TI Inside Online
25/08/2024

Reconhecimento por íris, pela impressão digital ou mesmo pelas veias das mãos...as formas de biometria se expandem, mas os projetos ainda padecem, na maioria das empresas, nas gavetas de seus executivos. No Brasil são poucos os casos de sucesso e quase sempre restritos a poucos usuários, com exceção do Bradesco. No entanto, a perspectiva mundial apenas em instituições financeiras – de acordo com estudo da Frost & Sullivan, empresa internacional de consultoria e pesquisa de mercado – é um crescimento exponencial em todo mundo. Um mercado 20 vezes maior que em 2006, saindo de US$ 117,3 milhões há dois anos para a soma de US$ 2,7 bilhões em 2013.

“É difícil dizer se veremos essa proporção, ainda mais no Brasil, porém o crescimento do uso de biometria vai ser muito grande nesse período, até mesmo em mercados e oportunidades que não são nem imaginadas atualmente. Nossas instituições financeiras são sofisticadas e devem investir sim. Favorecem o investimento as novas opções de uso de biometria, o custo que tem diminuído e o crime cibernético”, admite Edison Fontes, responsável pela área de segurança na CPM Braxis. Não é que o custo das soluções esteja tão commoditizado como um desktop ou um roteador, porém os dígitos têm diminuído de tamanho.

Fontes apontam que a biometria é atualmente a mais eficiente forma de autenticação e de controle de identidade, palavras que podem significar a grosso modo: saber que a pessoa X é realmente ela. No entanto, o analista coloca algumas ponderações sobre o seu uso em larga escala. “A biometria é uma técnica de segurança entre muitas. E o que os bancos vão fazer com o atual parque instalado? Existe esse legado que não vai ser desprezado tão rapidamente. Biometria é interessante e é o futuro, porém, para muitos, não é a prioridade de momento”, alerta.

A exceção, no Brasil, é o investimento do Bradesco no tema (veja Box: Além dos bancos), que começou ainda em 2006. Não apenas por ser uma das maiores instituições financeiras do País como também pela técnica escolhida, no caso a Palm Vein, um sistema de leitura com sensores capazes de reconhecer o padrão das veias das mãos – que, assim como as digitais e a íris, por exemplo, têm probabilidade mínima de se repetir de um indivíduo para o outro. Com equipamentos fornecidos pela Fujitsu, o Bradesco corrobora com a previsão da Frost & Sullivan e espera que até a próxima década todos os seus mais de 26 mil ATMs (terminais de auto-atendimento) sejam equipados com a tecnologia.

A solução da Fujitsu utiliza o sensor PalmSecure, que possibilita a autenticação de transações por meio do padrão vascular da palma da mão, capturada por reflexão da luz infravermelha emitida pelo equipamento. Integrado a dispositivos que exijam identificação pessoal, como o caso dos ATMs do Bradesco, o sensor funciona sem a necessidade de contato humano, sendo mais higiênico, não invasivo e ideal para soluções que demandem a autenticação de um grande número de pessoas. O PalmSecure é um sistema de autenticação que apresenta taxas representativas: o falso positivo chega a 0,00008% e o falso negativo a 0,01%.

Em larga escala

O sistema no Bradesco começou a ser testado comercialmente em 50 agências, sendo 40 na cidade de São Paulo e outras 10 no Rio de Janeiro – em cada agência existia um ATM adaptado. E em abril deste ano foram investidos mais R$ 138 milhões em seu projeto, com a expansão para 267 agências de São Paulo, Rio de Janeiro, Minas Gerais e Paraná e cerca de 500 novos terminais de leitura da mão, com a previsão de chegar a 500 agências em julho.

De acordo com Laércio Albino Cézar, vice-presidente executivo do Bradesco, 120 mil usuários já cadastraram suas mãos no novo sistema vascular, que já realizou 500 mil transações. “O cadastramento não é obrigatório e pretende atingir 1 milhão de cadastrados até o início do próximo ano”, garante o executivo. O cadastro é simples, basta que o usuário/correntista na primeira vez que usa o PalmSecure insira a a palma da mão para o arquivamento dos dados do padrão vascular do cliente. Nas próximas vezes, o leitor fará a identificação em um ou dois segundos. O leitor funciona por meio do calor emitido pelos vasos sangüíneos e não causa qualquer desconforto.

Tecnicamente, ao ler o padrão vascular da mão, o scanner transforma as informações em uma senha criptografada que será utilizada para autenticação de transações bancárias. E quem possui o cadastro biométrico não precisa usar a senha de letras, apenas a numérica.

Já o Serasa, em um projeto montado pela ID Tech, adotou um sistema de controle de acesso físico inteligente que atende a resolução 8 da ICP-Brasil. De acordo com o local ou sala o acesso é permitido por reconhecimento da íris, impressão digital, contactless smartcard (Mifare) com regras de ocupação mínima, inter-travamento, anti-dupla, integrados com o sistema de Combate a Incêndio e sensores para análise de qualidade do ar.

Os players

Desde 1997 trabalhando com tecnologia biométrica, a ID Tech já planejou e executou projetos de acesso para datacenters, escolas, controle de áreas restritas, salas-cofre, penitenciárias, bibliotecas, hospitais, prefeituras e outros segmentos. Atualmente, a empresa tem participado de projetos customizados para instituições financeiras participantes do SPB

com características de proteção da chave privada utilizando informações biométricas e com integração de dados biométricas com tokens e smartcards.

Parceiro da Fujitsu no Brasil, a InfoServer participou do projeto do Bradesco. “Podemos falar que é um piloto de vulto em produção”, argumenta Abel Aarão, diretor de tecnologia da empresa. Ele admite que uma possível barreira para esse crescimento brutal é a falta de um padrão entre os bancos. “Todos investem em soluções proprietárias, mas temos alguns avanços como

o grupo de discussão da Febraban que reconhece que os sistemas de biometria mais usados seriam de finger prints, íris, veias, reconhecimento facial e talvez

voz”, completa.

Estes formatos acima já inibem uma padronização, entretanto, muito pior, é que os algoritmos produzidos por eles na criptografia não são iguais de fabricante para fabricante. “Um usuário de dois bancos que usam fingerprint pode não ter o mesmo algoritmo, ou seja, ele terá “identidades” diferentes”, alerta Aarão.

A Febraban discute um padrão global, mas existem correntes distintas internamente. No mercado financeiro não existe uma busca de uma padronização em vários níveis, cada instituição busca sair na frente ou oferecer um serviço mais rapidamente para ter um diferencial para o seu correntista. No entanto, a crescente onda de fraudes empurra o setor para a discussão, até como forma de buscar a melhor solução técnica e financeiramente falando.

Encabeçada pela Verisign, a Open Authentication é uma organização que busca a montagem de uma arquitetura aberta para a construção dos sistemas, no qual alguns algoritmos já foram definidos, a biometria também buscando sistemas interoperáveis. A InfoServer já comercializa um sistema de back-end de acordo com a Open. “Podemos usar a biometria associada com tokens, por ser padronizado. Isto facilita a gestão de todos os dispositivos. Um banco com milhares de ATMs pode fazer a leitura de palma de mão, porém pode ser mais caro que fingerprint em algumas localidades. Ele pode então ter diferentes formatos de acordo com o volume de usuários na região ou local do ATM”, projeta Aarão, que revela que a InfoServer faz parte da Open Authentication.

Custa quanto?

Se o custo da biometria está em declínio, os valores de um projeto justificam mais e mais a discussão: é mais interessante usar tokens ou biometria? Como diferença técnica, o token é algo que pode ser perdido ou roubado, enquanto a mão ou as veias não são extraviadas. Porém, em uma atividade como internet banking, ainda é muito caro para o correntista ter algum dispositivo biométrico em casa, ao contrário do uso de um token. “O cliente do Bradesco usa token em todos os canais, porém a biometria não pode estar no acesso pela web. Acho que o banco vai ter diferentes modelos de acesso, token mais caro, token mais simples e biometria para cada perfil de clientes”, admite Aarão.

