/O que é a biometria?

Probablemente hayas escuchado varias veces la palabra biometría en los últimos tiempos. La transformación digital, acelerada en muchos ámbitos por la pandemia, ha despertado un amplio debate social en numerosos ámbitos, entre ellos la biometría y la inteligencia artificial, pero ¿a qué nos referimos exactamente cuando hablamos de biometría?

Marta Morrás

Identity Verification Expert

Artigo
junho 2, 2021

O que significa a biometria?

De acordo com a norma ISO 2382-37, a biometria é o “reconhecimento automático de indivíduos com base nas suas características biológicas e comportamentais”. O reconhecimento biométrico baseia-se em características físicas, fisiológicas ou comportamentais (características biométricas). Desde a sua criação, uma infinidade de sistemas foi desenvolvida, utilizando cada vez mais tipos de características biométricas, ao mesmo tempo que se expandem os casos de uso aos quais podem ser aplicados.

Descubra nossa plataforma de verificação de identidade 99% de taxa de verificação de identidade

O que é a biometria?

Atualmente, pode dizer-se que a biometria baseada em características físicas do indivíduo é a mais difundida, desenvolvida e, portanto, madura. Entre as biometrias mais utilizadas encontram-se a biometria facial, a biometria de voz, íris ou impressão digital. Em contrapartida, é importante salientar o que NÃO é a biometria.

A biometria não é a caracterização do indivíduo com base no género, na raça, na orientação sexual, na religião ou nas crenças políticas.
A biometria também não é a análise do estado de espírito da pessoa. Não consiste na deteção de emoções nem no estudo da reação humana perante diferentes estímulos.
A biometria não consiste na identificação do estado de saúde ou da condição física das pessoas. Não identifica doenças, nem parâmetros físicos como a pulsação, o oxigénio no sangue ou a tensão arterial. A biometria também não determina a predisposição das pessoas para contrair doenças.

Os pontos anteriores são tratados por disciplinas técnicas diferentes da biometria.

Tecnologia biométrica

A tecnologia biométrica pode ser aplicada de duas formas distintas:

Identificação (1:N). Este é o método conhecido como 1:N, já que compara um indivíduo com um grupo (ou seja, com cada uma das pessoas que compõem esse grupo). A finalidade é saber se esse indivíduo pertence a esse grupo. Aqui deve-se também ter em conta que não é a mesma coisa (e é precisamente nisso que se baseia a distinção feita pelo próximo regulamento europeu de IA) que esta identificação seja realizada com o conhecimento e consentimento do utilizador, ou de forma “remota” (ou seja, sem esse conhecimento). O exemplo seguinte mostra uma pesquisa 1:N na qual se utiliza uma imagem de Rafa Nadal e se identifica o seu rosto numa base de dados de fotografias do tenista em diferentes cenários.

Autenticação ou verificação. Este método baseia-se numa comparação 1:1, dado que os dados do indivíduo são comparados com outros dados associados a esse mesmo indivíduo. A finalidade, neste caso, é comprovar a sua identidade, ou seja, verificar que é quem diz ser.

Como funciona a biometria?

Pode dizer-se que o elemento-chave num sistema de reconhecimento biométrico é o motor utilizado. Entende-se por motor biométrico o conjunto de processamentos matemáticos implementados num sistema informático que permite realizar o reconhecimento de uma pessoa a partir de uma ou mais características fisiológicas.

De forma habitual, definem-se duas etapas em todo o processamento biométrico:

Registo biométrico.
Comparação biométrica. O processo de comparação biométrica pode ter dois fins: verificação (1:1) ou identificação (1:N), tal como indicado anteriormente.

Apresenta-se a seguir o funcionamento de cada uma das etapas.

Registo biométrico

O registo biométrico consiste na geração de um vetor biométrico a partir de uma característica fisiológica da pessoa. Por exemplo, a partir do seu rosto, voz, impressão digital, íris, etc. A imagem seguinte mostra uma explicação do processo de registo para o caso concreto em que se utiliza o rosto como fator biométrico. Neste caso, fala-se de vetor facial para referir o vetor biométrico.

