Produtos
Soluções
Verificação e Autenticação de Identidade de Clientes: o que são e quais as opções disponíveis

Verificação e Autenticação de Identidade de Clientes: o que são e quais as opções disponíveis

Entenda as diferenças entre verificação e autenticação, quais as soluções disponíveis no mercado e as melhores práticas para criar uma estratégia robusta e com bom CX.

As transações online já são parte da nossa rotineira – desde abrir uma conta no banco, comprar uma roupa ou até mesmo fazer uma graduação online. É verdade que essas interações online tornam nossas vidas mais simples, mas elas também exigem uma grande adaptação das organizações. Afinal, as pessoas não buscam apenas “concluir suas demandas”. Elas querem experiências simples, engajadoras, sem fricção e resolutivas. 

Em paralelo, estamos passando por um aumento global de crimes cibernéticos – especialmente phishing, aquisição de contas (ATO), fraudes de troca de SIM. Segundo estimativas, o custo decorrente destas fraudes cresce 15% a cada ano, e deve chegar aos U$10 trilhões até 2025!

Então, se a sua empresa está buscando expandir as interações digitais com seus clientes, você precisará pensar em soluções de verificação e autenticação centradas no usuário e que garantam boas experiências de uso.

Diferenças entre verificação e autenticação de identidade

Ao criar uma estratégia de segurança robusta, você terá que pensar tanto em soluções de verificação de identidade, quanto de autenticação de identidade.

Mas para que você consiga comparar as soluções disponíveis, é importante entender as diferenças entre cada uma e o que cada uma se propõe a fazer. 

  • IDENTIFICAÇÃO: é o estágio de fornecer as informações que, mais tarde, serão usadas nas etapas de verificação e autenticação. É quando você fornecer seu nome, endereço, e-mail, telefone e coleta da biometria. 
  • VERIFICAÇÃO: é quando uma empresa analisa se as informações fornecidas pelo usuário são verdadeiras. Normalmente isso é feito através de uma conferência dos dados com outros bancos ou documentos. Essa etapa é muito comum no cadastro de novas contas e também quando um usuário associa um novo dispositivo ou navegador às suas contas existentes. 
  • AUTENTICAÇÃO: é quando você usa uma ou mais informações para comprovar que você é o usuário autorizado para acessar determinada conta ou serviço. Essa etapa é usada, geralmente, quando uma pessoa quer acessar um sistema/conta/plataforma, em check-outs de altos valores ou durante um pedido de alteração das configurações de conta. Existem três grandes tipos de autenticação: Conhecimento (uma senha ou a resposta a uma pergunta de segurança); Posse (um código ou token enviado para um celular ou e-mail que você possua); Características (uma biometria, reconhecimento facial, voz). 

Muitas empresas empregam múltiplos fatores de autenticação para criar mais camadas de segurança para seus clientes e sistemas e prevenir fraudes. Por exemplo: uma combinação de senha + OTP enviado por SMS. Ou senha + Verificação Móvel Silenciosa.

Verificação é a confirmação da veracidade das informações e da identidade do usuário. Já a autenticação é a confirmação de quem está pedindo acesso a uma determinada conta/sistema é realmente a pessoa autorizada a fazê-lo. 

Criando a estratégia de segurança ideal para as necessidades da sua empresa

Antes de mais nada esqueça a ideia de que existe uma solução one-fits-all em segurança. A escolha das ferramentas e tecnologias que irão compor seu arsenal de segurança depende dos seus objetivos e do nível de risco atrelado a cada ação dos seus usuários. 

Por exemplo, na etapa de cadastro de uma nova conta, a simples verificação de um e-mail pode ser o nível de segurança necessário e que não irá atrapalhar a experiência do seu usuário. Já se você quer autorizar a concessão de um empréstimo, pode ser necessário associar mais etapas de verificação e autenticação para minimizar o risco de fraudes.

Ou seja, é sempre importante buscar um equilíbrio entre o nível de segurança necessário para uma operação e a experiência que você está oferecendo ao seu usuário. Pedir 7 métodos de autenticação apenas para entrar na conta fará com que seu usuário fique irritado e desista. Mas solicitar 3 etapas (senha, PIN e SIM-Swap) para a compra de um produto de altíssimo valor pode fazer o seu usuário se sentir ainda mais seguro e confiante na sua empresa. 

Por isso, muito provavelmente sua solução de segurança será uma combinação de várias ferramentas e tecnologias que serão acionadas de diferentes formas dependendo da etapa da jornada do cliente e o do objetivo a ser concluído nela. 

Conheça principais soluções de verificação e autenticação

Validação de cadastro de pessoa física (CPF)

O CPF é um dos documentos mais importantes para os brasileiros – já que ele está atrelado a quase todas as nossas atividades, posses e pendências judiciais e financeiras. 

Por isso, a verificação se o CPF informado pelo usuário corresponde ao registrado nos bancos de dados oficiais é uma forma simples e eficaz de confirmar a veracidade da informação e mitigar seu risco de fraudes. 

Na Infobip, fazemos essa checagem de CPF junto às operadoras de celular, através da nossa solução de Mobile Identity

Know Your Customer (KYC)

Esse procedimento é mais comum em instituições financeiras, que muitas vezes adotam o KYC como pré-requisito para cadastrar novos clientes em suas bases. Inclusive, essas entidades são obrigadas pela Lei 9.613 e a Circular 3.979 do Bacen a terem essa política implementada. No entanto, outras empresas também podem se beneficiar do KYC. 

