Get best of the week

Identificação bancária remota: do complexo ao simples, ou Bancos, por que você precisa de biometria?


(Imagem retirada daqui )

Nem sempre a complicação da tecnologia leva a melhores resultados. No artigo de hoje, tentaremos mostrar que uma solução técnica complexa para identificação e autenticação biométrica de clientes em aplicativos bancários é completamente substituída pela apresentação tradicional de um passaporte, mas na interpretação moderna do “mundo conectado”: ​​um aplicativo com um módulo de reconhecimento integrado pode funcionar como um funcionário “bancário” do banco e verificação de documentos. Não estabelecemos como objetivo criticar ou questionar a necessidade do desenvolvimento de métodos biométricos para identificar uma pessoa como uma área tecnológica independente. Mostramos que as tecnologias modernas estão se atualizando, melhorando gradualmente devido à simplificação e "facilitação" de algoritmos.

A questão da identificação remota, especialmente no setor bancário, onde não apenas os dados pessoais de uma pessoa, mas também seu bem-estar financeiro dependem da qualidade da solução aplicada, de sua precisão e segurança, recentemente se tornou extremamente urgente, especialmente quando o mundo ficou abruptamente on-line. Os principais problemas relacionados aos aspectos técnicos, legais e organizacionais foram destacados. E se não faz muito tempo, parecia que a biometria e o reconhecimento facial podiam resolver todos os problemas de uma só vez, então durante o teste de estresse que o planeta passou, descobriu-se que a biometria estava longe de ser a única e certamente não a maneira mais segura para todas as partes fornecerem identificação remota de clientes . Basta ver o que as tecnologias de reconhecimento incertas e com um baixo nível de precisão levam. Um exemplo recente é uma multa emitida para a pessoa erradadevido à sua semelhança de 61% com aqueles a quem essa penalidade foi destinada [1].

Alguns anos atrás, quando começamos a introduzir um sistema unificado de dados biométricos em nosso país, o reconhecimento remoto por indicadores biométricos humanos era considerado o método mais preciso para verificar remotamente uma pessoa.

Aqui está como eles descrevem o processo de identificação remota biométrica em um dos sites [2]:
— , (). , , , ( ). , : 1) ; 2) ; 3) ; 4) () , .

Acontece que, antes de usar a biometria, o cliente precisa ir fisicamente ao banco (ou outra organização que usa o sistema), "passar" amostras de seus dados biométricos (os mais comuns são gravar uma voz, digitalizar impressões digitais). E já depois que essas amostras aparecerem em algum repositório digital, a identificação e a autenticação serão possíveis. O processo, é claro, é confiável, mas, em nossa opinião, é extremamente complexo e desvantajoso para ambos os lados. Uma das vantagens aqui é que a biometria está sempre (ou quase sempre) conosco. É por isso que a identificação por dados biométricos é aplicável, em vez disso, na ciência forense e no controle transfronteiriço: não apenas um cidadão é identificado por sua biometria, mas também na direção oposta - a correspondência de dados biométricos para qualquer cidadão é estabelecida.

(Imagem tirada daqui )

O mais paradoxal (e desagradável para os fãs de métodos de autenticação exclusivamente biométricos) é que apresentar suas próprias impressões digitais, voz ou íris não é tecnologicamente muito diferente de inserir uma senha de 256 bits conhecida apenas pelo cliente ou usar vários “Dispositivo de token” ou qualquer outro método de autenticação de dois ou três fatores: em qualquer caso, para uma máquina, toda a nossa biometria continua sendo um conjunto de zeros e uns. Mais importante ainda, os dados biométricos não são mais difíceis de comprometer do que qualquer outro. Um exemplo disso é o vazamento de dados do maior banco de dados indiano do mundo de dados biométricos Aadhaar em 2017 [3].

Curiosamente, desde algum tempo na Europa, a biometria não é mais considerada o único meio de identificação remota na prestação de serviços que lidam com dados confidenciais.

Em 14 de setembro de 2019, a Diretiva UE PSD2 [4], também conhecida como Banco Aberto, entrou em vigor. Exige que os bancos usem necessariamente a autenticação multifator ao executar transações remotas. Isso significa que, no processo de identificação / autenticação do usuário, vários métodos de confirmação da identidade devem ser utilizados [5]:

  • Conhecimento - algumas informações conhecidas apenas pelo usuário, por exemplo, uma senha ou pergunta de segurança.
  • Posse - um dispositivo que apenas o usuário possui, por exemplo, um telefone ou token.
  • Exclusividade - algo inerente, inerente ao usuário e identificando exclusivamente a pessoa, por exemplo, dados biométricos.

Além de usar dados biométricos como chave de acesso, as operações bancárias devem ser acompanhadas de verificações adicionais usando uma palavra de código, pergunta de segurança, conexão de token, uso de um dispositivo específico (smartphone ou computador com um número de identificação exclusivo) ou códigos PUSH / SMS. Pergunta - por que os dados biométricos estão aqui ?

Para os bancos, no caso do uso forçado de sistemas de identificação biométrica, há outro grande incômodo. A implementação de sistemas biométricos requer custos significativos para a implantação da infraestrutura de informações relacionadas: de fato, equipamentos para coletar dados de identificação, software para seu processamento, criar um data center ou alugar um serviço de nuvem seguro para armazenamento, fornecer segurança e assim por diante. É por isso que a adoção da lei sobre a coleta obrigatória de dados biométricos na Rússia tropeçou na oposição da comunidade bancária e fez com que sua adoção fosse adiada indefinidamente [6].

