A Biometria como gatilho de transformação da Identidade Digital
A utilização de autenticação biométrica para transações digitais seguras representa uma alternativa palpável – e rápida – na busca de oferecer uma experiência perfeita ao usuário.
Hoje, a biometria tem a seu favor aspectos como a facilidade de coleta, trazida pela câmera de qualquer celular, associada à universalização do dispositivo móvel no Brasil. Conta também com a crescente familiaridade da população com o envio de selfies e digitais, hoje já usados em escala massiva para o onboarding móvel da população em fintechs, marketplaces e, principalmente, em serviços previdenciários.
A ideia da biometria se mostra ainda mais oportuna quando se pensa na aplicação do algoritmo biométrico em combinações de prova de identidade e prova de vida em tempo real, como é o caso da “Face Match”.
Nesse tipo de aplicação, uma selfie (ou escaneamento de digital), coletada durante a sessão de acesso, é biometricamente confrontada com as fotos 3×4 ou com a impressão digital contida em documentos cadastrais do usuário. O sistema de autenticação pode também adicionar uma requisição “a quente”, como pedir ao usuário que sorria ou pisque um dos olhos.
Sempre empregada em combinação com outros itens de validação internos ou externos, a Biometria pode se fortalecer ainda mais quando compara o algoritmo deste registro atualíssimo com outros já armazenados, em repositórios públicos e privados, e que contêm imagens-documentos do com fotos e digitais do usuário. Tais como fontes externas contendo a carteira de identidade, CNH, ficha estudantil, carteira de trabalho e até as poses publicadas em suas redes sociais.
Esta biometria ao vivo ainda carrega junto consigo outros fatores de autenticação forte, como as marcações de tráfego na estrutura da web e da nuvem, a geolocalização e a datação do ponto de coleta atual.
Um exemplo prático de solução deste tipo, em que se articulam registros biométricos previamente armazenados com elementos contextuais, é dado pela arquitetura FIDO (Fast Identity Online). Trata-se um esquema de acesso sem a exigência de senha e sem exigir a centralização de todas as informações do usuário no sistema de autenticação interno, algo que favorece diretamente a privacidade, facilita o gerenciamento e promove a redução do atrito na jornada digital.
Em linhas gerais, a implementação de FIDO consiste numa resposta simples para a necessidade de contenção da imposição de senhas, podendo chegar até mesmo ao acesso passwordless.
Assim, no caso do acesso por desktop, a requisição da selfie ou digital, em um esquema FIDO, tem seu poder de autenticação amplificado, por exemplo, pela introdução de uma chave criptográfica através de porta USB e, no caso do tablet ou celular, pelo processamento de dados inerentes à identidade universal do aparelho do físico.
O Brasil à frente em biometria
Na comparação com o resto do mundo, nós no Brasil contamos com um ambiente favorável para se buscar processos passwordless massivos em estratégias B2C ancoradas na biometria combinada a múltiplos fatores.
Tivemos, há mais de 20 anos, um movimento disruptivo governamental através de duas iniciativas centrais, que foram o voto eletrônico e a declaração eletrônica de imposto.
São movimentos que refletiram a iniciativa inovadora do setor privado em promover processos de captura e autenticação de informações remotas em todo o território. Com a participação proativa do sistema bancário local, o País superou o restante do mundo no espalhamento de ATMs para cidades de todos os portes, e fazendo a digitalização de cheques escaneados via celular já no início da década de 2000.
Tudo isto transformou o Brasil no 7º país mais digital, em comparação com 197 outros, e como o mais bem digitalizado das Américas, superando EUA e o Canadá, segundo dados do Banco mundial referenciados pelo Governo Brasileiro.
Já em 2020 existiam no setor público pelo menos 120 milhões de registros biométricos individuais compartilhados por diversas autoridades oficiais de identificação, formando o ecossistema “Gov.BR”. Este serviço de identidade única do cidadão suporta uma população de porte continental já habituada a usar não só a biografia, mas também a operar aplicativos financeiros e sistemas com acionamento por QR Code no seu dia a dia.
Tudo isto resultando, portanto, num ambiente adequado para encorajar a exploração do fator biométrico também no plano dos negócios privados.
O que diz a Pesquisa Netbr
A verdade é que esta situação não tem passado assim tão despercebida e a biometria é amplamente usada no Brasil em operações bastante banais, como a identificação em portarias prediais e o acionamento de Apps de pagamento.