O primeiro passo consiste na obtenção de uma fotografia que contém o rosto da pessoa.
Esta imagem é enviada ao motor biométrico, que realiza o processamento da imagem. Trata-se da etapa mais importante, pois, dependendo das tecnologias utilizadas, o motor biométrico terá maior ou menor precisão. Em seções posteriores, detalha-se a evolução que os motores biométricos tiveram, desde os modelos baseados em landmarks ou pontos característicos, até os modelos atuais baseados em Inteligência Artificial.
Como resultado, o motor biométrico obtém um vetor facial, referenciado como (x1, y1, z1…) no esquema anterior. O vetor facial é uma representação matemática das características biométricas da pessoa.
Como resultado do processo de registro, o vetor facial é armazenado para que possa ser utilizado em um processo posterior de comparação biométrica. O vetor facial é armazenado associado a um identificador da pessoa. Este identificador pode ser um valor totalmente anonimizado (ex: um hash obtido do nome da pessoa ou do número do documento de identidade).

Este armazenamento pode ser realizado em uma base de dados centralizada, distribuída ou pode até ser armazenado no dispositivo móvel do usuário.

Comparação biométrica

O processo de comparação biométrica consiste na geração de um novo vetor facial a partir de uma nova captura da característica fisiológica da pessoa, e na comparação em relação ao vetor facial previamente armazenado.

Do ponto de vista técnico, é importante considerar que o que é comparado não são as imagens pixel a pixel, mas sim os vetores faciais.

A imagem a seguir mostra uma explicação do processo para o caso específico em que se utiliza o rosto como fator biométrico.

O primeiro passo consiste na obtenção de uma nova fotografia que contém o rosto da pessoa.
Esta imagem é enviada ao motor biométrico, que realiza o processamento da imagem.
Como resultado, o motor biométrico obtém um vetor facial referenciado como (x2, y2, z2…) no esquema anterior.
Obtém-se o identificador do usuário associado ao vetor. Isso permite encontrar na base de dados o vetor facial previamente armazenado, referenciado como (x1, y1, z1…) no esquema anterior.
Posteriormente, realiza-se uma comparação entre os dois vetores anteriores. O processo de comparação de vetores não implica o uso de tecnologia avançada. Do ponto de vista matemático, utiliza-se habitualmente a regra do cosseno para determinar o quão distantes ambos os vetores se encontram.
Finalmente, a distância entre vetores obtida no ponto anterior é normalizada para que represente o nível de similaridade entre os vetores comparados. Desta forma, vetores que estão próximos obterão um nível de similaridade elevado. Ou seja, representam situações onde a comparação biométrica é bem-sucedida. Pelo contrário, vetores que estão distantes obterão um nível de similaridade baixo. Ou seja, representam situações onde a comparação biométrica não é bem-sucedida.

O que são os sistemas de reconhecimento biométrico?

O avanço do ser humano sempre andou de mãos dadas com novos desenvolvimentos tecnológicos. Da mesma forma que passamos do transporte a cavalo para o carro ou o avião, dos mapas desenhados à mão para os satélites e o GPS, e uma infinidade de novas invenções que facilitam a nossa vida, o modo como nos identificamos hoje em dia provocou uma resposta tecnológica que tem como objetivo principal continuar aumentando a nossa qualidade de vida.

A digitalização trouxe consigo múltiplos benefícios, mas também alimentou a incerteza sobre a identidade das pessoas por trás das telas. As tecnologias de reconhecimento biométrico surgem como resposta a esta necessidade de garantir a identidade das pessoas em um mundo cada vez mais global, complexo e virtual.

Existem diferentes tipos de biometria, entre os quais se destacam a biometria facial, de voz, íris ou digital. Em termos digitais, biometria facial e a biometria de voz tornaram-se as alternativas mais confiáveis e amigáveis para usuários e empresas.

Sistemas biométricos old-school ou de landmarks

Os primeiros sistemas de biometria facial baseavam-se no reconhecimento ou identificação de pontos característicos, chamados landmarks, que representavam a imagem facial da pessoa.

