1º de outubro de 2025
Os processos de recuperação de contas costumam representar um dos pontos mais fracos da segurança digital. Embora as organizações invistam pesadamente na proteção de seus principais fluxos de autenticação, os mecanismos de recuperação geralmente dependem de métodos que se mostraram facilmente vulneráveis e que são ativamente explorados por criminosos:
- Questões de segurança que podem ser investigadas através das redes sociais
- Códigos SMS vulneráveis à troca de SIM
- Estão em vigor processos de recuperação de e-mail que pressupõem que as contas e os dispositivos não tenham sido comprometidos.
Apropriação de contas As tentativas de apropriação de contas têm cada vez mais como alvo os fluxos de recuperação, por serem o caminho de menor resistência. Os clientes bancários frequentemente abandonam processos complexos de recuperação, elevando os custos de suporte à medida que as organizações lidam com intervenções manuais.
Este blog explorará como a biometria baseada em ciência pode garantir que seus processos de recuperação de conta sejam verdadeiramente seguros e fáceis de usar. Usando um estudo de caso do Raiffeisen Bank, vamos destacar como pode ser simples permitir que usuários legítimos recuperem suas contas sem esforço, ao mesmo tempo em que se mantêm os fraudadores afastados.
A crise na recuperação de contas: um estudo de caso real com o Raiffeisen Bank
O Raiffeisen Bank, um cliente da iProov com sede na República Tcheca, atende a mais de 1,2 milhão de usuários ativos mensais de serviços bancários móveis na República Tcheca. O banco enfrentava uma realidade operacional alarmante: aproximadamente 50.000 clientes precisavam reativar seus serviços bancários móveis todos os meses — 4% de toda a sua base de clientes.
Inicialmente, o processo de recuperação parecia sólido. Os clientes faziam login no banco pela internet usando uma senha de um só uso (OTP) enviada por SMS, digitavam um PIN e ativavam o serviço de banco pelo celular em seu novo dispositivo. O processo parecia seguro e prático — até que os criminosos passaram a explorar sistematicamente sua vulnerabilidade fundamental.
Os fraudadores lançaram campanhas sofisticadas de engenharia social, fingindo ser funcionários de bancos e policiais para convencer os clientes a fornecerem acesso ao internet banking. Em seguida, ativavam remotamente o mobile banking no dispositivo do atacante, permitindo o acesso direto à conta e o roubo de fundos.
A primeira medida tomada pelo Raiffeisen foi adicionar telas de aviso explícitas, solicitando que os clientes confirmassem que realmente desejavam ativar o serviço de banco móvel. Essa proteção durou exatamente um mês, até que os criminosos adaptaram seus métodos para contornar a hesitação dos clientes.
Os ataques se tornaram tão graves que o Raiffeisen desativou completamente a ativação remota dos serviços bancários pela internet em outubro de 2022, obrigando todos os clientes que precisavam reativar o serviço a se deslocarem às agências físicas — uma solução complicada que gerou uma enorme sobrecarga operacional e frustração entre os clientes.
Por que os métodos tradicionais de recuperação falham
A situação da Raiffeisen revelou vulnerabilidades recorrentes nas abordagens convencionais de recuperação de contas. Os métodos tradicionais compartilham uma falha crítica: eles autenticam o acesso com base em diversos fatores de posse ou conhecimento, em vez de verificar a presença e a identidade reais da pessoa.
A biometria integrada ao dispositivo cria um problema adicional que muitas vezes é mal compreendido pelas equipes de segurança. Como Dominic Forrest, diretor de tecnologia da iProov, descobriu quando sua filha adolescente registrou sua impressão digital no celular dele usando o PIN conhecido: “O que você está realmente comprovando não é a biometria — é a prova de conhecimento do código de desbloqueio do celular em um determinado momento.”
Resultados da transformação do Raiffeisen
Trabalhando com a Wultra, especialista em integração de serviços bancários móveis, Wultra, e com a iProov, líder no setor de verificação de autenticidade, o Raiffeisen desenvolveu um processo abrangente de reativação que valida a identidade da pessoa por meio de várias camadas, formando cinco etapas principais de verificação de identidade (IDV):
- Identificação inicial do cliente (número de cliente e data de nascimento)
- OTP por SMS para limitação de solicitações
- Verificação de documentos que exige a digitalização do cartão de identidade, além do passaporte ou da carteira de motorista
- Detecção Facial Dynamic Liveness™ para garantir a presença real, comparando o usuário ao vivo com as fotos do documento
- Código OTP final por SMS combinado com um token de verificação biométrica para conformidade regulatória
Veja o diagrama de fluxo “simplificado” abaixo:
Todo o processo é feito remotamente e leva cerca de 80 segundos, podendo ser executado imediatamente quando os clientes precisarem conectar novos dispositivos.
A resposta está em criar confiança na pessoa, e não no dispositivo ou em algo que ela possa “saber”. A verificação facial baseada na ciência, apoiada por Dynamic Liveness e tecnologia Flashmark™, fornece uma confirmação genuína de presença, atendendo a três requisitos essenciais: a pessoa certa, uma pessoa real, neste exato momento.
Tudo isso é apoiado pela detecção dinâmica de ameaças da iProov por meio do nosso Centro de Operações de Segurança (iSOC), que monitora continuamente o tráfego em busca de ataques e lança mais de 120 atualizações por ano sem qualquer interrupção para o cliente, oferecendo segurança em constante evolução.
Os resultados mostram melhorias significativas em termos de segurança e operação:
Melhoria na segurança:
- Taxa de sucesso de 97-98% para clientes legítimos que concluem a verificação biométrica
- Um processo resistente a phishing que não pode ser concluído remotamente por invasores com credenciais comprometidas
- Proteção contra ataques de injeção digital e ataques de apresentação física
Eficiência operacional:
- 25.000 usuários concluem com sucesso, mensalmente, as transferências de ativação de dispositivo para dispositivo
- Entre 10.000 e 12.000 usuários concluem mensalmente o processo completo de reativação de documentos e dados biométricos
- Redução drástica no número de visitas às agências para fins de ativação
A eficácia da solução vai além dos ganhos imediatos em segurança. A infraestrutura biométrica permite casos de uso adicionais, incluindo a autenticação de transações para atividades de alto valor, como solicitações de empréstimo, autenticação reforçada para atividades suspeitas e onboarding digital aprimorado para novos clientes.
O imperativo estratégico
A transição da autenticação centrada no dispositivo para a autenticação centrada na pessoa não é opcional — é essencial. À medida que a tecnologia deepfake se torna cada vez mais acessível e os métodos tradicionais de recuperação enfrentam ataques sofisticados, a verificação biométrica baseada na ciência oferece a única defesa escalável.
A trajetória do Raiffeisen, desde as visitas obrigatórias às agências físicas até a recuperação remota e segura por meio de autoatendimento, demonstra que segurança e experiência do usuário podem se aliar, em vez de entrar em conflito. Com 50.000 clientes por mês necessitando de reativação, o banco precisava de uma solução que funcionasse em grande escala sem comprometer a segurança.
Os criminosos já se adaptaram para explorar as vulnerabilidades do processo de recuperação. A questão não é se ataques sofisticados terão como alvo a sua organização, mas se as suas defesas serão suficientes quando isso acontecer.
Não pôde ir a Amsterdã? O Raiffeisen Bank e a iProov acabaram de revelar seu plano para a segurança biométrica de última geração na Identity Management Europe 2025. Compartilharemos aqui o resumo completo. Enquanto espera, descubra como essa parceria começou — assista agora à nossa conversa anterior sobre a transformação da segurança bancária para a era digital.
