-
O que são dados biométricos?
-
Como é que a biometria funciona?
-
Biometria estática e biometria comportamental: qual é a diferença?
-
Como a biometria protege contra a fraude financeira.
-
Como a biometria proporciona uma forte autenticação do cliente.
-
Como a biometria melhora a experiência do cliente.
-
Conformidade regulamentar e biométrica.
O que são dados biométricos?
Os dados biométricos são características físicas ou comportamentais que são únicas para cada indivíduo e que são utilizadas para autenticar um indivíduo para acesso a aplicações e outros recursos da rede. Exemplos de identificadores biométricos são as impressões digitais, os padrões faciais, os padrões de desbloqueio, a dinâmica da caligrafia ou a voz. A autenticação biométrica é um componente popular da autenticação multi-fator porque combina um sistema de autenticação forte com uma experiência de utilizador de baixo atrito.
Segundo a Wikipédia, “os identificadores biométricos são geralmente classificados em características fisiológicas e características comportamentais. As características fisiológicas estão relacionadas com a forma do corpo. Não se limitando às impressões digitais, os exemplos incluem, entre outros, as veias da palma da mão, o reconhecimento facial, o ADN, a impressão da palma da mão, a geometria da mão, o reconhecimento da íris, a retina e o olfato. A biometria comportamental está relacionada com um padrão de comportamento, como o ritmo de digitação de uma pessoa ou a forma como segura o telemóvel ou passa o dedo pelo ecrã.
Segundo a Wikipédia, “os identificadores biométricos são geralmente classificados em características fisiológicas e características comportamentais. As características fisiológicas estão relacionadas com a forma do corpo. Não se limitando às impressões digitais, os exemplos incluem, entre outros, as veias da palma da mão, o reconhecimento facial, o ADN, a impressão da palma da mão, a geometria da mão, o reconhecimento da íris, a retina e o olfato. A biometria comportamental está relacionada com um padrão de comportamento, como o ritmo de digitação de uma pessoa ou a forma como segura o telemóvel ou passa o dedo pelo ecrã.
A biometria é cada vez mais utilizada nas aplicações bancárias móveis, ajudando os clientes a iniciarem sessão facilmente e acrescentando um outro nível de segurança. Os sistemas biométricos não dependem do facto de a informação biométrica, como a imagem do rosto, ser secreta. Ao contrário das palavras-passe e dos PIN, os dados biométricos não podem ser esquecidos ou partilhados e são mais difíceis de copiar ou roubar.
Como é que a biometria funciona?
Um sistema biométrico tem três componentes diferentes. Tem de haver um sensor para registar e ler a sua informação biométrica, como uma impressão digital. Quando utiliza os seus dados biométricos para aceder ao seu telemóvel, deve também existir um computador que armazene de forma segura os dados biométricos para comparação. O terceiro componente é o software para ligar o hardware do computador ao sensor.
Biometria estática e biometria comportamental: qual é a diferença?
Biometria estática
A biometria estática utiliza características físicas, como a leitura de impressões digitais ou o reconhecimento facial, para desbloquear telemóveis, iniciar sessão em contas bancárias ou efetuar transacções.
Estes são os principais tipos de dados biométricos estáticos utilizados para verificar a sua identidade:
- O software de reconhecimento facial analisa a distância entre os seus olhos e a distância entre o queixo e o nariz para criar um modelo digital encriptado do seu rosto. Quando o utilizador se autentica, o software de reconhecimento facial faz a leitura do seu rosto em tempo real e compara-o com o modelo digital armazenado de forma segura no sistema. Os sistemas de reconhecimento facial com “deteção de vida ativa” exigem que o utilizador mexa a cabeça, pisque os olhos ou faça outros movimentos. A deteção de vida também pode ser passiva. Em segundo plano, os algoritmos são utilizados para analisar amostras biométricas em busca de sinais que provem que não se trata de uma pessoa viva, como papel, ecrãs digitais ou recortes numa máscara impressa em 3D. A deteção robusta da vivacidade garante que é o cliente real que apresenta a sua amostra biométrica ao sistema e não um atacante que tenta fazer-se passar por ele. Neste último caso, tratar-se-ia de um ataque de phishing.
- O reconhecimento das impressões digitais é uma das formas mais populares, se não a mais popular, de autenticação biométrica utilizada nos dispositivos móveis. Foi originalmente popularizado pelo Touch ID da Apple. Um leitor de impressões digitais analisa os sulcos e padrões da sua impressão digital e compara-os com o modelo digital armazenado do seu dedo durante a autenticação. O reconhecimento de impressões digitais pode alterar-se se o dedo estiver molhado ou sujo. Torna-se muito difícil para um atacante reproduzir a impressão digital de um indivíduo quando um sistema de reconhecimento de impressões digitais possui uma deteção robusta da vivacidade para ajudar a evitar ataques de falsificação, que poderiam utilizar um modelo 3D ou uma imagem falsa.
- Reconhecimento da íris: existem dois métodos de leitura ocular para autenticar a identidade de uma pessoa. Num exame à retina, uma luz é projectada brevemente no olho para mostrar o padrão único dos vasos sanguíneos do olho. Ao mapear este padrão, a ferramenta de reconhecimento ocular pode comparar os olhos de um utilizador com os do original. Num scanner da íris, são lidos os anéis coloridos que se encontram na íris. Em algumas utilizações, o reconhecimento ocular pode ser tão rápido e preciso como o reconhecimento facial, mas também pode ser difícil obter uma amostra para comparação à luz do sol quando as pupilas estão contraídas. O reconhecimento da íris pode também ser menos fiável quando um cliente usa óculos.
- O reconhecimento da fala analisa o som único da voz de uma pessoa, que é determinado pelo comprimento do seu trato vocal e pela forma do seu nariz, boca e laringe. A análise da voz de uma pessoa é um método forte de autenticação, mas uma constipação, bronquite, outras doenças ou ruído de fundo podem distorcer a voz e perturbar a autenticação.
- O reconhecimentoda ge ometria do dedo utiliza a geometria 3D do dedo para verificar a identidade.
De um modo geral, a biometria estática é considerada uma forma segura de autenticar os clientes e deve incluir a deteção de vivacidade para combater impressões digitais ou fotografias falsas num ataque de phishing.
Biometria comportamental
A biometria comportamental analisa os seus hábitos e movimentos únicos para criar um padrão de comportamento que pode ser reconhecido pela forma como escreve ou como segura o telemóvel. Tal como a biometria estática, a biometria comportamental acrescenta outra camada de segurança para verificar a sua identidade. FinancialIT.net afirma: “Esta tecnologia de ponta utiliza sensores de movimento e inteligência artificial para identificar gestos únicos, como a forma como segura o telemóvel. É geralmente considerado como a última fronteira em termos de segurança.
Estes são os principais tipos de biometria comportamental:
- A dinâmica da escrita analisaa forma e a velocidade da escrita para determinar padrões distintivos. A quantidade de pressão exercida pelos dedos durante a escrita também pode ser definida num padrão reconhecível.
- A forma como segura o telemóvel analisao ângulo em que o segura e a mão dominante que utiliza quando usa o telemóvel. A biometria comportamental também inclui a forma como o utilizador passa o dedo no telemóvel e com que mão.
- O seu andar, ou seja, a forma como caminha, é também um traço comportamental que pode ser estudado para determinar um padrão. Além disso, a sua hora e local habituais para iniciar sessão e efetuar transacções também podem ser definidos num padrão comportamental.
A biometria comportamental é uma experiência segura para os clientes, mas um desafio para os autores de fraudes, uma vez que cada indivíduo tem um perfil específico dos seus hábitos e movimentos. Com a biometria comportamental, a sessão de um utilizador é continuamente monitorizada, de modo a que, se alguma vez for interrompida ou desviada, o sistema possa reconhecê-la e tomar as medidas adequadas para evitar a fraude antes que esta ocorra.