Na Pesquisa Netbr de Transformação da Identidade, realizada na conferência IAM Tech Day 2023, nada menos de 43% das empresas visitantes do evento afirmam já possuir pelo menos uma experiência com aplicação biométrica, enquanto outras 19% planejam experimentar o modelo ainda em 2023.
Mas é preciso ter em mente que que a massificação da validação biométrica, por si só, não se traduzirá em facilidades para a produção de jornadas seguras e satisfatórias para o usuário, uma vez que ela precisa ser submetida às imposições a LGPD e demais restrições de compliance, exigindo-se o gerenciamento granular de atributos da identidade.
Embora facilitada pelo ambiente até aqui exposto, a máxima exploração da biometria impõe ainda desafios de modernização às vezes difíceis de enfrentar, principalmente em função do legado das empresas.
Muitas aplicações legadas hoje são passíveis de serem ajustadas para incorporar o fator biométrico, mas o ambiente legado, como um todo, não é compatível com sistemas de autenticação e autorização modernos e padronizados.
Na verdade, uma parte importante – senão a principal -das aplicações biométricas já em operação ainda estão atreladas a antigas soluções de identidade com codificações proprietárias, embutidas em silos ou aplicações, o que dificulta sua expansão e propagação do validador biométrico para usuários internos e externos.
Single Sign-On e Identidade Federada
Ocorre que nenhuma estratégia de transformação efetiva da identidade, com o emprego da biometria, conseguirá avançar sem acionadores de acesso por assinatura única (single sign-on), que permitem ao usuário usar as mesmas credenciais para diferentes fases do serviço ou para diferentes sites acessados na mesma sessão.
Da mesma forma, as novas esteiras de autenticação biométrica precisam vir combinadas com as soluções de federação, que criam o ecossistema de confiança entre entes players. Ou seja, a cooperação entre sites parceiros de confiança mútua para a validação de usuários em comum sem a necessidade de novo login com fornecimento de senha.
Um arranjo que fortalece bastante as consultas online a fontes públicas e privadas igualmente fidelizadas, como cartórios, agências de risco de crédito, tribunais, órgãos do governo, bigtechs, redes sociais.
Estes modelos, por sua vez, também não funcionam a contento sem os motores universais e abertos de autorização de acesso, como é o caso do OpenID Connect ou o OAuth 2.1, hoje amplamente usados para dispensar a digitação de login e senha, e que também não são compatíveis com os ambientes legados de IAM.
Seja como for, no Brasil, a biometria já está nas bases de uma identidade com viés realmente moderno, e compatível com normas de privacidade. Estas bases são atingidas, em boa medida, pelo novo “Documento Nacional De Identidade” já disponibilizado pelo governo brasileiro em sua forma não material, isto é, na forma de um aplicativo gerenciado pelo próprio usuário em seu dispositivo móvel.
Mas o fato é que, tal como vem acontecendo no Open Banking, e na sua expressão mais popular: o Pix, o documento digital brasileiro nos coloca, potencialmente, na dianteira da tendência de modernização da identidade e pavimenta um caminho mais fácil para o avanço da biometria no acesso seguro, com menos uso de senha, e voltado para a experiência do cliente como diferencial competitivo.
O modelo já em uso efetivo no Brasil incorpora fundamentos de transformação da identidade hoje ainda em início de discussão em entidades globais da indústria de IAM, como as recém criadas OWF (Open Wallet Foundation) e OIX (Open Identity Exchange).
Enquanto a já bem conhecida OpenID Foundation trabalha nos protocolos modernos de autenticação e autorização, e já presta atenção especial ao fator biométrico para o acesso, estes fóruns recém criados estão debruçados sobre os padrões abertos para a troca e compartilhamento de atributos de identidades, que são requisitos, na prática, já contemplados ao menos em parte no modelo de credencial Gov.BR.
O mesmo valendo para as discussões sobre regras de confiança para autoridades autenticadoras e os modelos granulares de organização de identidade. Sempre colocando à frente os direitos de autoridade cidadão (ou do cliente) sobre as condições de coleta, armazenamento, uso e compartilhamento de seus atributos de identificação.
Em todos estes organismos da indústria, um ponto consensual está na afirmação da parametrização biométrica como fator indispensável e – na maioria dos casos – fundamental para se pensar na viabilização massiva do acesso passwordless.