Um clique inocente, uma compra despretensiosa, um desconto imperdível. Tudo parece seguro, até que a fatura chega com um valor que você não reconhece. Nos bastidores do e-commerce, enquanto consumidores aproveitam a comodidade do digital, uma guerra invisível é travada todos os dias contra golpes cada vez mais sofisticados.
Em 2024, mais da metade dos brasileiros já foi vítima de algum tipo de fraude, segundo a Serasa Experian. E o impacto é real: 54,2% relataram prejuízo financeiro, muitos deles sem nem perceber o momento do golpe. Se antes as fraudes vinham em massa e de forma grosseira, hoje elas são cirúrgicas, silenciosas e caras. O ticket médio dos golpes cresceu 30% e já passa de R$ 1.300 por pedido.
O crime evoluiu, e a segurança digital precisa correr atrás. O comércio eletrônico é o novo playground dos cibercriminosos. Dados da Febraban mostram que os prejuízos financeiros com fraudes digitais no Brasil chegaram a R$ 10,1 bilhões em 2024, 17% a mais do que no ano anterior. “O ambiente digital, especialmente para o e-commerce, virou um campo minado”, alerta Wagner Elias, CEO da Conviso, especializada em segurança de aplicações.
E o inimigo não dorme. As ameaças são variadas, de ataques de phishing (que representam 15% dos casos) ao uso de credenciais roubadas (16%), passando por insiders maliciosos, estes, aliás, com custo médio por violação de US$ 4,99 milhões, o mais alto da lista.
Elias conta que umas das técnicas em alta são o skimming digital e o account takeover (ATO). No skimming, o criminoso injeta códigos maliciosos diretamente na página de pagamento. Já no ATO, o golpe é mais frio e metódico: com credenciais vazadas, acessa contas reais, troca senhas e faz compras. Segundo a empresa AllowMe, 72% das fraudes no varejo digital vêm desses acessos indevidos.
Os alvos preferidos? Games, celulares, informática e eletrônicos, produtos com alta liquidez no mercado informal e fácil revenda. Já os meios de pagamento prediletos dos golpistas continuam sendo os cartões de crédito. A razão é simples: compra rápida, pouca verificação, e só se descobre quando a fatura chega.
O COMBATE
E o que pode ser feito? A resposta está na tecnologia e, sobretudo, no planejamento de segurança desde o início do desenvolvimento das aplicações. “A resposta está na tecnologia, sim, mas, acima de tudo, na forma como ela é implementada. Deixar para pensar em segurança só depois que o sistema está rodando é um erro fatal. É preciso incluir práticas como o PCI DSS desde o início do desenvolvimento e investir em ferramentas como WAFs para proteger os sites contra ataques em tempo real”, afirma Wagner Elias.
É aí que entram ferramentas como os WAFs (Web Application Firewalls), que monitoram o tráfego em tempo real, bloqueiam padrões suspeitos e protegem os sites de ataques como injeção de código e acessos não autorizados. O uso de IA (Inteligência Artificial) também tem sido importante para antecipar comportamentos maliciosos, reduzindo em até US$ 2,2 milhões os custos com violações, segundo o estudo “Cost of a Data Breach 2024”, da IBM.
Outro ponto essencial é o uso de práticas compatíveis com o PCI DSS (Payment Card Industry Data Security Standard), um conjunto de padrões internacionais que ajudam a proteger transações com cartão. “Empresas que operam com dados de pagamento precisam, por obrigação e por inteligência de negócio, seguir o PCI à risca. É isso que separa um sistema seguro de uma porta aberta para o golpe”, completa Elias.
Mesmo com o avanço da tecnologia, o tempo médio para conter uma violação ainda é longo: 258 dias. No caso de credenciais roubadas, pode chegar a 292 dias, quase um ano. Parte da culpa é a escassez de profissionais especializados, que aumentou 26,2% no último ano e elevou o custo das violações em US$ 1,76 milhão.
Contudo, o especialista alerta: quem aposta em automação, segurança desde a base e simulações de ataques — os chamados testes de penetração — tem mais chances de sair ileso ou, ao menos, reduzir os danos.
Relatórios das principais autoridades em segurança cibernética comprovam a eficácia das proteções PCI DSS e WAF: conforme o DBIR 2024 da Verizon, a conformidade com o padrão PCI DSS reduz em 52% os incidentes de segurança, enquanto os WAFs bloqueiam até 80% dos ataques a aplicações web. Já o estudo Cost of a Data Breach 2023 da IBM revela que empresas com WAFs economizam US$ 1,4 milhão por violação, e o PCI DSS acelera em 54% o tempo de resposta a breaches. Quando combinadas, essas soluções podem diminuir os prejuízos financeiros em até 75%, segundo o Ponemon Institute (2024).
“Assim, empresas que seguem o padrão PCI DSS têm metade dos problemas com vazamentos de dados, e os Firewalls para aplicações web (WAFs) impedem 8 em cada 10 ataques hackers. Quem usa as duas tecnologias juntas limita os prejuízos financeiros a apenas 25% do valor normalmente esperado após invasões”, explica.
Nos EUA, uma violação custa, em média, US$ 9,36 milhões, o mais alto do mundo pelo 14º ano seguido. Por lá, 63% das empresas já admitem que vão repassar esse custo aos clientes, o que mostra que investir em segurança não é só precaução: é uma questão de competitividade e imagem. Elias finaliza: “Em tempos de e-commerce aquecido e dados valiosos, ignorar a segurança digital é deixar dinheiro na mesa, comprometer receita e reputação ao mesmo tempo. Além de também perder a confiança do cliente e a credibilidade da marca”
