Relatório de Fraude 2026: A crise de identidade da fraude

A crise de identidade da fraude diz respeito tanto a quem tenta combatê-la quanto a quem a comete. A fraude sempre esteve presente no comércio; o que mudou é onde ela se oculta e como se apresenta.

Na maior parte da última década, o modelo operacional das equipes de risco era relativamente simples: sinalizar o que parecia desconhecido. Novos dispositivos, locais incomuns, credenciais que não coincidem. Essa lógica ainda vale para aquilo que os sistemas foram projetados para bloquear, mas as modalidades de fraude que mais crescem hoje muitas vezes não disparam esses sinais – vêm de contas verificadas, dispositivos reconhecidos e comportamentos que são aprovados em todos os pontos de verificação.

Na Adyen, processamos pagamentos nos maiores ambientes de comércio do mundo. O que vemos nesses dados é uma mudança na forma como o risco se comporta. Ele se tornou automatizado, iterativo e, em muitos casos, indistinguível da atividade legítima do cliente até que você analise o momento e o contexto, em vez de apenas a transação à sua frente.

As equipes de risco agora lidam com um tipo diferente de problema, no qual tomar a decisão errada tem um impacto comercial imediato. É um problema que não pode ser resolvido apenas com controles mais rígidos, até porque muitas vezes os próprios controles estão sendo explorados.

Precisamos de uma abordagem diferente para a tomada de decisão, que reflita como identidade e risco realmente se comportam no mundo real. Em vez de tratar a identidade como algo verificado uma vez e depois considerado imutável, devemos enxergá-la como um sinal contínuo que evolui com o tempo. Da mesma forma, precisamos reconhecer que as recusas indevidas não são apenas um gargalo operacional, mas um custo material com consequências que devem ser levadas tão a sério quanto as perdas por fraude.

Este relatório examina onde a fraude se tornou mais complexa, por que as defesas convencionais falham em acompanhar esse ritmo e o que as empresas líderes fazem de diferente. A segunda parte detalha como essa abordagem se traduz em infraestrutura e estratégia.

Fraude não é novidade. Mas ela deixou de ser um evento visível apenas em um único instante.

Hoje, os comportamentos que impulsionam a fraude muitas vezes parecem legítimos no momento da transação, como um cliente familiar em um dispositivo reconhecido. O padrão pode só se tornar claro ao longo do tempo, através de diferentes contas e interações.

A fraude agora se adapta e opera em um ciclo contínuo, onde as táticas são aplicadas e refinadas em tempo real. O que funciona é repetido e o que não funciona é rapidamente descartado.

Em vez de testar uma única abordagem, os fraudadores podem executar milhares de variações simultaneamente — ajustando detalhes de identidade, métodos de pagamento, velocidade no checkout ou valores de transação para explorar o que consegue passar.

A automação permite que esses ataques rodem de forma contínua, aplicando o que funciona e otimizando em tempo real. Cada resultado se torna um feedback, com autorizações, recusas e atividades posteriores moldando a próxima tentativa até que ela consiga passar por cima dos controles de fraude de uma empresa.

A automação e a IA não criam esses padrões sozinhos. Elas os tornam mais rápidos, consistentes e escaláveis.

Ao mesmo tempo, a automação e a IA estão mudando a forma como a fraude se comporta. A IA permite que fraudadores reforcem identidades sintéticas por meio de deepfakes, documentos falsificados e outras táticas projetadas para burlar as verificações padrão.

Como esses ataques são tão fáceis de automatizar e escalar, os atores fraudulentos não visam mais apenas as maiores plataformas. Empresas de todos os tamanhos, em todos os setores e em todas as regiões podem se ver expostas aos mesmos playbooks, executados com a mesma velocidade e precisão. Os fraudadores não operam dentro de limites de fidelidade à marca ou de concorrência; se descobrem uma brecha em uma empresa, essa mesma vulnerabilidade é rapidamente testada e explorada em outros negócios.

Na prática, isso significa que o mesmo padrão pode aparecer em vários ambientes ao mesmo tempo. O script que testa números de cartão em uma plataforma é reaproveitado para outra. O mesmo método de abuso de promoções roda em dezenas de marcas. Os dados de identificação que foram aceitos uma vez são reutilizados até deixarem de funcionar. Pode parecer familiar, mas a diferença é a velocidade e a adaptabilidade — a rapidez com que as táticas podem ser recicladas.

Como esses padrões abrangem empresas, canais e setores, as empresas com acesso a conjuntos de dados maiores e de alta qualidade estão mais bem posicionadas para identificar e prevenir a fraude de forma proativa.

