A fraude já não bate à porta. Entra com identidade válida

Durante anos, o maior receio dos bancos era que alguém tentasse entrar pela porta errada. Hoje, o problema é outro. Há que garantir que quem entra pela porta certa é… de facto, quem diz ser. E bastaram poucos minutos para a Veridas o demonstrar no 3.º Identity & Business Day, que decorreu em Lisboa. A partir de uma fotografia recolhida na Internet, de um vídeo gerado por inteligência artificial e de software gratuito disponível para qualquer utilizador, os especialistas desta tecnológica criaram uma identidade sintética suficientemente convincente para tentar ultrapassar um processo de verificação digital. O exercício não pretendia propriamente impressionar a audiência pela sofisticação tecnológica. Aliás, pretendia mostrar precisamente o contrário. Que já não é preciso ser um especialista para produzir fraude altamente credível.

De resto, a demonstração serviu de fio condutor para um encontro onde a tónica dominante foi que a fraude mudou de escala. Ou seja, deixou de depender de documentos falsificados produzidos quase artesanalmente para passar a recorrer a ferramentas de inteligência artificial… acessíveis a qualquer pessoa. O resultado, garantem os especialistas, é uma pressão crescente sobre os modelos tradicionais de verificação de identidade, obrigando as organizações a rever processos que, durante anos, pareciam suficientemente robustos.

Pablo Amilibia, diretor da Veridas para a região EMEA

“A internet nasceu sem uma camada de identidade”, recordou na Fintech House, espaço onde decorreu o evento, Pablo Amilibia, diretor da Veridas para a região EMEA.

E se durante muito tempo, essa ausência parece não ter representado propriamente um problema significativo, à medida que os serviços financeiros, os seguros, as telecomunicações e até a administração pública migraram para canais digitais, a distância entre a identidade física e a identidade utilizada online ter-se-á tornado um dos maiores desafios de segurança da economia digital.

Neste novo mundo, verificar um documento e confirmar uma selfie já não é suficiente. A identidade deixou de ser apenas um momento do processo de abertura de conta ou de contratação de um serviço para passar a acompanhar toda a relação entre o cliente e a organização. A questão, exploraram no evento os profissionais da Veridas, deixou de ser apenas saber quem é o cliente no primeiro contacto, mas para garantir que continua a ser essa pessoa sempre que realiza uma operação, altera um dado sensível, assina um contrato ou autoriza uma transferência.

É obrigatório acompanhar a jornada do cliente

Essa mudança de paradigma atravessou praticamente todas as intervenções do encontro. Se durante anos o esforço das organizações se concentrou no denominado onboarding, a tendência aponta agora para modelos de autenticação contínua, capazes de acompanhar toda a jornada do cliente. A identidade deixa, assim, de ser uma fotografia tirada num único momento para passar a funcionar como um mecanismo permanente de confiança.

A velocidade a que a fraude evolui ajuda a explicar esta mudança. Maider Ullate, especialista em identidade digital da Veridas, (re)lembrou aos presentes que os criminosos já não precisam de conhecimentos técnicos avançados nem de grandes recursos financeiros para lançar ataques sofisticados, sendo que o problema agrava-se já que a fraude deixou igualmente de ser um fenómeno isolado. Em vez de um ou dois ataques ocasionais, as organizações enfrentam hoje campanhas automatizadas capazes de lançar centenas ou milhares de tentativas de fraude em poucos minutos. Algo que Maider Ullate apelidou de “fraude industrializada”. Uma escala que, no seu entender, obriga também a industrializar os mecanismos de prevenção.

Maider Ullate, especialista em identidade digital da Veridas

Democratização da fraude demonstrada em tempo real

A demonstração realizada em palco procurou precisamente ilustrar essa realidade. Depois de recolher uma fotografia pública de uma pessoa, a equipa recorreu a ferramentas gratuitas de inteligência artificial para gerar um vídeo sintético, reproduzindo movimentos naturais do rosto. Esse vídeo foi depois injetado num processo de abertura de conta, simulando a presença física do utilizador perante a câmara. Longe de ser um cenário futurista, o objetivo foi reproduzir técnicas que já circulam livremente na Internet e que podem ser utilizadas por qualquer atacante com conhecimentos básicos.

