Banqueiros oferecem proteção contra fraudadores usando biometria: quais são os riscos

No primeiro semestre de 2025, apenas 0,0025% dos clientes do segundo maior banco estatal do país que conectaram a biometria estatal ao banco online sofreram roubo de dinheiro. A informação foi divulgada no Fórum Econômico Oriental por um dos principais gestores da instituição financeira e de crédito. Em sua opinião, a proteção biométrica pode se tornar uma "nova etapa de evolução" na proteção dos dados e do dinheiro dos clientes. O MK apurou com especialistas se a verificação biométrica pode realmente proteger os russos de fraudadores.

Evolução vs Psicologia

Conforme relatado por um representante do banco estatal, o número de roubos de contas de cidadãos que conectaram a biometria estatal ao banco online caiu para 0,0025% no primeiro semestre do ano. Quando criminosos tentam sacar dinheiro de clientes, o sistema antifraude do banco é acionado, sendo necessário confirmar a operação usando biometria facial. Os fraudadores não conseguem passar na verificação mesmo que tenham uma foto do cliente ou uma imagem gerada por inteligência artificial. Como resultado, os roubos de contas de cidadãos são evitados em quase 100% dos casos. Anteriormente, analistas deste banco estimavam que, até o final de 2025, a confirmação de transações usando biometria ajudaria a proteger mais de 2 bilhões de rublos pertencentes a clientes contra roubos por fraudadores.

Segundo o palestrante, a biometria se tornará uma "nova etapa da evolução", um método de identificação confiável e seguro que protegerá os dados e o dinheiro das pessoas. Esse método se tornará um "padrão da indústria" no futuro e impulsionará o desenvolvimento de serviços digitais.

No entanto, o otimismo do banqueiro não é compartilhado pelos especialistas em segurança cibernética, que nos recomendam extrema cautela com tais previsões. "Sim, de fato, a biometria estatal é um importante fator de proteção e uma barreira entre intrusos e cidadãos, mas deve-se entender que ela funciona em um sistema de medidas para garantir a segurança cibernética, tanto técnica quanto organizacional", afirma Alexander Podobnykh, chefe do Comitê de Segurança de Ativos Digitais e Antifraude da Associação de Chefes de Serviços de Segurança da Informação (ARSIB), especialista forense em informática e perícia técnica. "Em grande parte, isso se deve à conscientização dos cidadãos em questões de segurança da informação e ao cumprimento das regras de higiene cibernética pessoal." Embora a biometria seja bastante popular atualmente devido à conveniência e rapidez da autenticação, especialmente em aplicativos bancários e fintechs.

Um petisco saboroso para hackers

Quanto às principais desvantagens da biometria como método de proteção, destacam-se a impossibilidade de alteração de dados em caso de vazamento, problemas de privacidade durante a coleta, falha no funcionamento em caso de alteração da aparência ou má conexão com a rede, alto custo da solução, regulamentação e ética – afinal, o Estado precisa acompanhar o desenvolvimento das tecnologias em questões de regulamentação legislativa. "Infelizmente, um petisco tão saboroso como um banco de dados com dados biométricos dos cidadãos sempre atrairá hackers de todos os tipos e países", afirma Podobnykh. "O sistema de proteção para tal banco de dados deve ser proativo e monitorar todos os riscos potenciais e atuais. E tudo isso deve ser aprimorado em tempo hábil, incluindo o uso de blockchains com criptografia GOST e protocolos de divulgação zero."

Mas o problema com a biometria não é apenas a complexidade desses dados, sua atratividade para hackers e sua vulnerabilidade. O fato é que a maioria dos roubos na Rússia é cometida por meio de engenharia social, ou seja, quando o "rosto" ou a impressão digital de um cliente não são roubados, mas o próprio cidadão é persuadido a transferir seu próprio dinheiro para os criminosos. Lembremos que, de acordo com a Procuradoria-Geral da República, o número de crimes de TI aumentou 13% no ano passado, e dois terços deles foram roubos cometidos por meio de engenharia social.

"Devido ao uso da engenharia social como principal método para fraude remota, não há grande diferença entre a perfeição de um ou outro método de verificação de acesso a uma conta pessoal ou aplicativo bancário, pois não há invasão", observa Ignat Likhunov, advogado e fundador do escritório de advocacia Cartesius. "A futura vítima realiza ela mesma as operações necessárias com os meios de confirmação necessários."

