A autenticidade biométrica é tão segura quanto sua capacidade de distinguir uma pessoa real de uma falsificação. À medida que os invasores passam de fotos impressas para máscaras 3D de silicone e deepfakes, a detecção de ataques de apresentação (PAD) — a tecnologia que impede essas falsificações — tornou-se um requisito essencial para qualquer sistema sério de verificação de identidade.
A ISO/IEC 30107-3 é a norma internacional que define como o PAD é testado, e sua conformidade com os Níveis 1, 2 e 3 constitui o padrão mínimo exigido em setores regulamentados — como o bancário, o governamental e o de telecomunicações —, sendo agora considerada a referência. A tecnologia biométrica facial da Identy.io foi certificada de forma independente pela iBeta de acordo com a ISO/IEC 30107-3 Níveis 1 e 2, com nota máxima (0% de Taxa de Correspondência de Apresentação de Ataque de Impostor). Esta página explica o que isso significa, como a norma funciona e por que isso é importante quando você está escolher um fornecedor de biometria.
Os deepfakes estão se tornando cada vez mais sofisticados, aumentando o risco de fraudes e manipulação de identidade em ambientes digitais. Baixe nosso guia de 10 etapas para aprender como detectar ameaças antecipadamente e proteger sua organização com práticas recomendadas comprovadas.
O que é a norma ISO/IEC 30107-3?
A norma ISO/IEC 30107-3 faz parte da família de normas ISO/IEC 30107 sobre detecção de ataques de apresentação biométrica. A família é composta por três partes:
- Parte 1 (ISO/IEC 30107-1): Estrutura — define os conceitos e a terminologia dos ataques de apresentação.
- Parte 2 (ISO/IEC 30107-2): Formatos de dados — especifica como os dados relacionados ao PAD são trocados entre sistemas.
- Parte 3 (ISO/IEC 30107-3): Testes e relatórios — a metodologia utilizada pelos laboratórios de testes para avaliar se um sistema biométrico é capaz de distinguir com confiabilidade um ser humano real de uma falsificação. A Parte 3 é a que importa para a certificação. Ela define as métricas, o protocolo de teste e as categorias de ataques (“Instrumentos de Ataque de Apresentação”, ou PAIs) que um sistema deve suportar. Sem uma metodologia comum, as alegações dos fornecedores de “anti-spoofing” não poderiam ser comparadas objetivamente.
A norma se aplica a todas as principais modalidades biométricas: rosto, impressão digital, íris, voz e palma da mão. Atualmente, a certificação mais comum é para o reconhecimento facial e a verificação de vitalidade facial, pois o rosto é a modalidade mais vulnerável a ataques.
Dois indicadores principais medem o desempenho do PAD de acordo com a norma ISO/IEC 30107-3:
- IAPMR (Imposter Attack Presentation Match Rate): a proporção de ataques de falsificação que o sistema aceita erroneamente como legítimos. Quanto menor, melhor.
- BPCER (Taxa de Erro de Classificação de Apresentação de Boa-Fé): a porcentagem de usuários legítimos que o sistema rejeita indevidamente. Quanto menor, melhor.
Um sistema só funciona bem quando ambos os números permanecem baixos ao mesmo tempo.
PAD Nível 1 x Nível 2: Qual é a diferença?
Os níveis referem-se ao grau de sofisticação dos ataques contra os quais um sistema é testado. Ambos os níveis utilizam as mesmas métricas subjacentes; a diferença reside na dificuldade dos PAIs e no critério de aprovação.
