Reconhecimento facial no setor privado como mecanismo de prevenção a fraudes

O reconhecimento facial tem se destacado como ferramenta poderosa para a autenticação de usuários e a prevenção de fraudes em ambientes digitais. Enquanto sua utilização na segurança pública levanta preocupações significativas sobre privacidade e vieses discriminatórios, o uso da tecnologia no setor privado, especialmente para fins de prevenção à fraude, tem se tornado cada vez mais benéfico.

Segurança pública vs. prevenção à fraude em negócios digitais

O uso de reconhecimento facial na segurança pública é cercado de controvérsias, especialmente devido ao potencial de vieses discriminatórios, falta de precisão e invasão de privacidade em larga escala por conta do amplo monitoramento de ambientes públicos.

Isso porque tais sistemas, especialmente os utilizados para fins de segurança pública, deveriam ser treinados e adaptados à diversidade étnica e racial dos países nos quais são utilizados, dada a possibilidade de vieses raciais e de gênero no output de algoritmos desenvolvidos a partir do treinamento com dados de outras localidades. Um dos riscos são taxas de erro significativamente maiores na identificação de mulheres negras em comparação a homens brancos, por exemplo, o que sugere que a precisão desses sistemas é comprometida pela falta de representatividade nos conjuntos de dados utilizados para treinar ou validar esses sistemas.

Considerando a margem de erro e os potenciais impactos danosos em grandes centros urbanos, onde milhões de rostos são capturados diariamente, a necessidade de ajustes e testes nas bases de dados utilizadas pelos sistemas para refletir a diversidade brasileira é premente. Assim, para garantir a eficácia, justiça e respeito aos direitos humanos na utilização dessa tecnologia, é crucial que sejam adotadas medidas que incluam a revisão e o aprimoramento contínuo dos sistemas de reconhecimento facial, assegurando que sejam treinados com conjuntos de dados diversificados e representativos da população brasileira.

De outro lado, no setor privado, o uso do reconhecimento facial é mais direcionado e específico, principalmente para a devida autenticação de usuários e prevenção de fraudes, oferecendo camada adicional de segurança para transações digitais e o a sistemas críticos. Por exemplo, atualmente, parte do comércio eletrônico e as instituições financeiras utilizam o reconhecimento facial para verificar a identidade de seus clientes durante a abertura de contas e em transações financeiras, reduzindo significativamente a incidência de fraudes.

O recente estudo “Radar Tecnológico: Biometria e Reconhecimento Facial da Autoridade Nacional de Proteção de Dados (ANPD)”, inclusive, identificou que essas tecnologias já são corriqueiramente utilizadas em métodos de o a computadores, celulares e sistemas, enquanto fator de segurança para autenticação de transações financeiras.

Neste ponto, importante ponderar a distinção do conceito de “identificação biométrica” — método que envolve o reconhecimento de características físicas, fisiológicas e comportamentais humanas, com o propósito de identificar um indivíduo — da “autenticação biométrica” — método que envolve a comparação dos dados biométricos armazenados de um indivíduo para confirmar a identidade do usuário, buscando singularizá-lo.

O papel da biometria em garantir maior segurança ao consumidor é tão relevante que os próprios consumidores prestigiam a sua utilização. Em pesquisa publicada no Relatório Global de Fraude e Identidade 2022, cerca de 93% dos brasileiros consideram a biometria (impressão digital, facial, de retina, da íris e da voz) como a tecnologia mais segura durante a experiência digital. No mesmo sentido, segundo uma pesquisa da Visa, cerca de 90% dos consumidores indicaram ser mais fácil utilizar a biometria como método de autenticação; 48% acreditam que o uso de biometria é mais seguro que o de senhas; e apenas menos de 10% dos consumidores não utilizariam qualquer método de biometria para a realização de compras.

Portanto, quando utilizado de forma ética e responsável, o reconhecimento facial se torna uma ferramenta crucial para viabilizar ambientes digitais mais seguros. Ao diferenciar claramente essa aplicação dos usos na segurança pública, mitigando os eventuais riscos e respeitando direitos, é possível aproveitar os benefícios da tecnologia sem comprometer as garantias fundamentais dos indivíduos e utilizá-la, na verdade, em proveito deles.

Framework regulatório como meio para viabilizar o uso responsável da tecnologia

O alinhamento de regulações nacionais e internacionais, como a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 ou LGPD) e o AI Act, da União Europeia, oferece um framework robusto para implementação segura e responsável do reconhecimento facial em atividades empresariais, promovendo a confiança e segurança em ambientes digitais. Assim, as empresas podem proteger seus clientes e reduzir significativamente o volume de fraudes, contribuindo para um ecossistema digital mais seguro e confiável.

Nesse contexto, a LGPD estabelece um arcabouço robusto para o tratamento de dados pessoais e permite o tratamento de dados biométricos (como a biometria facial) para a prevenção à fraude, com base no artigo 11, II, ‘g’, desde que sejam respeitados os direitos e liberdades fundamentais dos titulares dos dados. Ademais, como a LGPD não hierarquiza as bases legais para o tratamento de dados, permite que a base legal de prevenção à fraude possa ser utilizada independentemente do consentimento do titular, conforme entendimento já consolidado, por exemplo, no Enunciado n° 689 da IX Jornada de Direito Civil.

