1 de outubro de 2025

Os processos de recuperação de contas representam frequentemente um dos elos mais fracos da segurança digital. Embora as organizações invistam fortemente na segurança dos seus fluxos de autenticação primários, os mecanismos de recuperação baseiam-se frequentemente em métodos que provaram ser facilmente comprometidos e que os criminosos exploram ativamente:

  • Perguntas de segurança que podem ser pesquisadas nas redes sociais
  • Códigos SMS vulneráveis à troca de SIM
  • Processos de recuperação de correio eletrónico que pressupõem a existência de contas e dispositivos não comprometidos.

As tentativas de aquisição de contas As tentativas de recuperação são cada vez mais direcionadas para os fluxos de recuperação como o caminho de menor resistência. Os clientes bancários abandonam frequentemente processos de recuperação complexos, aumentando os custos de suporte à medida que as organizações lidam com intervenções manuais.

Este blogue irá explorar a forma como a biometria de base científica pode manter os seus processos de recuperação de conta verdadeiramente seguros e e fáceis de utilizar. Utilizando um estudo de caso do Raiffeisen Bank, destacaremos como pode ser simples permitir que os utilizadores genuínos recuperem contas sem esforço, mantendo os fraudadores afastados.

A crise de recuperação de contas: Um estudo de caso real com o Raiffeisen Bank

O Raiffeisen Bank, um cliente iProov sediado na República Checa, serve mais de 1,2 milhões de utilizadores mensais activos de serviços bancários móveis na República Checa. O banco enfrentou uma realidade operacional surpreendente: aproximadamente 50.000 clientes precisavam de reativar a sua banca móvel todos os meses - 4% de toda a sua base de clientes.

Inicialmente, o seu processo de recuperação parecia robusto. Os clientes iniciavam sessão no Internet banking através de SMS OTP, introduziam um PIN e activavam o mobile banking no seu novo dispositivo. O processo parecia seguro e cómodo - até que os criminosos exploraram sistematicamente a sua fraqueza fundamental.

Os autores das fraudes lançaram campanhas sofisticadas de engenharia social, fazendo-se passar por funcionários do banco e pela polícia para convencer os clientes a fornecer acesso à banca pela Internet. Em seguida, activavam remotamente a banca móvel no dispositivo do atacante, permitindo o acesso direto à conta e o roubo de fundos.

A primeira contramedida do Raiffeisen foi acrescentar ecrãs de aviso explícitos pedindo aos clientes que confirmassem que queriam realmente ativar a banca móvel. A proteção durou exatamente um mês antes de os criminosos adaptarem os seus guiões para ultrapassar a hesitação dos clientes.

Os ataques tornaram-se tão graves que o Raiffeisen desativou completamente a ativação remota de serviços bancários pela Internet em outubro de 2022, obrigando todos os clientes que necessitavam de reativação a deslocarem-se às sucursais físicas - uma solução dolorosa que cria uma enorme pressão operacional e frustração dos clientes.

Porque é que os métodos de recuperação tradicionais falham

A situação do Raiffeisen revelou vulnerabilidades recorrentes nas abordagens convencionais de recuperação de contas. Os métodos tradicionais partilham uma falha crítica: autenticam o acesso a vários factores de posse ou conhecimento, em vez de verificarem a presença e a identidade genuínas da pessoa.

A biometria nativa dos dispositivos cria um problema adicional frequentemente mal compreendido pelas equipas de segurança. Como Dominic Forrest, CTO da iProov, descobriu quando a sua filha adolescente registou a sua impressão digital no seu telemóvel utilizando o seu PIN conhecido: "O que está realmente a provar não é a biometria - é a prova de conhecimento do código de desbloqueio do telemóvel num determinado momento".

Resultados da transformação do Raiffeisen

Trabalhar com um especialista em integração de serviços bancários móveis, Wultrae o iProov, o melhor fornecedor de liveness da sua classe, o Raiffeisen desenvolveu um processo de reativação abrangente que valida a pessoa através de vários níveis, formando 5 etapas principais de IDV:

  1. Identificação inicial do cliente (número de cliente e data de nascimento)
  2. SMS OTP para limitação de pedidos
  3. Verificação de documentos que requer a digitalização do bilhete de identidade e passaporte ou carta de condução
  4. Deteção dinâmica da vivacidade facial para garantir uma presença genuína, comparando o utilizador vivo com fotografias de documentos
  5. SMS OTP final combinado com token de verificação biométrica para conformidade regulamentar

Ver o fluxograma de processo "simplificado" abaixo:

Imagem 01 10 2025 às 15.34

Todo o processo é remoto e é concluído em cerca de 80 segundos, podendo ser executado imediatamente quando os clientes necessitam de ligar novos dispositivos.

A resposta está em criar confiança na pessoa e não no dispositivo ou em algo que ela possa "conhecer". A verificação facial com base científica, sustentada pela vivacidade dinâmica e tecnologia Flashmarkfornece uma confirmação de presença genuína, respondendo a três requisitos críticos: a pessoa certa, a pessoa real, no momento certo.

Tudo isto é suportado pela deteção dinâmica de ameaças do iProov através do Centro de Operações de Segurança do iProov (iSOC) do iProov que monitoriza continuamente o tráfego em busca de ataques e lança mais de 120 actualizações por ano sem qualquer interrupção para o cliente, proporcionando uma segurança em constante evolução.

Os resultados revelam melhorias significativas a nível operacional e de segurança:

Reforço da segurança:

  • 97-98% de taxa de sucesso para clientes legítimos que completam a verificação biométrica
  • Um processo resistente a phishing que não pode ser concluído remotamente por atacantes com credenciais comprometidas
  • Proteção contra ataques de injeção digital e ataques de apresentação física

Eficiência operacional:

  • 25 000 utilizadores mensais concluem com êxito transferências de ativação de dispositivo para dispositivo
  • 10.000-12.000 utilizadores por mês com reativação completa de documentos e biometria
  • Redução drástica das visitas às agências para efeitos de ativação

A eficácia da solução vai para além dos ganhos imediatos em termos de segurança. A infraestrutura biométrica permite casos de utilização adicionais, incluindo a autenticação de transacções para actividades de elevado valor, como os pedidos de empréstimo, autenticação de reforço para actividades suspeitas e integração digital melhorada para novos clientes.

O imperativo estratégico

A mudança da autenticação centrada no dispositivo para a autenticação centrada na pessoa não é opcional - é essencial. À medida que a tecnologia deepfake se torna cada vez mais acessível e os métodos de recuperação tradicionais enfrentam ataques sofisticados, a verificação biométrica baseada na ciência fornece a única defesa escalável.

O percurso do Raiffeisen, desde as visitas forçadas às sucursais até à recuperação remota segura por autosserviço, demonstra que a segurança e a experiência do utilizador podem alinhar-se em vez de competir. Com 50.000 clientes por mês a necessitarem de reativação, precisavam de uma solução que funcionasse em grande escala sem comprometer a segurança.

Os criminosos já se adaptaram para explorar as vulnerabilidades do processo de recuperação. A questão não é se os ataques sofisticados vão atingir a sua organização, mas se as suas defesas serão adequadas quando isso acontecer.

Não pôde ir a Amesterdão? O Raiffeisen Bank e a iProov acabaram de revelar o seu projeto para a segurança biométrica da próxima geração naIdentity Management Europe 2025. Partilharemos a recapitulação completa aqui. Enquanto espera, descubra como esta parceria começou - veja agora a nossa conversa anterior sobre a transformação da segurança bancária para a era digital.

Captura de ecrã 2025 10 01 às 15.44.23
Índice

Continuar a ler