A Política de Know Your Customer nada mais é do que um processo de análise de risco dos usuários. Ele consiste na avaliação do perfil do usuário, análise de suas fontes de renda, detecção de perfis fraudulentos, verificação de pessoas expostas politicamente, etc. 

Ela é feita através da coleta de dados com o cliente e da verificação dessas informações usando bancos próprios e fontes independentes e confiáveis, como Receita Federal, Detran, Operadoras e Tribunais de Justiça. 

Autenticação por OTP ou Token

Esse tipo de autenticação é um dos mais utilizados pelas empresas porque é simples e altamente adaptável às necessidades do cliente. 

A ideia é que, ao tentar acessar uma conta, adicionar um novo dispositivo ou fazer uma transação, o usuário recebe um código de uso único (OTP) através de um canal de comunicação escolhido previamente (normalmente SMS ou e-mail). O usuário, então, insere esse código no local solicitado pela empresa que autoriza seu log-in ou operação. 

Já no caso do token, essa nova camada de autenticação é realizada através de um pequeno dispositivo ou de um app que gera senhas randômicas e por um curto período de tempo para a validação da identidade dos usuários. 

Biometria

A biometria pode ser usada tanto para substituir a autenticação por OTP quanto como uma nova camada de segurança na operação. 

Essa solução permite que a empresa use características intransferíveis de uma pessoa (como íris, impressão digital, reconhecimento facial, reconhecimento de voz ou retina) para garantir que ela é realmente quem diz ser e garanta autorização para ela acessar um determinado sistema ou conta. 

Após uma coleta na fase de “Identificação” do usuário, um algoritmo especializado faz uma análise e comparação com a biometria apresentada naquele momento pelo cliente. 

O fato de que muitos aparelhos celulares já vem com leitores de impressão digital ou reconhecimento facial faz com que muitas empresas tenham optado também por este formato de autenticação. 

Verificação móvel silenciosa (SMV)

A solução de Verificação Móvel Silenciosa verifica a identidade dos usuários sem interromper a experiência deles. Isso porque faz tudo em uma conexão direta com operadoras e em segundo plano. 

Quando um usuário tenta acessar uma conta ou sistema através de seu celular, a SMV usa os dados mantidos pelas operadoras de telefonia móvel para verificar a identidade do usuário. Ele faz isso de forma silenciosa e em questão de segundos, acelerando o processo e reduzindo os riscos de fraude e abandono de carrinho. 

A Infobip tem exclusividade nesta tecnologia no Brasil. Se você tem interesse em saber mais, entre em contato com um de nossos especialistas

Checagem de troca de SIM

Esse é um outro processo que acontece em segundo plano e não causa nenhum tipo de atrito na experiência do cliente. 

Nele, a tecnologia procura o número de IMSI (International Mobile Subscriber Identity) conectado ao seu cartão SIM e verifica se ele foi alterado recentemente – por exemplo se foi trocado de aparelho.

As empresas podem optar por bloquear transações, envio de OTPs e acessos quando houver uma troca em um período curto de tempo (menos de 12 ou 24 horas). Desta forma, evita que pessoas que tiveram os celulares roubados sejam vítimas de fraude. 

How Mobile Identity SIM swap detection works

Boas práticas para a criação da sua estratégia de segurança

  1. Permita que seus clientes escolham os canais de autenticação que desejam usar: Principalmente para métodos como envio de PINs de autenticação, é interessante dar opções aos seus usuários. Entenda as preferências dele e ofereça, quando possível, algumas opções de canais como SMS, WhatsApp, push, voz e e-mail.
  2. Confirme com o usuário o número de telefone ou e-mail antes de enviar um OTP. 
  3. Encontre o equilíbrio entre experiência e segurança: como já mencionamos antes, você tem que ter a experiência do cliente em mente, mesmo quando estiver projetando uma estratégia de segurança. Por isso, leve em consideração o risco de fraude de cada operação e vá adicionando camadas de autenticação a partir disso. 
  4. Mescle tecnologias que dependam do usuário e que são feitas em segundo plano: uma forma de melhorar a experiência do cliente sem abrir mão da segurança é sobrepor soluções de segurança que exigem ação do usuário (inserção de uma senha ou PIN) com opções que serão realizadas em segundo plano (SIM-Swap, Verificação SIlenciosa). Desta forma, você constrói camadas de segurança extra, mas sem causar atritos. 
  5. Implemente soluções de bloqueio para solicitações sucessivas: depois de quantas tentativas erradas você deve bloquear temporariamente o acesso a uma conta? O número mágico de muitas empresas é entre 3 e 5. Essa é uma estratégia que reduz a chance de ataques automáticos e de pessoas não autorizadas tentando acessar uma conta de outra pessoa. 
  6. Aguarde até que os dados estejam verificados para armazená-los nos seus bancos de dados. A cada nova alteração ou acréscimo de informações no cadastro dos seus clientes, faça uma verificação. Ou você pode acrescentar um tag de “em análise” nos dados ainda não verificados para garantir que não haja problemas futuros de autenticação.

Mantenha seus clientes seguros com a ajuda da Infobip

Ao combinar camadas de verificação e autenticação eficazes, você terá a certeza que seus clientes são quem eles dizem ser e não um fraudador esperando para atacar. E, com isso, irá possibilitar experiências muito mais engajadoras e resolutivas para seus consumidores. 

A Infobip tem as ferramentas que você precisa para criar uma estratégia de verificação e autenticação completa para seus usuários. Entre em contato com um de nossos especialistas e saiba como podemos ajudar! 

Conteúdos relacionados que você pode se interessar: