Estudo avalia segurança na autenticação de identidade em aplicativos de bancos e marketplaces

Pesquisa faz parte de uma série de relatórios, das empresas Incognia e idwall, que traz insights sobre a experiência de uso e efetividade para prevenção de fraudes dos maiores aplicativos do Brasil 

São Paulo, 08 de setembro de 2021 – A digitalização do cotidiano trouxe inúmeras facilidades e possibilidades, mas também abriu caminho para práticas fraudulentas. De um lado estão as empresas visando não dificultar os processos para usuários legítimos; do outro, o cliente final que exige uma experiência sem fricção em toda a sua jornada.

Nesse contexto, muitos dos métodos tradicionais de autenticação de identidade não são mais tão efetivos, mesmo quando combinados em um fluxo de verificação em várias etapas. Estudo realizado pela idwall, regtech que oferece soluções integradas e inteligentes de onboarding e validação digital, e a Incognia, IDTech pioneira em autenticação mobile, avaliou a adoção de diferentes tecnologias de autenticação de identidade em diversas plataformas, além de apresentar as tendências de mercado e soluções de ponta que estão liderando um futuro mais tecnológico e prático.

Análises realizadas pela idwall, mostram que o setor privado perde cerca de US $6 bilhões por ano só por fraudes de identidade. “Com a pandemia, tivemos um processo altamente acelerado de digitalização em diversos setores, principalmente no mercado financeiro.  Nesse contexto, é mais importante do que nunca que as plataformas adotem soluções e tecnologias confiáveis que aliem segurança, UX e agilidade para que todas as necessidades da empresa e todas as expectativas dos usuários sejam atendidas”, explica  Lincoln Ando, CEO da idwall.

Segundo André Ferraz, CEO e fundador da Incognia, empresa de tecnologia com foco na prevenção de fraudes em apps mobile e presente em mais de 100 milhões de dispositivos globalmente, o grande diferencial nestes casos está em unir o que há de mais avançado em segurança, com uma experiência de uso sem fricção. “Hoje já é possível que bancos e fintechs façam o login do usuário sem senhas, com a autenticação sendo feita através do comportamento de localização. Sabemos que 90% dos logins são feitos em locais confiáveis, portanto a fricção de um fator extra de autenticação pode ser imposta apenas quando o comportamento de localização for fora do padrão, por exemplo. Com esse tipo de solução, a vida do usuário de apps bancários pode ser muito mais fácil e segura”, afirma.

Uso de smartphones – De acordo com dados do Bankmycell, atualmente cerca de 3,8 bilhões de pessoas possuem smartphones, o que representa 48% da população mundial. Só no Brasil, segundo dados do TIC Domicílios, 74% da população tem acesso à internet e 58% das pessoas acessam a internet exclusivamente pelo celular. A possibilidade de acessar praticamente tudo com apenas alguns cliques  possibilitou a inclusão digital de milhões de pessoas em relação a serviços financeiros, bens de consumo, informação ou educação.

Nesse contexto, pessoas mal intencionadas com acesso a dados pessoais podem conseguir abrir contas bancárias falsas, realizar transações financeiras indevidas e ter acesso a inúmeros serviços.  O vazamentos de dados massivos acontecendo cada vez com mais frequência, principalmente no Brasil, aumenta o volume de informações pessoais que podem cair nas mãos de fraudadores. Para as empresas, os usos fraudulentos de dados podem resultar em perdas milionárias.

Dentre as situações possíveis em que infrações podem ocorrer está o processo de recuperação de contas por procedimentos de recuperação de senhas. No estudo, esse processo foi avaliado em aplicativos tanto nas plataformas Android quanto iOS.

