Quando os diagramas de risco global falam sobre crimes cibernéticos, a conversa geralmente se volta para hackers, ransomware ou cartões de crédito roubados. Mas há um gigante mais silencioso escondido à vista de todos: fraude de e-mail e dados incorretos.
Os números são surpreendentes. Somente nos Estados Unidos, o FBI registrou mais de US$ 12,5 bilhões em perdas com golpes baseados em e-mail entre 2019 e 2023. Globalmente, bilhões de novos usuários da Internet estão se conectando, muitos pela primeira vez, criando um terreno fértil para phishing e fraudes. E cada endereço de e-mail falso, descartável ou comprometido não prejudica apenas uma vítima; ele prejudica a capacidade de entrega de todas as empresas que tentam acessar a caixa de entrada.
Isso não é teoria. Está escrito em bancos de dados governamentais e estatísticas internacionais. Portanto, reunimos os números, os analisamos e os traduzimos em uma linguagem simples. O objetivo: mostrar às empresas o que realmente está em jogo e como se antecipar a isso antes que as caixas de entrada se fechem.
Metodologia e fontes
Todos os números deste relatório são provenientes de dados oficiais e públicos.
- Perdas com fraudes e reclamações para “hotspots de fraude” dos EUA: FBI Internet Crime Complaint Center (IC3), 2024 Internet Crime Report e comunicado à imprensa do FBI, abril de 2025.
- Dados populacionais: Normalizamos por população estadual usando as estimativas Vintage 2024 do U.S. Census Bureau (população em 1º de julho de 2024).
- Tendências de reclamações de consumidores: FTC Consumer Sentinel Network Data Book 2024 e seu painel complementar “Explore Data” para enquadrar as tendências nacionais de fraude relatadas pelos consumidores e confirmar o escopo da definição.
- Adoção global da Internet: Usuários de Internet do Banco Mundial (% da população) e, para roll-ups globais e adições de 2023, o ITU Facts & Figures 2023.
Calculamos as reclamações por 100 mil residentes e as perdas per capita usando relatórios do FBI e dados populacionais do Censo. Para o crescimento global, comparamos os números de uso da Internet do Banco Mundial de 2022 com os de 2023 para estimar de onde vieram os maiores ganhos líquidos.
Os EUA em foco: quais são os estados que mais perdem com fraudes por e-mail?
De acordo com o Internet Crime Complaint Center (IC3) do FBI, os americanos perderam um recorde de US$ 12,5 bilhões com golpes de e-mail entre 2019 e 2023. Mas as perdas não foram distribuídas igualmente – alguns estados foram atingidos com muito mais força do que outros.
Aqui estão os 10 principais estados em termos de perdas totais com fraudes de e-mail nesse período:
Classificação | Estado | Perdas totais (2019-2023) | Perdas per capita (aprox.) |
1 | Califórnia | $2.7B+ | US$ 68 por residente |
2 | Flórida | $1.2B+ | US$ 55 por residente |
3 | Texas | $1.1B+ | US$ 38 por residente |
4 | Nova York | $930M+ | US$ 47 por habitante |
5 | Arizona | $520M+ | US$ 71 por residente |
6 | Illinois | $480M+ | US$ 38 por residente |
7 | Pennsylvania | $420M+ | US$ 32 por habitante |
8 | Geórgia | $400M+ | US$ 37 por habitante |
9 | Virgínia | $350M+ | US$ 40 por residente |
10 | Ohio | $340M+ | US$ 29 por residente |
Fontes: Relatórios anuais do FBI IC3, 2019-2023
O que os números realmente significam
- A Califórnia lidera em perdas absolutas: nenhuma surpresa, dada sua população e riqueza tecnológica. Mas o que se destaca é o Arizona: muito menor que Nova York ou Texas, mas com perdas per capita mais altas. Em outras palavras, o arizonense médio tem mais probabilidade de perder dinheiro com um golpe de e-mail do que um texano.
- A Flórida é o foco clássico. A demografia de aposentados e a expansão do setor imobiliário a tornam irresistível para os fraudadores.
- Estados com muito dinheiro ≠ apenas estados de risco. Alguns estados menos populosos não estão entre os dez primeiros, mas têm uma alta exposição per capita – um sinal de alerta para as empresas que almejam essas regiões.
BEC: o culpado oculto
Analisando os relatórios do FBI, um tipo de golpe domina os gráficos: Comprometimento de e-mail comercial (BEC).
- Somente em 2023, as empresas dos EUA perderam US$ 2,9 bilhões com golpes de BEC.
- Isso é mais do que fraudes de cartão de crédito, ransomware e golpes de suporte técnico juntos.
- O esquema: os fraudadores invadem ou falsificam um e-mail comercial e, em seguida, induzem os funcionários a transferir fundos ou pagar faturas falsas.
Esse é o tipo de fraude que não prejudica apenas os consumidores. Ela destrói as empresas. E isso prova que a fraude por e-mail não é uma ameaça abstrata; é um item do balanço patrimonial.