| Aspecto | Nível 1 | Nível 2 |
|---|---|---|
| Tipos de ataque testados | Básico — fotos impressas, capturas de tela, máscaras simples de papel ou borracha | Avançado — Máscaras 3D de silicone e resina, impressões personalizadas de alta resolução, replays dinâmicos em vídeo, mídia sintética no estilo deepfake |
| Esforço e custo para produzir as paródias | Baixa; materiais de qualidade comum | Significativo; fabricação especializada e trabalho especializado |
| O que a passagem comprova | O sistema resiste a tentativas de falsificação casuais ou oportunistas | O sistema resiste a ataques organizados, profissionais e bem financiados |
| Casos de uso típicos | Aplicativos para consumidores, autenticação de baixo risco | Integração bancária, identidade digital governamental, KYC no setor de telecomunicações, transações de alto valor |
| Requisito comum dos compradores | Suficiente para produtos de consumo de baixo risco | O padrão de fato para setores regulamentados |
Na prática, o Nível 1 é o nível básico, e o Nível 2 é o que os compradores em setores regulamentados realmente exigem. Um invasor determinado, mesmo com um orçamento modesto, geralmente consegue burlar um sistema de Nível 1. O Nível 2 foi projetado para impedir o tipo de ataque no qual uma quadrilha de fraudadores realmente investiria: uma máscara de silicone de US$ 2.000, um fluxo de trabalho de deepfake de ponta, um ataque de repetição coordenado.
Para ser aprovado no Nível 2, um sistema deve detectar todas as tentativas de falsificação nas categorias de PAI testadas — o critério para uma pontuação perfeita é 0% de IAPMR —, mantendo ao mesmo tempo um baixo índice de rejeições indevidas de usuários legítimos.
Obtenha uma demonstração personalizada da nossa plataforma biométrica sem contato e veja como ela se adapta ao seu caso de uso específico.
Quem realiza os testes da norma ISO 30107-3? Entendendo a iBeta e o NIST
Há uma confusão frequente sobre quem, de fato, emite as certificações ISO 30107-3; por isso, é importante esclarecer esse ponto.
Os testes de conformidade com a norma ISO 30107-3 são realizados por laboratórios de testes independentes. O mais reconhecido no setor de biometria é o iBeta Quality Assurance, um laboratório sediado nos Estados Unidos, credenciado pelo NIST no âmbito do Programa Nacional de Credenciamento Voluntário de Laboratórios (NVLAP) para testes biométricos.
O processo é simples:
- O fornecedor envia seu SDK biométrico ao laboratório.
- O laboratório realiza uma série de ataques de apresentação no nível relevante (1 ou 2), utilizando um conjunto definido de PAIs.
- O laboratório registra a resposta do sistema e calcula o IAPMR e o BPCER. Se o sistema
- Se o produto atender aos critérios de conformidade, o laboratório emite uma Carta de Conformidade fazendo referência à norma ISO/IEC 30107-3 e ao nível alcançado.
Algumas esclarecimentos que os compradores costumam precisar:
- O NIST não emite diretamente certificações ISO 30107-3. O NIST credencia laboratórios (como a iBeta) que realizam os testes. Quando um fornecedor menciona o “NIST” neste contexto, isso normalmente significa que o produto foi testado por um laboratório credenciado pelo NIST/NVLAP de acordo com a norma ISO 30107-3.
- A conformidade com a norma ISO 30107-3 difere das avaliações FRTE/FRVT do NIST. O NIST realiza suas próprias avaliações de reconhecimento facial, que medem a precisão do reconhecimento, em vez da proteção contra falsificação. Ambas são reconhecidas; elas medem aspectos diferentes.
- As cartas de conformidade são datadas e têm um escopo definido. Ao avaliar fornecedores, solicite a carta e verifique a data do teste e as categorias específicas do PAI incluídas.
Por que a norma ISO/IEC 30107-3 Nível 2 é importante para as áreas de compras e conformidade
É aqui que a norma deixa de ser um detalhe técnico para se tornar uma exigência comercial.
Nos setores regulamentados, a norma ISO 30107-3 Nível 2 tornou-se a referência para a aquisição de sistemas de verificação de identidade biométrica:
- Serviços bancários e financeiros. As regulamentações contra lavagem de dinheiro (AML) e de conhecimento do cliente (KYC) exigem cada vez mais a comprovação de capacidade de combate à falsificação de identidade para a integração remota. A norma ISO 30107-3 Nível 2 é a comprovação exigida nas solicitações de propostas.
- Governo e identidade digital. Os programas nacionais de identificação digital, os serviços de governo eletrônico e os sistemas eleitorais exigem uma verificação de identidade resistente a deepfakes. O Nível 2 resolve a questão da aquisição no âmbito do PAD.