O método da complexidade de acesso pode ser útil para esquemas em que os golpistas têm como alvo crianças, por exemplo, jogando um jogo popular com um perfil online. Para crianças, ativos virtuais — itens exclusivos, moeda, contas — são de grande valor, e é disso que os criminosos se aproveitam. Nesses casos, a autenticação multifator e a aparente "complicação" deixam de ser uma formalidade e se tornam uma barreira vital. Elas desempenham duas funções de proteção. Primeiro, criam um obstáculo técnico para a própria criança, que pode saber uma senha simples, mas não tem acesso à impressão digital ou ao Face ID dos pais. Isso a impede fisicamente de concluir a autorização no site de phishing. Em segundo lugar, e mais importante, cada etapa de verificação adicional é um sinal de parada e uma pausa para reflexão. Uma notificação push sobre uma tentativa de login, enviada ao celular de um dos pais, torna-se um momento decisivo, em que um adulto pode parar, fazer perguntas e evitar uma catástrofe. Assim, o combate à engenharia social não requer simplificação, mas um uso mais competente e consciente de tecnologias de proteção, enfatizou Likhunov.

Prós e contras do progresso tecnológico

De acordo com o Ministério do Interior, o prejuízo total causado por crimes de TI na Rússia aumentou 16% nos primeiros sete meses de 2025 — de 100,5 bilhões de rublos para 119,6 bilhões de rublos. Isso ocorreu apesar da redução de 2,3% no volume total desses crimes em relação ao mesmo período do ano passado: o número total foi de 424,9 mil. Em outras palavras, os criminosos roubam mais dinheiro e cometem menos ataques. O especialista em segurança da informação Anton Redozubov questionou se a biometria ajudará a reduzir essas tristes estatísticas.

— Os grandes bancos têm grandes expectativas em relação ao uso da biometria para proteção contra fraudadores. Será que eles estão certos?

— De fato, os algoritmos de verificação existentes alcançam 99,74% de precisão, o que, juntamente com outras práticas antifraude (proteção contra hackers — MK ), elimina a possibilidade de fraudadores passarem por essa verificação. Infelizmente, essa proteção não funcionará quando um cliente real passar pela verificação sob a influência de engenharia social por invasores.

— Quais são as principais vantagens da biometria?

— O ponto forte é que essa biometria, e agora estamos falando do rosto, é quase impossível de falsificar. Em 2014, pesquisadores conseguiram criar uma impressão digital da então Ministra da Defesa alemã, Ursula von der Leyen, que mais tarde poderia ser usada para enganar o sistema de identificação TouchID (onde a verificação é muito mais simples) no iPhone 5S, mas isso foi há 11 anos. Agora, a tecnologia avançou muito. Claro, isso pode ser contornado usando tecnologias de verificação biométrica desatualizadas. Ou usando a verificação de voz - ela já é bastante falsificada. Ou eles cometem fraude, usando vulnerabilidades completamente diferentes e contornando a própria verificação.

— Mas quais são os principais riscos dessa tecnologia?

— O ponto fraco da biometria é o grande número de erros quando uma pessoa real não consegue passar na verificação. Em alguns casos, até lentes de contato afetam isso. Teoricamente, a biometria facial pode ser roubada, mas como criar uma imagem que passe na verificação? Não conheço esses métodos. É possível com a voz.

— O que acontecerá se os bancos na Rússia começarem a usar biometria em todos os lugares? Isso não infringirá os direitos dos clientes?

— Não vejo consequências negativas no uso da biometria pelos bancos. Soa muito estranho quando as pessoas dizem que, sem biometria, um cliente não poderá usar um caixa eletrônico. Há muito tempo estamos acostumados a essas práticas de aprimoramento tecnológico. No início, tínhamos chaves no carro que precisavam ser giradas na porta, e agora você pode simplesmente chegar, abrir a porta, entrar e sair. Lembro-me dos tempos em que eu tinha que inserir um cartão em um caixa eletrônico e agora coloco meu telefone lá. E então havia moedas em uma máquina, e depois fichas no metrô em Moscou e São Petersburgo. Agora tudo isso caiu no esquecimento, e ninguém se importa particularmente com isso.

A identidade do titular de um cartão bancário em um caixa eletrônico não é controlada por biometria, mas pelo próprio cartão. A biometria é apenas uma forma de evitar o roubo de fundos. Infelizmente, mesmo agora, em 2025, ainda há pessoas que anotam o código PIN do cartão no próprio cartão para não esquecê-lo. Isso nunca deveria ser feito! A questão não é ter medo da tecnologia, mas aprender a usá-la em seu próprio benefício – assim como aprendemos a usar telas sensíveis ao toque em vez de celulares com botões.