- Em fevereiro de 2024, um deepfake do CFO da Arup, em Hong Kong, levou a transferências totalizando US$ 25 milhões; em 2025, deepfakes sob demanda ficaram comuns para clonar vozes de executivos.
- Pesquisas de 2025 mostram que 83% dos family offices consideram deepfake e impersonation as principais preocupações cibernéticas; quase três em cada quatro offices na América do Norte sofreram ao menos um ciberataque recentemente.
- Prática 1: verificação multicanal para confirmar pedidos, com palavra de verificação entre familiares e assessores; operações de alto valor exigem dupla aprovação com autenticação independente.
- Prática 2: o e-mail é o centro de controle; substituir o SMS pelo segundo fator, usar chaves físicas, revisar regras de encaminhamento e manter endereço de e-mail exclusivo para o family office.
- Prática 3 a 5: auditoria da cadeia de prestadores, integração da segurança digital e física, e governança digital como extensão da governança patrimonial, com o family office atuando como coordenador da governança cibernética (simulações, controle de exposição e inventário digital).
Para as famílias de alto patrimônio, a proteção digital deixou de ser uma opção e passou a ser parte da governança patrimonial. Em fevereiro de 2024, um deepfake do CFO de uma gigante de engenharia levou a perdas de US$ 25 milhões, expondo vulnerabilidades vistas como modelo para o mercado. O caso ocorreu em Hong Kong, após uma videochamada que parecia legítima.
Ao longo de 2025, as tecnologias de deepfake se popularizaram, permitindo clonagens de voz com poucos segundos de áudio. Pesquisas indicam que 83% dos family offices já consideram deepfake uma das principais ameaças, enquanto uma parcela relevante enfrenta ataques cibernéticos com frequência crescente. Diante desse cenário, surgem práticas cada vez mais consolidadas entre as famílias mais bem assessoradas.
Prática 1. Verificação multicanal como defesa real contra clonagem de voz
A gestão de risco passa pela verificação multicanal: nenhuma transação ou liberação de documento sensível deve ser confirmada pelo mesmo canal de origem. Como regra inegociável, validações ocorrem por ligação para número conhecido ou por canal alternativo. Em operações de maior valor, a dupla autorização com autenticação independente é adotada.
Prática 2. O e-mail como centro de controle do patrimônio
Controlar o e-mail principal evita que senhas sejam redefinidas ou identidades simuladas. Substituir o SMS como segundo fator de autenticação reduz vulnerabilidade a ataques de troca de chip. Chaves físicas elevam o nível de proteção, e regras de encaminhamento devem ser periodicamente revisadas para impedir redirecionamentos invisíveis.
Prática 3. Auditar a cadeia invisível de prestadores
Contadores, advogados e gestores detêm dados relevantes do patrimônio. A diligência cibernética sobre parceiros é essencial, com padrões mínimos de segurança, verificação de armazenamento de dados e planos de resposta a incidentes. A qualidade da resposta de terceiros pode revelar o nível de exposição real.
Prática 4. Segurança digital e física precisam andar juntas
A defesa combina dimensões digitais e físicas. Dispositivos simples podem bloquear sinais ou mapear rotinas. Reduzir riscos exige segmentação de redes domésticas, redundâncias com câmeras celular, e uso de VPN em viagens, com backups verificados antes de embarque.
Prática 5. Sucessão digital como extensão da governança patrimonial
O planejamento sucessório precisa incluir ativos digitais, contas internacionais e documentos em nuvem. Inventário digital, acessos delegados e instruções formais a trustees fortalecem a continuidade. Estruturas de custódia para criptoativos já são comuns em ambientes maduros.
O papel do family office no apoio à governança cibernética
Family offices atuam como coordenadores da governança, definindo protocolos e orchestrando auditorias dos prestadores. Em mercados avançados, a proteção é estruturada em três camadas: segurança técnica externa, simulações periódicas e gestão ativa da presença digital. A função tende a tornar-se formal dentro da governança familiar, preparando-se para responder de forma planejada a incidentes.
Co-autores: João Brasio, especialista em cibersegurança e CEO da Elytron CyberSecurity; Rafael Albuquerque, advogado em Governança Corporativa e diretor institucional da Calix Family Office.
Entre na conversa da comunidade