistema como um todo? O que você diria, Pedro?

Eu diria assim, na visão de cyber, que a gente acaba trazendo muito essa questão dos ataques, desde a parte tecnológica até o usuário final, hoje a maioria das situações acontece muito com foco nas pessoas.

Hoje, grande parte dos sistemas de proteção já são extremamente avançados, tem assertividade acima de 90%. O Marcelo citou aqui alguns números impressionantes da Serasa, mas já desde longa data que a gente consegue evitar aquele famoso vírus dentro de um device ou aquele famoso spam ou, de repente, algum tipo de phishing em determinados sistemas protetivos.

Mas a fraude hoje tem uma característica distinta, porque a gente hoje está muito online. E se perder uma coisa que antigamente a gente tinha, que era o controle do perímetro. Antigamente você tinha o perímetro sendo muito mais específico, você tinha redes específicas.

isso se perdeu com agilidade, com cloud computing, com todas as interações que existem entre empresas através de apps. Hoje a gente não transaciona mais pessoa, nem empresa, a gente transaciona via app. Quando você fala perímetros, você está falando meus dados estavam naquela máquina, naquele segredor, naquele data center.

Eu sabia, agora ele está espalhado em milhares de APIs e está hospedado em tudo que é lugar. Ou seja, cada intersecção é um ponto de vulnerabilidade. E perceba, esse acesso, essa interação via APIs, existe um grau altíssimo de segurança implementado para poder ter essa conexão. Mas não deixam de ser conexões. Então você tem conexões sendo utilizadas por diversos tipos de dados. Porém, no final das contas, se resume tudo ao acesso das pessoas.

Por isso que cada vez mais é importante ter o QIC, você conhecer quem é a sua pessoa ou o seu cliente. Explica o que é isso. Know your client, know your customer. Então é muito importante você conhecer quem está acessando o teu dado, seja ele um consumidor de dados, por isso que se chama customer client, ele é um consumidor do teu dado, então você tem que saber preditivamente quem é essa pessoa para liberar as autorizações. Porque a regra geral qual é? Não está liberado o acesso para todo mundo, principalmente dados críticos.

Mas é importante que, ao liberar esse dado, seja um acesso a banco, seja uma API que tem comunicação com uma outra plataforma, como o Open Finance. Então você tem que ter essa liberação e é óbvio que você tem que validar que essa pessoa realmente está autorizando aquilo. E aquela pessoa tem a prerrogativa de ter aquela autorização sobre aqueles dados.

ela é a dona do dado, então ela pode sim liberar. Então um dos principais pontos hoje onde se afeta muito a questão de ataque é nesse processo, é nesse processo de validação do usuário, da identidade. Então perceba, hoje o ambiente não está mais na redoma do data center, na redoma dos sistemas tecnológicos de proteção de firewall, óbvio que eles protegem, óbvio que ainda existe muito ataque nisso, mas a...

A condição desses elementos são muito altas em termos de proteção. Como eu falei no início, mais de 90%. Mas no QIC, na validação da identidade, na validação de acesso ao dado, é onde mora o grande problema. Por quê? Porque a grande parte das pessoas ainda não chegou a um nível de conhecimento adequado para se ter as proteções preventivas a esse tipo de problema. E os sistemas de QIC, óbvio.

Tem um nível altíssimo também de validação, desde o movimento da cara, o movimento do rosto, para saber se aquilo não é uma AI sendo fictícia. Mas existe um desafio muito grande, porque a AI vai evoluindo e automaticamente os sistemas têm que seguir essa evolução em termos de proteção também. Então é uma briga de cachorro e gato. Você tem ali, obviamente, criminosos que têm o conhecimento técnico, para poder implementar novos tipos de ataques.

E assim como também temos soluções que fazem também esse bloqueio. Até mesmo em ambientes que muitas vezes nunca sofreram esse tipo de ataque, mas já são implementados esse tipo de controle, para justamente evitar de acontecer. Eu queria entrar nisso aqui, Marcelo. Então, em outras palavras, o que o Pedro acabou de dizer é, bom, quando o Marcelo está acessando um sistema, eu tenho que saber que é o Marcelo mesmo.

e o Marcelo tem que formalizar a autorização para que o sistema pegue o dado e faça o que o sistema se propõe a fazer e o Marcelo autorizou. A minha pergunta aqui, Marcelo, é, que o Pedro deu uma pincelada, por que que AI torna...

Tão mais perigoso esse processo que já vinha sendo desde a nuvem e tudo mais. Qual que foi o que ela eleva em termos de risco para um sistema? O legal que o Pedro trouxe, acho que a IA potencializa justamente por causa do perímetro ou da superfície de ataque possível. Traduzindo isso.

Hoje, como eu falei, a gente teve um fortíssimo fluxo de digitalização. Então, em N jornadas, ou talvez em todas as nossas jornadas, acho que é difícil ter alguma jornada onde não tem algum nível de serviço digital, você tem uma interação, quer seja no mundo corporativo, onde você está logando nos ambientes, acessando informações. É a coisa mais trivial do dia a dia, eu cheguei para trabalhar.

Como um consumo. Quando você vai num restaurante, efetua um pagamento, que ele tem uma camada digital, ou fez uma compra através de um food delivery, ou fez uma compra no e-commerce, ou fez uma abertura de conta digital, ou contratou um empréstimo, ou contratou uma banda larga de telecom. Você tem alguns exemplos e tem vários outros.

Todos esses são superfícies digitais, endpoints, que a gente chama de interação com esse ambiente digital. Então, aumentou os nossos pontos de acesso digitais. Esse é um lado.

O segundo é, como é que eu acesso esses dados? Então, essa questão do QYC, ou seja, a identificação, a validação, a autenticação daquela pessoa, é sine qua non para qualquer serviço digital. Eu preciso garantir que são os Pedros ou é o Marcelo que está acessando aquele ambiente. Se ele pode acessar ou não, e que tipo de acesso ele tem, ou que tipo de produto ou serviço ele pode consumir.

Ou seja, o nível de acesso que ele pode ter. O nível de acesso e se ele pode consumir ou não aquele serviço, e se é ele mesmo, se não é o fraudador que está se passando por ele. Com isso, a gente tem uma outra característica especial no Brasil, que é a engenharia social. Então, o Brasil é um dos países mais arriscados do mundo pelo nível de digitalização, pelo nível de maturidade digital da população.

Educação média. Educação digital e pela capacidade de engenharia social que a gente tem de aplicação no Brasil. Por quê? Isso faz com que eu consiga capturar dados e informações reais das pessoas. Os fraudadores e golpistas fazem isso. Inclusive, isso é uma indústria. Fazem, concentram, vendem isso e vão criando esquemas específicos.

