As equipes de fraude e risco geralmente vivem em um eterno combate a incêndios - perseguindo novos padrões de ataque, justificando o atrito e tentando provar seu valor para uma empresa que está focada no crescimento.
Essa tensão é exatamente o que exploramos na primeira sessão de Facing Digital Challenges: How Biometrics Will Shape Secure Identity in 2026, a primeira de duas partes de nossa série de webinars voltada a especialistas em prevenção de fraude, gestão de riscos e identidade digital.
Apresentada por Ajay Amlani, CEO da Aware, e acompanhada por Esther Scott, diretora de produtos de identidade da Square (Block), a primeira parte desta conversa abordou como os líderes podem:
- Passe de gastos reativos para investimentos sustentáveis
- Posicione o risco e a identidade como facilitadores de negócios, não como bloqueadores
- Equilíbrio entre sinais passivos e ativos e fricção inteligente
- Explore os desafios estratégicos da seleção de fornecedores, da decisão entre desenvolver ou adquirir soluções e dos riscos de dependência excessiva de fornecedores.
- Evolua de KYC para KYC + KYB + KYA em um mundo acelerado por tecnologias de IA avançadas.
Este blog recapitula os principais temas e insights da Parte Um. Junte-se a nós na Parte Dois, onde Esther e Ajay irão aprofundar o tema da liveness, comprovação de identidade, ameaças de deepfakes, padrões e privacidade.
O Problema do Ciclo Interminável: Gastos Reativos e Memória Curta
Um dos primeiros grandes temas: o investimento em fraudes geralmente é reativo. Ocorre um grande incidente, os gastos aumentam... e então todos relaxam.
Como disse Esther:
"Haverá algum evento agudo que acontecerá... e então você poderá ver os gastos nessa área por provavelmente 18 meses... e há uma perda de memória que acontece."
O resultado? As equipes de risco ficam presas em um ciclo de "Whack-A-Mole"(ciclo interminável), sempre um passo atrás:
"Você pode ser ótimo hoje, mas amanhã é um dia diferente... se você está no jogo reativo Whack-A-Mole, você está atrasado. Se não ficar para trás hoje, ficará para trás amanhã."
Esse problema é ampliado pelo aumento de deepfakes e ataques automatizados, que reduzem o custo e a escala da fraude. Os ciclos de melhoria em "escala anual" com os quais muitas organizações estão acostumadas simplesmente não funcionam mais.
Risco como Impulsionador do Negócio, Não Apenas Como Prevenção de Perdas
Esther enfatizou que, para conquistar apoio de longo prazo, os líderes de fraude e identidade digital precisam apresentar seu trabalho como um impulsionador de crescimento e não apenas como um custo de compliance.
"Se você fizer um bom trabalho para reforçar seus sistemas de risco, seus sistemas de identidade... você pode controlar essa alavanca de uma forma um tanto previsível."
Bem feito, os investimentos certos:
- Viabilizar novos mercados
- Suporte a novos produtos
- Expandir quem você pode atender com segurança
"Fazer essas coisas corretamente permite que você entre em novos mercados, ofereça novos produtos e amplie sua visão sobre quão preparados os usuários estão para adotá-los.
Ajay reforçou essa tensão: as equipes de produto geralmente se concentram em maximizar o crescimento e reduzir o atrito, enquanto as equipes de fraude tentam justificar o atrito e os recursos. Parte do trabalho é ensinar isso à organização:
- O atrito não é o inimigo - o atrito desnecessário é que é.
- Controles sólidos de identidade e risco ampliam o funil ao longo do tempo, permitindo que a empresa diga "sim" com mais confiança.
Sinais Ativos X Passivos: Encontrando os Momentos Certos para o Atrito
Ajay, então, passou para um desafio prático: equilibrar sinais ativos e passivos em toda a jornada do cliente.