Foi precisamente esta democratização da fraude que mais preocupou os participantes. Há poucos anos, produzir um deepfake convincente exigia recursos computacionais significativos e equipas altamente especializadas. Hoje, bastam alguns minutos e aplicações acessíveis a qualquer utilizador. O custo aproxima-se de zero. A barreira técnica praticamente desapareceu.

Alfonso Urrizburu, Chief Revenue Officer da Veridas

Aumentar a segurança sem aumentar a fricção

Por isso mesmo, a resposta já não pode passar apenas por acrescentar novas camadas de autenticação. Para Alfonso Urrizburu, Chief Revenue Officer da Veridas, a questão passa por encontrar um equilíbrio que durante anos pareceu impossível: aumentar a segurança sem aumentar a fricção para o utilizador. “Se fecharmos todos os canais digitais, eliminamos a fraude”, observou, numa provocação dirigida à audiência. “Mas também deixamos de ter clientes”.

Não é por isso complicado imaginar que este equilíbrio se tornou um dos grandes desafios da banca digital, já que processos demasiado rígidos geram abandono, aumentam a frustração e afastam clientes. Por outro lado, processos demasiado simples deixam espaço para novos ataques. A tecnologia, defendeu o responsável, terá de conseguir fazer simultaneamente as duas coisas: proteger melhor e tornar a experiência mais simples.

Vera Esteves Cardoso, Counsel da Morais Leitão

Novas regras na gestão da identidade

Se a inteligência artificial está a alterar a forma como a fraude é praticada, a Europa prepara-se para alterar a forma como a identidade digital é gerida. O novo Regulamento Anti-Branqueamento de Capitais (AMLR) e o eIDAS 2.0 ocuparam boa parte da manhã e reforçou a ideia de que verificar identidades deixará de ser apenas uma obrigação regulatória para passar a ser uma infraestrutura comum em toda a União Europeia.

Vera Esteves Cardoso, Counsel da Morais Leitão, considera que a mudança é muito mais profunda do que uma simples atualização legislativa. “O mercado português, pelo menos no setor financeiro, já percebeu que o AMLR não é uma atualização incremental, mas sim uma mudança estrutural”, afirmou. A especialista advoga que o novo regulamento procura harmonizar procedimentos que, até agora, variavam significativamente entre Estados-membros.

A jurista procurou desfazer uma ideia que, segundo explicou, continua a surgir com frequência nas organizações: a de que a futura carteira europeia de identidade digital resolverá, por si só, todos os desafios do Know Your Customer.

“O eIDAS resolve a identidade, mas não resolve o risco de crime financeiro”, sintetizou. “Não substitui as obrigações de KYC, não substitui a avaliação de risco, não substitui a monitorização contínua. O que faz é apoiar esse processo”.

A principal novidade está na forma como os cidadãos passam a controlar a sua própria informação. Em vez de entregarem sucessivamente documentos completos sempre que pretendem abrir uma conta, contratar um seguro ou subscrever um serviço, poderão autorizar apenas a partilha dos atributos estritamente necessários para cada operação.

“O utilizador guarda a informação, controla a informação e decide a quem a quer disponibilizar”, explicou Vera Esteves Cardoso. “A identidade deixa de estar centrada nas instituições para passar a estar centrada nas pessoas”.

A lógica, que numa primeira abordagem até pode parecer simples, representa uma alteração profunda na relação entre cidadãos, empresas e Estado já que em vez de enviar uma cópia integral do cartão de cidadão para provar que é maior de idade, por exemplo, bastará autorizar a partilha dessa única informação, sem divulgar outros dados pessoais, como a data de nascimento ou a morada.

Segundo a responsável, esta abordagem reforça simultaneamente a privacidade e a experiência do utilizador. “A privacidade passa a estar integrada desde a conceção e as transações passam a ocorrer com muito menos fricção”.

Mas a promessa de simplificação traz igualmente novos desafios para as organizações. As entidades financeiras, seguradoras, operadores de telecomunicações ou empresas de energia terão de adaptar os seus sistemas para aceitar credenciais emitidas por diferentes carteiras digitais europeias, assegurando simultaneamente interoperabilidade, segurança e capacidade de auditoria. “Os Estados-membros têm de emitir carteiras conformes, os cidadãos têm de querer utilizá-las e as entidades públicas e privadas têm de conseguir integrá-las nos seus processos. Estes três fatores têm de acontecer ao mesmo tempo”, alertou.