E aí usam isso para entrar nesses ambientes e executar esses serviços digitais. Ou fazer uma compra no seu nome, ou fazer um empréstimo no seu nome. Então, N aspectos diferentes. Como que a gente barra isso? A gente barra isso utilizando N componentes de tecnologia diferentes para fazer essa validação. E aí, um...

normalmente um único elemento não é suficiente. Ou seja, o Marcelo sabe uma senha, aquilo ali é a coisa menos protegida numa escala. Isso é uma biometria. Uma biometria facial sozinho, eu também consigo capturar e entra, começa a conexão, porque agora a gente está em um ambiente muito mais arriscado. Aí a generativa, ela potencializa serviços e automatizações e novos modelos de negócio que a gente está fazendo, mas do outro lado os fraudadores também têm acesso.

Então, capturando, por exemplo, uma imagem em uma rede social, na sua foto, alguém consegue hoje, de fato, construir o que a gente chama de uma imagem sintética, que é muito similar ao Pedro e que eu consigo executar e ela vai trazer um grau de sofisticação em que eu posso fazer um match da sua biometria. Vai depender da tecnologia que eu estou usando, do nível de risco e assertividade que eu quero. Estou querendo dizer isso porque a biometria facial, por exemplo, como um único componente, não é suficiente. Então, tem que usar... Sem combinar.

Eu tenho que identificar qual é o dispositivo que você está usando, qual o seu comportamento de uso, se você está na mesma geolocalização, se você faz esse tipo de transação de forma habitual. E eu vou colocando vários componentes. Isso já está implementado. Então, como eu citei, na Serasa Experience tem um portfólio gigantesco, com vários componentes e que ajuda em várias dessas jornadas. Onde a generativa impacta nisso? O primeiro ponto é essa capacidade, por exemplo, de burlar uma camada como essa.

de imagem ou de uma biometria de voz, que também pode ser clonada, e aí junta com a engenharia social. Se eu consigo capturar, gerar essas identidades sintéticas, essas imagens de forma sintética, junto com dados que eu consigo pegar vazados, ou capturando através da engenharia, onde as pessoas entregam o próprio dado, sendo enganadas, você tem um conjunto...

Porque é muito mais difícil você bloquear. Então você tem que botar muitas camadas. E aí você torna o quê? Torna a experiência ruim. Exato. Até gera fricção para o usuário. Gera fricção. Então, este é o grande dilema. É o trade-off. Agora o trade-off de segurança.

com a experiência, e que a gente tem que cada vez usar mais tecnologias para evoluir esses componentes e essa orquestração. E, às vezes, antecipar. Esse é um outro ponto importante. Antecipar. Programas, por exemplo, de treinamento, de ficha onde você tenta ensinar.

isso aqui é um golpe. Mas além disso, a gente também tem soluções que são complementares a esses fluxos, por exemplo, de ficha, que é tentar identificar na dark web, na deep web, em fóruns de Telegram, esquemas que são vendidos. Então, alguém acha uma vulnerabilidade porque qual é a dinâmica do mundo da fraude e dos golpes? Tentar descobrir uma brecha.

criar um formato. Então é uma engenharia de software, é um processo industrial de identificar uma falha, uma vulnerabilidade, usar tudo que está disponível e tentar atacar o máximo possível aquela vulnerabilidade, porque em determinado espaço de tempo a empresa vai descobrir e aí vai bloquear.

E aí, com o objetivo do fraudulador e do golpista, ganhar o máximo de dinheiro possível naquele intervalo de tempo. E parte para a próxima vulnerabilidade. Parte para a próxima vulnerabilidade. Então, é esse trabalho contínuo que tem que ser feito de evoluir. Então, a gente também tem que antecipar. Se eu consigo monitorar, identificar que tem lá um esquema sendo divulgado ou vendido, esses esquemas são vendidos na ArqWeb.

Então tudo tem preço, é uma indústria. Alguém vai lá e gera uma imagem, eu consegui uma base basada de imagens, eu gerei aqui um modelo que consiga sintetizar a imagem e vou vender esse serviço. Nesse nível de requinte, o cara já vende a solução completa. Aí tem os executores das fraudes e golpes que pegam isso, juntam.

alguém acha uma vulnerabilidade, divulga, ele compra essa vulnerabilidade, esse espaço onde ele pode atacar, e ainda faz um exército de ataque naquele ambiente. O episódio de hoje está sendo gravado aqui no State Studios, o hub de criação de conteúdo que fica dentro do State.

O State é um centro independente de inovação aqui em São Paulo, que reúne founders, investidores, empresas e pesquisadores que estão construindo o futuro dos negócios. Inclusive, a Ace Ventures é residente do State e muitos dos convidados que passam aqui também fazem parte dessa comunidade. Então, não é coincidência a gente gravar nesse espaço. É um lugar onde muita gente que está construindo o futuro dos negócios acaba se encontrando.

E para quem quiser conhecer o espaço, usar o coworking, realizar eventos ou até gravar aqui no estúdio, é só acessar state.is e quando entrar em contato com o time, informe o cupom STATE-ACE e você ganha 20% de desconto. Obrigado pela parceria!

Não que no outro lado, complementando o que o Marcelo comentou, as empresas também não estejam vendo isso. Existem vários programas de bug-bouting, para justamente você identificar fraude e premiar aquela pessoa que identificou aquela fraude ou aquela falha em um determinado sistema, para poder ser eliminado o mais rápido possível. Então isso também existe do lado empresarial, do lado bom da força, por assim falar. Mas antigamente fraude, e isso é muito importante que o Marcelo comentou,

Quando a gente via nas notícias de um ataque cibernético ou uma fraude gigantesca, era um evento. Hoje em dia isso deixou de ser um evento. Todo dia acontece. Isso é cotidiano, virou processo. Na verdade, como o Marcelo também comentou aqui, deixou de ser um evento pontual para ser um SLA.

Hoje você compra o tipo de fraude que você quer, por quanto tempo você vai explorar, por qual região. E tem empresas, em dark web, deep web, que executam isso para você e comercializam isso para você em criptoativos não rastreáveis, para poder você fazer a exploração disso de forma criminosa. Então, hoje o crime já está muito evoluído nessa camada. E isso acontece não somente, obviamente, em termos de fraude financeira, mas de qualquer aspecto da vida.

Hoje é muito difícil você digitar algum número de identificação, seja do Brasil ou de qualquer outro país, e não achar dados daquela pessoa específica que tem a ver com aquele, no Brasil, CPF, nos Estados Unidos, Social Security. Enfim, você consegue achar informações contextuais da pessoa muito rapidamente. Então, o que eu digo que a IAI também trouxe...

