CEN/TS 18099: A norma que comprova a resiliência contra ataques de injeção

16 de fevereiro de 2026

Na nossa publicação anterior, explorámos como as Diretrizes de Identidade Digital NIST SP 800-63-4 atualizadas estão a elevar o nível de exigência para a verificação biométrica. A iProov foi o primeiro fornecedor a demonstrar resiliência contra deepfakes de acordo com as novas diretrizes.

Um requisito se destacou nas diretrizes do NIST: as organizações agora devem comprovar resistência a ataques de apresentação e ataques deepfake . É nessa última categoria que muitos fornecedores ficam em silêncio.

NIST, a Agência da União Europeia para a Cibersegurança (ENISA), a ANSSI da França e o BSI da Alemanha , alertaram para os riscos dos ataques de injeção. As nossas próprias informações sobre ameaças mostram que aumentaram 740% no iOS em 2025. Ao contrário dos ataques de apresentação, que requerem presença física, os ataques de injeção podem ser automatizados e escalonados em milhares de tentativas simultâneas.

A CEN/TS 18099 finalmente fornece a estrutura de validação independente para comprovar a resiliência contra ataques de injeção de deepfakes, indo além das alegações feitas pelos fornecedores.

Por que o novo padrão era necessário

A Detecção de Ataques de Apresentação (PAD) possui estruturas de teste bem estabelecidas. A norma ISO/IEC 30107 define como avaliar se um sistema biométrico pode detectar fotos, máscaras e reproduções de vídeo apresentadas a uma câmara.

A certificação PAD tornou-se um requisito básico; os ataques de injeção estão mais sofisticados. Um fornecedor pode ter a certificação PAD e ainda assim não ter nenhuma resiliência contra ataques de injeção. Os dois vetores de ataque exigem metodologias de teste fundamentalmente diferentes. A ISO 30107 não foi concebida para lidar com essa categoria de ameaças.

Quando analisamos quantos fornecedores lidam com ataques de injeção, as respostas geralmente se enquadram em três categorias: documentação de testes internos, diagramas arquitetónicos com setas tranquilizadoras ou programas de «recompensa por falsificação» em ambientes que não são de produção. Essas avaliações frequentemente dependem de estruturas proprietárias não desenvolvidas por órgãos normativos reconhecidos, o que significa que os resultados não podem ser comparados entre as soluções.

Isso é importante porque os ataques de injeção são projetados para evitar a detecção. Eles não acionam os mesmos alertas que os ataques de apresentação. As organizações podem sofrer comprometimentos sistemáticos sem saber. A integração ainda funciona, as métricas de conversão parecem saudáveis e a fraude cresce silenciosamente até que alguém peça provas.

Os ataques de injeção são sofisticados porque operam em duas frentes simultaneamente: o mecanismo de entrega é projetado para ser invisível para a aplicação, enquanto o conteúdo injetado é projetado para enganar quaisquer verificações que existam na outra extremidade — defender-se contra um sem o outro deixa as organizações expostas.

O Comité Europeu de Normalização (CEN) reconheceu esta lacuna e desenvolveu a CEN/TS 18099: a primeira especificação técnica formal dedicada ao teste de sistemas biométricos contra ataques de injeção.

Como funciona a norma CEN/TS 18099

A norma distingue entre dois componentes de um ataque de injeção:

Método de ataque por injeção (IAM): Como o ataque é realizado. Isso inclui explorar bibliotecas de software, manipular o tráfego de rede, usar emuladoresou ligar-se a funções do sistema para interceptar e substituir dados biométricos.
Instrumento de Ataque por Injeção (IAI): O que é entregue. O rosto sintético, o vídeo deepfake ou a sequência de imagens manipuladas que o invasor deseja que o sistema aceite como genuíno.

Os avaliadores tentam estabelecer vários métodos de ataque contra o sistema alvo. Quando os métodos de ataque são bem-sucedidos, eles fornecem uma variedade de instrumentos de ataque para avaliar as capacidades de detecção.

Esta abordagem em duas etapas revela onde as defesas realmente operam. Alguns sistemas podem permitir que métodos de ataque sejam estabelecidos, mas detectam instrumentos maliciosos. Outros podem bloquear o próprio caminho do ataque, impedindo totalmente a entrega do instrumento. A distinção é importante para compreender a profundidade da proteção fornecida.

O que a avaliação da solução da iProov revelou?

A iProov submeteu o Dynamic Liveness a uma avaliação independente realizada pela Ingenium Biometric Laboratories, uma instituição acreditada pela ISO/IEC 17025 que atua como laboratório biométrico independente do Reino Unido para a Autoridade Nacional de Proteção e Segurança. Os testes foram realizados de acordo com os requisitos de deteção de ataques de injeção de nível 4 da Ingenium, que excedem o nível mais alto da CEN/TS 18099 (CEN High) em termos de escopo e rigor.

