31 de dezembro de 2023
O Identity Theft Resource Centre (ITRC), uma organização sem fins lucrativos centrada na vítima, publicou recentemente o seu documento de discussão do grupo de trabalho sobre biometria, redigido por reconhecidos especialistas em políticas, académicos, técnicos e empresariais.
Na sequência da crise de fraude no sector público durante a pandemia de COVID-19, o ITRC recebeu uma vaga de queixas, uma vez que o mundo registou níveis sem precedentes de fraude baseada na identidade. Após uma investigação e análise diligentes do problema, o grupo concluiu que "a biometria representa a melhor oportunidade para proteger as identidades dos indivíduos e melhorar a integridade dos processos dos sectores público e privado". Por outras palavras, a questão não é se a tecnologia biométrica deve ser adoptada, mas como?
Reconhecendo que os métodos tradicionais de segurança baseados em credenciais estão a falhar, as organizações começaram a ver que a verificação de identidade baseada em biometria é o antídoto para o cibercrime e a fraude.
Mas nem todas as soluções biométricas são iguais. O relatório fornece recomendações sobre as principais capacidades que uma "boa" solução biométrica deve incluir. Neste artigo, apresentaremos uma visão geral do que constitui uma solução biométrica robusta e segura.
A ameaça cada vez maior da fraude de identidade
A fraude de identidade é um problema colossal, sobretudo nos Estados Unidos. De acordo com a Javelin Strategy & Research, a fraude de identidade custou 52 mil milhões de dólares em perdas nos EUA em 2021. Os dados do iProov revelaram que 29% dos americanos foram vítimas de roubo de identidade, em comparação com apenas 15% dos britânicos e 13% dos australianos. Com uma nova vítima a cada 22 segundos, a escala do problema é imensa.
É importante notar que o ITRC não é patrocinado e não é uma organização centrada na biometria; opera o maior repositório de informações sobre violações de dados nos EUA desde 2005. A sua posição é que "já não se pode confiar apenas nos dados como única fonte de verdade sobre a identidade de uma pessoa na maioria dos processos".
A ITRC conclui que a verificação da identidade com base em dados biométricos é atualmente o único método fiável de verificação da identidade à distância, pelo que protege melhor os clientes.
A verificação do rosto NÃO é o reconhecimento do rosto
O relatório analisa também de forma crítica a forma como a adoção da biometria facial tem sido dificultada pela sua confusão com o reconhecimento facial. Existem diferenças fundamentais:
- A verificação facial é baseada no consentimento, ao contrário do reconhecimento facial. A verificação facial pode preservar a privacidade. O reconhecimento facial não pode, uma vez que a pessoa não consente o processo.
- A verificação facial é uma verificação de um para um que é benéfica para o utilizador. O reconhecimento facial é de um para muitos. O seu principal objetivo é ajudar a aplicação da lei, mas não é consensual - está a tentar encontrar um utilizador numa grande base de dados.
- O papel da verificação facial é afirmar a identidade, utilizando o rosto para provar que o utilizador é efetivamente esse utilizador. O seu objetivo é reduzir a fraude de identidade, aumentar a precisão e fornecer uma solução de verificação de identidade inclusiva e segura que proteja as pessoas das ameaças crescentes de crimes relacionados com a identidade.
Em última análise, a distinção entre verificação facial e reconhecimento facial é crucial para a adoção e implementação de tecnologias de verificação facial. O iProov tem vindo a sublinhar a importância desta distinção há anos. Pode saber mais neste artigo.
O que torna a verificação biométrica do rosto a norma de ouro para a verificação remota da identidade?
Ao utilizar a biometria facial como parte de um processo abrangente de verificação de identidade, a autenticidade de um candidato pode ser assegurada de uma forma equitativa e de baixo risco. Esta abordagem reduz o valor das informações de identificação pessoal (PII) comprometidas para os maus actores e oferece uma solução inclusiva que vai muito além do que os métodos de verificação tradicionais podem oferecer
A verificação facial constitui uma alternativa às soluções de verificação de identidade existentes que podem basear-se fortemente em dados de crédito, o que pode excluir indivíduos com um historial de crédito limitado ou inexistente. Este aspeto é particularmente benéfico para alcançar e verificar as identidades de indivíduos que, de outra forma, enfrentariam desafios em processos remotos de verificação de identidade.
Pode ler mais sobre as vantagens da biometria facial aqui.