Óbvio, várias vantagens para a nossa vida, facilidades para que pessoas que não são especialistas ou tinham antigamente muita dificuldade com tecnologia e passam a usar. A gente estava falando disso dos pais, dos avós, que hoje estão completamente antenados, nem que seja a avó do Zap. Então você tem realmente a facilidade disso, mas também tem uma outra camada.

que é a automação desses processos. Então hoje o criminoso cibernético, o criminoso da fraude digital, ele consegue com muita facilidade contextualizar a táxi, o que fica muito difícil de você identificar através de um elemento só. Ah, vou bloquear isso com anti-spam, vou bloquear isso com firewall, vou bloquear isso com antivírus, vou bloquear isso com uma checagem de QIC. Não, você tem que ter uma proteção em camadas. Você tem que ter uma proteção...

Exato, você tem sempre essas camadas sendo agregadas para que você tenha, realmente, evitar o bloqueio de um ataque em si sem gerar um falso positivo, ou seja, sem gerar o bloqueio de uma transação legítima. A conexão do cliente. Exato. O cliente legítimo. Exatamente, porque existe também esse falso positivo. Você bloquear uma transação que é legítima. Quem nunca passou, não esteve passado um cartão de crédito e não foi autorizado e estava com crédito?

tinha limite. Muito comum. É muito comum, então às vezes os sistemas falham. Mas esse tipo de falha tem que ser evitado ao máximo. Então existe uma relação, sim, inversamente proporcional entre segurança e facilidade de uso, existe, é fato. Ela nasce por design, ela nasce por criação dessas questões. Mas o nosso desafio aqui é fazer com que isso seja reduzido ao máximo, tornando a segurança desde a concepção do produto algo que seja criado não somente, ah, aconteceu uma fraude, vou criar agora um bloqueio. Não.

vamos pensar em todos os bloqueios antes de lançar o produto. Por quê? Porque assim a gente vai evitar 90% dos ataques. E isso está muito fácil hoje em dia de identificar, isso está muito fácil também de você consultar, tanto usando AI quanto usando base histórica. Então esse é o grande desafio, é de transformar esses criadores de produtos digitais em jornadas de venda, jornadas de atendimento ao cliente, jornadas, enfim, de diversos tipos de casos de uso.

em especialistas também em Secure by Design. Trazer a segurança, a antifraude, para dentro da concepção do produto antes do lançamento e não depois do lançamento.

Agora tem esse ponto, né, Marcelo? Tanto o ponto de você ter que conceber segurança desde a concepção do produto enquanto você está montando, mas também não é um trabalho que para, porque é um negócio que está em constante evolução também do lado dos fraudadores e da própria curva de evolução tecnológica.

O que eu leio do que vocês estão falando é que a cadeira da pessoa, especialmente uma organização maior de segurança, não é a mesma cadeira que a gente estava falando há 10 anos atrás. As preocupações e o job dessa pessoa também mudam e eu acho que vai se tornar cada vez mais complexo e mais estratégico para a organização. Estou certo?

Concordo 300%. Acho que esse conceito de Security by Design vai além do conceito de produto. Sempre se falou muito de Security by Design no desenvolvimento de um produto. Eu vou fazer um produto tecnológico, então eu vou investir todos os fluxos que eu preciso para poder garantir que aquilo não tem nenhuma brecha de segurança. Então eu estou desenvolvendo produto digital.

Quando você eleva isso à enésima potência, ou seja, em todas as jornadas que eu vendo um serviço, ou N casos de uso, vendo um serviço, vendo um produto, atendo o cliente, ou qualquer tipo de canal, você está falando de um canal digital.

Significa que não é só o produto de tecnologia, mas todos os processos digitais precisam ser pensados em relação à segurança. Então, em qualquer negócio, este perfil deste profissional é um... E aí a IA generativa ainda traz os elementos de potencialização de ataque, cada vez mais sofisticados. Esse é o tipo de profissional, inclusive já saíram várias reportagens sobre aquela questão da IA, qual é o emprego que a IA vai destruir e qual é o emprego que a IA não vai destruir.

Bom, eu aqui desafio pegar uma lista onde não esteja nessa lista cibersegurança. Sim. Num contexto maior. Ou seja, cibersegurança, fraude, análise de risco digital de uma forma amplificada. Então esses profissionais...

Nas empresas tem esta missão, de conseguir identificar quais são todos os componentes de tecnologia, entender as jornadas, estar desde o fluxo da concepção do business, do negócio, das suas jornadas digitais, quais são as camadas de tecnologia que eu coloco, como é que você analisa contexto, porque isso é importante, aonde que eu consigo calibrar a fricção, a experiência do cliente com segurança. Eu tenho que analisar o contexto, para cada contexto, em cada jornada, eu vou ter que saber.

quem é que está acessando, qual é o nível de risco que tem aquela pessoa ligado àquela jornada, qual o risco aquela jornada digital tem em relação ao meu negócio, de perda financeira, de entrega de produto, ou de exposição de marca, enfim. Existem N dimensões diferentes e a partir disso ir aplicando tecnologias.

E aí acho que só para trazer um elemento, e aí isso é bem legal, porque assim, ao trabalhar em inovação, a gente fica assim, extasiado quando vê esses booms. E eu acho que a gente está num ciclo. De fato, eu acredito que a generativa, ela é, que eu brinco, um modelo de mudança de business model, como foi a internet.

na década de 90, que criou um outro business model. Tudo que nós temos hoje vem daquela época. Os nossos business são construídos e entregues neste formato. E a generativa, de uma forma especial, está mudando o business model. Então, é a forma como a gente vai construir negócios, os negócios vão ser consumidos e entregues. Então, neste momento de disrupção, trabalhar em inovação é muito legal. Só que trabalhar em inovação...

em identidade, prevenção para a cibersegurança é super crítico porque a dinâmica tem muito jogo e você tem que estar ali correndo atrás e aí tem um conceito que eu acho que vale a gente explorar que é esse conceito de identidade digital reutilizável porque este é um conceito que já está disponível e ele ajuda muito nessa dinâmica de fricção identificação e essa calibração de proteção, segurança e experiência. E quem significa isso, Marcelo, na prática?

A gente falou bastante de identificação, de QIC, de modelos de validação. O que na prática a gente está falando, eu citei aqui, até brinquei, quem está acessando é o Pedro, é o Pedro Ivo, é o Marcelo Queiroz, quem está acessando aquele ambiente. O que a gente está fazendo neste momento, quando eu entro em um ambiente digital? Não sou eu fisicamente que estou ali, eu estou em determinado ambiente, em uma determinada interface, qualquer que seja ela, acessando um determinado ambiente.

