O reconhecimento da impressão digital tornou a biometria popular e virou sua marca registrada. Basta encostar o dedo em um sensor para liberar o acesso em smartphones, fechaduras e até mesmo em urnas eletrônicas. Outros métodos de verificação baseados em aspectos físicos também se popularizaram nos últimos anos, como a análise das veias da palma da mão em ATMs. Mas a evolução da tecnologia abriu espaço a novos parâmetros: a voz ou o modo de interagir com o smartphone e até inclinar o aparelho já são características extremamente seguras para identificar um cliente. O modo de agir já serve como um DNA digital.

Na vanguarda dessa mudança está a biometria comportamental, que registra informações sobre como cada pessoa usa o celular ou o computador. Essa análise leva em conta um grande conjunto de parâmetros, constantemente atualizados. São verificados desde aspectos cognitivos, como o tipo de ações regularmente adotado pelo usuário até padrões de rolagem de tela e, no caso de desktops ou notebooks, a movimentação do mouse. Tudo ocorre nos bastidores, sem que o usuário sinta que está sendo monitorado. As novas formas de biometria podem ser usadas em conjunto com as já existentes, incrementando a segurança.

O Santander adota uma combinação de tecnologias biométricas há cerca de quatro anos para proteger os seus canais. “Todo cliente, quando interage com o banco, tem um padrão de utilização, que gera uma impressão digital virtual”, afirma Marino Aguiar, diretor-executivo de Tecnologia do Santander Brasil. “Tem as mais evidentes, como as biometrias do dedo, de voz e da face; e tem as menos evidentes, que são, por exemplo, a velocidade com que o usuário mexe o mouse e faz os cliques, ou o costume de usar a mão direita ou a esquerda”, afirma. “Tudo isso são características de comportamento que formam uma biometria, só que de forma mais ampla.”

Entre os indicadores acompanhados está até mesmo o tempo para a primeira transação, ou seja, quanto o cliente demora para fazer uma operação após o login. A análise desses múltiplos parâmetros conta com a ajuda da inteligência artificial para garantir a identificação da pessoa. Isso porque os comportamentos mudam ao longo do tempo e é preciso atualizar periodicamente esses registros, além de levar em conta modificações sutis ou ocasionais em alguns deles. Quanto mais itens são comparados, mais difícil fica de ocorrer um falso positivo.

Em alguns casos, as ferramentas do Santander chegam a analisar mais de 200 fatores para se certificar que um cliente é de fato quem diz estar do outro lado. “A tendência é usar cada vez mais o que a gente chama de data points, ou seja, aspectos da interação com os canais e com os mecanismos de contrassenhas do banco, para poder, em conjunto, formar uma opinião sobre a segurança do material de transação”, diz Aguiar. “Com a revolução da capacidade computacional, fica mais fácil utilizar essas tecnologias sofisticadas ao serviço dos clientes.”

A fluidez da experiência é uma das grandes vantagens desse tipo de biometria. As informações são coletadas e analisadas sem que a pessoa precise fazer qualquer tipo de cadastro, comum nas tecnologias mais tradicionais desse gênero. Uma das desvantagens a serem superadas está no grau de sofisticação do dispositivo usado pelo cliente – quanto mais avançado, maior a precisão para registrar os dados.

“Quando falamos nesse tipo de tecnologia, ela é um indicativo; é mais uma informação que a gente usa para tomar decisões”, afirma o executivo do Santander Brasil. “Ela não é absolutista.” Aguiar calcula que de 10% a 20% das tecnologias adotadas pelo banco foram desenvolvidas internamente, mas o restante veio de empresas especializadas.

Gestos monitorados

Entre as startups que apostam na biometria comportamental está a israelense SecuredTouch, que participa do CIAB FEBRABAN no pavilhão de Israel. Criada há pouco mais de três anos, a empresa desenvolve soluções com foco tanto em mobile quanto em desktop. “Todo mundo tem uma maneira diferente de interagir fisicamente com um dispositivo, com um celular”, diz Assaf Pilo, vice-presidente de Vendas da SecuredTouch. “Se você observar as pessoas, elas tendem a repetir o modo como se comportam com o aparelho.”

Divulgação

“Todo mundo tem uma maneira diferente de interagir fisicamente com um dispositivo, com um celular”

— Assaf Pilo, da SecuredTouch

A partir dessa constatação, a empresa entendeu que poderia criar um perfil para cada indivíduo, baseado nessa maneira individual de interagir. Os dados passam por algoritmos, que permitem uma análise correta e garantem o reconhecimento.

