Logo

Recomendações para o Fortalecimento de Processos de Validação de Identidade Digital

Índice

  1. Introdução

  2. Recomendações Técnicas

  3. Consideração Especial sobre Imagens Geradas por IA

  4. Considerações Legais e Responsabilidades

  5. Conclusões

 

 

1. Introdução

Diante do uso crescente de ferramentas de inteligência artificial (IA) para geração e manipulação de imagens, recomendamos o acompanhamento das práticas a seguir para fortalecer os fluxos de verificação de identidade. Elas visam aumentar a probabilidade de interceptação de ataques de substituição de identidade.

Recomendamos também a leitura do documento complementar: VU – Segurança no Processo de Verificação de Identidade

 

2. Recomendações Técnicas

2.1 Limitação de tentativas
Para evitar ataques por força bruta ou tentativas de aprendizado por parte de atacantes, recomenda-se fortemente limitar o número de tentativas por usuário e por dispositivo.

2.2 Atualização de software
Verifique se as versões implementadas (componentes de servidor e SDKs nas plataformas web ou mobile) estão atualizadas para as versões mais recentes, garantindo o acesso às funcionalidades de segurança mais atualizadas.

2.3 Captura direta de imagens
Aumente a probabilidade de que a captura de documentos de identidade e selfies neutras seja feita através dos SDKs web ou mobile utilizando a câmera, evitando o upload de arquivos da galeria ou armazenamento local, ou o uso de métodos alternativos de captura.

2.4 Qualidade das imagens
Garanta que as imagens capturadas e enviadas mantenham a máxima qualidade permitida pelos dispositivos, para fins de análise e validação.

2.5 Prevenção de ataques Man-in-the-Middle (MITM)
Para mitigar possíveis interceptações de requisições, recomenda-se que os clientes que utilizam a versão 2.10.0 do Onboarding ou superior ativem a funcionalidade Body Integrity Check.

2.6 Verificação completa do documento de identidade
Clientes com a versão 2.17.0 ou superior do Onboarding Management podem melhorar a validação ativando o controle de verificação completa do documento.

2.7 Controle de bordas para selfies
A partir da versão 2.21.1 do Onboarding Management, recomenda-se ativar o controle de bordas para selfies neutras, a fim de evitar manipulações visuais no enquadramento.

2.8 Integração com serviços externos
O Onboarding Management permite a integração com fontes de dados externas para validação de informações pessoais e/ou biométricas, contribuindo para o fortalecimento dos mecanismos antifraude.

2.9 Validação biométrica 1:N
Em casos em que haja dados biométricos relacionados a tentativas de fraude, é possível ativar o módulo de validação biométrica 1:N, aplicável a Face, Face+ID ou ambos.

2.10 Fluxo Assíncrono
O Onboarding Management suporta a implementação de fluxos assíncronos com validação manual das operações via Case Management integrado ao backoffice. Nesse tipo de fluxo, as identidades são verificadas de forma provisória até que um operador humano inspecione as informações fornecidas pelo usuário final e valide a identidade de forma definitiva. Após a aprovação, o Onboarding Management pode notificar serviços terceiros para dar continuidade ao fluxo de negócios. É recomendável implementar esse tipo de fluxo como alternativa em cenários com ataques direcionados de baixo impacto no negócio.

 

3. Consideração Especial sobre Imagens Geradas por IA

O Onboarding Management implementa um mecanismo de segurança em múltiplas camadas (multi-layered), no qual cada componente é essencial para garantir verdadeiros positivos (aceitações) e verdadeiros negativos (rejeições).

No caso de ataques de substituição de identidade com imagens geradas por inteligência artificial, o Onboarding Management utiliza suas capacidades de prova de vida ativa (liveness detection) e prova de vida passiva (detecção de telas ou screen recapture).

 

4. Considerações Legais e Responsabilidades

Para assegurar a aplicação correta dessas recomendações sob a perspectiva regulatória e de segurança:

  • Os clientes devem garantir uma base legal adequada para a coleta e o tratamento de imagens faciais e documentos de identidade, incluindo o consentimento explícito quando exigido por normativas locais ou internacionais.

  • A ativação e a configuração das funcionalidades sugeridas neste documento são de responsabilidade do cliente. A eficácia do sistema de verificação depende da correta implementação dessas medidas técnicas.

  • Recomenda-se monitorar indicadores-chave, como a taxa de tentativas falhas, frequência de bloqueios por suspeita de fraude e taxa de detecções positivas, para avaliar a efetividade dos controles e realizar os ajustes necessários.

 

5. Conclusões

Agradecemos pela colaboração na aplicação dessas recomendações, cujo objetivo é proteger a integridade dos processos de identificação digital. Para qualquer dúvida ou assistência técnica, nossa equipe de suporte está à disposição para oferecer o acompanhamento necessário.

 

 

 

Atualização: Abril de 2025