Visa: US$ 1 bi em scams com IA derruba defesa de pagamentos

A Visa publicou nesta semana o Spring 2026 Biannual Threats Report — e o número-chave é direto: US$ 1 bilhão em scams identificados só entre julho e dezembro de 2025, com a IA virando "o vetor que derrubou a barreira de entrada" para o crime financeiro. O relatório, reportado em 22 de maio pelo HelpNet Security, mostra a virada estrutural: enquanto a segurança da rede melhora (fraude por token caiu 9,6% e enumeração 16% ano a ano), os criminosos abandonam o ataque técnico e migram para o humano. Michael Jabbara, SVP da Visa, foi direto: "o que antes exigia habilidade técnica profunda agora pode ser executado com um prompt". O cardápio: phishing personalizado por IA generativa, deepfake de áudio e vídeo, identidades sintéticas e agentes que executam ciclos inteiros de transação. Pesquisa Datos Insights citada no relatório: 89% das instituições financeiras dizem que deepfakes e IA generativa estão amplificando golpes em pagamentos. Para CFOs e tesoureiros no Brasil, o sinal é direto: o novo perímetro de defesa não está mais no checkout — está no humano que autoriza. (Visa / HelpNet Security)

A Mercury fechou em 20 de maio uma Série D de US$ 200 milhões liderada pela TCV — com Sequoia, a16z, Coatue, CRV, Sapphire e Spark — pulando a avaliação para US$ 5,2 bilhões (alta de 49% em 14 meses) e ancorando a tese de virar "o banco padrão das startups de IA". A rodada, perfilada pela CNBC e FinTech Global, vem depois da aprovação condicional do OCC em abril para abrir o Mercury Bank com charter próprio — destravando Zelle, mais crédito e fim da dependência dos parceiros Column e Choice Financial. A escala dá peso ao deal: 300 mil clientes, 1 em cada 3 startups americanas, US$ 650 milhões de ARR no 3º trimestre de 2025 e 2,5x mais aplicações ano a ano no 1º tri de 2026 — puxados pelo boom de companhias AI-native. A Mercury já permite que clientes operem a conta por agentes de IA e prepara interface conversacional para aprovar pagamentos, emitir faturas e gerir caixa em linguagem natural. Para tesourarias brasileiras que avaliam bancos de relacionamento internacional para subsidiárias, é a primeira fintech AI-native a ganhar trilho regulatório federal. (CNBC / FinTech Global)

A Ocean estreou em 22 de maio com US$ 28 milhões captados em rodada liderada pela Lightspeed — com Picture Capital, Cerca Partners e angels de Wiz, Armis e Cyberstarts — para escalar a primeira plataforma de email security agêntica, com motor autônomo que investiga em vez de só filtrar. A rodada é a aposta na contrapartida defensiva do problema descrito pela Visa: mais de 90% das invasões bem-sucedidas começam com phishing, e o ataque virou industrializado por IA. O motor "Ray" analisa identidade do remetente, conteúdo, links, infraestrutura técnica e contexto de negócio em tempo real — substituindo detecção baseada em padrão por agentes que "investigam cada e-mail, verificam contexto e identificam intenção maliciosa em escala". A base de clientes inclui centenas de milhares de caixas postais em Global Fortune 500, KAYAK, Kingston Technology e Headspace. Para CFOs e CISOs brasileiros expostos a pagamento via boleto, Pix e contas a pagar — o vetor preferido do golpe BEC localizado —, é a referência mais nítida de defesa AI-nativa contra ataque AI-nativo. (FinTech Global / Ocean)

A NICE Actimize formalizou em 21 de maio a virada para "predictive suitability" — saindo da revisão pós-trade para monitoramento contínuo de drift, com IA generativa documentando o racional de cada decisão de adequação. Em análise da FinTech Global, Konstantinos Rizakos, GM de Compliance, descreveu a mudança: "movemos o ponteiro de análise reativa pós-trade para investimento em adequação proativa pré-trade". A plataforma Compliancentral conecta em tempo real três pilares — perfil do cliente (CRM/KYC), intenção e ordem (OMS) e contexto de mercado — e gera trilha de auditoria automática "mostre seu trabalho". Em vez de bloquear, o sistema usa "fricção inteligente": alerta o assessor e o cliente sobre concentração ou desvio de risco sem tirar autonomia. Para CCOs e diretores de wealth management e private banking brasileiros sob CVM, é o modelo que troca a planilha anual de suitability por um motor contínuo — e dá auditabilidade pronta para a próxima inspeção. (FinTech Global / NICE Actimize)

A Yotta Technologies foi multada em US$ 1 milhão pela DFPI da Califórnia em 22 de maio — primeira penalidade estadual pesada do desdobramento do colapso da Synapse —, por ter prometido seguro FDIC a 18 mil clientes californianos que perderam acesso a milhões de dólares. A decisão puniu a fintech por marketing sistemático desde maio de 2020 — "safe", "FDIC insured", "can't lose" — mesmo a empresa, segundo a DFPI, "abrigando sérias dúvidas sobre a segurança da Synapse". Quando o BaaS pivot Synapse Brokerage entrou em Chapter 11 em abril de 2024, os depósitos viraram passivo retido. A Yotta agora precisa notificar os afetados sobre elegibilidade ao Civil Relief Fund da CFPB e manter ponto de contato dedicado por 120 dias. O comissário KC Mohseni: "a Yotta enganou descaradamente milhares de clientes californianos". Para CFOs, CCOs e fundadores de fintechs brasileiras que operam sobre BaaS — sob a nova régua do Bacen de capital mínimo de até R$ 32,8 milhões —, é o caso mais nítido até agora de como uma falha na cadeia BaaS vira passivo direto da marca que o cliente conhece. (FinTech Global / DFPI)