Nos smartphones, são usados três sensores para captar informações sobre o usuário: a própria tela, o giroscópio (que mostra a maneira como o telefone é posicionado, como a sua inclinação) e o acelerômetro (que detecta o movimento do celular). São capturados mais de 100 parâmetros diferentes. “Isso nos permite construir o perfil sutilmente, sem nenhuma interação com o usuário; tudo ocorre nos bastidores”, afirma Pilo.

As medições só começam quando é aberto o aplicativo que traz a tecnologia embarcada, como o app de uma instituição financeira. A medida evita que sejam registrados sinais de outras pessoas com acesso ao dispositivo, como crianças.

Bastam oito gestos – entendidos como cada toque no telefone ou movimento do aparelho –, que costumam durar entre 2 e 3 segundos, para que o software comece a registrar uma pontuação de confiança para o usuário. Isso continua até o momento em que a pessoa sai do app, sem que ela perceba o que está ocorrendo. O login continua a ser feito com as credenciais tradicionais, por exemplo. As informações da biometria comportamental, contudo, podem servir para limitar o acesso sempre que houver sinais de uso que não correspondem aos do usuário.

Isso vale tanto para uma tentativa de login feita por outra pessoa como para o caso de um ataque automatizado. “Podemos identificar se é o aparelho real ou um emulador, um ser humano ou um robô”, diz Pilo. Logins no desktop também podem ser monitorados, por meio do acompanhamento do uso do teclado e do mouse. Para garantir ainda mais a segurança, todos os dados coletados são armazenados sem estarem vinculados à identidade de cada pessoa – essa correspondência só é feita pelos contratantes do serviço. A SecuredTouch conta hoje com dez clientes ao redor do mundo e seus produtos são usados com mais de 10 milhões de usuários.

Estudos em andamento

O uso de diferentes tipos de biometria, como a comportamental, está em estudo por bancos como o Bradesco. Por enquanto, são feitos testes com diferentes tipos de tecnologia. “Tem coisas em que a gente está bastante avançado; é o caso da utilização do computador, de como o cliente utiliza o mouse, a velocidade; tudo isso é capturado”, diz Antranik Haroutiounian, diretor do Departamento de Pesquisa e Inovação do Bradesco.

Divulgação

Antranik Haroutiounian, do Bradesco, diz que o banco estuda a biometria comportamental, com testes avançados: “É o caso da utilização do computador, de como o cliente utiliza o mouse, a velocidade. Tudo isso é capturado”

Em breve, a instituição vai implementar a biometria de voz no call center. O modelo passou por uma bateria de testes e foi aprovado. Permitirá tanto autenticar o cliente pela voz como autorizar transações que exigem maior nível de segurança. O Bradesco atualmente utiliza a leitura das veias da palma da mão em ATMs.

O Banco do Brasil usa biometria nos seus terminais de autoatendimento e também em smartphones que contam com o recurso nativo de leitura de digital. “Estamos realizando experimentos de biometria facial, para facilitar algumas etapas relacionadas à abertura de contas pelo celular ou em métodos alternativos de fortalecimento da identificação dos clientes, para evitar que precisem ir à agência ou a algum terminal em algumas situações”, afirma Rodrigo Mulinari, gerente-executivo de plataforma digital do Banco do Brasil. Experimentos mais objetivos com biometria comportamental também estão nos planos da instituição. “Existe grande vontade em substituir os métodos de senha por outros mais seguros e naturais para as pessoas.”

Divulgação

Rodrigo Mulinari, do Banco do Brasil, afirma que experimentos mais objetivos com biometria comportamental estão nos planos da instituição

O alto custo ainda é um dos principais desafios, assim como uma mudança de cultura e de processos nas áreas de negócio. "Estamos fazendo uma implementação forte do ponto de vista também da segurança, aumentando a parte da biometria tradicional", diz Jorge Krug, diretor de Tecnologia da Informação do Banrisul. A velocidade de avanço dos meios digitais tem criado a necessidade de formas alternativas e mais seguras de proteção, diz ele.

Divulgação

Jorge Krug, do Banrisul afirma que a velocidade de avanço dos meios digitais tem criado a necessidade de formas alternativas e mais seguras de proteção

Há seis meses, a instituição financeira criou uma unidade de transformação digital para analisar diferentes modelos de biometria e outras tecnologias. Por enquanto, os testes concentram-se na biometria facial, mas o uso de outros tipos é inevitável. As pessoas podem não notar, mas estarão muito mais seguras.