As selfies ganharam uma nova função. Com a migração de diversos serviços que antes eram feitos presencialmente para o meio online, o autorretrato passou a ser utilizado como uma forma de identidade digital. A selfie é utilizada para reconhecer a biometria facial daquela pessoa e, após ser consultada em um banco de dados, confirmar a sua identidade.
O reconhecimento facial como forma de confirmação da identidade ganhou ainda mais aplicações diante da transformação digital acelerada vivenciada em 2020, quando diversos serviços tiveram de migrar para o meio online para manterem-se disponíveis aos usuários diante do cenário de pandemia. O mesmo ocorreu com os serviços públicos, que também passaram a ser oferecidos pela internet, centralizados no portal Gov.br, onde são solicitados pelos cidadãos utilizando-se de assinaturas eletrônicas.
A confirmação biométrica ou reconhecimento facial não são novidade. Porém, a realização de todo o processo pelo próprio usuário (tirar ou enviar a foto) somada à consulta automatizada através de técnicas como machine learning e inteligência artificial expõem o indivíduo a alguns riscos. A maior parte dos usuários têm centenas de fotografias suas disponíveis na internet, por isso apenas enviar uma foto (seja ela tirada na hora ou não) representa uma grande fragilidade. Além disso, o envio da foto não garante que é aquela pessoa que está realizando o procedimento online naquele momento.
Como forma de mitigar vulnerabilidades no processo, ao invés de requisitar apenas a foto, os serviços eletrônicos passaram a solicitar que o usuário utilize a câmera e siga alguns passos, como virar o rosto para os lados, sorrir ou piscar os olhos. Esse tipo de procedimento traz alguma segurança adicional. Por exemplo, busca confirmar que é o próprio usuário que está solicitando o serviço e que está vivo e consciente. Mesmo com esses requisitos de segurança, o serviço costuma ser liberado somente após essa identificação passar por uma confirmação cuidadosa, especialmente nos serviços oferecidos pela iniciativa privada.
No entanto, com o desenvolvimento de novas tecnologias, até mesmo esse tipo de sistema de confirmação biométrica facial com interação do usuário pode ser fraudado. Um caso relevante ocorreu na China, onde um grupo de fraudadores conseguiu enganar o reconhecimento facial e acessar o sistema nacional de notas fiscais em nome de terceiros, causando um prejuízo de mais de U$ 76 milhões. O grupo utilizou técnicas de deep fake, que consistem na criação de vídeos falsos através da manipulação de sons, imagens e movimentos com inteligência artificial, para se passar por outras pessoas e conseguir acessar o sistema em seus nomes.
Engana-se quem pensa que apenas alta tecnologia é capaz de fraudar sistemas que se utilizam do reconhecimento facial para confirmar a identidade de um indivíduo. Aqui no Brasil, notícia recentemente divulgada denunciou um novo tipo de golpe. Ao receber uma entrega, um morador da cidade de São Paulo confirmou o recebimento através de reconhecimento facial, tirando uma foto pelo celular que estava sendo utilizado pelo entregador. No entanto, o que ele não sabia é que este reconhecimento facial, na verdade, foi utilizado para contratar em seu nome o financiamento de um automóvel no valor de R$ 200 mil. Com uma dívida alta e sem ter o automóvel, ele terá que provar que não tinha conhecimento de que, quando realizou o reconhecimento facial, estava assinando uma manifestação de vontade para contratação do financiamento.
Práticas do tipo, somadas aos recentes vazamentos de dados pessoais, incluindo biometrias, que fizeram mais de 220 milhões de brasileiros vítimas, acendem um alerta sobre a segurança dos cidadãos nos meios online. Este caso põe luz, mais uma vez, à busca pelo equilíbrio entre a facilidade e a segurança. Quando a balança pende para o lado da simplificação, abre a porta para fraudes, estelionato, prejuízos financeiros e insegurança jurídica.
O cidadão está inserido em uma posição ainda mais vulnerável quando falamos dos serviços públicos disponibilizados online através do portal Gov.br, em que o Estado é o responsável pela emissão da identidade digital do cidadão, pela custódia da sua assinatura eletrônica, pelas bases em que os dados do usuário são reunidos e confirmados e, ainda, pela prestação do serviço, sendo a quem essa identidade digital e a assinatura eletrônica serão opostas. Ou seja, caso seja vítima de algum golpe, o cidadão terá ainda mais dificuldade em comprovar que não foi o autor de solicitação feita em seu nome.
É importante destacar, no entanto, que os cidadãos e representantes legais de empresas têm outros tipos de identidades digitais e assinaturas eletrônicas à sua disposição, mais seguras e confiáveis do que o reconhecimento facial. A legislação brasileira reconhece três tipos de assinaturas eletrônicas, com níveis de segurança distintos, para confirmar a manifestação de vontade dos cidadãos na solicitação de serviços públicos online. Os órgãos públicos devem informar qual o nível de segurança mínimo é aceito para cada tipo de serviço público, de acordo com a sensibilidade das informações envolvidas na interação, porém o cidadão deve ter respeitada a sua opção por formas mais seguras de se relacionar com o Estado.
Tratando-se da prestação de serviços públicos online, estes devem estar disponíveis e acessíveis a todos os cidadãos brasileiros. No entanto, é necessário que sejam solicitados requisitos de segurança compatíveis com o tipo de serviço prestado, de modo a garantir a proteção dos dados pessoais, das liberdades individuais dos cidadãos e a segurança jurídica do país. Um sistema de identidades digitais seguro e confiável garante ao cidadão a liberdade de escolha de como proteger os seus dados pessoais e de como confirmar a sua identidade nos meios digitais, desde que o nível mínimo de segurança estabelecido pelo prestador do serviço seja respeitado.
Thaís Covolato, coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (camara-e.net).
[…] – Ti Inside – Canal […]