Região Ásia-Pacífico corre para regulamentar a identidade digital e a IA em meio ao aumento dos deepfakes

Vamos nos concentrar em uma das economias digitais que mais crescem no mundo: a Ásia-Pacífico .

Nos últimos 18 meses, pelo menos seis importantes estruturas de identidade digital e IA entraram em vigor nos países da região Ásia-Pacífico, com outras ainda sendo elaboradas ativamente. Juntas, elas mudam uma única coisa: a forma como as organizações podem verificar a identidade.

Compreender o que está por trás dessas mudanças – e o que elas exigem – é o primeiro passo para nos anteciparmos a elas.

A fraude por deepfake está impulsionando a resposta regulatória na região Ásia-Pacífico

Essas normas são uma resposta direta ao aumento repentino dos casos de fraude de identidade com uso de inteligência artificial.

A pesquisa da Gartner de 2025 revelou que 62% das organizações sofreram um ataque de deepfake no ano anterior. 37% das organizações já se depararam com deepfakes em videochamadas. Portanto, não se trata de um risco teórico. Não é uma prova de conceito em laboratório. São ataques reais, contra organizações reais, com dinheiro real em jogo.

Casos reais:

• Na Coreia do Sul, os prejuízos causados pelo phishing por voz ultrapassaram 1 trilhão de wons (~718 milhões de dólares) apenas nos primeiros 10 meses de 2025 — um recorde histórico —, com o presidente da KFCPA, Wook Kang, alertando que as tecnologias de IA generativa e deepfake estão impulsionando esse aumento.
• Uma videochamada com deepfake levou a uma fraude contra uma empresa de engenharia Arup em US$ 25 milhões.
• O próprio registrou um aumento de 720% nos ataques em todo o Sudeste Asiático no terceiro trimestre de 2025, juntamente com um aumento de 1.151% nos ataques de injeção no iOS no segundo semestre de 2025, uma plataforma antes considerada resistente a ataques.

Trata-se da industrialização da fraude de identidade. Redes criminosas estão utilizando ferramentas de deepfake de uso comum em grande escala, e os órgãos reguladores da região Ásia-Pacífico já perceberam isso.

Conclusão: a expansão da infraestrutura biométrica e o endurecimento da regulamentação na região Ásia-Pacífico exigem uma verificação de identidade de alta segurança. As organizações que optam por soluções que apenas protegem contra ataques básicos de apresentação correm o risco de violação regulatória, à medida que as estruturas amadurecem para lidar com ataques de injeção e mídia sintética.

As regulamentações sobre biometria e IA na região Ásia-Pacífico estão se acelerando: exemplos

Essas estruturas abrangem três domínios regulatórios distintos — governança da IA, proteção de dados e identidade digital —, mas convergem para o mesmo requisito: as organizações que verificam a identidade por meio de IA biométrica devem agora cumprir padrões mais elevados de garantia, privacidade e responsabilidade em todos os três domínios.

Leis específicas sobre IA:

• O Vietnã lei abrangente sobre IA entrou em vigor em 1º de março de 2026, sendo a primeira legislação específica sobre IA no Sudeste Asiático. Ela exige supervisão humana dos sistemas de IA, requer a identificação de conteúdos gerados por IA, como deepfakes, e se aplica a entidades estrangeiras que tratam de dados pessoais vietnamitas. Se sua tecnologia biométrica processa dados pessoais vietnamitas, mesmo por meio de integração com um parceiro, você já tem obrigações regulatórias a avaliar. Embora a lei já tenha sido promulgada, as orientações de implementação ainda estão sendo detalhadas, o que torna ainda mais importante definir o escopo desde o início.
• A Lei Básica de IA da Coreia do Sul Lei Básica de IA entrou em vigor em janeiro de 2026, com supervisão baseada em risco para sistemas de IA nas áreas de finanças, saúde e serviços públicos.
  

Proteção de dados e consentimento:

• A Índia está implementando sua Lei de Proteção de Dados Pessoais Digitais em três fases, introduzindo novos requisitos de consentimento e classificações de responsáveis pelo tratamento de dados que redefinem a forma como os dados biométricos podem ser coletados e processados.
• Indonésia e Malásia estão promovendo novas leis de proteção de dados para implementação, com as emendas à PDPA introduzindo a obrigatoriedade de notificação de violações, requisitos para o responsável pela proteção de dados e – o que é fundamental para os fornecedores de serviços biométricos – reclassificando os dados biométricos como dados pessoais sensíveis que exigem consentimento explícito.
• A Tailândia agiu de forma rápida e decisiva na questão da interseção entre IA e privacidade: em fevereiro de 2026, o Comitê de Proteção de Dados Pessoais divulgou um projeto de Diretrizes sobre Proteção de Dados Pessoais no Desenvolvimento e Uso de IA, exigindo avaliações de impacto para IA de alto risco e responsabilidades de segurança. Espera-se que um projeto de Lei de IA separado, espelhando a arquitetura baseada em risco da Lei de IA da UE, avance para a promulgação em 2026.

Estruturas de identificação digital:

• A Austrália está reforçando a verificação de identidade em ambos os níveis: sua Lei de Identificação Digital estabelece uma estrutura de confiança federada com níveis de acreditação para prestadores de serviços de identidade. Sua Lei de Privacidade também está sendo reformada, ampliando a definição de informações pessoais para abranger explicitamente dados biométricos e técnicos.

Mercados mais consolidados estão demonstrando como os órgãos reguladores podem abordar o mesmo problema de maneiras tão diferentes. Cingapura continua a operar um dos sistemas nacionais de identidade digital mais avançados do mundo por meio do Singpass, que integra a verificação facial como método central de autenticação e de identificação de usuário (IDV) maduro para mais de 2.700 serviços dos setores público e privado. A Lei de Promoção da IA de 2025 do Japão adota uma abordagem mais flexível: prioridade à inovação e, notavelmente, sem penalidades monetárias — um contraste com as abordagens prescritivas que estão surgindo em outras partes da região.

Esse impulso vai além das principais economias: o Camboja elaborou uma lei abrangente de proteção de dados, o Laos iniciou emitir identidades digitais nacionais, e Mianmar adotou o MOSIP para um projeto-piloto de identificação digital.

Paralelamente a essa pressão regulatória, a adoção da biometria em toda a região está se acelerando. O analista do setor Alan Goode observou observado que os mercados da APAC estão se voltando para a biometria facial como principal credencial de acesso em ambientes físicos, com um modelo sem token substituindo totalmente os cartões. Ele prevê que o rosto se tornará a modalidade dominante no controle de acesso físico biométrico nos próximos dois a três anos.

Países diferentes, estágios de maturidade distintos. Mas a tendência é inconfundível: os órgãos reguladores em toda a região Ásia-Pacífico estão exigindo que as organizações comprovem que são capazes de verificar identidades com um alto nível de segurança, lidar com dados biométricos de forma responsável e explicar como sua IA toma decisões.

Novas leis biométricas na região Ásia-Pacífico elevam os padrões de conformidade

Para as organizações que dependem de verificações básicas de autenticidade ou de métodos tradicionais de verificação de identidade, a implicação é clara: as novas estruturas da APAC não se limitam a perguntar se você verifica a identidade. Elas perguntam como.

