Outsider Enterprise: como uma franquia do crime cibernético usou a IA do Google para aplicar golpes de R$ 11 bilhões

No dia 12 de junho de 2026, o Google deu um passo inédito na luta contra o crime digital. A empresa entrou com uma ação federal no Distrito Sul de Nova York contra a Outsider Enterprise, uma rede de crimes cibernéticos sediada na China, acusada de usar a própria inteligência artificial do Google, a Gemini, para alimentar uma operação massiva de "phishing como serviço" (PhaaS). O golpe, que funcionava como uma franquia criminosa, teria causado prejuízos estimados em US$ 1,9 bilhão (cerca de R$ 11 bilhões) e comprometido 3,87 milhões de cartões de crédito em 95 países desde julho de 2023 .

Em uma ação coordenada, o FBI (a polícia federal americana), o Google e a empresa de tecnologia Lumen Technologies desmantelaram a infraestrutura do grupo, apreendendo servidores e carteiras de pagamento digital .

O que é a Outsider Enterprise?

Diferente de um grupo hacker tradicional, a Outsider Enterprise funcionava como uma verdadeira franquia comercial do crime digital — uma plataforma de phishing como serviço que vendia kits de ataque prontos para criminosos de menor escalão . Seu produto principal era um robô no Telegram que, por valores a partir de US$ 88 por semana (cerca de R$ 500) ou US$ 200 mensais, permitia que os compradores gerassem automaticamente sites falsos e mensagens de texto em massa se passando por marcas legítimas .

Como o grupo usou a IA Gemini do Google

O uso da inteligência artificial pela quadrilha se deu de duas formas cruciais:

• Geração automatizada de sites falsos — O kit utilizava a Gemini para gerar o código HTML de páginas de phishing que imitavam bancos, serviços de entrega (como FedEx e Correios americanos), agências de pedágio e telas de login do Google. A IA produzia páginas falsas com aparência profissional e em escala industrial .
• Burlar os filtros de segurança — Os operadores conseguiam driblar as barreiras de proteção da Gemini ao disfarçar seus pedidos. Em vez de solicitar diretamente uma página de phishing, pediam algo como "gere uma página HTML para notificação de entrega de pacote", parecendo uma tarefa inocente .

Ao automatizar a criação dos sites, a Outsider reduziu drasticamente a barreira técnica para golpistas, transformando um processo manual em uma operação em escala industrial. A ação do Google alega que a rede criou mais de 1 milhão de sites fraudulentos e enviou mais de 2 milhões de mensagens de texto fraudulentas para celulares nos Estados Unidos .

A estrutura corporativa revelada no processo

A ação judicial e as investigações revelaram uma organização quase empresarial, com pelo menos cinco divisões especializadas :

Divisão	Função
Desenvolvimento	Construía e mantinha o kit de PhaaS e o código de integração com a Gemini
Corretagem de Dados	Adquiria e vendia credenciais e dados pessoais roubados das vítimas
Spam / Operador de SMS	Operava a infraestrutura de disparo de mensagens de texto (usando identificadores de remetente falsificados)
Roubo / Fraude	Cuidava da extração e monetização dos dados de cartão de crédito e logins roubados
Coordenação no Telegram	Operava o robô de atendimento ao cliente, processava pagamentos em criptomoedas e oferecia suporte aos compradores

Essa divisão de tarefas, combinada com a automação por IA, permitiu que a Outsider Enterprise operasse com uma escala e eficiência típicas de uma empresa de software legítima, não de uma gangue criminosa tradicional .

Implicações para as fraudes com inteligência artificial

Este caso vai muito além de um simples golpe e acende alertas importantes:

• A "democratização" do crime digital — Ao integrar IA em um kit barato e fácil de usar, a Outsider permitiu que pessoas sem nenhum conhecimento em programação lançassem campanhas sofisticadas de phishing. Isso marca uma transição do ataque hacker focado para um modelo de "fraude como serviço" movido por IA .
• Ação judicial inédita — Esta é a primeira vez que o Google processa alguém especificamente por abuso de seus produtos de IA generativa . O movimento sinaliza que as empresas de tecnologia estão indo além do bloqueio técnico e agora buscam desmantelar a cadeia criminosa na Justiça.
• Novo modelo de combate com parceria público-privada — O Google colaborou com o FBI, AT&T, T-Mobile, Verizon e Lumen Technologies, mostrando que deter fraudes com IA exige uma ação coordenada entre provedores de tecnologia, operadoras de telefonia e forças policiais .
• Lacuna regulatória exposta — O Google usou o processo para pedir leis mais atualizadas, que tratem de abusos específicos com IA, como a criminalização do uso de inteligência artificial generativa para fraudes, algo que as leis atuais talvez não cubram com clareza .

Ponto de atenção: A ação é uma queixa civil, não uma condenação criminal. As acusações contra a Outsider Enterprise ainda não foram comprovadas na Justiça, e os operadores do grupo não foram identificados publicamente. Os valores de US$ 1,9 bilhão e 3,87 milhões de cartões são estimativas do FBI citadas na ação, não números finais julgados .