- Telecomunicações. A ativação de cartões SIM, a integração de clientes e a prevenção da troca indevida de cartões SIM são regulamentadas na maioria dos países. Os órgãos reguladores nacionais e as diretrizes da GSMA promovem a padronização dos testes de autenticação de cartões SIM (PAD).
- Segurança corporativa e identidade dos funcionários. À medida que aumentam os casos de apropriação de contas impulsionados por IA, as equipes de segurança agora exigem a autenticação de dois fatores (PAD) de nível 2 para acessos com privilégios elevados e autenticação de funcionários remotos.
Um erro comum durante a seleção de fornecedores é considerar que “temos detecção de atividade” é o mesmo que “temos a certificação ISO 30107-3 Nível 2”. Não são a mesma coisa. Muitos fornecedores implementam a detecção de atividade sem nunca submetê-la a testes independentes — ou realizam testes apenas no Nível 1.
Ao avaliar um fornecedor de soluções biométricas, as perguntas práticas a se fazer são:
- O sistema foi testado de acordo com a norma ISO/IEC 30107-3? Em que nível?
- Qual laboratório realizou os testes, e ele é credenciado pelo NIST/NVLAP ou pela FIDO?
- Qual foi a data e o escopo do teste (quais categorias do PAI, quais modalidades biométricas)?
- Você poderia compartilhar a carta de conformidade?
- A certificação abrange o componente específico (reconhecimento facial, impressão digital, etc.) que você pretende implementar?
- Um fornecedor capaz de responder a essas perguntas com clareza deve, sem dúvida, fazer parte da lista de finalistas. Um fornecedor que não consiga, não deve.
Como a Identy.io obteve a certificação PAD de nível 2 com nota máxima
A tecnologia de verificação de vitalidade facial da Identy.io — integrada ao nosso SDK de reconhecimento facial e à nossa plataforma de verificação de identidade — foi testada de forma independente pela iBeta de acordo com a norma ISO/IEC 30107-3, Níveis 1 e 2, obtendo uma pontuação perfeita: 0% de IAPMR em todas as categorias de PAI testadas.
Na prática, todas as tentativas de falsificação apresentadas ao sistema durante os testes foram identificadas corretamente, incluindo:
- Máscaras 3D de silicone e resina (hiper-realistas, feitas sob medida)
- Imagens impressas em alta resolução e reproduzidas na tela
- Ataques com apresentações de vídeo dinâmicas
- Conteúdos sintéticos, incluindo ataques do tipo deepfake
- A certificação abrange o componente de verificação de vitalidade facial da Identy.io, disponível em toda a família de SDKs biométricos da Identy — incluindo o Finger SDK, o Facial Recognition SDK e o Palm SDK — e como parte de nossa plataforma completa de verificação de identidade.
O que isso significa para nossos clientes:
- Os compradores dos setores bancário, governamental e de telecomunicações podem implementar o Identy.io com a certeza de que a camada anti-spoofing atende aos padrões exigidos pelos órgãos reguladores.
- As equipes de segurança e compras podem documentar a conformidade com base em uma carta de conformidade emitida por uma entidade independente.
- Essa mesma certificação de autenticidade está na base do trabalho mais amplo da Identy.io em detecção de deepfakes, fechando o ciclo no combate à fraude de identidade impulsionada por IA.
Obtenha uma demonstração personalizada da nossa plataforma biométrica sem contato e veja como ela se adapta ao seu caso de uso específico.
Perguntas frequentes sobre a norma ISO/IEC 30107-3 PAD Nível 2
O que é a norma ISO/IEC 30107-3?
A ISO/IEC 30107-3 é a norma internacional que define como testar e relatar a detecção de ataques de apresentação (PAD) em sistemas biométricos. Ela especifica as métricas, a metodologia de teste e os Instrumentos de Ataque de Apresentação (PAIs) utilizados para avaliar se um sistema biométrico é capaz de distinguir de forma confiável um ser humano real de uma falsificação.
Qual é a diferença entre o Nível 1 e o Nível 2 da PAD?
O Nível 1 testa os sistemas biométricos contra formas básicas e de baixo custo de falsificação, como fotos impressas e gravações de tela. O Nível 2 testa contra ataques muito mais sofisticados, incluindo máscaras 3D de silicone, impressões personalizadas e mídia sintética do tipo deepfake. O Nível 2 é o requisito padrão em setores regulamentados, como o bancário, o governamental e o de telecomunicações.