Ele comparou as verificações ativas, como KBA, captura de documentos + selfie ou solicitações biométricas explícitas, com sinais passivos extraídos do comportamento do dispositivo, da rede e da conta:
"Há sinais que você pode coletar de forma passiva... e sinais que você pode coletar de forma ativa... Você está pedindo para o cliente fazer alguma coisa?"
A resposta de Esther é: depende - e isso muda com o tempo.
"Se houvesse uma chave de prata para tudo isso, então ótimo, todos nós faríamos isso e estaríamos prontos... mas a realidade é que isso tem muitas nuances e tendências ao longo do tempo."
Alguns pontos-chave de sua abordagem:
O contexto é importante.
Para fluxos de alto risco (por exemplo, solicitações de hipoteca), os clientes esperam verificações mais invasivas e estão dispostos a tolerá-las.
"Provavelmente há uma tolerância para isso... você pensa, sim, eu quero tudo. Quero fechar isso".
Para casos de uso mais leves (por exemplo, aplicativos de pagamentos P2P), esse mesmo atrito seria inaceitável. Nesse caso, você se apoia mais em "verificações silenciosas":
"Quão seguro posso me sentir de que Ajay é Ajay e este é o telefone dele... ele está na jurisdição onde eu acho que ele deveria estar... com base em tudo o que ele me deu?"
O momento certo é tudo.
As equipes testam se é melhor fazer verificações antecipadas na integração ou acioná-las posteriormente com base no comportamento, nos limites ou nos sinais de risco:
"Em todos os lugares em que trabalhei, fizemos muitos testes: será que o momento certo para fazer tudo isso é logo de cara? É quando você está fazendo algo novo?"
É nesse ponto que IA e o ML se tornam essenciais:
"A maioria dos lugares está se inclinando para... reconhecer padrões que aconteceram e [tomar] decisões mais inteligentes no futuro."
Ela também chamou a atenção para as limitações das ferramentas antigas, como a KBA:
"A KBA em particular... é bastante atritada, e não me sinto bem com ela na maioria das aplicações... O que posso fazer em vez disso?"
Fornecedores, Testes e Complexidade Operacional: O Dilema de Construir ou Comprar
Qualquer líder de fraude ou identidade reconhece o próximo ponto problemático de Ajay: a sobrecarga de fornecedores.
"Quando eu estava na empresa, recebia de 20 a 30 vendedores por semana me ligando... 'Se você usar o meu martelo, todos os seus problemas desaparecerão'."
Ele também apontou como alguns fornecedores vencem os bake-offs apoiando-se discretamente em grandes equipes de revisão manual, enquanto comercializam suas soluções como "totalmente automatizadas":
"Na verdade, eles têm um banco de dados profundo de 50 pessoas... analisando cada uma delas... [e] o cliente diz: 'Uau, esse sistema automatizado é absolutamente incrível'."
Esther destacou a dificuldade de uma avaliação real e justa na prática:
"Poder testar 20 ou 30 fornecedores em um ano é muito caro, tanto do ponto de vista de tempo quanto de recursos."
Seu manual inclui:
- Backtesting em escala, dentro de restrições rigorosas de governança de dados
- Pedir respostas rápidas - se for realmente automatizado, não deve levar semanas
- Execução de testes de integração ao vivo com uma pequena lista dos principais fornecedores
- Melhorar os processos internos de contratos e integrações para reduzir o atrito ao longo do tempo
Sobre construir versus comprar, a posição de Esther é clara: construir é a exceção, não a norma.
"Não estamos aqui para criar necessariamente o melhor recurso [de verificação]... de modo geral, as pessoas estão usando recursos bastante comoditizados."
As construções personalizadas só fazem sentido se:
- Você tem um problema ou um fosso realmente único
- Você está preparado para ficar à frente dos invasores e das mudanças tecnológicas indefinidamente
"Você pode construir algo e pensar, ótimo, problema resolvido, vou seguir em frente. Bem, os fraudadores não estão começando ou parando. A tecnologia não está parando."