O Ingenium Nível 4 baseia-se nos requisitos descritos na norma CEN/TS 18099, proporcionando maior garantia através de testes alargados e tipos de ataques complexos. A avaliação de 40 dias analisou pelo menos três métodos distintos de ataque por injeção e quinze instrumentos de ataque.

Durante os testes, nenhum método de ataque por injeção pôde ser estabelecido com sucesso. Como as vias de ataque foram bloqueadas, o laboratório nunca avançou para a entrega dos instrumentos de ataque. Os rostos sintéticos e os vídeos deepfake não tinham para onde ir.

Isso representa uma postura de segurança fundamentalmente diferente. Em vez de tentar detetar conteúdo malicioso após ele entrar no sistema, o Dynamic Liveness impede que a via de injeção seja estabelecida desde o início.

Fundamentalmente, esse nível de proteção foi alcançado sem sacrificar a experiência do utilizador. A Taxa de Erro de Classificação de Apresentação Genuína (BPCER) – a taxa na qual utilizadores legítimos são rejeitados incorretamente – foi de apenas 1,3%, bem abaixo do limite de 15% exigido pela norma.

A Dynamic Liveness é a primeira e única solução a obter uma avaliação Ingenium Nível 4.

Além do CEN: o panorama mais amplo da validação

A norma CEN/TS 18099 aborda especificamente os ataques de injeção, mas a garantia de identidade abrangente requer validação em várias categorias de ameaças. Para organizações que criam critérios de aquisição com base na norma NIST 800-63-4, o quadro completo inclui:

Validação PAD: Conformidade com a norma ISO/IEC 30107-3 através de testes acreditados (tais como iBeta Níveis 1 e 2) e Certificação FIDO Face Verification para ataques de apresentação, incluindo deepfakes apresentados.
Validação IAD: Avaliação CEN/TS 18099 para resiliência a ataques de injeção.
Segurança operacional: Certificações ISO 27001, SOC 2 e CSA STAR para processos de proteção e segurança de dados.
Inclusividade: Conformidade com WCAG 2.2 AA e Secção 508, o padrão de melhores práticas para acessibilidade em experiências digitais.

Juntos, eles fornecem a base de evidências exigida pelo NIST: não afirmações de fornecedores, mas validação de terceiros em todo o cenário de ameaças que as organizações enfrentam.

Considerações finais sobre a norma CEN/TS 18099 e a «lacuna de validação»

A CEN/TS 18099 representa a referência para testes de ataque por injeção, mas a orientação regulatória é global. A ISO 25456, atualmente em desenvolvimento, ampliará os requisitos de detecção de ataques por injeção internacionalmente. As organizações que se alinharem agora se posicionam à frente da pressão regulatória, em vez de se apressarem quando os requisitos se tornarem mais rígidos.

Para arquitetos de segurança, equipas de compras e líderes de conformidade, a questão mudou: não basta mais perguntar se um fornecedor possui deteção de deepfake. A questão é se eles podem provar, por meio de testes independentes e alinhados com os padrões, que a sua solução derrota os ataques de injeção de deepfake agora destacados nas Diretrizes de Identidade Digital do NIST.

A questão que se destaca entre as alegações dos fornecedores é simples: qual laboratório independente testou essa capacidade, em relação a qual padrão e em que nível? Se não houver uma resposta publicada, a capacidade não é verificada. É apenas uma suposição.

Com o iProov, as evidências são publicadas, a metodologia é transparente e os resultados estão disponíveis para análise.

O seu provedor atual pode dizer o mesmo?

Para saber mais sobre a avaliação CEN/TS 18099 da iProov ou solicitar o relatório independente da Ingenium, entre em contacto connosco.
Saiba mais sobre certificações biométricas e de identidade e por que elas são importantes.

Índice

Enviar-me informações

Voltar ao Blogue

Relatórios

Vídeos

Eventos

Webinars

Folhas de informação

Ferramentas e calculadoras

Blogue

Centro de documentação

Perspectivas do sector

Enciclopédia biométrica

CEN/TS 18099: A norma que comprova a resistência a ataques de injeção

Por que o novo padrão era necessário

Como funciona a norma CEN/TS 18099

O que a avaliação da solução da iProov revelou?

Além do CEN: o panorama mais amplo da validação

Considerações finais sobre a norma CEN/TS 18099 e a «lacuna de validação»

Entendendo o ataque como serviço: o ecossistema obscuro que alimenta a fraude de identidade

5 desafios comuns de experiência do utilizador e desempenho com a verificação facial do cliente (e como resolvê-los)

Diretrizes NIST 800-63-4: Um apelo à ação em matéria de identidade

CEN/TS 18099: A norma que comprova a resistência a ataques de injeção

Por que o novo padrão era necessário

Como funciona a norma CEN/TS 18099

O que a avaliação da solução da iProov revelou?

Além do CEN: o panorama mais amplo da validação

Considerações finais sobre a norma CEN/TS 18099 e a «lacuna de validação»

Continuar a ler