Digital Icon
LegitFace: por que a biometria facial não é suficiente para barrar fraudes
Nosso trabalho

LegitFace: por que a biometria facial não é suficiente para barrar fraudes

11 DE FEVEREIRO DE 2026

A biometria facial virou padrão no mercado regulado brasileiro. É prática, tem baixa fricção e os usuários entendem facilmente como funciona. As plataformas implementam a tecnologia, os gestores aprovam a solução e os usuários passam pelo processo sem reclamar.

Tudo parece estar funcionando perfeitamente, até que aparece o primeiro caso de fraude sofisticada. Aí a operação descobre que aquele score de 98,8% de compatibilidade não significava o que todo mundo achava que significava.

O número alto indica apenas que dois rostos parecem iguais. Nada mais. Não diz se a pessoa está presente naquele momento, se está viva ou se aquela imagem é legítima. Essa diferença, considerada por muitos “sutil", pode custar caro quando a descoberta acontece tarde demais.

A diferença entre biometria e liveness na autenticação

A biometria responde à pergunta "quem é essa pessoa?". Já o liveness responde a outra questão completamente diferente, que é "tem uma pessoa real, viva e presente do outro lado da câmera agora?". As duas perguntas são igualmente importantes, mas muitas operações só fazem a primeira.

O cenário mais comum de fraude acontece assim: o fraudador consegue um documento de identidade verdadeiro, comprado na dark web, roubado em algum vazamento de dados ou fornecido por um laranja. Ele tira uma foto do documento e, ao invés de aparecer pessoalmente na frente da câmera durante a verificação, injeta um vídeo pré-gravado ou gerado por inteligência artificial diretamente no stream de vídeo.

A biometria compara o documento real com o vídeo falso, encontra compatibilidade alta e aprova a conta. Score perfeito, fraude concluída. Simples assim.

Logo, as operações que dependem apenas de biometria facial estão vulneráveis a ataques que vão muito além de segurar uma foto na frente da câmera. Estamos falando de injeção de vídeo, deepfakes em tempo real, bypass de câmera e spoofing através de máscaras.

Os três tipos de ataque que a biometria sozinha não detecta

A biometria facial pode até ser amplamente adotada como mecanismo de verificação de identidade, mas ela não foi projetada para enfrentar sozinha o nível de sofisticação das fraudes digitais atuais. É como colocar uma tranca simples na porta de casa e achar que está protegido contra arrombadores profissionais.

Isto é, a evolução das técnicas de ataque, impulsionada por inteligência artificial e ferramentas cada vez mais acessíveis, expôs limitações importantes dos sistemas que analisam apenas a similaridade facial. Sem mecanismos adicionais de prova de vida e validação de contexto, esses sistemas ficam vulneráveis a diferentes formas de manipulação.

Vejamos abaixo os três principais tipos de ataque que a biometria isolada não consegue detectar de forma confiável.

Spoof (apresentação de artefatos físicos)

  • Fotos impressas em alta resolução que simulam a presença real da pessoa.
  • Máscaras de silicone que reproduzem características faciais em três dimensões.
  • Telas de dispositivos mostrando vídeos pré-gravados da pessoa titular do documento.
  • Muitas soluções verificam apenas se a imagem parece com a pessoa do documento, sem validar se existe uma pessoa de verdade na frente da câmera naquele momento.

Deepfake e vídeos sintéticos

  • As ferramentas de inteligência artificial conseguem gerar rostos extremamente realistas que se movem, piscam e até falam de forma natural.
  • Alguns modelos mais acessíveis criam vídeos convincentes em poucos minutos usando apenas algumas fotos de referência como base.
  • Os deepfakes modernos passam facilmente em testes básicos de movimento, executando comandos como virar a cabeça ou sorrir de forma praticamente perfeita.
  • O que era tecnologia de ponta há três anos virou commodity acessível para qualquer pessoa com um computador razoável.

