Um músico da Carolina do Norte declarou-se culpado depois de admitir que obteve milhões de dólares por meio de uma fraude sofisticada contra os serviços de streaming: gerou e subiu centenas de milhares de pistas criadas por inteligência artificial, depois as fez soar de forma artificial milhares de milhões de vezes com redes de bots para cobrar as royalties. De acordo com os documentos judiciais, o esquema operou durante vários anos e explodiu as regras de pagamento de plataformas como Spotify, Apple Music, Amazon Music e YouTube Music.
O valor económico não é menor: falamos de mais de 10 milhões de dólares Em pagamentos de royalties que o acusado conseguiu através deste sistema. O Departamento de Justiça e o gabinete do procurador federal do Distrito Sul de Nova Iorque publicaram informações sobre a acusação e os papéis do caso; consultar o comunicado oficial na web do governo ( comunicado do Departamento de Justiça) e os documentos do tribunal que se desvelaram ao iniciar a causa ( documentos judiciais).
O modus operandi combinou dois elementos: por um lado, a produção massiva de canções com ferramentas de IA e, por outro, a utilização de contas automatizadas para inflar reproduções. Fontes do caso detalham que o acusado comprou grandes lotes de pistas geradas por uma terceira pessoa e as subiu aos catálogos de streaming. Para que essas pistas contabilizassem reproduções e geraram pagamentos, recorreu a bots que simulavam escutas de muitas direções diferentes, usando serviços em nuvem e redes privadas virtuais (VPN) para tentar contornar os sistemas antifraude das plataformas.
Racionalidade da fraude: Os e-mails e registros do próprio acusado mostram que a estratégia buscava "muito conteúdo com poucas reproduções por pista" para evitar alarmes: isto é, multiplicar as canções e repartir as escutas para que o conjunto sumara quantidades enormes sem disparar detecções por picos em temas concretos. Em seu momento chegou a gerenciar centenas de contas na nuvem e a coordenar mais de mil bots simultâneos, com cálculos internos sobre quantas pistas poderia reproduzir cada bot por dia e quais renda média gerariam esses volumes.
Os números que figuram no dossiê são ilustrativos da escala: o acusado projetou operar dezenas de contas na nuvem, cada uma com múltiplos bots, e estimou que o conjunto poderia gerar várias centenas de milhares de streams diários. Com uma estimativa conservadora do pagamento por reprodução, esses números seriam traduzidos em milhares de dólares diários e centenas de milhares mensais, segundo seus próprios cálculos. Em e-mails posteriores também se jatou de que o projeto tinha acumulado milhares de milhões de streams e pagamentos milionários desde 2019, segundo os fiscais.
Por que isso prejudica a indústria? Porque as plataformas repartem dinheiro que sai das assinaturas e da publicidade; quando se pagam por reproduções fraudulentas, esse dinheiro deixa de chegar a artistas, produtores e titulares legítimos. Além do impacto económico directo, a fraude mascarada de dados de consumo reais dificulta a detecção de tendências e erosiona a confiança entre criadores e serviços de distribuição digital.
Diante desse tipo de abuso, as plataformas oferecem ferramentas e políticas para identificar comportamento anormais e depurar métricas. Spotify, por exemplo, tem guias e processos para contabilizar e distribuir royalties e para investigar atividades suspeitas em contas de artistas ( explicação de royalties no Spotify for Artists). No entanto, o caso evidencia que a combinação de IA gerativa e redes automatizadas complica a detecção: é uma corrida entre as técnicas de fraude e os mecanismos de controle.
Do ponto de vista legal, o acusado declarou-se culpado de um cargo de conspiração para cometer fraude eletrônica e aceitou um decomissão por mais de 8 milhões de dólares; além disso, enfrenta uma pena máxima de até cinco anos de prisão. O gabinete do promotor destacou que, embora as canções e os ouvintes fossem fictícios, as perdas para os legítimos titulares de direitos foram reais, e a ação penal busca tanto a restituição como a dissuasão ( comunicado do fiscal).
Além do castigo individual, este episódio abre uma discussão mais ampla sobre como regular e auditar cadeias de valor onde a inteligência artificial pode gerar conteúdo sem autoria humana clara. As instituições públicas e os organismos que gerem direitos de autor devem adaptar-se: sistemas de verificação de procedência, metadados mais fiáveis e processos de auditoria ágil tornam-se ferramentas necessárias para proteger criadores e consumidores. Para quem quiser aprofundar o quadro legal e as possibilidades de defesa de obras, a Serviço de Direitos Autorais dos EUA. EUA. Oferece recursos e guias sobre registro e proteção.
Este caso também sublinha a importância da transparência nos pagamentos e da colaboração entre plataformas, editoras e organismos de gestão colectiva. As empresas que pagam royalties devem investir em sistemas de detecção mais sofisticados e em protocolos que permitam verificar a autenticidade de um catálogo de maneira eficiente. E os artistas, por sua vez, devem estar atentos aos seus relatórios, registram suas obras corretamente e recorrem às organizações de gestão coletiva para auditar rendimentos suspeitos.
Em suma, o que aconteceu não é apenas uma fraude técnica: é uma chamada de alerta sobre como a inteligência artificial multiplica vectores de abuso em indústrias baseadas em métricas digitais. A solução não passa por uma única tecnologia, mas por uma combinação de melhores controlos, cooperação entre actores e quadros legais atualizados que permitam sancionar rapidamente e restaurar os fundos desviados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...