Em vez de estar concentrada apenas em um pequeno número de transações de alto valor, a fraude expandiu-se para incluir atividades de menor valor, já que agora é mais facilmente escalada.

Isso altera as exigências impostas aos sistemas de fraude. Controles construídos para eventos isolados de alto risco agora experimentam um fluxo contínuo de atividade, aumentando tanto o volume de decisões quanto a ambiguidade entre o comportamento legítimo e o abusivo.

O impacto vai além das perdas por fraude. Ele se manifesta no aumento dos custos de revisão manual, no crescimento das recusas indevidas (false declines) e em oportunidades de receita perdidas.

A fraude não está mais limitada apenas a usuários desconhecidos. Agora, ela opera por meio de identidades e interações que parecem legítimas.

Durante anos, a detecção de fraude focou em um conjunto restrito de perguntas, entre elas: "Esta é uma pessoa real e ela é quem diz ser?". Essas perguntas ainda são importantes, mas não são mais suficientes.

O desafio não é mais apenas a verificação estática de identidade em um único momento, mas a compreensão do comportamento conforme ele se desenrola ao longo do ciclo de vida do cliente.

A mesma conta ou dispositivo pode representar um cliente legítimo em um momento e uma conduta abusiva no próximo. Por exemplo: uma conta nova vinculada a um cliente real, mas criada apenas para acessar uma nova promoção, ou uma compra legítima devolvida posteriormente sob falsos pretextos.

Essa mudança se reflete nos tipos de fraude que as empresas enfrentam atualmente.

A autofraude (first-party fraud), em que os clientes fazem compras legítimas e depois abrem uma contestação indevida junto ao banco — alegando não recebimento, defeitos ou uso não autorizado quando nada disso aconteceu — é agora uma das formas mais comuns de abuso, relatada por 44,3% das empresas em nossa pesquisa.

Contas falsas e abuso de perfis vêm logo atrás, afetando 42,2% das empresas — usadas para usufruir de promoções repetidamente, distribuir atividades ou acessar ofertas destinadas a segmentos específicos.

O abuso de políticas e promoções não fica muito atrás, com 39,8%. Isso inclui práticas como devoluções em série, wardrobing (comprar para usar uma vez e devolver), ciclos de testes gratuitos, exploração de programas de fidelidade e empilhamento de descontos além do limite pretendido pelo lojista.

A autofraude se tornou mainstream e cada tipo de abuso se origina de perfis legítimos, não da invasão deles. Para o sistema, esses comportamentos muitas vezes parecem válidos. Eles passam por verificações projetadas para identificar acessos não autorizados ou detalhes de pagamento fraudulentos.

O desafio não é apenas identificar esses usuários. É evitar que o abuso das políticas aconteça repetidamente.

Historicamente, a fraude ia para onde as defesas eram mais fracas — por exemplo, passando da exploração de cartões físicos nos dias da tarja magnética para o ecommerce. Agora, ela está voltando com força crescente para as compras presenciais. À medida que as proteções online amadureceram, os fraudadores estão se adaptando e explorando lacunas no varejo físico, onde menos sinais e controles menos maduros tornam o abuso mais difícil de detectar.

Esse padrão ajuda a explicar por que problemas como o abuso de reembolsos em pontos de venda físicos estão aparecendo cada vez mais dentro de um cenário mais amplo de redistribuição do risco.

Nem todo abuso de política começa com intenção maliciosa. Em muitos casos, começa com incentivos.

Um desconto para novos clientes incentiva múltiplos cadastros. Uma política de devolução generosa reduz o custo do uso indevido. Testes gratuitos tornam-se recorrentes, em vez de um benefício único. Com o tempo, a atividade que antes era a exceção torna-se usual.

Comunidades online compartilham abertamente maneiras de "vencer o sistema", desde como maximizar promoções até como conseguir a aprovação de reembolsos. O que antes poderia ser considerado fraude é reformulado como uma "brecha", um hack ou simplesmente uma forma de otimizar os gastos. Clientes que não se consideram fraudulentos também podem envolver-se em ações que resultam em perdas para o negócio.

Para as empresas, isso torna o problema mais difícil de definir e de resolver. Bem-vindo à zona cinzenta.

O desafio não é a falta de sinais. Frequentemente, nada se destaca no nível da transação e o padrão só emerge através da repetição:

• Uso de múltiplas contas para pulverizar o acesso a promoções.

• Testes gratuitos repetidamente reutilizados.

• Devoluções concentradas logo abaixo dos limites da política.

• Ações deliberadamente fragmentadas para burlar a detecção.

