* Por Daniel Bilbao
“Quem sou” é um conceito tão simples e ao mesmo tempo tão abstrato que é estranho pensar na necessidade de estabelecer a identidade de uma pessoa. No entanto, esse tem sido um desafio para a sociedade desde suas origens: retratos, impressões digitais, DNA, registros dentários são alguns dos métodos utilizados para atingir esse objetivo com diferentes (e longe de perfeitos) graus de sucesso. Dado que não existe um vencedor legítimo, está claro que a sociedade atual precisa de um novo método que resolva os pontos fracos dos atuais e, ao mesmo tempo, ofereça agilidade.
Toda vez que ligo para qualquer serviço de atendimento ao cliente e verifico minha identidade, sinto-me no mundo do absurdo. Uma pessoa desconhecida me faz três perguntas e, com pouquíssima informação, conclui que eu sou quem eu digo que sou: “Você tem uma conta x no banco x desde o ano xx? ou seu endereço é ou foi na Rua y no apto yy?”).
Tenho vergonha de ter falhado em muitas provas na minha vida e não consigo nem imaginar a vergonha de ter falhado em um teste de identidade. Mas continuo pensando que o processo não faz sentido e, em vez de adicionar segurança, abre uma vulnerabilidade ao sistema, e uma que eu não conhecia até ser vítima de roubo de identidade.
Como roubam minha identidade? Como alguém me personifica? E ainda mais, como agentes de atendimento acreditam nele? Quando se pensa em roubo de identidade, geralmente se imagina um mestre de fantasias que aprende a falar e agir como sua vítima e que facilmente falsifica documentos. A realidade é muito mais simples e, infelizmente, muito mais eficaz. O motivo é que estes ladrões exploram várias vulnerabilidades do sistema. Confira!
Agentes de atendimento treinados para ajudar: os consultores que geralmente fazem as perguntas são treinados para ajudar o consumidor, afinal esse é o trabalho deles: facilitar a vida do usuário. O problema é quando estão ajudando a pessoa errada.
Falta de informação: há uma grande diferença entre se passar por alguém na frente de seus amigos, colegas de trabalho ou na frente de um atendente de um banco. O primeiro é quase impossível, o segundo muito difícil e o último extremamente fácil. As perguntas de verificação de identidade são limitadas pelas informações que a empresa possui; algumas vezes, são limitadas ao endereço e ao número de telefone da pessoa.
Dificuldade de acesso à informação: as empresas estão sempre tentando reduzir as barreiras aos clientes, evitando a papelada e os requisitos de acesso aos seus serviços. Mas às vezes, isso gera menos conhecimento de quem são seus clientes.
Então, como fazem os ladrões? Eles basicamente usam informações acessíveis ao público para criar listas e listas de possíveis vítimas. Eu sei o que você está pensando agora: “O que! meus dados não são protegidos? Sim e não: o tratamento de suas informações é um problema que todas as empresas levam a sério porque a lei as obriga. No entanto, existem três tipos de informação: pública, semi-privada e privada. O público deve estar acessível, enquanto o privado e o semi-privado devem ser protegidos.
Os dados semi-privados dizem respeito não apenas ao proprietário ou detentor dos dados, mas também a um setor ou grupo de pessoas, como dados financeiros e de crédito por exemplos. Finalmente, os dados públicos são qualificados como tal por lei, pela Constituição ou por exclusão, pois não pertencem a nenhuma das categorias anteriores.
Em geral, os dados pessoais são classificados de acordo com o interesse que possa estar por trás do uso deles, também atribuindo o caráter de privado aos dados que “devido à sua natureza íntima ou reservada, são relevantes apenas para o proprietário”. Um exemplo de dado pessoal público é o próprio estado civil. O mesmo acontece com os dados contidos em documentos públicos que não estão sujeitos a grande proteção. Meu endereço? Público Meu número de telefone? Público.
O próximo passo dos ladrões varia, mas, em geral (e no meu caso particular), é por telefone: com algumas informações, o ladrão telefona fingindo-se de consultor bancário ou operador de telecomunicações e, com a desculpa de querer atualizar as informações de cadastro, faz com que você verifique se as suas informações estão corretas, podendo até solicitar as informações que estão faltando.
Com essas informações, qualquer um pode contratar uma série de serviços em seu nome, abrir contas fraudulentas ou até mesmo ter acesso a crédito. Geralmente, eles realizam esses processos por telefone ou pela Internet e evitam os canais presenciais, visto que eles muitas vezes eles já possuem um número de identificação (CPF por exemplo) mas não o documento em si (RG ou carteira de motorista). Dessa maneira, com todas as informações que eles já têm, as perguntas de verificação não são difíceis de responder.
No meu caso, descobri a fraude quando me ligaram para dizer que a cobrança da minha conta estava quase sendo cobrada judicialmente. Tive que ir até um dos escritórios da companhia telefônica e registrar um recurso de eliminação da conta, uma vez que provei que não era a pessoa que solicitou o serviço e, portanto, não sou credor das cobranças geradas.
A recomendação que eles me deram, e eu compartilho com você, é evitar confirmar informações por telefone ou fornecer informações adicionais. Disseram que as empresas já tem todas as informações relacionadas aos clientes e, para atualizar os dados, basta ligar diretamente para a empresa ou acesse o site.
Na prática, não sei se essas contas são classificadas como alto risco de recuperação para as empresas ou se são provisionadas sabendo que não será possível recuperar esse dinheiro. De qualquer forma, tenho certeza de que é do interesse do usuário e das empresas eliminar o problema de fraude de identidade. Mas então, por que isso ainda não aconteceu?
O motivo é que, para ter uma solução definitiva, é necessária toda uma gama de serviços, e não são triviais. Deve haver uma plataforma de identidade na qual o usuário possa verificar por meio de tecnologias avançadas de biometria, como: reconhecimento facial, reconhecimento de voz, fotos do documento de identidade ou perguntas de validação (ou todas as anteriores) para garantir que é quem o usuário diz ser.
Para realizar as perguntas de validação, a plataforma deve acessar todas as informações disponíveis do usuário (sem invadir sua privacidade, obviamente) com o objetivo de tornar muito difícil para alguém – que não seja o usuário – responder corretamente.
Por fim, a plataforma deve permitir que o usuário compartilhe toda ou parte de suas informações com empresas ou autoridades para os procedimentos necessários de validação. O que exige que a informação seja compatível com diferentes sistemas em várias organizações.
Nossa sociedade atual exige uma identidade digital completa, que seja facilmente verificável pelo proprietário legítimo e quase impossível de fraudar. Além disso, que se integre aos diferentes sistemas governamentais e comerciais de vários países e facilite a rastreabilidade dos antecedentes através das fronteiras jurisdicionais, dessa forma, garantindo sempre que cada pessoa seja realmente a proprietária exclusivo de sua identidade.
Daniel Bilbao é cofundador e CEO da Truora, uma empresa latino-americana que opera em seis países, incluindo o Brasil. A missão da companhia é solucionar fraudes em toda a região. Ele é um investidor anjo, membro do conselho da Frubana e embaixador da Innpulsa no Vale do Silício.