Como a biometria protege contra a fraude financeira
As instituições financeiras utilizam a biometria para os seguintes fins
- Para verificação da identidade digital quando um cliente abre uma nova conta à distância
- Para autenticação do cliente (no início da sessão ou para autenticação contínua durante a sessão bancária)
- Para autenticação de transacções (para garantir que o legítimo proprietário da conta é, de facto, a pessoa que iniciou a transação)
Os consumidores estão cada vez mais à vontade com a biometria e muitos optam por utilizar uma impressão digital ou o reconhecimento facial, por exemplo, como meio de autenticação e verificação da identidade junto da sua instituição financeira. A biometria acrescenta um outro nível de segurança e ajuda a aumentar o nível de confiança que os clientes têm na sua instituição financeira. O Touch ID da Apple, introduzido em 2013, contribuiu para o aumento da biometria na banca móvel porque fornece às instituições financeiras uma tecnologia baseada num dispositivo que podem utilizar para proteger a sua plataforma de banca móvel.
Do mesmo modo, o Android Fingerprint ID permite que os utilizadores verifiquem a sua identidade com uma impressão digital em alguns dispositivos Android. A Javelin afirma que os consumidores estão a exigir opções de autenticação. Para mais de um terço dos utilizadores, os três métodos de autenticação que mais desejam que as suas instituições financeiras suportem são todos biométricos. A Javelin salienta igualmente que, embora se espere que os consumidores que pretendem uma opção biométrica se concentrem normalmente entre os clientes mais jovens, cerca de 40% têm mais de 55 anos.
Como a biometria proporciona uma autenticação forte do cliente
A biometria faz parte de um processo de autenticação multifactor, em que podem ser utilizadas várias tecnologias para autenticar a identidade de alguém quando inicia uma sessão bancária ou efectua uma transação financeira. Para obter uma autenticação multifactor, devem ser utilizados pelo menos dois factores de autenticação diferentes. Os factores de autenticação incluem:
Algo que sabe
Trata-se normalmente de uma palavra-passe, PIN, frase-chave ou perguntas com as respectivas respostas.
Algo que tem
Pode ser um PIN de uso único ou uma aplicação de autenticação instalada no seu smartphone, que gera um código de acesso de uso único em segundo plano.
Algo que é
Pode tratar-se de impressões digitais, digitalizações de retina, reconhecimento facial, reconhecimento de voz ou do comportamento de um cliente (a intensidade ou a rapidez com que escreve ou passa o dedo num ecrã), que podem ser utilizados para verificar um cliente único.
Por conseguinte, a utilização de um PIN com reconhecimento facial é uma autenticação multifactor porque combina algo que se sabe e algo que se é, ao passo que a utilização de um PIN com uma palavra-passe não seria considerada uma autenticação multifactor porque são simplesmente duas coisas que se sabem.
Como a biometria ajuda a proteger contra a fraude financeira
A utilização da biometria como parte de uma autenticação forte do cliente ou de uma autenticação multi-fator pode ajudar a atenuar diferentes tipos de ataques de fraude. Quando os autores de fraudes entram digitalmente numa conta bancária para a monitorizar, utilizam frequentemente tácticas como o phishing para persuadir as pessoas a revelarem inadvertidamente as suas credenciais de início de sessão. O resultado é a tomada de controlo de contas, que é uma das principais ameaças para as instituições financeiras e os seus clientes, devido às perdas financeiras e aos esforços de mitigação envolvidos. A biometria pode ajudar a travar os atacantes no ponto de acesso (login), solicitando uma leitura de impressões digitais ou uma leitura facial. O atacante não será capaz de se autenticar corretamente e não poderá aceder à conta de outra pessoa. Além disso, a deteção robusta da vivacidade e a deteção de contrafacções dificultam a tarefa dos atacantes. O atacante não conseguirá imitar os dados biométricos de um cliente legítimo ou obter acesso à conta.