Injeção de vídeo (o ataque mais perigoso)

  • Os fraudadores injetam conteúdo de vídeo diretamente no stream de captura, sem aparecer fisicamente na frente da câmera.
  • Pode ser um vídeo pré-gravado, um deepfake gerado especificamente para aquela situação ou até uma transmissão ao vivo de outra pessoa.
  • Todas as métricas técnicas batem, o score de compatibilidade fica alto, mas a pessoa titular do documento nunca esteve presente.

O problema do liveness baseado em comandos

A maioria das soluções de liveness disponíveis no mercado depende de comandos ativos para o usuário. Piscar os olhos, sorrir para a câmera, virar a cabeça para a esquerda. À primeira vista, parece uma abordagem robusta e eficiente. Na prática, tem problemas estruturais sérios.

É aquela história do ladrão que fica observando a rotina da casa antes de agir. Se todo dia às 20h as luzes se acendem da mesma forma, ele sabe que é automático. Se o liveness sempre pede os mesmos comandos, o fraudador sabe exatamente o que preparar.

Como dificultar a vida do fraudador? Essa é a resposta da Legitimuz!

Diante desse cenário de fraudes cada vez mais sofisticadas e soluções de liveness que criam mais fricção do que segurança real, a Legitimuz desenvolveu o LegitFace. A proposta nasceu de uma pergunta "simples", mas de extrema importância: como criar uma solução de liveness detection que fosse ao mesmo tempo mais segura contra ataques modernos e mais prática para usuários legítimos?

O LegitFace não depende de comandos óbvios que o usuário precisa executar conscientemente. Ao invés disso, analisa uma combinação de sinais involuntários e características da captura de vídeo que são extremamente difíceis de falsificar.

Tudo acontece em modo passivo enquanto o usuário simplesmente olha para a câmera por alguns segundos. Os usuários reais passam pelo fluxo mais rapidamente porque não precisam executar uma sequência de ações. Os fraudadores enfrentam barreiras técnicas muito mais difíceis de burlar.

E como está a segurança do seu negócio hoje?

Se o sistema atual do seu negócio se apoia apenas em comandos como piscar, sorrir ou virar a cabeça, a operação pode estar apostando em sinais frágeis contra os principais ataques modernos.

Como dito, Liveness não é apenas um check a mais no processo, mas uma camada que transforma biometria em autenticação de verdade quando acontece junto com a verificação biométrica.

A Legitimuz oferece um diagnóstico técnico gratuito e detalhado do fluxo de liveness para entender onde o processo pode estar vulnerável a spoof, deepfake e bypass/injeção, e como reforçar a segurança sem comprometer a jornada do usuário.

Clique aqui para agendar.

posts anteriores

Fim de ano Legitimuz

Obrigado, 2025!

Por Vitoria Tavares em 26 de dez. de 2025

Happy hour após evento da SPA criou espaço para conversas diretas sobre PLD, regulação e os desafios práticos do mercado regulado

Happy hour Legitimuz em Brasília: +100 profissionais discutindo o futuro do compliance no iGaming

Por Vitoria Tavares em 16 de dez. de 2025

ISO

Da conformidade à confiança: como a ISO 27001 é um dos maiores diferenciais da Legitimuz

Por Thomas Hannickel em 10 de dez. de 2025

Prêmio EGR

Legitimuz é premiada no EGR Latam Awards 2025 como Compliance & KYC Partner

Por Vitoria Tavares em 28 de nov. de 2025

EmpresaSobre nósContatoCarreiras
ProdutosCPF CheckKYCGeolocPLD/FT
RecursosBlogLegitimuz Day
ISO/IEC 27001 Certified
logo

KYC com a maior conversão do Brasil.

Siga a gente nas redes!
linkedin
© 2025 Legitimuz, Inc. Todos os direitos reservados.
Políticas de Cookies
Políticas de privacidade
LGPD
Política de segurança da informação