O processo que está fazendo uma validação, ele não está vendo uma pessoa. Ele está fazendo uma identificação de informações daquele ser virtual, ou seja, daquele acesso digital que está acontecendo, e é ali que eu faço a validação. Realmente, é o Pedro? É o Pedro Ivo? É o Marcelo Queiroz? É alguém se passando pelo nome dele? É ele mesmo, mas ele tem esses acessos? É ele mesmo? É esse tipo de serviço que eu quero entregar para ele?

Então é aí que eu coloco as camadas. Quando eu faço isso, eu tenho que colocar vários fluxos de identificação e validação.

Perfeito. Então o que eu estou fazendo é uma identificação, uma autentificação. Imagine que eu transforme esse fluxo de identificação de fato totalmente reutilizável. Que eu não precise em cada ambiente digital que eu estou entrando, em cada serviço... Começar do zero... Começar um usuário, uma senha, iniciar com uma biometria, fazer uma validação do meu dispositivo. Eu consiga reaproveitar uma identificação que é digital, e por isso que a gente chama de identificação digital reutilizável, e que eu possa de fato reutilizá-la.

Para isso eu preciso ter o quê? Os dados de uma determinada pessoa, validados, disponibilizados, em um ambiente onde aquela pessoa possa utilizá-lo N vezes. Esse é o conceito de identidade digital reutilizável. Que é quase assim, se a gente olhar uma versão anterior disso, seria o single sign-on do Google, etc.

O conceito não vem de hoje, ele é um conceito que vem, tinha lá um Microsoft Passport lá na década de 1990, que era esse conceito, passa pelo Google, passa pelas autenticações via Google, Facebook, por exemplo, que já existiam, passa por conceitos mais modernos, como o próprio Gov.br. O Gov.br é uma identidade digital soberana brasileira.

Como existe Adar na Índia, existem outras. Como todo mundo comenta da Estônia, que é uma que, obviamente, lá tem um milhão de pessoas. Aqui temos pelo menos 100 milhões de população economicamente ativa. Então é outra dinâmica. Mas o conceito é o mesmo.

Só que eu tenho que extrapolar isso para o mercado privado. Como eu entrego esse tipo de serviço que garante experiência do cliente, porque aí não precisa digitar os dados, validar de novo. Reaproveitou. Vou dar um caso prático que ajuda a botar, aterrissar e todo mundo enxergar. Imagina que hoje você entra...

no e-commerce, e aí no Brasil você tem vários e-commerce, desde os chineses, vários brasileiros e outros americanos, vários e-commerce marketplaces diferentes. Em cada um deles você tem um cadastro. Ou pode ser que você nem fez um cadastro, porque é chato fazer um cadastro. Então em cada um deles você vai lá e digita seu usuário e senha, ou repete os seus dados.

todos novamente no final do carrinho de compra para que você não se dá a compra. Inclusive o cartão. Apesar de já ter conceito de cartão tokenizado, às vezes você quer escolher um cartão ou outro. Essa jornada, ela gera potencial fraude, ela gera fricção. Então, ela é inerente à necessidade de você colocar processos de segurança. Mas ela é uma experiência ruim.

Na hora que eu coloco identidade digital reutilizável, eu posso clicar num botão, literalmente no checkout, reaproveitar totalmente os seus dados, preencher todas as suas informações automaticamente, com segurança. Dados validados que são seus e que você deu autorização e consentimento para uso. E esses dados são preenchidos. Isso vale...

para se esse botão estiver implementado, que no caso da Serasa a gente não usa isso com o nome de Serasa Pass, se você coloca esse Serasa Pass como um botão,

O mesmo botão, várias jornadas diferentes, diferentes e-commerce, ele vai reaproveitar os seus dados com o seu consentimento. Isso não vai preencher nada. Ah, isso serve só para o e-commerce? Não. É a mesma identidade que você pode reaproveitar numa abertura de conta, numa solicitação de um cartão de crédito, numa solicitação de um empréstimo. Enfim, várias jornadas diferentes. Então, esse é o conceito de identidade digital reutilizada. Ele é um conceito, não um conceito novo, mas a implementação dele.

é nova em termos de escala. Depois a gente pode falar isso inclusive, tem um super lançamento governamental que é o ECA Digital. Exato. Que tem tudo a ver com esse tema. Que tem tudo a ver com esse tema.

Eu queria, se a gente puder pegar, eu como um leigo aqui, vocês como especialistas, como é que isso se materializa na prática, alguns dos conceitos que vocês falaram, como KYC, como é que isso funciona, para quem está nos ouvindo, como é que eles entendem isso aterrissando para uma solução, o que na prática é essa solução?

Fica à vontade. Vou comentar primeiro esse complemento. Fica à vontade. A forma simples, eu acho que todo mundo, a grande maioria já deve ter feito, você vai abrir uma conta. Isso serve para que é uma jornada? Para um empreendedor, por exemplo, que está montando o seu produto ou serviço digital, a venda de um produto ou serviço digital. Ele vai ter que fazer o cadastro do cliente dele.

ou esse mesmo empreendedor ou qualquer um que vai e faz uma abertura de conta. O que é o fluxo de Know Your Customer ou Know Your Client? Eu preciso validar aquela pessoa. Então normalmente isso acontece, começa com um componente que ao entrar no bem digital eu identifico o teu dispositivo. Esse dispositivo é do Marcelo Queiroz?

Vou identificar. Então, tem várias soluções que estão embedadas dentro do seu dispositivo que vão dar informação. Uma impressão digital. Uma impressão digital. Device fingerprint, o ID device. Então, tem a solução que fica ali. Identifiquei e faço associação. Essa é uma primeira. Depois, eu procuro sinais. Sinais de comportamento de uso, de geolocalização, de histórico de uso. Esse cara não navega nesse horário, nesse lugar. Esse é o padrão de uso. O padrão de uso.

Depois eu posso botar outra camada, posso botar uma camada de biometria. Então, vou entrar com biometrias. Hoje a mais conhecida, todo mundo tem ali o ama e odeia, né? De fazer a biometria, vai, estica, volta. Como é que se chama isso especificamente? Na verdade, a gente fala hoje de biometria, mas ela tem vários componentes. Então, quando você faz a biometria, ele está fazendo o conceito de face match. Então, ele está pegando a sua face, lendo uma base de faces e comparando.