O principal problema destes sistemas é a sua rastreabilidade, ou seja, a possibilidade de reconstruir a imagem original. Além disso, são muito frágeis a mudanças na aparência, como a barba ou o uso de óculos ou máscara.

Sistemas biométricos baseados em Inteligencia Artificial

Nos últimos anos, os motores de biometria foram desenvolvidos com Inteligência Artificial. Estes sistemas são treinados para aprender a reconhecer rostos como o cérebro humano, capaz de distinguir uma pessoa em diferentes circunstâncias, e com maior precisão devido à infinidade de dados que processam. Os motores biométricos são projetados para proteger a privacidade de seus usuários por padrão. Quando se processa uma imagem facial ou um fragmento de áudio, estas evidências tornam-se um vetor matemático irreversível. Isto significa que se esse vetor fosse perdido, ou se alguém tentasse decifrá-lo, seria impossível, já que ele serve apenas para fins de comparação com outro vetor (uma nova imagem ou áudio no momento de verificar a identidade da pessoa). Além disso, tais vetores só podem ser processados pelo mesmo motor que os criou, ou seja, não são interoperáveis, pois não podem ser utilizados por outros sistemas. Abaixo, mostra-se um exemplo de vetor facial gerado a partir de uma versão específica de motor biométrico.

<0x0><0x2><0x6><0x3>+ep,<0xC5><0xC7>|<0xCD><0xC>T;<0xD2>p<0xEE>w<0xC7><0xA6><0xFC><0xC2><0x1E><0xAA><0xE3> <0x0><0x13><0x1><0x80><0x0><0x0><0x0><0x0>e_x’#<0xEF><0xC7><0xD2><0xEA>7Lp<0xAA><0x94><0x9F><0xBD>><0x87>42puT~<0x93>zj<0xE1>qa<0xDF><0xF0>)I<0xF8>k<0x1F>KQ<0x12>9<0xDF>M#<0xC><0xDE>=<0xEA><0xC><0xE2><0xD9>$<0xAB><0x95><0xFC>k<0xBD><0x7><0xD3><0x82><0x0>3<0x80>2<0x9><0x1><0xC6>d<0xF1><0xC4>is><0x84>sT<0x7><0x8B><0xF8><0x84><0xE6><0xC6><0xC1>+<0xB><0x8A><0xAC><0x99><0x13>o<0x85><0xED>c<0xF0>|<0xF8><0xDD>R<0x98>5<0xD0><0xBC>^<0xC9>B<0x84><0x15><0x18><0xA6>,<0x93>U<0x8><0xFB><0xEE>O<0x16><0x9A><0xEB><0xDB><0xA0><0x89>.<0x1B>*<0xDB><0xBD>Pz<0x9D>=<0x18><0x9C><0x9A><0xC2>!<&<0x7>'<0x95><0x8B>F<0xD><0x9C><0x88><0x2>3<0xD5><0x81><0xD7><0x87><0x1><0xE0>9;<0xFB><0xBB><0xE1><0x92>x<0xEC><0xB1>><0xD1><0xC4>x=<0xC2>zgTW<0xF0><0x3><0x9C><0xC0><0xAE><0xFD><0xDC>”<0xA2><0x80><0x8B><0xEE>n<0xA9>*<0xFB><0x1A><0x9C><0xCD>x<0x89>'<0x0><0xD4><0x88><0xA7>$^<0xA><0xDB><0x1F><0x3>_<0xE9><0x83><0xD6><0x6>X<0xFA><0xDB>l%<0x96><0xD4><0xAB>IQ{<0x9E>d2<0x1>d<0xB5>}1<0x9F>QB<0xA1>t<0x9F><0xC9>aS<0xD9><0xC1><0x1D>)F<0xEF><0xB3><0xFE><0xD9>N<0x6><0xB6>3<0xE4>##<0xA6>W<0x1B><0x15><0x8A><0xF><0xDD><0xC5><0xD0><0x81><0x16>lH<0xEB>ELk<0xCF><0x9C><0xFC><0xD1>u<0x1A><0x5><0xD4><0xF0><0xFD><0xB9><0xBD><0x96><0x82><0xBA><0x9A>=<0x0><0xE3><0xA>