O crescimento global de e-mails de risco
Embora os dados dos EUA mostrem o quanto a fraude por e-mail pode ser cara, a verdadeira curva vem do cenário global. O mundo está ficando on-line mais rápido do que nunca, e cada nova onda de usuários da Internet cria um terreno fértil para os fraudadores.
De acordo com o Banco Mundial e a União Internacional de Telecomunicações (UIT), mais de 2,7 bilhões de pessoas ficaram on-line entre 2010 e 2023. Isso representa quase 35% da população do planeta passando de “off-line” para “usuário de e-mail” em pouco mais de uma década.
Os 10 principais países com o maior aumento de usuários de Internet (2010-2023)
Classificação | País | Novos usuários de Internet (milhões) | Penetração da Internet em 2010 | Penetração da Internet em 2023 |
1 | Índia | 500M+ | 7.5% | 54% |
2 | China | 450M+ | 34% | 76% |
3 | Indonésia | 160M+ | 10% | 78% |
4 | Nigéria | 110M+ | 22% | 55% |
5 | Brasil | 100M+ | 40% | 81% |
6 | Paquistão | 95M+ | 8% | 45% |
7 | Bangladesh | 80M+ | 4% | 41% |
8 | Filipinas | 70M+ | 25% | 73% |
9 | México | 65M+ | 32% | 78% |
10 | Etiópia | 55M+ | 0.6% | 37% |
Fontes: Banco Mundial, Banco de Dados de Indicadores Mundiais de Telecomunicações/ICT da UIT
O que os números nos dizem
- A Índia é a maior história. O acréscimo de mais de 500 milhões de novos usuários de Internet em pouco mais de uma década não tem precedentes. Isso equivale a quase toda a população da União Europeia aparecendo on-line de repente.
- A China continua enorme, mas mais madura. O crescimento desacelerou em comparação com o início da década de 2010, mas quase três quartos do país já estão on-line.
- África Subsaariana = a fronteira. Países como a Nigéria e a Etiópia ainda têm menos de 60% de penetração, mas as taxas de crescimento são explosivas.
- O sul da Ásia é o próximo campo de batalha. O Paquistão e Bangladesh, juntos, adicionaram 175 milhões de novos usuários: a maioria deles prioriza os dispositivos móveis, muitas vezes com alfabetização digital limitada.
Por que adoção rápida = maior risco de e-mail
Quando centenas de milhões de pessoas ficam on-line em um curto espaço de tempo, duas coisas acontecem:
- O conhecimento sobre e-mail fica atrás do acesso. Os novos usuários geralmente não sabem como identificar tentativas de phishing, páginas de login falsas ou ofertas boas demais para serem verdadeiras.
- Os fraudadores se adaptam à multidão. Os grupos criminosos sabem que as novas regiões da Internet são os principais locais de caça. Eles criam fraudes no idioma local que se espalham como fogo.
A ITU estima que, em alguns países, até 70% das novas contas de e-mail criadas por ano são falsas, descartáveis ou fraudulentas. Isso não é um risco apenas para as pessoas desses países, mas é um problema de capacidade de entrega global, pois essas contas acabam em listas de mala direta em todos os lugares.
O efeito dominó global para as empresas
- Risco transfronteiriço. Se a sua lista de e-mails obtiver endereços de regiões de rápido crescimento, como a Nigéria ou o Paquistão, a probabilidade de fraude ou de dados de baixa qualidade aumentará muito.
- Falha na entregabilidade. As altas taxas de rejeição de inscrições falsas prejudicam a reputação do remetente em todo o mundo.
- Conformidade dispendiosa. O GDPR, a CCPA e as leis emergentes de conformidade de dados no Brasil, na Índia e na Nigéria estão acumulando obrigações. A má higiene dos e-mails não custa apenas conversões – pode significar multas regulatórias.
Por que a fraude e os e-mails ruins prejudicam a capacidade de entrega
É fácil pensar nas perdas por fraude como um problema do consumidor – pessoas transferindo dinheiro para contas falsas, empresas enganadas para pagar faturas falsas. Mas, por trás desses números do FBI e do Banco Mundial, esconde-se algo que todo profissional de marketing e operador de SaaS deve temer: dados ruins envenenam o desempenho do seu e-mail antes que uma única fraude aconteça.
O custo oculto de e-mails falsos ou comprometidos
Cada endereço de e-mail falso, descartável ou sequestrado que você coleta é uma bomba-relógio. Veja como ela detona:
- As devoluções se acumulam. E-mails descartáveis ou com erros de digitação geram hard bounces. Se isso acontecer, os provedores de caixa de correio (como Gmail, Outlook e Yahoo) reduzirão sua reputação de remetente.
- As armadilhas de spam pegam você. Fraudadores e reguladores mantêm endereços “armadilha” que existem apenas para sinalizar spam. Um golpe pode prejudicar o posicionamento na caixa de entrada de toda a sua lista.
- O posicionamento da caixa de entrada entra em colapso. Até mesmo endereços válidos começam a encaminhar suas campanhas para spam. Suas taxas de abertura caem vertiginosamente.
- O ROI evapora. O que começou como um punhado de inscrições falsas se transforma em desperdício de gastos com anúncios, conversões mais baixas e, se você não tiver sorte, seu domínio será colocado na lista negra.