Ao mesmo tempo com aquele que estica, usa, vira para o lado, o conceito, alguns são mais modernos, você não percebe, você deu uma piscada ali já captura, chama de liveness. Para quê? É uma pessoa viva? Ou é uma foto? É uma imagem? Então, liveness é para saber se é um fake ou uma pessoa de fato. Uma pessoa. E aí não consegue simular isso aí? Consegue simular. Aí você tem que ir aplicando. Aí tem que usar outros fatores. A questão toda é aquele assunto que a gente volta no início.

uma só, se a gente fosse aplicar só uma questão de segurança ou de prevenção, a gente com certeza não teria uma eficiência alta. Não vai, exato. De bloqueio, identificação perfeita. Da mesma forma que você também não tem uma panacea universal em termos de medicamento. Você não toma, ah, vou tomar só esse medicamento minha vida inteira e nunca vou ficar doente. Não existe isso.

É uma combinação de coisas, de estilo de vida, de alimentação, de complementos. Multifatorial. Totalmente, é complexo. E isso muda de acordo com o tempo. Da mesma forma que a nossa saúde também é a nossa forma de adaptar isso. Então, o nosso conhecimento vai ampliando. Então, o objetivo é sempre ter o máximo possível de identificadores com o mínimo possível de fricção. Veja bem, eu estou falando máximo ou mínimo. Eu não estou falando que é para eliminar, porque não tem como.

Então você tem que ter o máximo possível de checagens. O Marcelo falou algumas delas, tem várias outras que a gente poderia complementar aqui. Mas o mínimo possível de fricção por usuário. Sempre vai existir fricção? Sempre. Sempre vai existir checagens múltiplas? Sempre. Por quê? Porque qual é a combinação do match aí para dar certo?

É que do outro lado o fraudador nem sempre sabe qual é a fórmula mágica que o IC ou da nossa checagem de cada produto que é criado. E isso não é divulgado 100%, porque é segredo do negócio. Você pode ter outras checagens tão inovadoras e às vezes tão simples, mas é justamente nessas simplicidades que combinadas a inovação reside. E é ali que a gente faz o uso desse tipo de característica, desse tipo de técnica. Então o atacante, o criminoso, muitas vezes ele desconhece.

Então, qual é o jogo? É ter o máximo possível e justamente de predições, né, que já são conhecidas, como o Marcelo citou, e outras que não são conhecidas e nem são divulgadas, para que a gente consiga evitar que o criminoso consiga mapear essa pessoa de uma forma 100% ampla e complexa com a quantidade de check-outs que a gente executa hoje. Então, esse é um dos exemplos no caso de QIC, tá? E é invisível. Muitas vezes você usa check-outs invisíveis, ou seja, ela não tem a fricção, mas ela está rodando ali no background.

Então o cara não tem a menor ideia que ele tá sendo checado por exemplo não aconteceu um ataque agora tá você aqui foi só a desescronização do código do AirPlay não fique assustado do Macbook do João mas já tem um contexto aqui né eu João ele usa Macbook Pro aqui é um filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos filos

Brincadeira da parte aí, João. Mas a gente está só aqui comentando que o seguinte, esses dados, essas coletas de informações hoje, para o lado do atacante, ficou muito mais fácil. Teve uma palavrinha mágica que a gente citou no início, que foi o Marcelo que comentou, sobre orquestrar. A orquestração é muito vantajosa para todos nós que trabalhamos no lado de proteção, para nós que somos usuários comuns, mas também a orquestração trouxe para dentro desse jogo, dessa sopa de letrinhas aqui, um atacante que antes não tinha conhecimento técnico.

Por quê? Porque hoje o cara não precisa mais saber tanto de tecnologia, Pedro, para poder gerar uma taximenética. Ele precisa saber orquestrar as ferramentas de forma adequada. Porque da mesma forma que criou-se uma automação facilitando para nós profissionais também identificarmos contextualização, facilitou também...

essa orquestração de ferramentas para o cara conseguir ter informações que antes ele não conseguia. Combinando dados simples, como a gente falou aqui no início, de redes sociais. De onde você mora, de onde você está, qual é a sua característica. E hoje você escala com AI. Exatamente. Esse é o tempo todo.

Perceba, a escala é o grande X da questão. É botar alguém lá clicando e você ter cenários. Então, o que vocês estão dizendo é que a segurança não é algo binário, mas é algo probabilístico que eu vou reduzindo a probabilidade na medida que eu vou colocando esses elementos aí na equação.

E a mágica é essa orquestração. Você consegue orquestrar diferentes componentes e só gerar fricção se necessário. Só para dar um exemplo, nesse fluxo que eu falei, se é o Pedro, no mesmo dispositivo, que ele usa há cinco anos, cinco anos é muito para um celular, então usa há um ano. Eu fico, eu sou pão duro.

Eu uso há dois anos. No mesmo lugar que eles sempre usam, no mesmo horário. Eu preciso botar todas as camadas de segurança? Exato. Perfeito. Talvez não precise. Talvez eu não precise nem pedir a biometria facial.

Ou seja, a ordem que você analisa os fatores vai eliminar os próximos... E aí a palavra mágica, orquestração, é fundamental. Então você conseguiu... Quem está pilotando segurança, análise de risco, de fraude digital em qualquer empresa, precisa ter esse jogo de orquestração, analisar contexto e ir aplicando. Por quê? Fraude zero, golpe zero, não existe.

Não existe. Isso que é realmente a vida. Se é golpe zero, é provavelmente um negócio quase zero. Negócio que não tem volume. Então, o que você tem que fazer é o mínimo de ataques, o mínimo de fraude e a maximização de resultado do teu negócio. Ou seja, ter o máximo positivo. A gente chegou aqui num tema que é o seguinte.

A questão mais hoje não é só velocidade. Óbvio que a velocidade é importante, mas você tem que ter assertividade, porque é um organismo vivo, como você comentou. Não necessariamente a fraude que está acontecendo hoje vai ser a que vai ser top 10 amanhã. Então, essas regras de negócio, muitas vezes, elas têm que se alterando em termos de prioridade, porque você não vai colocar para checar um tipo de fraude que hoje é muito fácil de execução e pouco uso pelo criminoso. Logo de primeira análise, você joga por último.

Mas isso não quer dizer que vai ficar naquele status para sempre. Então, às vezes, fraudes antigas voltam a acontecer com maior frequência. Da mesma forma como, na vida, às vezes, alguns vírus antigos voltam a ter protagonismo na nossa vida em determinado momento. Então, a gente tem que saber lidar com esse tipo de situação que é dinâmica.

