O Google entrou com uma ação judicial histórica contra uma rede de cibercrime baseada na China chamada "Outsider Enterprise", marcando a primeira vez que a gigante tecnológica processou legalmente atores de ameaças por instrumentalizar sua própria plataforma de IA Gemini para conduzir campanhas de phishing em larga escala contra consumidores dos EUA. A Outsider Enterprise opera como uma plataforma sofisticada de phishing-as-a-service (PhaaS), coordenando operações por meio de canais do Telegram e distribuindo kits de phishing prontos para afiliados criminosos.
Gemini instrumentalizado para ataques cibernéticos
O que distingue essa operação da infraestrutura de phishing convencional é o abuso deliberado de IA. De acordo com a queixa do Google, membros da Outsider Enterprise encorajaram ativamente uns aos outros a usar o Gemini para gerar código personalizado para sites de phishing, que foi então importado diretamente para o software suite Outsider e convertido em páginas de golpe ao vivo. A Enterprise efetivamente industrializou a fraude, reduzindo a barreira técnica para quase zero, transformando a própria IA generativa do Google em uma fábrica de código malicioso.
O escopo do dano é impressionante: 2,5 milhões de mensagens de smishing foram enviadas para usuários de Android em apenas um período de duas semanas em maio de 2026. 55.000 mensagens de spam foram sinalizadas por usuários de Android durante a mesma janela de duas semanas, com mais de duas reclamações por minuto. Mais de 9.000 sites falsos e mais de 1 milhão de URLs fraudulentas estão ligados à rede. Centenas de milhares de vítimas foram fraudadas financeiramente, com perdas totais estimadas em milhões.
Ação legal e precedentes
O Google apresentou a queixa no Tribunal Distrital dos EUA para o Distrito Sul de Nova York, buscando danos e alívio injuntivo sob o Racketeer Influenced and Corrupt Organizations (RICO) Act e o Lanham Act. A Divisão de Cibercrime do FBI está conduzindo ações paralelas de aplicação da lei, com o Diretor Assistente Brett Leatherman reconhecendo que criminosos "cada vez mais usam IA para tornar a fraude mais convincente e mais difícil de detectar". O Google está simultaneamente trabalhando com AT&T, T-Mobile e Verizon para interceptar e bloquear mensagens fraudulentas no nível da operadora antes que elas alcancem os usuários finais.
O Google está apoiando sete projetos de lei bipartidários que visam golpes impulsionados por IA, incluindo o Stop SCAMS Act, que criaria uma estratégia nacional coordenada unindo aplicação da lei, agências governamentais e indústria privada para combater redes de cibercrime transnacionais. Este processo estabelece um precedente legal significativo: plataformas de IA podem e serão usadas como fundamentos executáveis para litígios civis quando atores de ameaças abusam de modelos generativos para escalar infraestrutura criminal, sinalizando uma nova frente na luta contra o cibercrime habilitado por IA.
Defesas e mitigação
No lado do produto, a detecção de golpes impulsionada por IA do Google no Android sinaliza ativamente conversas suspeitas durante chamadas, enquanto as defesas de mensagens integradas interceptam atualmente mais de 10 bilhões de mensagens maliciosas mensalmente. A empresa também desativou contas do Gemini e infraestrutura confirmadas como ligadas ao abuso do modelo. Para organizações, a lição é clara: a segurança de IA não é apenas uma questão de proteção de modelo, mas de monitoramento de uso e resposta a incidentes de abuso de API.
Implicações para a indústria
Este caso sinaliza uma mudança na postura de responsabilidade das empresas de tecnologia. A responsabilidade civil agora se estende ao uso malicioso de ferramentas de IA por terceiros. CISOs devem revisar como suas próprias ferramentas de IA são integradas em fluxos de trabalho de terceiros e implementar controles de uso aceitável rigorosos. A colaboração entre setor privado e governo, como visto nesta ação, deve se tornar a norma para combater ameaças transnacionais que utilizam tecnologia de ponta.