As características destes vetores faciais são as seguintes:

Os vetores faciais garantem a privacidade.
Os vetores faciais são irreversíveis.
Os vetores faciais não são interoperáveis entre diferentes sistemas. Não são compatíveis com versões de diferentes fabricantes nem com outra versão do modelo biométrico, mesmo do mesmo fabricante.
Revogáveis: O traço biométrico não muda. O vetor facial sim.
Os vetores faciais incluem uma camada de criptografia.
Os vetores faciais não incluem informações pessoais adicionais da pessoa.

Para que serve a biometria?

A biometria nos permite verificar a nossa identidade no mundo digital de maneira segura e precisa. A diretiva de serviços de pagamentos (PSD2) da União Europeia define três níveis de segurança ou formas pelas quais podemos verificar a nossa identidade:

Posse (algo que você tem): Trata-se da forma mais tradicional de acessar um serviço que nos pertence, e é através de uma chave ou credencial física que possuímos. Este seria o caso da chave da nossa casa, do nosso carro ou até do nosso documento de identidade. O grande risco desta via de autenticação é a possibilidade de perder esta credencial, ou de alguém se passar por nós simplesmente pelo fato de possuí-la.
Conhecimento (algo que você sabe): Avançando um pouco, em um nível acima, encontra-se aquilo que nós sabemos, por exemplo, uma senha ou código de acesso. Neste caso, não se trata de algo físico que possamos perder, mas existe o risco de esquecermos ou até de outra pessoa descobrir essa informação por diferentes métodos, podendo suplantar a nossa identidade.
Inerência (Algo que você é): Acima das anteriores, e como a autêntica via de verificação, encontramos nós mesmos e tudo aquilo que nos torna únicos. Da mesma forma que nos pareceria ridículo ligar para os nossos pais e fornecer um código para que nos reconhecessem, soa arcaico que hoje em dia, na era digital, sejamos escravos de senhas e credenciais físicas para comprovar a nossa identidade. A biometria nos permite verificar a nossa identidade de maneira simples, rápida e disponível em qualquer ocasião, seja através de uma selfie ou pronunciando algumas poucas palavras.

A biometria: única maneira de assegurar a identidade real

Para contar com uma identidade verificada com precisão no ambiente digital, é necessário utilizar a identidade biométrica e a identidade legal.

A biometria como fator inerente à pessoa.
O documento nacional de identidade, como representação da identidade outorgada pelo Estado.

Estes dois fatores estão unidos através da biometria facial, que se torna, de fato, o fator biométrico que permite unir a identidade outorgada pelo Estado com a identidade real.

Identidade real na forma de fotografia e identidade outorgada pelo Estado na forma de documento de identidade, do redator do relatório. O redator do relatório consente com a publicação das fotografias.

Onboarding de clientes

Considerando o exposto, o uso da biometria facial como fator de autenticação no ambiente digital requer um processo conhecido como onboarding de clientes. O processo de onboarding de clientes está amplamente difundido para diferentes casos:

Abertura de contas bancárias.
Registro online em empresas de telecomunicações, elétricas y seguros.
Verificação de identidade para obter certificados digitais. Na Espanha, a FNMT permite obter um certificado digital através de um processo deste tipo desde junho de 2023.
Verificação de identidade para o jogo online.
Reserva de um quarto de hotel.
Verificação de identidade e da carteira de habilitação para o aluguel de um veículo
Acesso a eventos esportivos.

Um processo de onboarding consta fundamentalmente de duas etapas por parte do usuário:

A captura de uma fotografia do seu documento de identidade.
A captura de uma foto selfie.

A partir das evidências capturadas, realiza-se um processo que consta de três etapas:

A verificação de que o documento de identidade é autêntico, está vigente e pode ser empregado para o caso de uso concreto onde o usuário realiza o onboarding de clientes. Habitualmente, isto pressupõe ser maior de idade.
A comparação biométrica entre a foto impressa no documento e a foto selfie capturada ao vivo pelo usuário.
A verificação mediante diferentes técnicas de prova de vida (ativas ou passivas) de que o usuário que realiza o processo é legítimo. Isto implica verificar que a imagem utilizada como foto selfie é autêntica, e não se trata de uma supressão de identidade como uma fotocópia, uma máscara ou um deepfake.

