A região Ásia-Pacífico apressa-se a regulamentar a identidade digital e a IA face ao aumento dos deepfakes

Vamos centrar-nos numa das economias digitais que mais cresce no mundo: a Ásia-Pacífico .

Nos últimos 18 meses, pelo menos seis importantes estruturas de identidade digital e IA entraram em vigor nos países da região Ásia-Pacífico, com outras ainda a serem ativamente elaboradas. Em conjunto, elas alteram uma única coisa: a forma como as organizações podem verificar a identidade.

Compreender o que está na origem destas mudanças – e o que elas exigem – é o primeiro passo para nos anteciparmos a elas.

A fraude com deepfakes está a impulsionar a resposta regulatória na região Ásia-Pacífico

Estas normas constituem uma resposta direta ao aumento da fraude de identidade com recurso à IA.

A pesquisa da Gartner de 2025 revelou que 62% das organizações sofreram um ataque de deepfake no ano anterior. 37% das organizações já se depararam com deepfakes em videochamadas. Portanto, não se trata de um risco teórico. Não é uma prova de conceito num laboratório. São ataques reais, contra organizações reais, com dinheiro real em jogo.

Incidentes reais:

• Na Coreia do Sul, os prejuízos decorrentes do phishing por voz ultrapassaram 1 bilião de won (~718 milhões de dólares) apenas nos primeiros 10 meses de 2025 — um recorde histórico —, tendo o presidente da KFCPA, Wook Kang, alertado que as tecnologias de IA generativa e deepfake estão a impulsionar este aumento.
• Uma videochamada com tecnologia deepfake levou a uma fraude contra uma empresa de engenharia Arup em 25 milhões de dólares.
• O próprio Registo de um aumento de 720% nos ataques em todo o Sudeste Asiático no terceiro trimestre de 2025, a par de um aumento de 1151% nos ataques de injeção no iOS na segunda metade de 2025, uma plataforma outrora considerada resistente a atacantes.

Trata-se da industrialização da fraude de identidade. As redes criminosas estão a utilizar em grande escala ferramentas de deepfake de uso comum, e as entidades reguladoras da região Ásia-Pacífico já tomaram conhecimento disso.

Conclusão: a expansão da infraestrutura biométrica e o endurecimento da regulamentação na região Ásia-Pacífico exigem uma verificação de identidade de alta segurança. As organizações que optam por soluções que apenas protegem contra ataques básicos de apresentação correm o risco de incorrer em infrações regulamentares, à medida que os quadros normativos evoluem para fazer face a ataques de injeção e meios sintéticos.

A regulamentação em matéria de biometria e IA na região Ásia-Pacífico está a acelerar: exemplos

Os quadros regulamentares abrangem três domínios regulamentares distintos — governação da IA, proteção de dados e identidade digital — mas convergem num mesmo requisito: as organizações que verificam a identidade através de IA biométrica devem agora cumprir padrões mais elevados de garantia, privacidade e responsabilização em todos os três domínios.

Legislação específica sobre IA:

• A lei abrangente sobre IA entrou em vigor a 1 de março de 2026, sendo a primeira legislação autónoma sobre IA no Sudeste Asiático. Esta lei exige a supervisão humana dos sistemas de IA, impõe a identificação de conteúdos gerados por IA, como deepfakes, e aplica-se a entidades estrangeiras que tratam dados pessoais vietnamitas. Se a sua tecnologia biométrica processa dados pessoais vietnamitas, mesmo através da integração de um parceiro, já tem obrigações regulamentares a avaliar. Embora já tenha sido promulgada, as orientações de implementação ainda estão a ser detalhadas, o que torna ainda mais importante definir o âmbito de aplicação numa fase inicial.
• A Coreia do Sul Lei Básica sobre IA entrou em vigor em janeiro de 2026, com supervisão baseada no risco para sistemas de IA nas áreas financeira, de saúde e de serviços públicos.
  

