IA vs. Regras de Fraude: Por que o Caixa Preto não passa no Compliance de 2026

O marketing das big techs vendeu a ideia de que o futuro seria autônomo: algoritmos silenciosos varrendo bilhões de pontos de dados, tomando decisões microsegundos antes de um golpe acontecer, sem intervenção humana. Em 2026, sabemos que a realidade é muito mais suja e, paradoxalmente, burocrática. Ainda sento em mesas de comitê com Diretores de Risco que preferem bloquear manualmente um CPF suspeito a confiar cegamente em um modelo de gradient boosting com 98% de AUC, não porque o algoritmo seja ruim, mas porque o negócio precisa saber o "porquê".

O debate não é mais sobre se a Inteligência Artificial é boa — ela é imprescindível para lidar com o volume massivo de transações via PIX e Open Finance —, mas sobre onde ela deve parar para que o sistema não se torne uma caixa preta inauditável. A abordagem híbrida persiste como padrão ouro não por falta de evolução tecnológica, mas por uma necessidade brutal de governança e, crucialmente, de defesa jurídica.

Mito: O Machine Learning tornará as regras estáticas obsoletas

Existe uma narrativa sedutora de que, com Deep Learning, podemos descartar as velhas regras do tipo "se valor > R$ 50.000 e IP < 100km, então bloqueie". Isso é perigoso. Na prática, as regras estáticas são a única forma de garantir a execução imediata de políticas de conformidade que não sofrem variação estatística.

Pense no cenário de uma sanção regulatória. Se o Banco Central ou a CVM determinam que instituições financeiras não podem realizar transações com uma determinada entidade sancionada, você não espera um modelo aprender um padrão. Você impõe uma regra rígida (hard block). O modelo de IA não tem "julgamento" sobre compliance legal; ele apenas encontra correlações matemáticas.

Além disso, existe o problema do "golpe do dia". Em 2026, vimos uma onda de ataques usando deepfakes em chamadas de vídeo para aprovação de crédito. Um modelo treinado com dados de janeiro de 2025 não saberia, por si só, que esse vetor de ataque explodiu naquela terça-feira específica. Um analista de fraude, porém, pode escrever uma regra em cinco minutos: "Se score de fraude de liveness > X e valor solicitado > R$ 30.000, envie para revisão manual". O modelo demora dias ou semanas para ser retreinado e atualizado; a regra é instantânea. Depender apenas de IA é tirar do time de segurança a capacidade de reagir a eventos noticiosos e emergenciais.

Mito: A alta precisão da IA justifica a falta de explicabilidade

Aqui está o pesadelo de qualquer Gestor de Risco. Imagine que um cliente alto valor, uma empresa que move R$ 2 milhões mensais, tem um pagamento bloqueado. O CEO dessa empresa liga para o seu banco. O gerente de conta olha o sistema e vê: "Score de Risco: 0.92 (Alto)". O cliente pergunta: "Por que?".

Se a resposta for "o modelo combinou 400 variáveis e decidiu que você parece fraude", você perde o cliente. Ou pior, pode ser processado por danos materiais se o bloqueio for indevido e injustificável. O "direito à explicação" não é apenas um requisito ético de RegTech; é uma necessidade comercial. Regras explícitas fornecem a linha de auditoria. "Transação bloqueada porque o dispositivo foi associado a três contas diferentes nas últimas 24 horas" é uma explicação aceitável.

O problema dos modelos de caixa preta é que eles operam em correlações que muitas vezes nós, humanos, não conseguimos traduzir em linguagem natural. Eu já vi modelos flagrando transações legítimas como fraude simplesmente porque o usuário estava usando um VPN corporativo pouco comum. O modelo estava tecnicamente "certo" na probabilidade, mas "errado" no contexto de negócio. Sem a camada de regras que permite exceções e lógica booleana ("se VPN e corporativo, liberar"), você cria um sistema autômato que antagoniza o próprio cliente. Veja como funciona a implementação de detecção de 'Deepfake' em liveness checks de KYC remoto; mesmo aí, precisamos de regras para ditar o que fazer quando o detector acusa um falso positivo.

Realidade: O híbrido é uma barreira de contenção, não uma redundância

Quando estruturamos um stack de fraude moderno, usamos o paradigma de camadas, não de escolha. O erro comum é pensar em regras OU IA. O híbrido funciona porque regras e ML cobrem as falhas um do outro de forma complementar.

A primeira camada são as regras explícitas (White Box). Elas são baratas de processar e determinísticas. Usamos para bloquear o óbvio: listas negras, sanções, dispositivos conhecidos de fraude e limites de corte de valor. Isso remove até 70% do ruído antes mesmo de chegarmos no algoritmo.

A segunda camada é a IA (Black Box). Ela recebe o tráfego limpo pelas regras e procura o anômalo, o sutil, o comportamental. É ela que identifica aquela conta que comprou um celular de R$ 5.000,00 (dentro do limite da regra) mas whose typing cadence e geolocation velocity indicam que não é o titular.

A terceira camada — e onde a mágica do híbrido acontece — é a "caixa cinza". É aqui que usamos IA para gerar features (novas variáveis) que alimentam novas regras. Por exemplo, o modelo pode identificar que fraudesters mudam de aparelho 15 minutos antes de um saque. Você pega essa "intuição" do modelo e a transforma em uma regra explícita para o futuro. Isso permite que o sistema evolua, mas mantenha a explicabilidade necessária para auditorias.

Mito: A IA não precisa de supervisão humana constante

Uma falácia perigosa que tem custado caro para fintechs ágeis é achar que "set and forget" funciona para modelos de fraude. A pandemia nos ensinou sobre o concept drift. O comportamento do consumidor muda. O que era fraude em 2024 pode ser comportamento normal em 2026 (como o aumento drástico de transações digitais para educação ou entretenimento).

Se você não revisar constantemente o modelo, ele começa a decair, gerando falsos positivos ou deixando fraudes passarem. O problema é que, para revisar um modelo puro, você precisa de um Cientista de Dados sênior. Já um sistema híbrido permite que um Analista de Risco menos técnico ajuste regras e thresholds no dia a dia, mantendo a operação fluida enquanto o time de ciência de dados trabalha em melhorias estruturais do algoritmo.

Em uma implementação real que acompanhei recentemente, um banco digital reduziu seus falsos positivos em 15% simplesmente ao permitir que analistas de negócio ajustassem os pesos de regras de " comportamento de login" sem precisar retocar o modelo de Random Forest subjacente. A IA dava o sinal de alerta, mas a regra humana ajustava a sensibilidade.

O risco operacional de ignorar a auditoria

Para fechar, preciso ser brutalmente honesta: se você está vendendo uma solução de fraude 100% baseada em caixa preta para o mercado financeiro brasileiro hoje, você está vendendo um passivo regulatório.

O Banco Central exige rastreabilidade. Em uma investigação de lavagem de dinheiro ou fraude interna, o auditor vai puxar a linha do tempo da transação. Ele precisa ver cada decisão lógica. "Modelo disse sim" não é uma linha de tempo; é um beco sem saída. As regras fornecem o esqueleto; a IA fornece o músculo. Tentar substituir o esqueleto por músculo gera um organismo que não se sustenta em pé.

O investimento para 2026 e além não deve ser em "substituir regras por IA", mas em ferramentas de XAI (Explainable AI) que traduzam o output do modelo em lógica que possa ser auditada e transformada em regras, se necessário. A governança continua sendo humana, e o humano precisa de lógica explícita para dormir tranquilo.