• Fraude com cartões-presente.

À medida que a fraude se torna mais difícil de distinguir, o custo de tomar uma decisão errada pode exceder a própria perda por fraude.

Uma pequena fração de identidades agora impulsiona uma parcela desproporcional do risco. Mas os controles usados para impedi-las são aplicados de forma ampla demais. Ao tentar evitar o abuso por parte de uma minoria de usuários, as empresas introduzem barreiras que afetam a todos.

O custo real da fraude se manifesta não apenas nas perdas que passam, mas no que é bloqueado. Em alguns casos, controles estáticos bloqueiam até 10% de clientes legítimos, de acordo com dados da plataforma Adyen.

Recusas indevidas, atrito desnecessário e custos crescentes de revisão manual não são mais efeitos colaterais; eles são centrais para entender o impacto da fraude na receita.

A maioria das estratégias de fraude foi construída para minimizar perdas. Esse modelo se tornou obsoleto.

A gestão de fraude é cada vez mais entendida como uma série de decisões comerciais que, em última análise, determinam quanta receita legítima uma empresa consegue reter.

A questão não é mais quanta fraude uma empresa está disposta a tolerar. A questão é quanta receita legítima ela está disposta a perder tentando contê-la.

Quando a fraude aumenta, intensificar os controles pode parecer a resposta óbvia. Mais regras, mais etapas de verificação, mais revisões manuais, políticas mais rígidas — tudo isso adiciona custos e atrito.

O impacto já pode ser visto. Minimizar os custos operacionais tornou-se a prioridade número um para 29% dos lojistas em 2025, contra apenas 10% em 2024, de acordo com dados do MRC.

Nossa pesquisa mostra que 58% das empresas estão enfrentando custos crescentes de revisão manual, enquanto 50% relatam um aumento nas recusas indevidas. Com controles adicionais muitas vezes dependendo de sinais estáticos, até 10% dos clientes legítimos são bloqueados.

Há uma desconexão entre o risco percebido e a realidade. Ao tentar se proteger contra uma minoria concentrada de identidades abusivas, as empresas introduzem custo e fricção. Cada recusa indevida não apenas prejudica a conversão naquele momento, mas também mina a confiança, a retenção e valor do ciclo de vida do cliente (LTV), tornando-se um imposto sobre seus consumidores mais valiosos.

Para a maioria das empresas, a gestão de fraude é uma série de concessões. De acordo com nossa pesquisa, 96,8% das empresas fizeram pelo menos um tradeoff relacionado à fraude no último ano.

A prevenção à fraude não funciona mais como uma ferramenta bruta.

Aplicados de forma ampla, os controles aumentam o custo, reduzem a conversão e corroem a confiança. Aplicados com precisão, eles se tornam uma alavanca de crescimento — melhorando as taxas de aprovação, reduzindo a fricção desnecessária e protegendo o valor do ciclo de vida do cliente. Não se trata de reagir a transações isoladas, mas de entender padrões. Não de aplicar a fricção de forma uniforme, mas de alocá-la onde ele tem o maior impacto.

A próxima pergunta é o que realmente é preciso para fazer essa distinção.

Se as verificações tradicionais não conseguem diferenciar clientes legítimos de fraudes, o que funciona?

Os capítulos anteriores descreveram um cenário de fraude no qual um risco crescente vem de usuários reconhecidos: contas verificadas, dispositivos já identificados e atividades que passam por todos os pontos de controle.

Essa mudança significa que diferenciar transações legítimas de abusos está mais difícil do que nunca.

A resposta não está em uma verificação mais rigorosa. A identidade não é mais uma credencial a ser confirmada uma única vez. Ela é dinâmica — uma camada contínua de contexto construída a partir da atividade ao longo de todo o ciclo de vida do cliente, em vez de ser validada em um ponto isolado na jornada.

A verificação responde a uma pergunta binária em um único momento: esta pessoa é quem ela diz ser? Já o reconhecimento constrói uma visão ao longo do tempo: esta atividade se encaixa no padrão de um cliente de confiança?

A diferença é crucial porque a fraude aprendeu a passar pela verificação. Mas ela ainda não consegue replicar facilmente um histórico comportamental consistente. Um cliente que retorna, comprando dentro de sua faixa habitual em um dispositivo reconhecido, avança com o mínimo de atrito. Mas quando esse mesmo padrão muda — para devoluções excepcionalmente frequentes, abuso de promoções ou atividade distribuída em várias contas — a mudança na intenção torna-se visível, mesmo quando a identidade em si não mudou.

A confiança é conquistada e monitorada, não concedida uma vez e presumida dali em diante.

