A selfie é o novo documento de identidade: por que a biometria deve ser contínua

Por Lukas Bayer

Cada parte de nossas vidas se desenvolve por meio de plataformas digitais, e para muitas pessoas se tornou o banco, o shopping, o supermercado, o corretor da bolsa e até mesmo a casa de apostas esportivas. A maioria de nós nem pensa duas vezes em usar nossos telefones celulares para realizar todos os tipos de transações financeiras, porque inerentemente confiamos neles. No entanto, os fraudadores aprenderam a quebrar esses processos , e isso se tornou um problema de bilhões de dólares.

A rápida adoção e as melhorias na inteligência artificial tornaram o trabalho dos criminosos mais fácil. Eles podem criar deepfakes que parecem reais, injetar imagens falsas em sistemas de verificação e reproduzir vídeos roubados que enganam a tecnologia de reconhecimento facial. Eles podem lançar ataques globais, sobrecarregar defesas construídas para uma era mais lenta e realizar roubo de identidade em escala industrial.

Os números mostram a mudança, e a Comissão Federal de Comércio relatou mais de 1,1 milhão de casos de roubo de identidade em 2024. Reguladores europeus citaram tentativas de spoofing biométrico como uma preocupação crescente no lançamento do eIDAS 2.0, a regulamentação que exige autenticação de alta segurança. A fraude não se limita mais a senhas roubadas e agora inclui identidades sintéticas, falsificações digitais e enganos impulsionados pela IA.

Métodos legados como senhas, códigos SMS e até mesmo perguntas baseadas em conhecimento dos usuários não conseguem acompanhar. Eles são frágeis, facilmente roubados e criam atrito para clientes reais que tentam se lembrar de onde passaram suas férias favoritas. O que é necessário é uma maneira mais forte e simples de provar a identidade repetidamente.

Essa solução já está nos encarando. A humilde selfie é a nova identidade.

O problema da confiança única

A maioria das empresas aplica a biometria apenas durante o onboarding. Um cliente tira uma foto de sua identidade, como uma carteira de motorista, e depois tira uma selfie. O sistema os compara e verifica a identidade. A confiança é estabelecida uma vez, e essa é frequentemente a última vez que esse tipo de verificação é feito. Os fraudadores exploram essa lacuna, porque após a criação da conta, credenciais fracas frequentemente controlam o acesso. Isso deixa as contas vulneráveis a phishing, preenchimento de credenciais e fraude sintética.

Em um exemplo de 2024, uma fintech dos EUA relatou um aumento de ataques usando vozes e rostos gerados por IA para contornar redefinições de senha. Os atacantes não tiveram problemas para passar pela autenticação de dois fatores baseada em SMS uma vez que estavam no sistema. Embora o processo de verificação inicial da organização fosse forte e ajudasse a ganhar a confiança dos usuários, logo se tornou vulnerável a explorações.

Essa “confiança única” não é mais suficiente. A verificação de identidade deve ser contínua e ser tão forte no dia 100 quanto no dia em que é criada.

O caso da biometria de ponta a ponta

A biometria deve abranger toda a jornada do cliente para proteger verdadeiramente tanto os clientes quanto as organizações com as quais eles transacionam, pois muitas vezes podem ser elas que arcam com o custo das perdas dos clientes – sem mencionar o custo de reputação a longo prazo que frequentemente sofrem. Em termos práticos, isso significa:

• Verificação no onboarding: Provar a identidade de um usuário quando ele se cadastra inicialmente.
• Autenticação para usuários recorrentes: Confirmar que a pessoa que retorna é a mesma que se inscreveu e que a imagem é real, não um ataque de tomada de controle.
• Proteção contínua: Detectar deepfakes, ataques de injeção e tentativas de repetição durante todo o ciclo de vida do cliente.

Fazer tudo isso cria e reforça a confiança contínua, pois a identidade se torna viva e contínua, não estática.

A selfie é central para esse processo. É intuitiva e portátil. As pessoas sabem como tirar uma selfie. Elas não a esquecem ou a perdem. As selfies também têm detecção de vivacidade extremamente forte, tornando-as a identificação mais confiável e fácil de usar disponível.

Por que a escolha da tecnologia importa

Nem todos os sistemas biométricos são criados iguais. Muitos provedores licenciam ou usam marca branca em sua tecnologia de identidade, o que pode limitar a flexibilidade e criar dependência. Quando as táticas de fraude evoluem, esses provedores frequentemente lutam para se adaptar em tempo hábil, deixando seus clientes (e, por extensão, a si mesmos) vulneráveis a novos vetores de ataque.

Uma solução de vivacidade construída para um propósito específico oferece vários benefícios, incluindo:

• Proteção contra ataques avançados de IA, como deepfakes ou injeção de vídeo.
• Controle sobre desempenho, precisão e viés.
• Inovação rápida, porque as atualizações não estão vinculadas a fornecedores terceirizados.

Esse nível de controle importa. Uma startup financeira líder na LATAM recentemente começou a usar detecção avançada de vivacidade e agora está detectando mais de 30% mais tentativas de fraude sofisticadas, incluindo ataques de injeção e deepfakes.

O caso de negócios para biometria contínua

Uma autenticação mais forte não é apenas sobre segurança. Ela impulsiona resultados de negócios mensuráveis para organizações que tomam essas medidas extras para proteger seus clientes e a si mesmas.