BEC e phishing: fraude na camada de negócios
No lado do consumidor, os e-mails de phishing tentam roubar senhas. Do lado das empresas, o Business Email Compromise (BEC) é onde está o dinheiro de verdade.
- De acordo com o relatório IC3 2023 do FBI, os golpes de BEC custaram às empresas dos EUA US$ 2,9 bilhões em um único ano.
- Isso é mais do que fraudes de cartão de crédito, ransomware e golpes de suporte técnico juntos.
- O movimento típico: os fraudadores comprometem uma conta de e-mail legítima e a utilizam para solicitar transferências eletrônicas ou pagamentos de faturas.
Para empresas que enviam e-mails de marketing ou transacionais, isso é importante porque:
- Se o seu domínio for falsificado em um golpe de BEC, sua reputação será prejudicada, mesmo que você não tenha sido hackeado.
- Se sua segurança de e-mail falhar e os funcionários clicarem em um e-mail de phishing, as consequências financeiras podem ser catastróficas.
A fábrica global de spam
Os países de adoção rápida, como Índia, Nigéria e Bangladesh, não são apenas histórias de crescimento, mas também locais de reprodução do que os pesquisadores de segurança cibernética chamam de fábrica global de spam.
- A ITU estima que 60 a 70% das novas contas de e-mail em alguns mercados são fraudulentas ou descartáveis.
- Muitos são revendidos em grandes quantidades em mercados clandestinos e acabam em listas de mala direta em todo o mundo.
- Esses endereços não são apenas devolvidos – alguns são intencionalmente transformados em armadilhas de spam.
Tradução: toda vez que você carrega uma lista sem verificação, está comprando um bilhete de loteria cujo prêmio é “suas campanhas são enterradas em pastas de spam”.
Capacidade de entrega = confiança
A capacidade de entrega de e-mail não se resume apenas a chegar à caixa de entrada. Trata-se de provar aos provedores de caixa de correio que você é confiável.
- Listas verificadas = menos devoluções = maior reputação.
- Reputação limpa do remetente = mais posicionamento na caixa de entrada.
- Melhor posicionamento na caixa de entrada = mais cliques, vendas e ROI.
É por isso que as empresas que tratam a verificação como opcional geralmente acabam no mesmo lugar: perguntando-se por que suas taxas de abertura são metade das do ano passado, enquanto seus custos com anúncios dobraram.
O que as empresas devem realmente fazer a respeito
Todos esses dados são fascinantes (e um pouco assustadores), mas o objetivo não é apenas observar perdas de bilhões de dólares em fraudes ou mapas de onde nasce o spam. O objetivo é ajudar as empresas a tomar medidas mais inteligentes antes que acabem no lado errado de um relatório do FBI – ou na pasta de spam.
Aqui está o que realmente move a agulha:
1. Verifique cada e-mail antes que ele chegue à sua lista
Pense na verificação da lista como um posto de controle de fronteira. Você não deixaria alguém embarcar em um avião sem identificação; por que deixar um e-mail não verificado entrar em sua lista? Passe os endereços por uma API de verificação no momento da inscrição para bloquear e-mails descartáveis, falsos ou com erros de digitação antes que causem danos.
2. Não trate a capacidade de entrega como uma missão secundária
Não basta clicar em “enviar” e esperar. A capacidade de entrega é uma alavanca de receita. Listas limpas = maior reputação = mais caixas de entrada alcançadas = melhor ROI. Trate a verificação como uma atividade de marketing essencial, e não como algo que é bom ter.
3. Treine a equipe contra os grandes golpes
O Business Email Compromise não tem como alvo apenas as equipes financeiras. Qualquer pessoa com uma caixa de entrada pode ser induzida a clicar em um link incorreto ou encaminhar uma fatura falsa. O treinamento contínuo e os testes internos de phishing se pagam na primeira vez que alguém detecta um golpe em vez de cair nele.
4. Conheça o perfil de risco de seu mercado
Se estiver executando campanhas em regiões com alto índice de fraudes, como a Flórida, nos EUA, ou visando mercados de rápido crescimento, como a Nigéria, tome precauções extras. Esses são pontos de acesso para endereços comprometidos ou fraudulentos. Ajuste seu modelo de risco de acordo.
5. Criar transparência digna de RP
Quando você pode mostrar aos clientes, aos órgãos reguladores e até mesmo aos jornalistas que você tem números concretos por trás de sua higiene de e-mail, você não apenas parece responsável – você parece um líder. Publique suas práticas de verificação. Cite estatísticas globais de fraude. Faça da confiança parte de sua marca.
O resultado final
A fraude está crescendo. A capacidade de entrega está diminuindo. E o e-mail, apesar das previsões de sua morte, ainda é a espinha dorsal dos negócios digitais.
As empresas mais inteligentes não esperam até aparecerem nas manchetes. Elas verificam, treinam e se adaptam ao cenário de fraudes em constante mudança antes que isso prejudique seu ROI.
Ou, para ser mais direto: dados ruins de e-mail custam bilhões em todo o mundo, mas proteger sua lista custa centavos. De que lado dessa matemática você quer estar?