Da esquerda para a direita: a moderadora Cristina Dias Neves do Jornal PT50; Pedro Barreira da Fidelidade; Álvaro Mancilla da Permisso; Alfonso Urrizburu da Veridas e Tomás Conceição do Banco Santander Portugal.

Como travar uma fraude sofisticada?

O evento, que contou com uma participação ativa da audiência relativamente a dúvidas colocadas, teve ainda espaço para o debate, centrada em como travar uma fraude cada vez mais sofisticada sem comprometer a experiência do utilizador nem travar o crescimento do negócio. Moderado pela jornalista Cristina Dias Neves, do Jornal PT50, o debate reuniu Tomás Conceição, especialista em Sistemas de Prevenção de Fraude do Banco Santander Portugal, Pedro Barreira, da Direção de Compliance da Fidelidade, Álvaro Mancilla, CEO e cofundador da Permisso, e Alfonso Urrizburu, Chief Revenue Officer da Veridas.

Apesar das diferentes perspetivas, as opiniões dos participantes no painel parecem ir no sentido de que a identidade digital deixou de ser apenas uma questão tecnológica ou de compliance para passar a ocupar um lugar central na estratégia das organizações. Para Pedro Barreira, a adaptação ao novo enquadramento regulamentar exige precisamente a mudança que vai muito além da tecnologia. “Mais do que olhar apenas para a regulamentação, devemos aproveitar este momento para revisitar processos. A prevenção do branqueamento de capitais, a fraude, a cibersegurança e a resiliência vão andar de braço dado e vamos ter de deixar de olhar para estes temas como silos”, afirmou. O responsável explicou que, na Fidelidade, o objetivo passa por aproximar cada vez mais o momento do onboarding da monitorização contínua do cliente. “Se começamos a observar alterações no comportamento do cliente, temos de cruzar essa informação com aquilo que fizemos no momento da entrada e perceber porque mudou. É essa ligação que permitirá fazer um verdadeiro perpetual onboarding”.

Também Tomás Conceição defendeu que a resposta à fraude não pode assentar numa única tecnologia ou num único mecanismo de controlo. “Não há apenas um ponto que possamos tocar para resolver o problema”, afirmou. Para o especialista do Santander, a proteção da identidade continua a ser essencial, mas deve ser complementada por análise comportamental, informação sobre os dispositivos utilizados, monitorização das transações e, sobretudo, por uma aposta contínua na sensibilização dos clientes. “Não acredito que haja alguém que, nos últimos trinta dias, não tenha recebido uma mensagem de phishing, um anúncio falso ou uma tentativa de fraude”, observou. E lembrou que os atacantes “são hoje extremamente eficientes” e encontram na inteligência artificial uma forma de escalar campanhas fraudulentas.

A necessidade de olhar para a identidade de forma contínua foi igualmente destacada por Álvaro Mancilla. O CEO da Permisso defendeu que o desafio já não termina quando o cliente abre uma conta ou contrata um serviço. “Não devemos olhar para este problema apenas no momento do onboarding. Temos de voltar a confirmar periodicamente que aquela pessoa continua a ser quem diz ser, que mantém o mesmo perfil de risco e que a informação continua atual”, disse, defendendo uma gestão integrada dos dados ao longo de todo o ciclo de vida do cliente.

Alfonso Urrizburu reforçou, por sua vez, que a resposta passa por encontrar um equilíbrio entre segurança e experiência de utilização. Na opinião do responsável da Veridas, a inteligência artificial que hoje potencia novas formas de fraude será também uma das principais ferramentas para as combater. “Nunca devemos pensar que uma tecnologia não pode ser usada para contrariar essa mesma tecnologia”.

Questionados sobre o principal conselho que deixariam às organizações, os participantes convergiram novamente. Pedro Barreira apontou para a criação de equipas multidisciplinares capazes de juntar compliance, tecnologia, cibersegurança e negócio. Tomás Conceição reforçou a necessidade de investir simultaneamente em tecnologia, em equipas internas e em literacia digital dos clientes. Já Álvaro Mancilla e Alfonso Urrizburu defenderam uma abordagem transversal à segurança, que proteja não apenas os canais digitais, mas também os dispositivos, os colaboradores e toda a cadeia de interação com o cliente.