As tecnologias estão se desenvolvendo e os bancos estão gradualmente retirando intermediários na forma de operadores, gerentes, agentes da cadeia de interação com o cliente. Eles permanecem apenas onde é necessário fornecer o chamado serviço premium, no qual o cliente é fornecido não apenas com a conveniência do serviço, mas com atenção pessoal, ou nessas regiões e nas categorias de clientes que, por razões técnicas, não podem usar meios técnicos modernos. O operador é substituído por um "banco em um smartphone". É importante que a identificação remota do cliente seja necessária para o banco em todas as etapas da interação. Até recentemente, mesmo em grandes bancos, que hoje mudam completamente para o gerenciamento eletrônico de documentos, eles faziam cópias físicas do passaporte do cliente durante cada transação com a conta, seja para reabastecer uma conta, retirar dinheiro,transferir para outra conta ou concluir acordos adicionais para a conexão de serviços bancários via Internet ou informações por SMS. Isso forneceu ao banco proteção contra reclamações do cliente sobre alterações contestadas no contrato ou nas transações da conta.


Até que o estado tenha criado uma plataforma digital única para registrar todos os cidadãos desde o nascimento até a morte (a Estônia era a mais próxima de construir uma sociedade totalmente digital na Europa hoje, tendo construído um estado eletrônico completo em 25 anos, convertendo 99% dos serviços públicos em formato eletrônico [7]), a apresentação física de um passaporte não digital (impresso) ou outro documento de certificação com verificação simultânea de sua autenticidade e conformidade do portador com o titular indicado no documento é a maneira mais precisa de identificar o cliente. No caso de identificação remota usando sistemas de software e hardware, o papel do operador (controlador, gerente de clientes) é desempenhado pelo dispositivo do usuário: um smartphone ou um computador com uma webcam.

Do ponto de vista do resultado esperado, apresentar o passaporte ao sistema de reconhecimento de documentos e apresentar o passaporte ao operador não é diferente: como resultado da transação, os dados do cliente são inseridos no sistema de gerenciamento de relacionamento com clientes (CRM) do banco, que posteriormente permite que ele seja identificado na aplicação. Se um passaporte for apresentado ao operador, as funções de inserir dados no sistema são executadas por uma pessoa autorizada pelo banco a executar as ações necessárias: pegue um passaporte e, usando um scanner especial, uma câmera móvel e um aplicativo, insira os dados no sistema (em um cenário otimista, aplicável a todos os bancos e seus departamentos) ou direcione os dados para os campos de formulário apropriados no seu computador (cenário realista).


Um aplicativo móvel com um sistema de identificação remota integrado permite otimizar várias tarefas ao mesmo tempo, tanto do cliente quanto do banco. O aplicativo reconhece os dados do cliente e os insere automaticamente nos campos obrigatórios. Por exemplo, aplicativos baseados no Smart IDreader SDK reconhecem dados de documentos do usuário quase instantaneamente, enquanto trabalham completamente offline, sem transferir imagens de documentos para servidores de terceiros ou serviços em nuvem. O sistema de visão por computador seleciona automaticamente uma foto em um documento e a correlaciona com a foto do proprietário. Dependendo dos requisitos do banco, a função forense pode ser integrada ao aplicativo, ou seja, verificar a imagem do documento quanto a sinais de falsificação ou processamento adicional de imagem,e validação de dados com base na análise de zona legível por máquina (MRZ). Não importa quem e onde realiza todos esses eventos - o operador no banco ou o próprio usuário, sentado no sofá em casa. A cadeia de ações permanece inalterada: apresentação do documento, entrada de dados, verificação de dados, avaliação da validade do documento.

Vamos prestar atenção ao seguinte: se, ao apresentar um documento falsificado, o sistema de reconhecimento baseado em inteligência artificial não revelou sinais de falsificação do documento e registrou a correspondência do portador da fotografia no documento e aprovou a transação, isso significa que, se o documento for apresentado ao operador em um banco ou centro de emissão de empréstimos , o operador (pessoa) teria tomado uma decisão semelhante. Hoje, enganar a visão de máquina é muito mais difícil do que enganar uma pessoa.

Agindo como aderentes da identificação com base no reconhecimento de documentos, resumimos listando as vantagens da abordagem.

  • (OCR). “” , , , . .
  • , .
  • , .
  • A identificação remota por meio do reconhecimento de documentos requer investimentos no nível de desenvolvimento de software (aplicativo cliente), mas não exige o desenvolvimento de uma infraestrutura de acompanhamento, não prevê a criação de seu próprio armazenamento de dados biométricos ou o acesso a sistemas de nível superior existentes (estado ou setor).

Obrigado pela atenção!

Lista de fontes utilizadas
  1. 15 . - 61- — meduza.io/news/2020/04/15/zhitelnitsu-sahalina-oshtrafovali-na-15-tysyach-rubley-za-narushenie-karantina-iz-za-61-protsentnogo-shodstva-s-drugoy-zhenschinoy
  2. «» — www.zakon.kz/4928580-pro-udalennuyu-identifikatsiyu-klienta.html
  3. rb.ru/story/aadhaar-india
  4. Payment services (PSD 2) — Directive (EU) 2015/2366 — ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en
  5. habr.com/ru/company/trendmicro/blog/469533
  6. cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie
  7. We have built a digital society and we can show you how — e-estonia.com

More articles:


All Articles