Ambientes da dark web vêm sendo amplamente utilizados por organizações criminosas para a comercialização de credenciais roubadas, dados sensíveis de clientes, números de cartões e conteúdos instrutivos voltados à prática de fraudes financeiras. Esses espaços também funcionam como fóruns de troca de informações sobre novos esquemas ilícitos, o que reforça a necessidade de atenção contínua por parte das instituições financeiras.
A identificação rápida dessas movimentações permite que medidas preventivas sejam adotadas antes que danos maiores ocorram, como o bloqueio de contas, a redefinição de senhas, o reforço de controles internos e o apoio a investigações conduzidas por autoridades. Apesar disso, levantamento recente indica que o monitoramento da dark web ainda não está disseminado de forma homogênea no sistema financeiro brasileiro.
De acordo com a Pesquisa de Maturidade em PLD/FTP realizada pela EY, 40% das instituições financeiras avaliadas não realizam qualquer tipo de monitoramento desses ambientes para fins de prevenção a fraudes. O dado evidencia uma lacuna relevante em um contexto de crescente sofisticação das ameaças cibernéticas.
Na avaliação de Natalia Grigolin, sócia de Prevenção a Crimes Financeiros da EY Brasil, o resultado reforça a percepção de que, embora os benefícios do monitoramento sejam amplamente reconhecidos, a prática ainda não é plenamente adotada pelo mercado. Segundo ela, a pesquisa mostra que esse tipo de vigilância é mais comum entre instituições de maior porte ou mais expostas a riscos complexos, enquanto empresas menores e determinados segmentos permanecem vulneráveis a um vetor de risco cada vez mais relevante.
Os dados do estudo indicam diferenças significativas entre os setores. Entre os bancos, 83% afirmam monitorar a dark web, percentual que cai para 75% no caso das instituições de pagamento. Já entre as seguradoras, apenas 33% adotam essa prática. Em outros segmentos, como DTVM, CTVM, bancos de investimento e corretoras de câmbio, o levantamento aponta ausência de monitoramento, o que amplia a exposição dessas instituições a vazamentos de dados e fraudes estruturadas.
Quando o recorte considera o porte das instituições financeiras, a disparidade se torna ainda mais evidente. Todas as empresas classificadas como S1, que representam as maiores do mercado, realizam algum nível de monitoramento da dark web. No extremo oposto, entre as instituições S5, apenas um terço declarou adotar esse tipo de controle, evidenciando fragilidades relevantes na base do sistema financeiro.
O contexto de risco é reforçado por dados recentes de mercado. Segundo relatório da Kaspersky, apenas em 2024 mais de 37 milhões de registros de dados de pessoas físicas e jurídicas no Brasil foram disponibilizados para comercialização na dark web. Já informações da Febraban apontam que, somadas, as fraudes em canais digitais e cartões de débito alcançaram R$ 18,7 bilhões entre 2023 e 2024.
A edição de 2025 da pesquisa da EY contou com a participação de 51 instituições financeiras de diferentes portes e segmentos. Os bancos comerciais representaram a maior parcela da amostra, seguidos por seguradoras e instituições de pagamento, o que permitiu uma visão abrangente do estágio de maturidade do setor em relação à prevenção a crimes financeiros.
Além do diagnóstico, a EY desenvolveu um framework antifraude voltado ao fortalecimento da resiliência das instituições financeiras. O modelo integra diferentes dimensões da gestão de riscos e propõe uma abordagem estruturada para prevenção e detecção de fraudes, além de orientação ao cliente. Segundo a consultoria, essas diretrizes devem ser revisadas de forma contínua, acompanhando a rápida evolução das ameaças digitais.
Para Natalia Grigolin, a adoção de um framework robusto permite respostas mais ágeis a ameaças emergentes e melhora a capacidade de identificação de fraudes em estágio inicial. Ela ressalta que, embora muitas instituições já possuam controles estabelecidos, a revisão constante desses mecanismos é indispensável diante da sofisticação crescente das práticas criminosas no ambiente digital.