Como é que a biometria ajuda a prevenir a fraude durante a abertura remota de uma conta
A biometria também desempenha um papel importante na prevenção da fraude de identidade durante o processo de abertura de uma conta à distância. Hoje, devido à covid-19, muitos consumidores estão a evitar visitas desnecessárias à agência bancária. Mesmo quando um novo requerente não se encontra pessoalmente com um representante do banco, este deve verificar se o requerente remoto é, de facto, o legítimo proprietário de um documento de identidade, como um passaporte ou uma carta de condução. Este aspeto é essencial na luta contra a fraude nas candidaturas.
A biometria faz parte deste processo. Por exemplo, a comparação facial é utilizada para verificar a identidade, para garantir que o candidato remoto é quem diz ser. Depois de verificada a autenticidade da carta de condução, do passaporte ou de outro documento de identificação emitido pelo governo, o requerente é convidado a tirar uma selfie com o seu dispositivo móvel. Quando uma selfie é utilizada para reconhecimento facial, a deteção de vida pode ser aplicada para demonstrar uma presença humana legítima.
Existem dois tipos de deteção de vivacidade para identificar se uma caraterística biométrica é de uma pessoa real ou é uma representação digital ou fabricada. A deteção ativa da vivacidade exige que uma pessoa pestaneje ou vire a cabeça, enquanto a deteção passiva da vivacidade funciona nos bastidores e utiliza algoritmos para detetar sinais de uma possível falsificação de identidade. As tecnologias de correspondência facial utilizam algoritmos avançados para analisar os dados biométricos das características de uma pessoa. Por exemplo, a posição e o tamanho dos olhos de uma pessoa em relação a outra podem ser utilizados para determinar se a selfie e o documento de identificação emitido pelo governo representam a mesma pessoa.
Como a biometria melhora a experiência do cliente
A utilização da biometria torna mais rápida e fácil a interação dos clientes com a sua instituição financeira. A biometria é um meio de autenticação mais seguro do que as palavras-passe, que são frequentemente roubadas ou esquecidas. A biometria pode aumentar a confiança dos clientes na sua instituição financeira, uma vez que é muito mais difícil para os autores de fraudes serem bem sucedidos com a utilização de uma impressão digital ou selfie falsa. As experiências positivas com a biometria para verificação da identidade durante a abertura remota de contas e a autenticação do cliente durante o início de sessão também podem aumentar a fidelidade e a confiança do cliente na sua instituição financeira.
É de salientar que os modelos biométricos podem aprender com o tempo, de modo a que as alterações nas características de uma pessoa devido ao envelhecimento sejam tidas em conta e não invalidem a correspondência. Quando um utilizador se autentica regularmente, pequenas alterações na aparência não serão suficientemente significativas para invalidar a correspondência. Em vez disso, o modelo matemático de uma pessoa será atualizado à medida que forem reconhecidas alterações na sua aparência física.
O que dizem os analistas sobre a biometria
Segundo a Gartner, “a autenticação biométrica não pode e não se baseia no segredo dos traços biométricos, mas sim na dificuldade de fazer passar uma pessoa real por dispositivos de captação de imagens (“sensores”), por outras palavras, um ataque de falsificação”. A Gartner acrescenta que este aspeto não é amplamente conhecido, o que deu origem a algumas ideias erradas, reforçadas pela deteção de casos raros de ataques de phishing em dispositivos de consumo e pela publicidade sobre ataques bem sucedidos contra o Touch ID da Apple, os sensores de passagem da Samsung, o reconhecimento facial do Android, etc. Segundo a Gartner, as vantagens da autenticação biométrica para o cliente conduziram a um aumento das aplicações bancárias móveis nos últimos anos.
A Juniper Research estimou que o hardware de reconhecimento facial, como o Face ID nos iPhones mais recentes, será a forma de hardware biométrico para smartphones com crescimento mais rápido. Prevê-se que atinja mais de 800 milhões em 2024, em comparação com uma estimativa de 96 milhões em 2019. No entanto, um novo estudo, Mobile Payment Authentication: Biometrics, Regulation and Predictions 2019-2024, indica que a maioria do reconhecimento facial nos smartphones será baseada em software, com mais de 1,3 mil milhões de dispositivos com essa capacidade até 2024.