E ao mesmo tempo também, um grande diferencial que eu vejo em termos do comércio hoje, da forma como as pessoas realizam transações, é que antigamente a gente tinha muito essa questão de identificar a transação um a um. A gente tinha como fazer essa percepção de que aquela empresa A está fazendo um negócio com aquela empresa B. Mas hoje, graças a essas outras interconexões que acontecem via API, que foi algo que a gente citou no início, fica muito difícil você conseguir ter essa identidade de uma forma muito rápida.

E ao mesmo tempo também para determinadas transações, compra-se o risco. Compra-se o risco de você fazer. Estou disposto a autorizar, já acontece isso demais em empresas de indústria de cartão de crédito, por exemplo. Estou disposto a autorizar essa transação para esse centro de fraude. Por quê? Porque o valor é baixo. Então depois para a gente tentar reaver é melhor. E para transações que têm uma complexidade um pouco maior, valores mais altos ou impacto mais alto, seja ele de financeiro, seja ele de vida, seja ele de uma decisão em termos de uma automação médica, uma cirurgia via robô, você tem que ter uma cautela muito maior.

Então, ou seja, é uma relação muito ingrata, mas é uma relação que realmente é real entre velocidade, contextualização e assistividade. Perfeito. Beleza? Eu queria só fazer uma pergunta aqui para vocês, porque se eu pego uma grande corporação, eles têm recursos, tempo, energia, tem um cara super especializado lá. Mas quando eu pego uma startup, né, Pedro? Muitas vezes o cara mal está conseguindo lá operar no dia a dia.

eu tô entendendo vou fazer a minha aposta aqui vocês me dão nos dedos aqui se eu tiver errado é eu tô entendendo que o cara ele vai ter melhores práticas ali que ele vai fazer dentro de casa mas ele vai muitas vezes trabalhar por exemplo tô fazendo processando pagamento

a stripe ou se ela pegando um player internacional é stripe já tem várias camadas aqui de segurança e eu tô empurrando para stripe parte desse stack aqui aí eu uso a peido sei lá outro cara

E o meu trabalho aqui é garantir que a minha aplicação vai usar corretamente todos esses caras para garantir a prevenção. É por aí? Ele tem que se preocupar com isso. Então, é aquele conceito que eu falei do Security by Design, não só na concepção do produto, mas no desenho do meu produto, na codificação, eu estou fazendo isso. Mas, além disso, na entrega do serviço, aonde eu preciso incluir segurança? E hoje esse custo também não é...

A gente faz a comparação, é uma empresa grande e ela investe milhões, investe mesmo, para a segurança. Mas mesmo uma startup, ela precisa se preocupar, por exemplo, no fluxo de pagamento, isso é essencial, porque ali o negócio dela pode acabar naquele momento. Então ter uma solução, por exemplo, de antifraude para fluxos de pagamento é essencial, a gente deveria nascer pensando nisso.

a Stripe ou outros gateways de pagamento, quer seja o cross border ou do Brasil, tem isso implementado? Tem, dependendo do volume pode ser que ele quer contratar uma solução especializada que também não tem um custo estratosférico, mas ele tem que ter isso. Geralmente o billing é por uso dessas soluções, não é uma mensalidade, o cara teve duas transações ele vai cobrar. Vai pagar proporcional aquilo e aí obviamente isso vai estar embutido ali no custo do negócio dele.

Mas eu queria introduzir um ponto que é importante. Até agora, a gente falou bastante da IA generativa do lado da potencialização do ataque, da sofisticação, da escala que isso gera. Mas eu citei sobre o elemento do... Na minha visão, a gente está fazendo uma mudança de business model da...

Da economia. Concordo. E aqui a gente tem um elemento que é especial para fraude, golpes, fica evidente para mim. A gente comentou bastante de KYC. Então KYC, Know Your Customer, eu estou fazendo a identificação do quê? De uma pessoa.

já sabia onde você queria chegar a gente tem agora, e isso é fato isso já roda na minha empresa, por exemplo, na empresa que eu trabalho na SpaceX Experience, a gente já está usando o AI direto, que é o conceito que todo mundo fala hoje de AI Agents então você tem um agente de inteligência artificial que é, entre aspas, um programa muito mais sofisticado que somente um programa, onde ele executa processos aí eu vou fazer uma comparação imagina quando eu mudo isso um um

E a gente falou de e-commerce. Aí eu citei, eu estou entrando, então Pedro, você entrou lá e fez uma compra. Imagina quando não é mais o Pedro que está fazendo a compra. É o meu agente. É o seu agente autorizado por você para fazer um determinado tipo de compra em um determinado contexto. E é este agente que está...

ou rodando na interface que já existe hoje, ou entrando numa interface conversacional, que pode ser o WhatsApp, pode ser uma interface de LLM global. Ou indo direto na API.

Ou a API sendo chamada por estas agências, por um agente dela que é chamado por um outro agente, que é o seu agente. Neste contexto, o que a gente tem que passar a identificar e autenticar? Não é mais só a pessoa. Tem que identificar a pessoa. Se a pessoa autorizou o agente...

O que ela autorizou para o agente? Esse agente está autorizado? Ele está rodando nesse ambiente? Ele está rodando nesse ambiente há muito tempo. Será que efetivamente ele está aqui para fazer sem compras? Será que ele autorizou fazer sem compras? Porque aqui está aparecendo que ele autorizou comprar camisas da cor azul com preço até 200 reais.

mas fazendo 200 compras... Está muito estranho. Só que não é uma pessoa comprando, é um agente. Então tem este elemento agora, que é como eu aplico esses componentes todos de análise de fraude, de risco, de segurança, para este novo mundo. É a próxima fronteira. É a próxima fronteira.

A questão do e-commerce é extremamente complexa, porque além de aspectos tecnológicos, tem aspectos legais, jurídicos, que têm que ser envolvidos aí. A AI vai responder? A pessoa que delegou vai responder? E se essa não foi uma pessoa? E se for um grupo? E se foram vários desenvolvedores representando uma empresa? Quem é que, no final das contas, responde legalmente? Então, são coisas complexas que já estão acontecendo.

já está tendo essa dificuldade em termos de tratativa. Eu vejo muitas vezes, como a gente se situa aí da questão do década digital, tem sempre o lado bom e o lado ruim dessas coisas, porque você abrir também dado demais é uma coisa complicada. Tem a questão da privacidade, tem a questão da essência de cada ser humano, que é ter sua privacidade, sua identidade mantida sob sigilo, é um direito constitucional.

Mas enfim, tudo isso é uma grande complexidade para ser resolvida e acredito que a gente vai conseguir. Mas o cara hoje que é da startup, vou só botando um pouquinho o tema, que hoje se preocupa muito. Cara, eu não tenho grana para investir. Esse é o grande problema. Esses caras estão falando aí de coisas que, pô, isso aí para mim é inacessível. Na verdade, não é, Pedro.