A norma ISO 30107-3 é equivalente à certificação do NIST?
Não. O NIST não emite certificações ISO 30107-3 diretamente. O NIST credencia laboratórios independentes, como o iBeta, no âmbito do programa NVLAP, e esses laboratórios realizam os testes de conformidade com a norma ISO 30107-3. O NIST também realiza suas próprias avaliações de reconhecimento facial (FRTE/FRVT), que medem a precisão do reconhecimento, em vez da proteção contra falsificação.
Qual é o prazo de validade da certificação ISO 30107-3?
As cartas de conformidade com a norma ISO 30107-3 fazem referência a uma data e a um escopo específicos de teste. Não há prazo de validade formal, mas o setor de biometria geralmente considera as certificações com mais de dois ou três anos como desatualizadas, dada a rapidez com que as técnicas de ataque evoluem. Os fornecedores costumam realizar novos testes à medida que seus sistemas são atualizados.
A norma ISO 30107-3 abrange os deepfakes?
Sim, no Nível 2. As categorias de PAI testadas no Nível 2 incluem ataques de apresentação sintéticos e baseados em vídeo, que abrangem a falsificação do tipo deepfake. Os testes do Nível 1 geralmente não abrangem esses casos.
Quais modalidades biométricas podem ser certificadas segundo a norma ISO 30107-3?
A norma se aplica a todas as principais modalidades biométricas — rosto, impressão digital, íris, voz e palma da mão. Atualmente, o rosto é a modalidade mais comumente certificada, pois é a mais vulnerável a ataques.
Como posso verificar a certificação ISO 30107-3 de um fornecedor?
Solicite ao fornecedor a carta de conformidade emitida pelo laboratório de testes. A carta deve mencionar a norma (ISO/IEC 30107-3), o nível de conformidade alcançado, a data do teste, as categorias PAI testadas e o componente biométrico específico abrangido. A menção do nome de um laboratório credenciado pelo NIST/NVLAP ou pela FIDO na carta confirma que os testes foram realizados de forma independente.
A certificação ISO 30107-3 Nível 2 é obrigatória para o setor bancário ou para o governo?
Cada vez mais, sim. Os requisitos específicos variam de acordo com a jurisdição, mas os órgãos reguladores e as equipes de compras nos setores bancário, de fintech, de identidade digital governamental, de sistemas eleitorais e de telecomunicações geralmente consideram o Nível 2 como a expectativa básica para a proteção contra falsificação em qualquer sistema de cadastro ou autenticação biométrica.
Bibliografia
- As normas, orientações regulatórias e metodologias de ensaio mencionadas nesta página estão disponíveis nas seguintes fontes primárias.
- Organização Internacional de Normalização. ISO/IEC 30107-3:2023 — Tecnologia da informação — Detecção de ataques de apresentação biométrica — Parte 3: Ensaios e relatórios. iso.org/standard/79520.html
- Organização Internacional de Normalização. ISO/IEC 30107-1:2023 — Tecnologia da informação — Detecção de ataques de apresentação biométrica — Parte 1: Estrutura. iso.org/standard/83828.html
- Organização Internacional de Normalização. ISO/IEC 30107-2:2017 — Tecnologia da informação — Detecção de ataques de apresentação biométrica — Parte 2: Formatos de dados. iso.org/standard/67380.html
- Garantia de Qualidade iBeta. Cartas de confirmação de detecção de ataques de apresentação conforme a norma ISO 30107-3. ibeta.com
- Instituto Nacional de Padrões e Tecnologia. Programa Nacional de Acreditação Voluntária de Laboratórios (NVLAP). nist.gov/nvlap
- Instituto Nacional de Padrões e Tecnologia (2025). Publicação Especial 800-63 do NIST, Revisão 4 — Diretrizes para Identidade Digital. pages.nist.gov/800-63-4
- Busch, C. & Thieme, M. Norma ISO/IEC 30107-3 para testes de detecção de ataques de apresentação. Conferência Internacional sobre Testes de Desempenho Biométrico, NIST. nist.gov