• Defesa contra deepfakes e ataques de injeção. A legislação do Vietnã exige que o conteúdo gerado por IA seja identificável. A estrutura regulatória da Coreia do Sul exige avaliações de risco para IA de alto impacto. Não é possível cumprir essas obrigações com uma solução que apenas defenda contra fotos impressas apresentadas à câmera. É necessária uma detecção que abranja ataques de apresentação, ataques de injeção digital e a mídia sintética que agora está prontamente disponível para qualquer pessoa com um laptop.
• Privacidade por meio da arquitetura, não por meio de políticas. A DPDP da Índia e a Lei de Proteção de Dados Pessoais do Vietnã impõem requisitos rigorosos de consentimento e processamento. As organizações precisam de soluções que convertam dados faciais em modelos biométricos, com dados pessoais e dados biométricos estruturalmente separados – de modo que nenhuma entidade possa associar um rosto a um nome. Essa é uma decisão de design, não um documento de política.
• Monitoramento contínuo de ameaças, e não certificação pontual. Os órgãos reguladores querem cada vez mais ver que os sistemas de IA são gerenciados ativamente. Um teste de autenticidade certificado há doze meses e que não evoluiu desde então pode ser um risco, em vez de um trunfo. O que importa é se a sua solução está se adaptando aos ataques que estão ocorrendo neste exato momento – que é exatamente o que um Centro de Operações de Segurança oferece.
• Alinhamento com as normas globais emergentes. A Aliança FIDO está organizando sua primeira conferência Authenticate APAC em Cingapura, em junho de 2026. NIST SP 800-63-4, Verificação Facial FIDOe CEN/TS 18099 estão se tornando referências para os reguladores da região Ásia-Pacífico. Se o seu provedor de biometria não puder apresentar certificações independentes e credenciadas de acordo com essas normas, isso é um problema.

Observação: muitas estruturas da região Ásia-Pacífico podem apenas fazer referência a normas como a ISO 30107-3, sem exigir explicitamente detecção de ataques de injeção digital (DIA). Os DIAs são a forma mais perigosa de ataque, mas as normas ainda estão tentando acompanhar essa evolução. A NIST SP 800-63-4 exige resistência comprovada a ataques de injeção, e a CEN/TS 18099 fornece a metodologia de testes independentes. É provável que os reguladores da APAC sigam esses passos à medida que as regulamentações discutidas se desenvolvam e evoluam.

E agora? Como se preparar para a conformidade com as normas de identidade digital na região Ásia-Pacífico

Essas regulamentações afetam qualquer organização que verifique identidades na região Ásia-Pacífico — seja na integração de clientes, na autenticação de funcionários ou na realização de transações internacionais. Veja por onde começar:

Avalie sua conformidade regulatória: Se você estiver processando dados pessoais no Vietnã, na Índia, na Indonésia ou em outros mercados da região Ásia-Pacífico – mesmo por meio de integrações de terceiros –, identifique quais estruturas se aplicam às suas operações e qual o nível de garantia de identidade que elas exigem.

Faça uma auditoria em sua infraestrutura de verificação de identidade: Sua solução atual protege contra ataques de injeção e deepfakes, ou apenas contra spoofing básico? A lacuna entre os dois é onde os invasores prosperam e onde reside a exposição regulatória.

Priorize a arquitetura de privacidade em vez de medidas cosméticas: Procure soluções com separação estrutural de dados, pseudonimização e processamento em nuvem que impeçam qualquer parte de reidentificar um indivíduo. Se o seu provedor não conseguir explicar sua arquitetura nesses termos, continue procurando.

Exija certificações independentes: Pergunte ao seu fornecedor de soluções biométricas quais são as normas segundo as quais ele está certificado – NIST, FIDO, ISO, CEN – e por qual laboratório credenciado. Afirmações de autocrédito não constituem prova.

• Veja como as soluções biométricas da iProov, em conformidade com as normas da APAC, ajudam as organizações a atingir os mais altos níveis de garantia de identidade→ Agende uma demonstração
• Para uma visão completa de como esses ataques estão evoluindo → Relatório de Inteligência de Ameaças 2026 da iProov.

A iProov oferece verificação biométrica facial de alta segurança para organizações, incluindo GovTech Singapore, o Departamento de Segurança Interna dos EUA e o Ministério do Interior do Reino Unido. A iProov ultrapassou um milhão de verificações biométricas diárias em 2025 e é o primeiro fornecedor de biometria certificado de forma independente como estando em conformidade com a norma NIST 800-63-4.