Não é inacessível, é acessível. Tem muitas coisas hoje que já são gratuitas, que já estão disponibilizadas nas técnicas tecnológicas hoje que você desenvolve, seja qual for a técnica que você tenha. Tem funcionalidades vinculadas a código seguro. Você pode, desde o início, conceber produtos digitais ou processos de uma forma segura. Sim, você não vai desenvolver o teu...

adquirente do zero, você já tem adquirentes online para poder fazer transações, receber de cliente, pagar fornecedor, etc. Você deve sim contratá-los, eles têm níveis altíssimos de segurança, mas você tem que se preocupar na tua interação com esse agente, ou com essa empresa, ou com esse SaaS. Então, muitas vezes eu vejo startups que deixam códigos transacionando em texto claro com senhas abertas. Então, isso é um grande problema.

Às vezes, não é o clássico. Ou seja, práticas simples que já podem... Exato, ou seja, não é o clássico. Óbvio que não é a mesma coisa que pegar um post-it e você vê a senha, que geralmente a gente vê em algumas empresas ainda acontecer. Mas é o equivalente digital. Perfeito. O cara não coloca no post-it do papel, mas ele escreve no don'tipede, deixa lá salvo no Linux dele e acha que ninguém está vindo porque ele está na tela preta.

Ou seja, estou aqui numa telinha preta e ninguém vai achar. E é fácil. Então tem que saber usar a cofre de senhas, tem que manter essa interação e a troca dessas senhas com uma política constante. O que é que custa trocar uma senha? Me diga. Não custa milhões. E hoje não dá nem tanto trabalho se você automatizar. E se você é um bom desenvolvedor, você sabe do que eu estou falando.

Então, ou seja, dá para startups, sim, desde o início, criarem produtos de uma forma mais segura. E digo mais, isso afeta o teu churn, isso afeta a tua retenção, isso afeta a tua LTV, isso afeta a tua valuation, cara. Então, é muito importante que você já veja a questão de segurança desde o início. Se você está começando agora com a tua primeira startup, se você está no início, faça agora, porque é mais simples e mais barato, cara.

Porque você tentar fazer muito tempo depois vai te custar muito mais, e principalmente do teu bolso. É isso aí. Exato.

Falando de startup, Marcelo, tem uma coisa que você está super empolgado que a gente precisa falar. E eu acho que uma coisa que... Olha o que a gente falou até agora. Quanta oportunidade existe nesse mercado para empreendedores? O Pedro nem se fala. O Pedro já é suspeito aqui porque ele aposta a carreira dele inteira nesse vertical. Mas tem muita oportunidade. Eu sempre gosto de falar, poxa, a gente está vendo várias empresas que valem mais de um trilhão.

no mercado. Mas quanta empresa de segurança hoje vale mais do que um trilhão? A gente vai ter uma era, visto a complexidade, em que vão surgir empresas que vão valer cada vez mais. E a gente tem muito empreendedor aqui nesse mercado, assim como o Pedro, criando soluções. E eu queria falar um pouquinho desse programa que o Serasa está lançando. Eu já destaco aqui que o Pedro já participou de vários programas de inovação aberta e o cara vai lá e trabalha de graça para a empresa.

Isso não é... Você tem... Você remunera o empreendedor. Então, comenta aí, Marcelo. Olha que legal. Você é bom, hein? Grande almoçado. Falei? Acho que a gente... Eu estou bem feliz mesmo. A gente está lançando, neste ano, o programa de inovação aberta da Serasa Experience com foco, que a gente chama de IGNF, então, em soluções de identidade, prevenção a fraude e cibersegurança. A gente falou bastante de vários desafios aqui, né?

Então, que a gente está num... Talvez a gente está num momento de desafio e de disrupção do mercado. Então, vamos lá.

E a gente, trabalhar inovação significa entender que você tem que estar colaborando, conectando o tempo inteiro. Então a gente está lançando esse programa focado em desafios específicos e a gente acabou permeando vários desses desafios aqui. Identidade digital.

reutilizável, conceito de identidade, Agent Commerce, que a gente comentou aqui. A gente falou um pouco de biometria facial, e a gente já falou que aqui a biometria facial talvez ela é fácil ser copiada sintético. Então um dos desafios é novas biometrias. Que outras biometrias eu posso incorporar? Que legal.

A gente comentou, eu falei aqui bastante de mercado, a gente falou que tudo está digital. Tem segmentos que estão se digitalizando, mas tem muitos desafios. Então, por exemplo, soluções especializadas para alguns segmentos como saúde. É um segmento que está aumentando a digitalização. Inclusive está rodando aí no mercado um golpe, né? Que agora é novo, que o cara vai lá, fala para você pagar para poder pegar um... Entregar um exame. Sim.

Olha só como ele está inserido e cada vez estará mais. E cibersegurança também como um desafio, porque cibersegurança, como a gente falou, tem que ser by design e ela tem que estar envolvida em todos os fluxos. A gente entende agora que Secure by design, ela é muito mais do que só o produto em todas as jornadas. Então, a gente está lançando este modelo. Nesse modelo, a ideia é que a gente selecione startups para esses cinco grandes macros desafios ou que possam colaborar nesses macros desafios.

A ideia é que de fato a gente contrate ao selecionar, que desenvolva e a gente use esses serviços em implementação ou de cocriação de produtos conosco, ou utilização desses serviços em jornadas que nós já temos. E a gente tem ali uma cereja do bolo, que a ideia obviamente é depender do grau de sofisticação, de aderência e de evolução que a gente consiga fazer com essas startups, a gente tem um cheque.

E aí a gente separou ali um valor de até 50 milhões de reais para a gente poder investir nas startups que a gente acharem, que nesse fluxo a gente conseguiu chegar no estágio de cocriação, desenvolvimento de produtos específicos que a gente possa alavancar no mercado. Estou imaginando investir em quantas startups?

A gente quer selecionar pelo menos duas startups para cada um desses desafios, então seria ali pelo menos dez startups, mas ali o valor vai depender do... A gente não tem o número fechado. Tem o número do kit, do que é o produto do potencial de mercado. E aí, esse é um dos grandes pontos. A gente falou bastante disso aqui. Eu acho que a gente tem aqui um... A gente está no momento de o Céu de Meet. É a hora, é a hora. Pode ser que surja algo.

que está trabalhando, por exemplo, o agent e-commerce que a gente falou, está nascendo agora. De verdade, está nascendo agora. Quantas soluções tem de agent e-commerce hoje no mercado? Você vai ver uma ou outra? Daqui a pouco isso vai explodir. Então, qual é o potencial disso? Depende do que a gente vai conseguir construir juntos. Estou querendo investir até com a Marcela aqui, hein, cara? Vamos juntos.