• Custo reduzido de perdas devido a fraude: As perdas por roubo de identidade apenas nos EUA excederam US$ 43 bilhões em 2022.
• Menor abandono de clientes: A reautenticação baseada em selfie é mais rápida do que inserir senhas ou esperar por códigos SMS e também aprofunda a confiança do cliente — 48% do abandono de carrinho é devido a preocupações de segurança.
• Integração mais simples: Um único provedor para onboarding e autenticação reduz a dívida técnica.
  Prontidão regulatória: PSD2 na Europa e eIDAS 2.0 exigem autenticação forte do cliente. Os reguladores de jogos e finanças do Brasil já estão exigindo verificação biométrica até 2025.

Exemplos do mundo real de confiança contínua

A fraude não é teórica. Os atacantes estão explorando métodos de autenticação fracos em muitas indústrias, enquanto as empresas que estendem a biometria além do onboarding estão vendo benefícios reais. Aqui estão alguns exemplos que mostram como a confiança contínua se manifesta na prática:

• Corretoras de criptomoedas: Em 2023, várias plataformas de criptomoedas relataram perdas multimilionárias após ataques de apropriação de contas. Criminosos usaram credenciais roubadas compradas na dark web e as combinaram com ferramentas impulsionadas por IA para imitar fotos e vozes de titulares de contas. As corretoras que dependiam apenas da autenticação de dois fatores baseada em SMS eram vulneráveis. Em contraste, uma corretora sediada na Ásia introduziu a reautenticação por selfie em cada retirada de alto valor. Isso reduziu as retiradas fraudulentas em mais da metade em seis meses.
• iGaming e apostas online: O setor de iGaming se tornou um alvo principal para fraudadores que criam várias contas falsas para explorar ofertas de bônus ou lavar dinheiro. Operadores que adicionaram reautenticação biométrica durante o login e os pagamentos conseguem cumprir as regulamentações e reduzir a fraude de múltiplas contas.
• Marketplaces: Marketplaces online enfrentam riscos persistentes de vendedores sintéticos. Fraudadores configuram contas com IDs roubados e depois desaparecem após fraudar compradores. Um marketplace peer-to-peer dos EUA introduziu verificações periódicas de selfie vinculadas à imagem de onboarding original. O sistema automaticamente sinalizou perfis suspeitos onde o usuário que retornava falhou na detecção de vivacidade. Em meses, a plataforma reduziu as reclamações de fraude de vendedores em dois dígitos e melhorou as pontuações de confiança do comprador.
• Serviços financeiros: Bancos brasileiros estão sob pressão de reguladores e do aumento de perdas por fraude, e várias instituições responderam exigindo reautenticação biométrica para atividades de alto risco, como solicitações de empréstimos e redefinições de senha. Isso ajudou os bancos a detectar esquemas de identidade sintética, onde fraudadores usavam rostos gerados por IA para contornar o onboarding e depois solicitavam múltiplas linhas de crédito. A verificação contínua por selfie criou uma barreira adicional que ataques automatizados não conseguiam quebrar facilmente.

Esses exemplos compartilham um fio comum — criminosos prosperam com autenticação fraca e única. Empresas que tornam a biometria contínua, colocando a selfie no centro da identidade, conseguem se antecipar à fraude e proteger clientes e receita.

Defesa multicamadas e inteligência de identidade

A biometria é poderosa, mas nenhuma camada isoladamente é suficiente. Os fraudadores não dependem de um único método de ataque, e os defensores não devem depender de um único método de defesa.

A abordagem mais forte combina:

• Biometria: Detecção de vivacidade baseada em selfie e correspondência facial.
• Sinais do dispositivo: Identificar se o dispositivo de login é confiável.
• Dados de rede: Detectar logins de endereços IP ou regiões de risco.
• Inteligência comportamental: Rastrear como um usuário interage com a empresa ao longo do tempo.
  Grafo de identidade: Inteligência obtida de interações legítimas e fraudulentas.

A combinação da garantia biométrica com uma inteligência de identidade mais ampla cria a linha de defesa mais forte. Isso torna a fraude mais fácil de detectar e os usuários legítimos mais fáceis de confiar.

Olhando para o futuro

A fraude continuará a evoluir. Deepfakes já estão disponíveis como serviço na dark web e identidades sintéticas são vendidas em massa. Criminosos estão se movendo mais rápido do que a maioria das empresas pode reagir, e empresas que tratam a identidade como um obstáculo estático colocam a si mesmas e seus clientes em perigo. Aquelas que fazem da biometria a base da confiança digital, a estendem a cada ponto de contato e a fortalecem com inteligência de múltiplas camadas melhorarão a retenção de clientes, minimizarão perdas financeiras e manterão a confiança de seus acionistas.

A selfie impulsionará essa mudança. É natural, universal e fácil de usar. Com as salvaguardas certas, ela se torna a forma mais confiável de identificação digital. Organizações que abraçam essa realidade não apenas deterão a fraude, mas também construirão confiança, reduzirão o atrito e se prepararão para o futuro da identidade digital.

Agora é a hora de repensar a autenticação. Entre em contato conosco para saber como colocar a biometria no centro de sua estratégia de confiança.