.
O uso de selfies para verificar identidade online é uma tendência emergente em algumas partes do mundo desde que a pandemia forçou mais negócios a se tornarem digitais. Alguns bancos – e até mesmo governos – começaram a exigir imagens ao vivo pelo Zoom ou similar para participar da economia moderna. A pergunta deve ser feita, no entanto: é ciberinteligente?
Na última segunda-feira, o Vietnã, país do sudeste asiático, começou a exigir escaneamento facial em aplicativos bancários por telefone como prova de identidade para todas as transações digitais de cerca de US$ 400 ou mais.
Os moradores do país não podem optar por não cumprir as regras bancárias, apesar do Vietnã frequentemente ter uma classificação ruim quando o assunto é privacidade na internet ou segurança cibernética.
A mídia local ponderou para sugerir que selfies não melhorarão a segurança. E poucos dias após o novo regime, alguns aplicativos já foram chamados por aceitar fotos estáticas em vez de uma imagem ao vivo do indivíduo.
As preocupações não se limitam ao Vietnã. No final do mês passado, a empresa de segurança cibernética dos EUA, Resecurity, sinalizou preocupações semelhantes quando encontrou um pico de documentos de identidade vazados contendo selfies de cingapurianos na dark web.
Muitas dessas selfies foram fornecidas a provedores de fintech e e-commerce e vazaram mais tarde. A Resecurity afirmou que algumas foram capturadas por grupos de crimes cibernéticos que administram golpes falsos de telemarketing ou suporte ao cliente e coletam selfies para vendê-las a outros criminosos.
A ascensão das selfies para verificação de identidade
“O uso de selfies para verificação de identidade tem crescido constantemente nos últimos cinco anos, mas o ponto de inflexão foi durante a pandemia, quando as pessoas foram forçadas a se envolver digitalmente”, disse o vice-presidente analista da Gartner, Akif Khan. O registro.
Khan, que regularmente ajuda a orientar organizações no processo de implementação de autenticação baseada em selfies, classificou o interesse como “muito alto”. Ele viu um crescimento constante com um “aumento” recente.
A veterana da Fintech, especialista em políticas e CEO da consultoria New World Advisors Katie Mitchell concordou com Khan. “À medida que mais serviços financeiros estão online, houve uma necessidade de replicar serviços de abertura de conta para esse ambiente”, disse ela O registro.
“Posteriormente, agora há necessidade de prova de personalidade para muitas coisas que fazemos online.”
De acordo com Mitchell, os processos de combate à lavagem de dinheiro (AML) e de conhecimento do cliente (KYC) às vezes são cobertos por leis e órgãos de coordenação como a Força-Tarefa de Ação Financeira, uma organização intergovernamental de combate à lavagem de dinheiro.
Quem define os processos AML e KYC, eles raramente são interoperáveis globalmente – eles variam de acordo com a jurisdição e são constantemente atualizados.
“Separadamente, essas jurisdições terão leis de proteção de dados e privacidade também. Elas não se referem necessariamente aos processos de coleta biométrica que são necessários para verificação e abertura de conta de uma forma abrangente. Há uma lacuna na arbitragem aí”, explicou Mitchell
De acordo com o CISO da Acronis Kevin Reed, essa falta de regulamentação às vezes é o problema. Mas, em outras vezes, é a organização que coletou e gerenciou a selfie que está em falta.
“Obter uma selfie para fins de KYC não é um problema por si só – o problema é que esses dados não são tratados adequadamente e, em muitos casos, nunca são descartados após a conclusão da verificação”, disse Reed. O Reg. Esse dilema é agravado quando muitas pessoas têm acesso aos arquivos.
“Se eles tiverem algum valor para os criminosos — e um pacote de dados que permite que um criminoso conclua o KYC certamente é valioso — alguém tentará roubá-los”, explicou Reed.
O relatório da Resecurity apresentou um exemplo de um provedor de pagamentos digitais sediado em Cingapura cujo método de verificação de identidade envolvia um indivíduo segurando seu documento de identidade oficial junto com um pedaço de papel com uma mensagem específica escrita à mão.
Reed chamou esse método de “um pouco melhor” do que uma foto simples – mas não “uma melhoria significativa”, pois é facilmente editável.
“Eu diria que esse processo desencorajaria um invasor casual, mas qualquer um vagamente motivado encontraria uma maneira de contorná-lo”, disse Khan, da Gartner. O Reg de selfies estáticas. Em sua experiência, empresas que dependem de selfies estáticas simples são geralmente empresas menores que sofreram fraudes e implementaram uma medida paliativa baseada em selfies enquanto se esforçam para colocar uma solução adequada em prática.
As verificações de atividade fazem parte da solução
Os clientes de Khan usam fornecedores cujo produto inclui verificações de vivacidade integradas em sites ou aplicativos móveis. O processo de autenticação de que a imagem é uma pessoa real em tempo real é tipicamente completamente terceirizado.
O terceirizado procurará marcadores na identidade, como um holograma, recursos de segurança, a maneira como a luz reflete, além da profundidade e das bordas de uma credencial física.
Eles também frequentemente exigirão um vídeo do indivíduo que está passando pelo exame – pedindo uma expressão facial ou um virar de cabeça. Alguns exames de vivacidade até procuram por sinais de fluxo sanguíneo.
Depois que a vitalidade é determinada e o documento de identidade é considerado não falsificado, a biometria é comparada ao documento de identidade.
E como o fornecedor controla a captura, ele pode até detectar ataques de injeção de deepfake.
O processo inteiro geralmente será auxiliado por machine learning e normalmente leva menos de 20 segundos para ser concluído. Os fornecedores armazenam os dados por um período de tempo definido ou os expurgam imediatamente.
Fotos de verificação na dark web podem ser inúteis
Khan acredita que a preocupação com o roubo de identidade por meio de imagens estáticas e documentos de identificação encontrados na dark web é exagerada, já que a maioria das entidades exigirá verificações de integridade para abrir contas bancárias e outras tarefas.
As imagens planas sobre as quais a Resecurity alertou, portanto, tornam-se cada vez mais inúteis à medida que as verificações de atividade evoluem.
“Eu trabalho com segurança – nada é infalível”, admitiu Khan. Ele acrescentou que a preocupação real é o que acontece quando medidas de acessibilidade, diversidade e inclusão entram em jogo.
É importante garantir que todas as pessoas possam acessar adequadamente esses sistemas de verificação, mas, ao criar processos de exceção para garantir que todos os usuários possam empregar verificações de atividade, os fornecedores precisam ter cuidado para não criar inadvertidamente uma solução alternativa.
Ele alertou: “Você precisa pensar em como ser inclusivo e, ao mesmo tempo, impedir que um agente de ameaça finja estar fingindo.” ®
.