As etapas anteriores podem ser complementadas com passos adicionais, dependendo da regulamentação e do caso de uso.

Por exemplo, a abertura de contas bancárias na Espanha, regulada pelo SEPBLAC, requer a realização de um processo de vídeo-identificação ou videochamada entre o usuário e um agente de back-office. Adicionalmente, requer a revisão manual por parte do agente de todas as evidências capturadas (fotografias do documento, selfie e vídeo-identificação), para a aceitação ou rejeição do cadastro.

De forma similar ocorre com o processo de verificação de identidade para a obtenção de certificados digitais, no qual o Centro Criptológico Nacional (CCN) estabelece os requisitos.

Neste caso de uso, não se deve esquecer a necessidade de cumprir com o regulamento eIDAS (ver referência) e, em particular, com o artigo 24 1d. Este artigo estabelece que “Ao expedir um certificado qualificado para um serviço de confiança, um prestador qualificado de serviços de confiança verificará, pelos meios apropriados e de acordo com o Direito nacional, a identidade e, se for o caso, qualquer atributo específico da pessoa física ou jurídica à qual se expede um certificado qualificado”, onde se habilita a opção de realizá-lo “utilizando outros métodos de identificação reconhecidos em escala nacional que aportem uma segurança equivalente em termos de fiabilidade à presença física. A segurança equivalente será confirmada por um organismo de avaliação da conformidade”.

Portanto, aqueles processos de verificação de identidade mediante técnicas biométricas, como os realizados pela FNMT na Espanha para a emissão de certificados digitais, demonstraram um nível de segurança equivalente à presença física.

A evolução para o novo eIDAS2 reconhece o papel da biometria como um fator de alta confiança que pode ser empregado na futura Wallet de identidade digital europeia (ver referência). Especificamente, estabelece-se que “As European Digital Identity Wallets devem garantir o mais alto nível de segurança para os dados pessoais utilizados para autenticação, independentemente de tais dados serem armazenados localmente ou em soluções baseadas na nuvem, levando em conta os diferentes níveis de risco. Utilizar biometria para autenticar é um dos métodos de identificação que proporcionam um alto nível de confiança, em particular quando utilizado em combinação com outros elementos de autenticação. Como a biometria representa uma característica única de uma pessoa, o uso de biometria requer medidas organizacionais e de segurança”.

Autenticação biométrica

Uma vez que um usuário tenha realizado um processo de onboarding, é possível gerar um vetor facial a partir da foto selfie utilizada no processo de cadastro, de modo que possa ser empregado como vetor facial de registro.

Desta forma, o usuário poderá realizar um processo de autenticação biométrica para diferentes casos de uso. Por exemplo:

Login biométrico.
Assinatura de operações.
Confirmação de pagamentos.

O processo de autenticação biométrica é realizado conforme explicado em seções anteriores. O usuário captura uma foto selfie, um vetor facial é gerado a partir da imagem, e este vetor é comparado com o vetor facial de registro, resultando na aceitação ou rejeição do processo de autenticação. Assim como descrito no processo de onboarding, o processo de autenticação inclui sempre a verificação de que o usuário que está realizando o processo é legítimo e de que não se trata de nenhum tipo de personificação.

Neste sentido, como parte da normativa europeia PSD2 (Segunda Diretiva de Serviços de Pagamento), os bancos e outras entidades provedoras de pagamentos devem implementar a autenticação forte de clientes. Trata-se de um mecanismo projetado para reforçar os requisitos técnicos de verificação da identidade de usuários.

A autenticação forte exige que o serviço de pagamento utilize pelo menos dois dados distintos, conhecidos como fatores de autenticação. Estes fatores dividem-se em três grupos:

Conhecimento: algo que o usuário conhece, como uma senha ou PIN.
Posse: algo que o cliente possui, como um dispositivo móvel.
Inerência: refere-se a fatores biométricos.