A MarketResearch.com salienta que a luta contra a fraude bancária no mundo digital necessita de mais tecnologias infalíveis. “A biometria é uma arma poderosa para combater a crescente ameaça de fraude financeira. A tecnologia está, por conseguinte, a ganhar destaque, apoiada por benefícios como a autenticação simples e infalível baseada em caracteres físicos únicos que são difíceis de replicar ou duplicar, ou seja, reconhecimento de voz, digitalização da íris, impressões digitais e reconhecimento facial; eliminação da necessidade de memorizar palavras-passe e de gerir palavras-passe de utilização única (OTP); segurança reforçada imune a ciberataques; comodidade sem paralelo; redução significativa do risco de roubo de identidade; experiência do utilizador de maior qualidade; intervenção mínima ou nula do utilizador; poupança de tempo e redução do volume de trabalho de autenticação de back office, entre outros. Segundo a MarketResearch.com, o mercado global de biometria para serviços bancários e financeiros deverá atingir 10,8 biliões de dólares até 2025.
A Javelin afirma que o armazenamento de modelos biométricos localmente no dispositivo de um indivíduo reduz os riscos associados ao comprometimento dos dados, quer em trânsito, quer através de ataques a armazéns centralizados de dados biométricos. “Quando combinado com normas de autenticação, como as desenvolvidas pela FIDO Alliance, o phishing é quase impossível. ou utilizar indevidamente os dados interceptados na autenticação biométrica local”. A Javelin salienta ainda que, “se um indivíduo mal-intencionado conseguir registar com êxito as suas próprias características num autenticador biométrico, mesmo o método de autenticação mais sofisticado permitir-lhe-á ultrapassar os desafios de segurança. Consequentemente, muitos fornecedores oferecem ferramentas adicionais de avaliação de risco integradas na sua plataforma, como a recolha de impressões digitais e a geolocalização do dispositivo. Outras ferramentas, como a digitalização de documentos, oferecem complementos naturais à digitalização biométrica, permitindo um grau de comparação entre a entrada biométrica captada pelo utilizador e a imagem de um documento de identificação.
Conformidade regulamentar e biométrica
A biometria ajuda as organizações a cumprir os requisitos de autenticação melhorada do cliente (ECA) da Segunda Diretiva de Serviços de Pagamento (PSD2) da União Europeia, que são regulamentos para serviços de pagamento eletrónico. De acordo com os requisitos da ARC, a autenticação deve basear-se em dois ou mais dos seguintes factores: conhecimento (como palavras-passe ou PIN), posse (como fichas ou dispositivos móveis) ou inerência (biometria).
De acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, a autenticação de dois factores é necessária para a conformidade. Isto significa que uma simples combinação de nome de utilizador e palavra-passe já não oferece segurança suficiente para a proteção de dados, uma vez que as palavras-passe podem ser facilmente roubadas, partilhadas ou decifradas. Em contrapartida, a autenticação de dois factores é utilizada para identificar uma pessoa quando dois dos três factores de autenticação possíveis se combinam para conceder acesso a um sítio Web ou a uma aplicação: algo que a pessoa sabe, algo que a pessoa tem ou algo que a pessoa é, envolvendo a utilização de dados biométricos, como uma impressão digital ou uma leitura facial.
Nos EUA, o maior regulador estatal, o Departamento de Serviços Financeiros de Nova Iorque, emitiu um regulamento intitulado Cybersecurity Requirements for Financial Services Firms (Requisitos de cibersegurança para empresas de serviços financeiros). Exige a utilização de autenticação multifactor, incluindo a biometria, “para proteger contra o acesso não autorizado a informações não públicas ou a sistemas de informação”. A informação não pública é a informação privada do indivíduo.