Segurança e Compliance

Phishing, Engenharia Social e IA: Novas Ameaças

A IA tornou o phishing quase indistinguível de comunicação legítima. As novas técnicas e como preparar a sua equipa.

1 de abril de 2026·3 min de leitura·
Phishing, Engenharia Social e IA: Novas Ameaças

Durante anos, ensinámos as equipas a detetar phishing pelos sinais clássicos: português estranho, saudações genéricas, urgência artificial. A IA generativa apagou esses sinais. O email fraudulento de 2026 escreve português de Portugal impecável, menciona o projeto em que você está a trabalhar e vem "do" seu diretor financeiro. Este artigo explica o que mudou — e como se defende uma equipa quando o velho checklist morreu.

O que a IA mudou no ataque

Phishing sem erros e à escala

O que exigia um atacante fluente em português agora sai de um modelo de linguagem em segundos, personalizado para cada alvo com informação pública (LinkedIn, site da empresa, redes sociais). O custo de um ataque convincente caiu para perto de zero — e o volume explodiu em conformidade.

Spear phishing automatizado

O ataque dirigido ("olá João, na sequência da reunião de quinta sobre o projeto Atlas...") era artesanal e caro. Com IA a cruzar informação pública, tornou-se produção em massa. A regra "ataques sofisticados só acontecem a empresas grandes" deixou de valer.

Voz e vídeo clonados

Bastam segundos de áudio público para clonar uma voz. Os casos já não são teóricos: transferências autorizadas por "chamadas do CEO" e videochamadas com deepfakes de administradores custaram milhões a empresas reais. A chamada de voz deixou de ser prova de identidade.

Fraude do CEO com contexto

O clássico "transfere isto com urgência" agora chega escrito no estilo do CEO verdadeiro, com referências a assuntos internos reais. A plausibilidade é o produto; a IA fabrica-a.

Como se defende uma equipa em 2026

1. Mude o ensinamento: do "detetar" para o "verificar"

Já não se distingue o falso pela qualidade do texto. O novo reflexo é processual: qualquer pedido invulgar que envolva dinheiro, credenciais ou dados segue verificação por outro canal — recebeu email? confirme por telefone (para o número que você tem, não o do email). Recebeu chamada? desligue e ligue de volta.

2. Procedimentos à prova de pressa

  • Dupla aprovação para pagamentos e alterações de IBAN de fornecedores — sem exceções, nem para a administração (sobretudo para a administração: é ela que os atacantes imitam).
  • Palavra-código familiar/equipa para pedidos urgentes por voz — a defesa low-tech que funciona contra deepfakes.
  • Cultura sem castigo: quem verifica um pedido "do chefe" deve ser elogiado, nunca repreendido pela demora. Um único episódio de "porque me estás a questionar?" destrói o procedimento.

3. Tecnologia básica bem feita

MFA em tudo (de preferência resistente a phishing), gestor de passwords, e email com autenticação (SPF/DKIM/DMARC) configurada. Nada disto é novo — mas com o volume de ataques a subir, os básicos importam mais, não menos.

4. Simulações realistas

Treinar com os exemplos toscos de 2019 cria falsa confiança. As simulações de phishing devem ter a qualidade que os ataques têm hoje — escritas com as mesmas ferramentas que os atacantes usam.

O paradoxo final

A mesma IA que arma os atacantes defende quem a usa: filtros que detetam padrões de fraude, análise de anomalias, verificação assistida. Mas a última linha de defesa continua a ser a mesma de sempre — uma pessoa treinada, com um procedimento claro e autorização para dizer "vou confirmar primeiro". Segurança digital é um dos pilares da formação em IA que qualquer equipa devia ter — e faz parte do currículo da SuperHumano Academy.

Plataforma Portuguesa

Desenvolvida e gerida em Portugal.

Dados Protegidos

Infraestrutura europeia com encriptação SSL.

Conformidade RGPD

Respeitamos as normas europeias de privacidade.

Pagamentos Seguros

Stripe + métodos de pagamento locais e internacionais.

VisaMastercardApple PayGoogle PayPayPalStripe Link
Pagamentos processados com segurança porStripe