Além disso, a adoção do reconhecimento facial no setor privado também pode e deve ser vista à luz das exigências regulatórias específicas em determinados setores. Como exemplo, é possível mencionar o Banco Central do Brasil (Bacen) e o Conselho Monetário Nacional (CMN), os quais já adotaram diversas medidas regulatórias para robustecer os processos de validação de identidade de clientes e a prevenção a fraudes por instituições financeiras. A Circular n° 3.978/2020 do Bacen exige a adoção de processos de validação da identidade de clientes que sejam compatíveis com o grau de risco identificado pela avaliação interna para fins de lavagem de dinheiro, e a Resolução DC/BACEN n° 142/2021 estabelece os controles mínimos de prevenção a fraudes na prestação de serviços de pagamento. Portanto, quando há esse tipo de norma em setores específicos, também há tese para o uso de autenticação biométrica com fundamento no cumprimento de obrigações legais ou regulatórias (artigo 11, II, ‘a’, da LGPD).

O AI Act da União Europeia, por sua vez, não veda o uso de reconhecimento facial para fins de autenticação no setor privado. No Anexo III, o AI Act indica expressamente que os sistemas de IA concebidos para serem utilizados para verificação biométrica com o único propósito de confirmar que uma determinada pessoa natural é a pessoa que alega ser não serão considerados de alto risco, conforme item (1) (a).

Por outro lado, sistemas de identificação biométrica à distância em tempo real em espaços íveis ao público são proibidos, com exceção das hipóteses previstas no regulamento, conforme o artigo 5º (1) (h), como atividades de aplicação da lei relacionadas a determinados crimes específicos, por exemplo, terrorismo, tráfico de seres humanos e exploração sexual de crianças e pornografia infantil. Isso porque tais sistemas, já amplamente utilizados para segurança pública, levantam preocupações acerca da vigilância em larga escala e de possíveis violações de direitos fundamentais.

De forma semelhante, a proposta legislativa para um marco regulatório de IA no Brasil traz como risco excessivo os sistemas de identificação biométrica à distância, em tempo real e em espaços íveis ao público, com exceção de algumas hipóteses, como para a instrução de inquérito ou processo criminal, mediante autorização judicial prévia; busca de vítimas de crimes e de pessoas desaparecidas; e flagrante delito de alguns crimes. Na mesma proposta, sistemas de identificação e de autenticação biométrica para o reconhecimento de emoções, excluindo-se os sistemas de autenticação biométrica cujo único objetivo seja a confirmação de uma pessoa singular específica, são tratados como de alto risco, com medidas de governança adicionais.

Dessa forma, cumpridas as exigências de transparência, de segurança e de proteção de dados, a utilização do reconhecimento facial para fins de autenticação e de prevenção à fraude é permitida para mitigação de riscos e garantia da segurança em ambientes digitais, por meio da identificação de atividades fraudulentas em tempo real.

Boas práticas para a utilização de reconhecimento facial no setor privado

Em razão de possíveis riscos residuais no uso do reconhecimento facial para prevenção à fraude, as empresas vêm adotando medidas rigorosas para mitigá-los antecipadamente, como o uso de bases de dados diversificadas, revisões independentes dos resultados e auditorias contínuas para corrigir falhas ou vieses.

Nessa lógica, recentemente, a Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (Anbima) publicou guia inédito com orientações para as empresas do setor que querem utilizar sistemas de IA, incentivando a adoção ética da tecnologia e propondo recomendações de boas práticas para as instituições, como medidas de governança em IA, transparência, ética, entre outros, para as organizações desenvolvedoras, adquirentes e usuárias de sistemas de IA, incluindo aqueles utilizados no combate a fraudes.

Para uma implementação segura e eficaz do reconhecimento facial no setor privado, há diversas boas práticas que podem ser adotadas pelas empresas, incluindo:

• o treinamento com bases de dados representativas da diversidade da população;
• a avaliação da base legal apropriada para o tratamento de dados pessoais e sensíveis no âmbito da LGPD;
• medidas de transparência em relação ao uso de dados biométricos e de IA e as medidas de governança adotadas, especialmente para a mitigação e prevenção de potenciais vieses discriminatórios;
• medidas de segurança da informação, adotando medidas técnicas e istrativas robustas para proteção dos dados;
• implementação de mecanismos de supervisão contínua e auditorias independentes;
• condução de avaliações de impacto regulares para identificar e mitigar riscos potenciais, entre outros.

Portanto, para viabilizar a utilização segura do reconhecimento facial em atividades empresariais, é fundamental que sejam adotadas boas práticas mínimas. Quando implementado conforme as melhores práticas de mercado e em conformidade com normas vigentes, o reconhecimento facial pode ser um poderoso aliado no combate a fraudes e proteção de consumidores, viabilizando a construção de um ambiente digital ainda mais seguro e confiável.