Proteção de dados e consentimento:

• A Índia está a implementar a sua Lei de Proteção de Dados Pessoais Digitais em três fases, introduzindo novos requisitos de consentimento e classificações fiduciárias de dados que redefinem a forma como os dados biométricos podem ser recolhidos e processados.
• Indonésia e Malásia estão ambas a promover leis atualizadas de proteção de dados para implementação, com as PDPA a introduzir a notificação obrigatória de violações, requisitos relativos ao responsável pela proteção de dados e – o que é fundamental para os fornecedores de serviços biométricos – a reclassificação dos dados biométricos como dados pessoais sensíveis que exigem consentimento explícito.
• A Tailândia agiu de forma rápida e decisiva no que diz respeito à interseção entre IA e privacidade: em fevereiro de 2026, o Comité de Proteção de Dados Pessoais divulgou um projeto de diretrizes sobre a proteção de dados pessoais no desenvolvimento e utilização da IA, exigindo avaliações de impacto para IA de alto risco e obrigações de segurança. Espera-se que um projeto de lei sobre IA, que reflete a arquitetura baseada no risco da Lei da IA da UE, avance para a promulgação em 2026.

Estruturas de identificação digital:

• A Austrália está a reforçar a verificação de identidade em ambos os extremos: a sua Lei de Identificação Digital estabelece um quadro de confiança federado com níveis de acreditação para prestadores de serviços de identificação. A sua Lei de Privacidade também está a ser reformada, alargando a definição de informações pessoais para abranger explicitamente dados biométricos e técnicos.

Os mercados mais consolidados estão a demonstrar como os reguladores podem abordar o mesmo problema de formas tão diferentes. Singapura continua a operar um dos sistemas nacionais de identidade digital mais avançados do mundo através do Singpass, que integra a verificação facial como método central de autenticação e de identificação de utilizador (IDV) maduro para mais de 2 700 serviços dos setores público e privado. A Lei de Promoção da IA de 2025 do Japão adota uma abordagem mais flexível: prioriza a inovação e, notavelmente, não prevê sanções pecuniárias – um contraste com as abordagens prescritivas que estão a surgir noutros locais da região.

Este impulso vai além das principais economias: o Camboja elaborou uma lei abrangente de proteção de dados, o Laos começou a emissão de identificação digital nacionale Mianmar adotou o MOSIP para um projeto-piloto de identificação digital.

A par deste impulso regulamentar, a adoção da biometria em toda a região está a acelerar. O analista do setor Alan Goode observou observado que os mercados da APAC estão a avançar para a biometria facial como principal credencial de acesso em ambientes físicos, com um modelo sem token a substituir totalmente os cartões. Ele prevê que o rosto se torne a modalidade dominante no controlo de acesso físico biométrico nos próximos dois a três anos.

Países diferentes, fases de maturidade diferentes. Mas a tendência é inequívoca: as entidades reguladoras em toda a região Ásia-Pacífico exigem que as organizações demonstrem que são capazes de verificar a identidade com um elevado nível de garantia, de tratar os dados biométricos de forma responsável e de explicar como a sua IA toma decisões.

As novas leis sobre biometria na região Ásia-Pacífico elevam os padrões de conformidade

Para as organizações que dependem de verificações básicas de autenticidade ou de métodos tradicionais de verificação de identidade, a implicação é clara: os novos quadros regulamentares da APAC não se limitam a perguntar se se verifica a identidade. Perguntam como.