Para Fontes, da CPM, as instituições devem começar a biometria no cliente premium, mas podem evoluir até rapidamente para todos os seus clientes, assim como aconteceu com o token que passou de clientes jurídicos para o correntista pessoal com relativa rapidez. “Pode ser uma questão de ritmo, mas vai chegar a todos, por conta da maior seguridade que traz”, aponta.

O uso da biometria, entretanto, não significa a substituição total da senha ou do cartão. E sim mais um acesso da questão de segurança, que é formada pela gestão de identidade, a gestão de autenticação e a de acesso. A biometria tem tudo para substituir a senha, mas trará mais um componente de segurança. “Não será uma revolução. É importante utilizar a biometria e as técnicas associadas, porém é preciso que as organizações não esqueçam o conjunto da política de segurança como um todo”, assegura Fontes.

O melhor custo em um projeto de autenticação para alguns analistas é o de token no celular, pois não é necessário comprar outro dispositivo além do aparelho de telefonia que o usuário já possui. Algo como US$ 1,50, compatível, com o valor de um cartão de senhas. Na comparação com a biometria, a escala dos dispositivos e a implementação na arquitetura dos bancos faz com que os valores variem muito. Para favorecer uma padronização no setor, os bancos brasileiros possuem arquiteturas bem próximas. Afinal, além do esforço de adquirir e colocar em funcionamento uma solução biométrica, ela precisa ser “encaixada” na arquitetura do banco, de acordo com o que e aonde a instituição deseja usar (os seus canais como ATM, caixas bancários etc), mas também trocando informações com os demais sistemas.

Mas porque não um SPB biométrico? “É preciso uma vontade política, como aconteceu com o SPB, para padronizar o e-CPF ou mesmo o uso de biometria. Acho que o Banco Central deveria se posicionar em algum momento neste sentido. Falta uma diretriz porque os bancos não priorizam nem mesmo a questão do e-CPF. Existem grupos com visão distinta, quando é preciso investir em tokens, certificações e biometria. Existe um varal de alternativas que pode ser acessado pelas corporações”, aponta Aarão.

ALÉM DOS BANCOS

Fora do ambiente bancário, de 2004 para cá e por conta das obrigações do SOX, as multinacionais de origem norte-americana precisaram investir mais em biometria para reforçar sua segurança. Elas foram empurradas a gastar mais com projetos de autenticação e proteção aos seus dados. E elas acabam por influenciar a cadeia de relacionamentos com parceiros e fornecedores, para quem também acabam cedendo acesso.

Um exemplo: a empresa tem uma VPN que dá acesso por senha a fornecedores e parceiros, e é preciso o que se chama de segundos fatores – o primeiro seria a senha de números comuns – como um token ou mesmo de terceiros fatores como biometria. Muitas empresas buscam não apenas reforçar o acesso remoto como acabam por incrementar o acesso físico através da biometria.

A BioAccess, especializada no tema biometria, aposta nas famílias BioFinger, Biolite e Control para seduzir empresas com essa premissa. A linha BioFinger foi desenvolvida para aplicações corporativas onde é necessário um produto compacto, robusto e com flexibilidade para qualquer tipo de aplicações de controle de acesso e de ponto, utilizando a biometria como forma de identificação. Já o Biolite é voltado para aplicações de controle de acesso para poucos usuários e também para aplicações em automação residencial, enquanto o Control foi construído para utilizações como controle de acesso e controle de ponto de funcionários.

Uma empresa que investiu recentemente, em maio, é a Federação das Unimeds do Estado de São Paulo (Federação-SP), por meio de seu departamento de TI, que disponibilizou um formulário online com o objetivo de estabelecer um cronograma de aplicação da tecnologia de Biometria nas Unimeds, como parte do módulo de consultórios da ferramenta de Intercâmbio Eletrônico. O projeto é um sistema de verificação biométrica por reconhecimento de digitais e o objetivo é proteger tanto o usuário do plano como a Unimed de fraudes.