Artigo por Mario Cesar Santos, VP Global de Soluções da Aware
A suspeita da Polícia Federal de que 3 mil contas do gov.br foram alvo de fraudes na biometria coloca em pauta uma questão importante: ao mesmo tempo em que a tecnologia reduz drasticamente as fraudes e apresenta resultados positivos no setor privado, particularmente nos serviços financeiros, como garantir a qualidade da segurança biométrica no setor público?
Para responder a esta pergunta, devemos olhar os números de duas recentes pesquisas sobre o uso, confiança e privacidade na biometria:
O Identity Theft Resource Center (ITRC) entrevistou 1.177 pessoas nos EUA e descobriu que 69% dos entrevistados temem que seus dados biométricos possam ser comprometidos por pessoas de dentro da empresa fornecedora do serviço, enquanto 60% teme que os dados possam ser reutilizados para atividades não relacionadas à verificação de sua biometria.
Outro estudo, agora da Aware, aponta que as preocupações com a privacidade e uso indevido dos dados biométricos dos consumidores. Do total de 1 mil consumidores entrevistados nos EUA, 50% se autentica com biometria diariamente; a outra metade utiliza este recurso frequentemente ou sempre; com a esmagadora maioria (75%) apontando a biometria como sendo mais segura que as senhas tradicionais; e 40% manifestando forte preocupação com o possível uso indevido e violação dos seus dados biométricos.
A fragilidade da autenticação biométrica detectada no caso revelado pela PF e pelo fato de o INSS ter autorizado que associações de aposentados pudessem, elas mesmas, validar a biometria para acessar os dados dos pensionistas, mostra que é necessário adotar políticas de segurança biométrica mais eficazes.
Qualificando o processo de acesso biométrico
Antes, é necessário levar em conta que o Brasil é um país continental e diverso, com etnias distintas e uma população de idosos com limitações consideráveis para manusear dispositivos móveis ou computadores para acessar serviços digitais – uma novidade para boa parte desta parcela da população.
O próprio serviço gov.br do governo federal brasileiro é recente, lançado oficialmente em 31 de julho de 2019 para unificar os diversos canais digitais do governo em uma única plataforma, inclusive para os pensionistas, alvo das mais recentes denúncias de fraudes no sistema Meu INSS.
Outro fator que deve ser levado em conta é que o acesso biométrico deve ser amigável e confortável para o cidadão de todas as idades e origens. Uma pessoa pode se sentir mais confortável com a modalidade de acesso e muito desconfortável com outra.
Por esta razão, oferecer opções e a combinação entre autenticação biométrica multifatorial – facial, digital e voz – com a autenticação multifator (MFA), unindo-a com outro fator, como a senha forte, token via app e autenticação por e-mail/SMS). Isso pode ajudar a fortalecer a segurança e reduzir o risco de falsificação, mas o desafio é facilitar a vida do cidadão com segurança.
Uma verificação cruzada com bases oficiais também deve ser considerada: os órgãos públicos devem integrar seus sistemas e comparar a biometria com bases existentes no TSE, DENATRAN e outros cadastros confiáveis.
Outras ações importantes
É necessário fortalecer a detecção de prova de vida para verificar se a biometria que está sendo utilizada é de uma pessoa viva e presente, impedindo o uso de deepfakes, fotos, vídeos ou máscaras. A prova de vida via liveness passívo é a melhor opção neste caso, porque não exige do usuário ações adicionais, como piscar os olhos, virar o rosto, etc. Não é difícil imaginar as dificuldades que os beneficiários do INSS terão com esta complicação toda. Além disso, o liveness passivo não dá pistas sobre a “mecânica” do processo e não dá dicas ao fraudador de como burlá-lo.
A acurácia no reconhecimento biométrico de raças e etnias
A tecnologia biométrica a ser utilizada deve ser imparcial e garantir uma precisão superior a 99% na verificação de pessoas de todas as raças e etnias – sem viés de preconceito. O Brasil é muito diverso e exige esse cuidado dos responsáveis pela escolha desta tecnologia.
Inteligência Artificial e Machine Learning: os modelos atualizados de Inteligência Artificial devem ser aplicados regularmente para analisar padrões de comportamento e identificar atividades suspeitas, garantindo aprendizado contínuo para reconhecer padrões de fraude biométrica.
Educação e comunicação com o cidadão
O conhecimento é fundamental para que o cidadão possa usar corretamente os serviços digitais, com segurança e sabendo identificar rapidamente as artimanhas das tentativas de fraudes. Quanto mais cientes dos riscos existentes, sabendo como lidar com eles, mais protegida estará a população no mundo digital. Para isso, o poder público deve investir em campanhas maciças de conscientização sobre os riscos da vida digital, incluindo saber identificar os golpes de engenharia social (que manipulam o usuário para fornecer seus dados ou biometria), phishing e o uso de senhas fracas.
