A verificação remota de identidade agora se baseia na captura de documentos, na verificação por selfie e na comparação facial automatizada em grande escala. Os processos tradicionais de KYC (Conheça seu Cliente) e a comparação facial básica foram criados para confirmar a semelhança e a autenticidade dos documentos, e não para comprovar que a imagem capturada pela câmera é genuína ou que o material enviado não foi alterado sinteticamente. O NIST agora alerta que a verificação remota é vulnerável à injeção digital e à mídia falsificada, e observa explicitamente que a comparação biométrica por si só não impede esses ataques. Ao mesmo tempo, pesquisas do governo do Reino Unido apontam para uma demanda crescente por controles contra deepfakes em fraudes de identidade, apropriação de contas e fraudes de identidade sintética em serviços financeiros. É por isso que uma solução de verificação de identidade anti-deepfake passou de recurso de segurança a requisito operacional.
Os deepfakes estão se tornando cada vez mais sofisticados, aumentando o risco de fraudes e manipulação de identidade em ambientes digitais. Baixe nosso guia de 10 etapas para aprender como detectar ameaças antecipadamente e proteger sua organização com práticas recomendadas comprovadas.
Como os ataques modernos comprometem as pilhas de integração vulneráveis
A ENISA identifica ataques com fotos, reprodução de vídeos, máscaras 3D e ataques deepfake como os principais riscos na verificação remota de identidade. Os materiais do NIST sobre métodos de injeção acrescentam outra verdade incômoda: os invasores podem usar câmeras virtuais, emuladores de dispositivos, hooking de funções ou substituição do feed da câmera por meio de um ataque man-in-the-middle, de modo que o verificador receba mídia manipulada que pareça vir de um sensor real. Quando isso acontece, a falsificação de identidade torna-se escalável. O ataque não tem mais como alvo apenas o comparador; ele tem como alvo o próprio fluxo de mídia.
O que distingue uma solução robusta contra deepfakes
Uma solução confiável combina a detecção de deepfakes para verificação de identidade com a detecção biométrica de vida, a detecção de ataques de apresentação em conformidade com a norma ISO/IEC 30107-3 e resistência explícita a ataques de injeção. No âmbito da estrutura ISO PAD, as questões relevantes são se as apresentações de ataque são aceitas indevidamente e se usuários genuínos são rejeitados indevidamente, em vez de se um fornecedor alega “alta precisão de IA”. Na prática, o software de detecção de vida facial deve ser testado de forma independente, operar durante a sessão de verificação e resistir tanto a ataques de apresentação na frente da câmera quanto a mídia injetada digitalmente por trás dela. As orientações mais recentes do NIST também esperam controles que aumentem a confiança de que a mídia está vindo de um sensor genuíno, incluindo verificações de câmeras virtuais, emuladores e dispositivos desbloqueados.
Obtenha uma demonstração personalizada da nossa plataforma biométrica sem contato e veja como ela se adapta ao seu caso de uso específico.
Garantia passiva, questionamento ativo quando o risco é maior
A ENISA distingue entre verificação passiva e ativa. As verificações passivas não exigem nenhuma ação do usuário e analisam sinais involuntários ou artefatos de deepfake, enquanto as verificações ativas introduzem movimentos ou interações aleatórias para dificultar a reprodução e a falsificação de baixa complexidade. Para o processo de cadastro em fintechs sensíveis à conversão, esse equilíbrio é importante. As verificações passivas costumam ser a melhor opção padrão, pois reduzem o atrito.
A arquitetura e a privacidade determinam se a segurança é escalável
A qualidade da detecção é apenas metade da equação. Os fluxos de integração de grande volume também exigem baixa latência, custos operacionais previsíveis e um modelo de privacidade capaz de resistir a uma análise regulatória. As orientações oficiais do Reino Unido estabelecem que os dados biométricos utilizados para identificar alguém de forma exclusiva são dados de categoria especial, o que significa que as organizações precisam de uma base legal, uma condição específica para o processamento e medidas de proteção reforçadas. O Comitê Europeu de Proteção de Dados também enfatiza que a privacidade desde a concepção é obrigatória e afirmou que os modelos de armazenamento biométrico são mais defensáveis quando os dados permanecem nas mãos do indivíduo ou quando apenas o indivíduo controla a chave. Isso torna o processamento no dispositivo estrategicamente atraente: ele pode reduzir a dependência do servidor, limitar a exposição dos dados e diminuir os custos de infraestrutura ao mesmo tempo.
A lição estratégica para o setor de fintech, o setor bancário e o governo
Uma solução de verificação de identidade contra deepfakes já não se define apenas pela precisão da detecção. O verdadeiro diferencial reside na eficácia com que integra segurança, escalabilidade e experiência do usuário em um único modelo operacional.
É aqui que plataformas como a Identy.io mostram o rumo que o setor está tomando.
Ao combinar a segurança da verificação de identidade baseada em IA com o processamento biométrico no próprio dispositivo, a Identy resolve vários desafios estruturais dos sistemas de identidade modernos:
- Superfície de ataque reduzida: o processamento de dados biométricos diretamente no dispositivo do usuário minimiza a exposição a ataques de injeção, violações de servidores e manipulação do tipo “man-in-the-middle”.
- Detecção de deepfakes e de autenticidade em tempo real: o software integrado de detecção biométrica de autenticidade e de detecção de autenticidade facial opera durante o processo de captura, permitindo a detecção imediata de ataques de apresentação e injeção sem depender de pós-processamento.
- Menor latência e maior taxa de conversão: a eliminação das dependências do lado do servidor reduz os atrasos nos fluxos de integração, impactando diretamente as taxas de conclusão dos usuários em fintech e serviços digitais.
- Infraestrutura escalável: uma arquitetura sem servidor elimina a necessidade de processamento pesado no back-end, permitindo que as organizações ampliem a verificação de identidade sem aumentos proporcionais nos custos de infraestrutura.
- Conformidade com o conceito de “privacidade desde a concepção”: Manter os dados biométricos no próprio dispositivo está em conformidade com os princípios do RGPD e reduz os riscos regulatórios, especialmente ao lidar com identificadores biométricos sensíveis.
Em conformidade com normas como a ISO/IEC 30107-3, as Diretrizes de Identidade Digital do NIST e as estruturas da FIDO, essa abordagem reflete uma mudança mais ampla: os sistemas de verificação de identidade devem agora garantir não apenas a identidade em si, mas também a integridade de todo o fluxo de captura e processamento.
Para os tomadores de decisão, a implicação é clara. A questão já não é se se deve implementar a detecção de deepfakes para verificação de identidade, mas sim como implementá-la de forma a preservar a experiência do usuário, garantir a conformidade e escalar de maneira sustentável.
Obtenha uma demonstração personalizada da nossa plataforma biométrica sem contato e veja como ela se adapta ao seu caso de uso específico.
Bibliografia
- NIST – https://www.nist.gov
- ENISA – https://www.enisa.europa.eu
- Comitê Europeu de Proteção de Dados – https://www.edpb.europa.eu
- ICO – https://ico.org.uk
- Aliança FIDO – https://fidoalliance.org