O valor da identidade conectada se multiplica em uma rede mais ampla. Uma única empresa pode construir um contexto comportamental dentro de seu próprio ecossistema. Mas o reconhecimento no nível da rede — extraindo sinais de uma variedade de empresas e dispositivos — cria um panorama mais detalhado e ágil desde a primeira interação.

Em toda a rede global da Adyen, há 84% de chance de que uma identidade já tenha aparecido em transações, empresas, repasses de valores ou emissão de cartões. Isso significa que mesmo novos relacionamentos com clientes podem começar com contexto, viabilizando decisões assertivas logo na fase inicial e menos atrito para clientes que já demonstraram comportamento confiável em outros pontos da rede.

É um sistema no qual o reconhecimento se transforma em reputação.

Historicamente, a prevenção à fraude centrou-se em dois desafios fundamentais: distinguir perfis legítimos de perfis de risco — geralmente por meio de sinais comportamentais — e autenticar a autoridade para garantir que a pessoa que inicia uma transação tem permissão para fazê-lo.

O agentic commerce introduz um terceiro participante, o agente, o que complica esses problemas e cria outros inteiramente novos. Os lojistas agora também devem:

• Identificar agentes legítimos versus agentes maliciosos ou exploradores.

• Verificar se um agente está autorizado a agir em nome de um cliente.

• Garantir que o agente esteja operando dentro dos limites do que o cliente realmente pretendia.

Essa última dimensão, a intenção, é nova. Mesmo um agente legítimo e autenticado pode se comportar de maneiras que divergem das expectativas do usuário devido a estratégias de otimização, manipulação adversária ou incentivos desalinhados

Essa mudança torna o agentic commerce um desafio de fraude distinto — não apenas uma versão mais rápida do que veio antes. O risco não é apenas que maus usuários utilizem agentes. É que agentes confiáveis e maliciosos são cada vez mais indistinguíveis no momento da transação e os sistemas existentes não foram projetados para diferenciá-los.

Espera-se que o agentic commerce influencie uma parcela significativa do volume de pagamentos nos próximos cinco anos. Mas seu impacto é desigual entre os setores, assim como o risco.

Na era do agentic commerce, não basta mais aplicar controles de fraude no checkout. Quando um agente chega a esse ponto, muitas decisões já foram tomadas, muitas vezes dentro de sistemas que o lojista não pode observar ou controlar. O resultado é uma maior exposição a chargebacks, abuso de reembolso, exploração de promoções e transações que são tecnicamente válidas, mas desalinhadas com a intenção do usuário.

Em suma, a confiança deve ser estabelecida mais cedo entre sistemas, protocolos e participantes — não apenas no momento do pagamento.

Esses desafios ainda estão evoluindo, mas algumas abordagens claras já surgem no horizonte:

Inteligência comportamental

Os sistemas de fraude devem se adaptar para reconhecer padrões comportamentais específicos de agentes, não apenas humanos. Isso inclui o treinamento de modelos em padrões de interação orientados por agentes, a captura de sinais mais cedo no ciclo de vida da transação e o compartilhamento de mais dados entre os participantes do ecossistema, incluindo lojistas, redes, emissores e plataformas de IA.

Identificação do agente

Uma capacidade crítica será distinguir agentes confiáveis de não confiáveis. Isso provavelmente dependerá da colaboração com redes de pagamento e instituições financeiras, estruturas de identidade compartilhadas ou registros para agentes, e sinais padronizados indicando a procedência e a reputação do agente.

Autenticação e delegação

Os sistemas de autenticação existentes não foram projetados para o comércio delegado. Iniciativas já estão em andamento para expandir os protocolos atuais para dar suporte à autorização baseada em agentes, definir como o consentimento e a delegação são capturados e verificados, e alinhar os padrões de transação emergentes com os padrões da indústria e os marcos regulatórios.

A dinâmica da fraude mudou fundamentalmente. Em 2026, os riscos mais significativos não estão mais no perímetro; eles operam dentro dos sistemas e comportamentos construídos para clientes legítimos. Essa mudança torna os controles tradicionais menos eficazes e o atrito generalizado mais dispendioso.

Não se trata de ter mais controles, mas de ter mais precisão — usando identidade dinâmica, comportamento e contexto para diferenciar confiança de risco mais cedo na jornada do cliente.

Ao fazer isso, a gestão de fraude torna-se mais do que uma função defensiva. Ela se torna uma forma de proteger a receita e impulsionar o crescimento, ao mesmo tempo em que permite tomar decisões melhores sobre onde e como a confiança é aplicada.