Bancos – Para prevenir riscos relacionados ao acesso da conta de vítimas por fraudadores, por meio de furto de celular ou senha, o Banco Original e outras fintechs usam a biometria facial para a validação de grandes transações. Adicionalmente, aplicativos que disponibilizam informações sigilosas em suas telas principais como o BTG Pactual Digital estão dando a opção para o cliente usar a biometria no lugar da senha, melhorando sua experiência. Em 2020, o Banco Original anunciou estender o uso de reconhecimento facial para transações de altos valores e Pix. Foram feitos testes do processo de recuperação de senhas dos aplicativos de dez bancos. Foram pedidos em média três fatores de autenticação por banco e a média de tempo foi de 2 minutos e 24 segundos para a finalização do processo. 50% das instituições analisadas utilizam dois fatores de autenticação e 40% utilizam três fatores ou mais.

O Will bank passou a utilizar a identidade mobile por localização como uma camada adicional de segurança, trabalhando em segundo plano, para detecção de situações de risco em sua carteira digital, como por exemplo, golpes envolvendo engenharia social. Os resultados são animadores: redução de 90% dos custos associados ao roubo de conta e de 80% nos casos de roubo de conta. Resultados adicionais podem ser conferidos no estudo de caso, que pode ser baixado aqui.

De forma geral, não existe uma uniformidade nas formas de autenticação do usuário e há grande variação nas combinações usadas.  A maioria das instituições utilizou o método OTP (one-time-password, ou senha de uso único, em português), seja por e-mail ou SMS e, nos casos em que não foi utilizado, foram pedidas outras informações, como o CPF e senha do cartão. Somente três instituições (todos bancos digitais) utilizam o recurso FaceMatch, tecnologia que compara em tempo real o rosto do usuário com aquele cadastrado. Por outro lado, todos os bancos digitalizados pediram a senha do cartão como forma de autenticação.

Marketplaces – Em relação aos marketplaces, foram analisados nove aplicativos dos maiores players do mercado. Todos pediram o e-mail como uma das opções para solicitar a recuperação de senha, sendo que na segunda etapa, todos enviaram link ou código de recuperação por esse canal.

Somente uma empresa pediu mais de duas informações e solicitou a resolução de um quebra-cabeça. Além disso, somente uma outra empresa não encaminhou o usuário a uma página de troca de senha, deixando-o logar após a inserção do código recebido por e-mail. A média de tempo foi de 1 minuto e 7 segundos para a finalização do processo.

O Banco Neon, por exemplo, passou a confirmar compras no e-commerce por biometria facial e digital em parceria com a Visa. Em agosto de 2020, o banco autenticou 98% das transações realizadas por seus clientes no e-commerce, considerando-se todos os tipos de autenticações disponíveis – selfie, biometria por impressão digital e senhas.

Um dos desafios do setor de marketplace é estabelecer confiança entre as três partes relacionadas: o comprador, o vendedor e o entregador. Algumas das fraudes nesse ecossistema estão relacionadas a contas falsas de entregadores, que roubam mercadorias e, também, a perfis falsos de vendedores, que recebem pedidos que nunca serão enviados.

Para inibir isso, algumas empresas já usam a biometria facial tanto para o cadastro de vendedores quanto para entregadores. Outra possibilidade seria a validação de transações suspeitas ou de valores altos com biometria, o que adicionaria uma camada extra de segurança.

Foram analisados quatro aplicativos de delivery, sendo que a possibilidade de se recuperar a conta só estava disponível para um deles.  Todos os outros não ofereciam essa função, sendo que somente um outro app tem essa função, porém é necessário iniciar o processo no browser, o que só foi encontrado com pesquisa ativa na internet.

Adaptação à realidade atual – De acordo com a pesquisa, senhas não são mais um método seguro de autenticação de identidade. As tecnologias disponíveis para enganar, hackear e adivinhar tais sistemas são bastante avançadas. Não à toa, normalmente as senhas são combinadas com outros métodos de autenticação.

Ainda assim, serviços de tokens e OTPs – a combinação mais comum – possuem vulnerabilidades consideráveis e dependem muito das tecnologias empregadas. Isso vale principalmente para o one-time-password via SMS e e-mail que, assim como as senhas, podem ser acessados de maneira relativamente fácil.

O estudo mostra, de forma geral, que a tendência aponta para o uso de tecnologias como a biometria e a identidade mobile por localização, que oferecem ao usuário uma experiência rápida, fácil, universal e sem fricção.