• Defesa contra deepfakes e ataques de injeção. A legislação do Vietname exige que os conteúdos gerados por IA sejam identificáveis. O quadro regulamentar da Coreia do Sul exige avaliações de risco para IA de alto impacto. Não é possível cumprir estas obrigações com uma solução que apenas defenda contra fotografias impressas apresentadas a uma câmara. É necessária uma deteção que abranja ataques de apresentação, ataques de injeção digital e os meios sintéticos que estão agora facilmente acessíveis a qualquer pessoa com um computador portátil.
• Privacidade por arquitetura, não por política. O DPDP da Índia e a Lei de Proteção de Dados Pessoais do Vietname impõem requisitos rigorosos de consentimento e tratamento. As organizações precisam de soluções que convertam dados faciais em modelos biométricos, com os dados pessoais e os dados biométricos estruturalmente separados – de forma a que nenhuma entidade possa associar um rosto a um nome. Trata-se de uma decisão de conceção, não de um documento de política.
• Monitorização contínua das ameaças, em vez de certificação pontual. As entidades reguladoras querem cada vez mais ver que os sistemas de IA são geridos de forma ativa. Um teste de autenticidade que foi certificado há doze meses e que não evoluiu desde então pode ser um risco em vez de uma vantagem. O que importa é se a sua solução se está a adaptar aos ataques que estão a ocorrer neste momento – que é exatamente o que um Centro de Operações de Segurança oferece.
• Alinhamento com as normas globais emergentes. A Aliança FIDO vai organizar a sua primeira conferência Authenticate APAC em Singapura, em junho de 2026. NIST SP 800-63-4, Verificação Facial FIDOe CEN/TS 18099 estão a tornar-se referências para os reguladores da região Ásia-Pacífico. Se o seu fornecedor de soluções biométricas não puder apresentar certificações independentes e acreditadas de acordo com estas normas, isso é um problema.

Nota: muitas estruturas da região Ásia-Pacífico podem apenas fazer referência a normas como a ISO 30107-3, sem exigir explicitamente detecção de ataques de injeção digital (DIA). Os DIAs são a forma mais perigosa de ataque, mas as normas ainda estão a tentar acompanhar a evolução. A norma NIST SP 800-63-4 exige resistência comprovada a ataques de injeção, e a CEN/TS 18099 fornece a metodologia de testes independentes. É provável que os reguladores da APAC sigam estes passos à medida que as regulamentações em discussão se desenvolvem e evoluem.

O que se segue? Como preparar-se para a conformidade em matéria de identidade digital na região Ásia-Pacífico

Estas regulamentações afetam qualquer organização que verifique identidades na região Ásia-Pacífico – quer se trate de integrar novos clientes, autenticar colaboradores ou facilitar transações transfronteiriças. Eis por onde começar:

Avalie o seu âmbito regulamentar: Se estiver a tratar dados pessoais no Vietname, na Índia, na Indonésia ou noutros mercados da região Ásia-Pacífico – mesmo através de integrações de terceiros –, identifique quais as estruturas regulamentares que se aplicam às suas operações e qual o nível de garantia de identidade que estas exigem.

Analise a sua infraestrutura de verificação de identidade: A sua solução atual protege contra ataques de injeção e deepfakes, ou apenas contra falsificação básica? A lacuna entre os dois é onde os atacantes prosperam e onde reside a exposição regulatória.

Dê prioridade à arquitetura de privacidade em vez de medidas de fachada: Procure soluções com separação estrutural de dados, pseudonimização e processamento baseado na nuvem que impeçam qualquer entidade de reidentificar um indivíduo. Se o seu fornecedor não conseguir explicar a sua arquitetura nestes termos, continue a procurar.

Exija certificações independentes: Pergunte ao seu fornecedor de soluções biométricas quais as normas segundo as quais está certificado – NIST, FIDO, ISO, CEN – e por qual laboratório acreditado. As alegações auto-declaradas não constituem prova.

• Veja como as soluções biométricas da iProov, em conformidade com as normas da APAC, ajudam as organizações a atingir os mais elevados níveis de garantia de identidade→ Marque uma demonstração
• Para uma visão completa da forma como estes ataques estão a evoluir → Relatório de Inteligência de Ameaças 2026 da iProov.

A iProov fornece verificação biométrica facial de alta segurança para organizações, incluindo GovTech Singapura, o Departamento de Segurança Interna dos EUA e o Ministério do Interior do Reino Unido. A iProov ultrapassou um milhão de verificações biométricas diárias em 2025 e é o primeiro fornecedor de biometria certificado de forma independente como estando em conformidade com a norma NIST 800-63-4.