Evitando o bloqueio do fornecedor e planejando a mudança
O bloqueio do fornecedor não é apenas uma preocupação de aquisição - é um risco de resiliência.
Esther recomendou uma mentalidade de reavaliação constante e leve:
"Um rigor saudável... é uma avaliação e reavaliação de qualquer capacidade que você tenha... pelo menos anualmente: estou no cavalo certo?"
Principais práticas mencionadas por ela:
Ter um "cavalo estável" para o volume diário
Mantenha os "dedos dos pés na piscina" com outros fornecedores - mantenha-se curioso e continue conversando com eles.
Inclua fornecedores ou recursos adicionais antes que sua solução atual se torne obsoleta
Não se apegue emocionalmente:
"As pessoas são adquiridas, todos os tipos de coisas mudam... Isso não significa que você errou. Significa apenas que o mercado continuou se movendo."
Ajay acrescentou uma perspectiva do Departamento de Defesa de seu tempo ajudando a criar a Unidade de Inovação de Defesa:
"Percebemos que estávamos basicamente cercados por fornecedores tradicionais... seu único cliente era o Departamento de Defesa... você paga por P&D e depois compra o produto."
O modelo DIU se inclinava para a concorrência, a avaliação em etapas e a alavancagem de capital externo (investidores) em vez de financiar toda a P&D diretamente - uma analogia interessante de como as empresas comerciais podem pensar em "investir em sua base de fornecedores".
De KYC a KYC + KYB + KYA em um mundo de IA
Na parte final da discussão, Ajay e Esther analisaram como a identidade se expandiu do KYC para o KYC:
KYC - Conheça seu cliente
KYB - Conheça seu negócio
KYA - Conheça seu agente
Ajay enquadrou essa questão como o "ABC" da identidade moderna e perguntou como as empresas devem pensar em equilibrar essas camadas, especialmente porque os agentes e os atores IA desempenham um papel mais importante:
"Os atacantes... têm a flexibilidade, a autonomia e... ferramentas de colaboração para trabalhar em todo o mundo e tentar imitar pessoas boas."
Esther observou que, embora os sabores sejam diferentes, os princípios subjacentes são consistentes:
"Toda a discussão anterior sobre o que é eficaz, qual é o ritmo das coisas também se aplica ao KYC, KYB e KYA."
Alguns destaques de sua visão:
- As expectativas diferem de acordo com o segmento. As grandes empresas esperam uma integração mais pesada; os consumidores esperam algo mais próximo de uma experiência de aplicativo P2P.
- A verificação do agente é uma nova camada, não uma substituição: agora você precisa garantir que o agente e a parte representada são ambos legítimos.
- Os controles em camadas e a resiliência são fundamentais:
"Ter essa resiliência para sentir que, não importa o que aconteça, eu tenho uma combinação de fornecedores... recursos... para intervir ou colocar alguém no processo certo."
E IA testará as suposições tradicionais sobre confiança:
"Tradicionalmente, temos sido capazes... de errar ao confiar em um cliente porque construímos um impulso suficiente. Agora, de repente, algo pode parecer muito com um cliente, mas não é um cliente... e você não sabe disso até que ele tenha passado do ponto."
O que está por vir na Parte Dois
Na Parte Dois, Ajay e Esther se aprofundarão na tecnologia e na camada de confiança por trás de tudo isso:
- Detecção de Liveness e prova de humanidade
- Prova de pessoalidade em um ambiente agêntico e IA
- Ameaças de deepfake e como são as defesas "boas o suficiente"
- Padrões e testes independentes (NIST, DHS, etc.)
- A função em evolução da privacidade e da administração em sistemas biométricos
Confira a Parte Um e registre-se para a Parte Dois desta série, na qual abordaremos esses tópicos e compartilharemos orientações mais práticas para os líderes de fraude, risco e identidade.