As inscrições ficam abertas até o dia 24 de maio. Então, para quem tem interesse, a gente vai colocar aqui o link nas notas do episódio. E para a gente encerrar aqui, eu queria pedir para cada um de vocês, primeiro, dar uma dica para quem está nos ouvindo de segurança aqui, que a pessoa pode fazer hoje, que a pessoa pode... E como o pessoal entra em contato com vocês, quem gostou, quem quer saber mais aí. Então, começa com você aí, Marcelo.

Tá bom. Bom, dica de segurança, eu vou dar duas dicas. Uma para a pessoa física e outra para o empreendedor ou para quem está ali cuidando de segurança do outro lado da cadeira ali do balcão, tendo que ajudar as empresas. Do lado das pessoas, acho que é a dica básica, mas as pessoas ainda entram nisso. Não clicar em...

Promoção, link que está chegando. Esse é o principal ponto de falha, porque você vai entregar os seus dados. Ele vai capturar a informação do seu dispositivo. Você vai preencher dados. E a partir desses dados, como a gente falou...

esses dados vão ser utilizados. E normalmente é quando você está com pressa, é uma super promoção, é uma facilidade fora do normal e aí você vai lá e... Resista! Então, prestar atenção. Então, para a pessoa física é essa. Acho que é o principal. Acho que essa questão de trocar sim já deveria ser habitual, mas esse outro está no nosso cotidiano. Então, essa preocupação com essas interfaces, com essas interações digitais.

em clicar em um link que você não conhece, entrar num ambiente que você não conhece. Do lado das empresas, das startups, tem muita solução no mercado. Algumas gratuitas, outras que você pode contratar. Não são preços absurdos.

Escolham soluções importantes. Tenha essa visão de orquestração. Hoje existem muitas tecnologias diferentes, componentes para camadas diferentes. Escolha esses componentes e essas camadas e aplique eles nessa visão de orquestração por contexto de risco. Para garantir que você tenha segurança.

com melhor jornada e experiência do cliente. De preferência na época que você está desenvolvendo o seu produto, né? Pensando desde o início, desde a concepção do produto e das jornadas digitais que o seu produto vai entregar de serviço. E para me encontrar, eu sou um pouco avesso às redes sociais, então eu estou em todas as redes sociais. Segurança, né? Imagina. Um pouco preocupado com isso, mas no LinkedIn, se me procurarem lá, Marcelo Queiroz, Serasa Xperia, eu vou estar lá, conecta comigo. Total prazer de falar, se for uma startup, além de linkar lá.

Vamos trocar que a gente tem muito interesse em cocriar no mercado. Obrigado, Marcelo. Obrigado, Marcelo. E você, Pedro? Primeiro, eu tenho que agradecer ao Marcelo, que a dica que ele deu inicial é praticamente a missão do que a gente faz no dia a dia. Essa questão de links, comportamento humano, é sempre indicado. A gente fala de tecnologia, a gente fala de tanta sopa de letrinha, a gente fala de tanta coisa complexa aqui, mas no final das contas, né, Marcelo? O que faz diferença é o fator humano, são as pessoas.

sejam em qualquer função que elas estejam. E, assim, eu diria que, complementando a questão do empreendedor, mas no aspecto de criação, tenta sempre pensar no seguinte, você tem que criar a solução, você tem que criar um produto que torne economicamente inviável para outro ser criminoso imaginar que, ao atacar a tua empresa, ao atacar o teu produto, ao atacar o teu processo, vai custar muito caro para ele. E ele vai deixar você de lado e vai para outro, que é mais fácil. Por que isso que criminoso faz? Análise de risco.

Ou você acha que ele vai atacar o carro blindado, que está com dois seguranças, que está com o vidro fechado. Não, ele vai buscar a vítima mais fraca. Então tenta sempre sair dessa mesmice, de desenvolver produto. Vamos desenvolver produto, vamos lá, vamos lançar rápido e tal. Beleza, mas...

foca um pouco em segurança também, não esquece, coloca desde o início, fica muito mais barato a conta. Quanto mais cedo, melhor. Mais cedo, melhor, mais simples de tratar e muito menos impactante para o teu negócio. Por quê? Eu já vi muita startup bonita, linda, maravilhosa, que chegou num tipo de negociação.

é bem alta de séries você passou por isso vai ver essas vezes e e não passou no processo teve que se explicar ajoelhar no milho dizer o que aconteceu com aquele ataque porque não tem como esconder pessoal é possível receber é possível sim detectar mesmo que não saia na mídia geral ataques que vocês sofreram porque tem plataformas que

hoje estão aí gravando histórico de vazamento de informação e outros tipos de ataques, a de eterno. Então não dá para você hoje na área da transparência, na área do online, esconder esse tipo de situação. Sejam transparentes, lidem com a situação logo desde o início, com maturidade e tentem pensar em produtos, seja de segurança ou não, mas puxando lá do nosso sardinha, do nosso mercado de antifraude e segurança, que torne a vida do criminoso não fácil, difícil economicamente dele conseguir atacar o teu produto e o teu produto evita esse tipo de situação.

Então acho que aí é a melhor dica que eu posso dar em termos de concepção de produto.

Para te achar, Pedro. Muito simples, Pedro Ivo, Fichex, redes sociais, todas. Aí a gente tem PH, a gente está em todas as redes sociais, então o que vocês imaginarem, desde o TikTok, que a gente usa bastante, temos aí o LinkedIn, temos talvez o Instagram, enfim, YouTube, YouTube Shorts, temos aí o Fichex Talks também, que é um podcast bem legal para tratar sobre o tema. A gente tem vários convidados especificamente da área de cybersecurity, fica aqui o convite depois.

O Pedro Weingarten, o Marcelo Queiroz, a gente também participa do FicheX Talk, se tocava uma ideia lá. E o FicheX Insider, onde a gente fala de coisas mais técnicas do produto e da nossa área de segurança cibernética. É isso. Obrigado, Pedro. Valeu. Obrigado, Marcelo. Obrigado, Pedro. Obrigado você que nos ouviu. Espero que você tenha tirado insights, que você tenha curtido e aprendido como eu nesse papo aqui, super legal.

Se você gostou, tirou algum insight que você queira compartilhar, por favor, compartilhe e marque arroba Ace Ventures nas redes sociais. A gente agradece o seu follow e o seu compartilhamento e até a próxima.

Anunciantes3

PhishX

external

Serasa Experian

Programa de Inovação Aberta
external

State

Hub de criação de conteúdo, coworking, estúdio
external