Nem todas as soluções biométricas são igualmente eficazes
É essencial escolher uma solução de base científica que possa proporcionar os mais elevados níveis de garantia de identidade e que tenha um historial comprovado junto de organizações preocupadas com a segurança.
Vamos examinar alguns dos critérios que formam um sistema de verificação facial robusto:
- Deteção da vivacidade: Tal como refere o ITRC, as melhores soluções não só verificam a imagem capturada apresentada, como também determinam a "vivacidade" da pessoa e que esta é real e não uma falsificação.
- Biometria de uso único: A tecnologia de biometria única é essencial. Verifica que um indivíduo está a autenticar-se em tempo real e não é uma fotografia ou máscara, nem um ataque injetado digitalmente utilizando uma repetição de uma autenticação anterior ou um vídeo sintético (como um deepfake). Saiba mais sobre a tecnologia biométrica de uso único aqui.
- Monitorização ativa das ameaças: O relatório também salienta a importância da monitorização ativa: "A iProov fornece esta monitorização através do nosso Centro de Operações de Segurança (iSOC), que reúne informações sobre ataques biométricos avançados e cria resiliência contra ameaças contínuas. Somos o único fornecedor de dados biométricos a partilhar as nossas conclusões nos nossos relatórios anuais de informações sobre ameaças biométricas.
Inclusão e desempenho:
- Avaliar as certificações: O relatório reconhece que algumas soluções biométricas são "mais precisas do que outras" e que algumas "funcionam melhor numa população diversificada do que outras, incluindo pessoas com deficiência". Procure soluções como a do iProov, que é certificada pelo National Institute of Standards and Technology (NIST) e é um dos poucos fornecedores a atingir a conformidade total com as WCAG 2.2. O fornecedor biométrico deve manter-se atualizado em relação à evolução das normas, certificações e conformidade.
- Avaliar as práticas de atenuação de preconceitos: não se trata de um esforço único, mas de um compromisso permanente. A transparência, a diversidade dos dados de formação, os testes regulares e a adaptabilidade são componentes essenciais de uma estratégia sólida. A atenuação dos preconceitos não se limita à idade, ao tom de pele ou ao género; é necessário ter em conta outros impactos sociodemográficos, como o acesso a dispositivos com câmaras.
Considerações sobre a proteção da privacidade:
- Modelo biométrico: O fornecedor só deve armazenar dados biométricos num formato anónimo, para que sejam inúteis para um atacante. Em vez de imagens armazenadas, um modelo biométrico é uma representação matemática dos dados biométricos que não pode ser associada a uma pessoa identificável. Em última análise, isto reforça a privacidade do utilizador e a proteção dos dados. Pode saber mais sobre modelos biométricos aqui
- Firewall de privacidade: O fornecedor deve utilizar uma tecnologia que utilize uma firewall de privacidade, em que existe uma separação estrutural entre a identidade do utilizador e a sua biometria. Todas as PII são retiradas, deixando apenas a biometria, que, por si só, é inútil em caso de fuga ou roubo. É altamente eficaz na proteção da privacidade do utilizador.
- Autenticação baseada na nuvem: Há muitas vantagens na segurança biométrica baseada na nuvem. Uma das principais é a proteção dos dados do utilizador: a segurança na nuvem é opaca para um atacante e muito mais difícil de fazer engenharia reversa.
O relatório também recomenda especificamente que se procure um fornecedor que tenha capacidades de verificação em tempo real e técnicas de deteção passiva. O iProov é único no espaço da garantia de identidade, em grande parte devido à sua capacidade de confirmar se um dispositivo está a partilhar informações correctas em tempo real sobre um utilizador real neste preciso momento.
Pode obter mais informações no nosso guia para escolher um fornecedor de biometria aqui.
Considerações finais
Em última análise, o ITRC não recomenda nenhum fornecedor em particular, mas salienta que a verificação de identidade com base na biometria é a "melhor esperança para reduzir os crimes de falsificação de identidade a curto e longo prazo" e que as organizações devem procurar a "melhor solução para elas o mais rapidamente possível", a fim de reduzir a ameaça grave e sempre crescente dos crimes de identidade.
A iProov fornece as soluções biométricas faciais mais validadas do mundo, tendo sido testadas de acordo com as normas de segurança nacional pelo Departamento de Segurança Interna dos EUA, pelo Ministério do Interior do Reino Unido, pelo Governo de Singapura e pelo Governo australiano - completando frequentemente mais de um milhão de verificações por dia com taxas de aprovação superiores a 98%.