Portanto, a PSD2 habilita o uso de características biométricas como um dos fatores a serem empregados para o processo de autenticação forte e confirmação de pagamentos. É comum combinar a biometria com o fator de posse, evitando assim o uso de senhas. Neste sentido, a iniciativa FIDO es la más conocida, al hacer uso del dispositivo y la biometría del dispositivo móvil (ej: FaceID).

Si bien PSD2 tiene un alcance limitado a pagos, el establecimiento de dos factores como mecanismo fuerte de autenticación se ha implantado como un estándar dentro de la industria, extendiéndose a otros ámbitos.

Da presunção à certeza

O uso de tecnologias biométricas permite passar da presunção à certeza, assegurando que a pessoa que realiza um processo é realmente quem diz ser. Isto dá lugar a processos de autenticação mais seguros em comparação com o uso de alternativas tradicionais baseadas no uso de senhas.

O fato de uma senha ser muito segura, no sentido de ter um comprimento significativo, utilizar caracteres em minúsculas e maiúsculas, números e caracteres especiais, não garante em nenhum caso a certeza da identidade.

Qualquer senha, por mais complexa que seja, pode ser cedida ou roubada, da mesma forma que uma senha simples.

Um dos exemplos mais comuns e aceitos de cessão voluntária de senhas e certificados ocorre no âmbito laboral. Habitualmente, os certificados digitais são emitidos em nome do Diretor Geral e Diretor Financeiro, que recebem um arquivo em forma de credencial para a assinatura de operações em nome da empresa. Por razões operacionais, é comum que este certificado seja usado a partir dos dispositivos eletrônicos de outros funcionários da companhia para a assinatura de contratos.

O uso de tecnologias biométricas permite verificar a identidade real da pessoa que realiza o processo de assinatura de operações no âmbito laboral, passando da presunção, pelo mero fato de contar com um certificado digital, à certeza.

Veridas, simplesmente seja você

A Veridas está há 4 anos no mundo da biometria baseada em Inteligência Artificial desenvolvendo motores próprios de reconhecimento facial e de voz. Nossas tecnologias, reconhecidas globalmente, já estão em funcionamento em diferentes setores como o bancário, de seguros ou de telecomunicações, e já validaram milhões de identidades em todo o mundo de uma forma ágil, rápida e segura.

Nossa missão é proteger a identidade das pessoas no mundo digital, lutar contra a fraude online e garantir que a digitalização tenha um impacto social real, melhorando a qualidade de vida de todas as pessoas. Graças à Veridas, você pode esquecer as senhas, os trâmites burocráticos presenciais, as chamadas intermináveis em centrais de atendimento ou as supressões de identidade… simplesmente seja você.

Perguntas Frequentes (FAQ)

Como funciona um sistema biométrico?

O sistema utiliza inteligência artificial e algoritmos de deep learning para captar uma amostra biométrica (como uma selfie ou um trecho de voz), convertê-la em uma impressão digital biométrica (vetor matemático irreversível) e compará-la com os dados armazenados para confirmar a identidade.

A biometria pode substituir as senhas (palavras-passe)?

Sim. Os sistemas biométricos são mais seguros do que as senhas ou códigos OTP, pois baseiam-se em fatores de inerência (algo que você é), que não podem ser esquecidos, compartilhados ou perdidos.

A tecnologia biométrica é segura e precisa?

Sim. Os motores biométricos atuais atingem taxas de precisão superiores a 99% e são auditados por entidades internacionais como o NIST (National Institute of Standards and Technology).

Como são protegidos os dados biométricos?

As informações são convertidas em vetores criptografados e irreversíveis, o que significa que não é possível reconstruir a imagem ou o áudio original a partir dos dados armazenados, garantindo a privacidade e a conformidade com regulamentos como o RGPD/GDPR.

Precisa de ajuda?

Sou Eduardo,
consultor de identidade digital na Veridas. Se precisar falar com nossa equipe, agende uma reunião.

/Descubra mais artigos e recursos

Todos os recursos

/Artigo