À medida que a transformação da economia global se intensifica, aqueles que não acompanharem o ritmo dessa digitalização ficarão vulneráveis a fraudadores que estão se tornando mais sofisticados e tirando proveito daqueles que estão mais atrasados. Ironicamente, apesar de ser reconhecido como o segundo país mais avançado do mundo pelo Banco Mundial em termos de digitalização das estruturas de serviços públicos, o Brasil é muito vulnerável. Qual é o problema, você pergunta? A verificação da identidade.
O próprio conceito do documento de identidade é uma questão complexa no Brasil (e na América Latina como um todo). Isso se deve ao fato de que os cidadãos brasileiros recebem vários documentos ao longo de sua vida, sendo que cada estado em que residem exige modelos diferentes de documentação. Devido ao seu status como a forma mais comum de documentação, essencial para os brasileiros em uma variedade de atividades, incluindo abertura de conta bancária, declaração de impostos, compra de imóveis e até mesmo compras on-line, vamos nos concentrar no número do CPF (Cadastro de Pessoas Físicas) neste blog. Especificamente, as limitações das verificações com base no CPF no processo de comprovação de identidade e a grande incidência de fraudes com base no CPF, que deixam os consumidores e as empresas de todo o Brasil vulneráveis, especialmente quando não possuem os dados necessários para evitá-las.
Antes de examinarmos a importância dos dados dinâmicos nos processos de comprovação da identidade digital, vamos primeiro detalhar e definir o problema em questão: A fraude envolvendo o CPF e as limitações das verificações que envolvem o CPF.
O que é o número de CPF?
O Cadastro de Pessoas Físicas (CPF) é um número de identificação exclusivo atribuído a cada residente no Brasil. Emitido pela Secretaria da Receita Federal, o número do CPF é composto por 11 dígitos.
Em alguns aspectos, o número do CPF é semelhante ao Social Security Number (SSN) dos EUA, pois é usado para rastrear as atividades financeiras de um indivíduo, como operações bancárias, histórico de crédito, impostos, contribuições para a aposentadoria e assim por diante. Entretanto, diferentemente do SSN nos EUA ou do Social Insurance Number (SIN) no Canadá, o CPF não é confidencial. De fato, conforme mencionado acima, o número do CPF é frequentemente solicitado para várias atividades no Brasil – desde compra de mantimentos, aluguel de carro e, em alguns casos, login em uma rede Wi-Fi pública.
Roubo de identidade e fraude envolvendo o CPF no Brasil
A fraude de identidade na América Latina tem sido um problema há algum tempo. De janeiro a novembro de 2022, os brasileiros sofreram mais de 3,6 milhões de tentativas de fraude envolvendo sua identidade, o que representa uma a cada oito segundos.
Embora o roubo de identidade seja um problema global, há um elemento do roubo que é exclusivo do Brasil: o número do CPF.
Como a forma mais comum de identificação no país, não é de se admirar que os números de CPF apareçam de forma tão proeminente em esquemas fraudulentos no Brasil. De fato, relatórios de inteligência de segurança emitidos há alguns anos reconhecem o problema crescente, apontando a fraude envolvendo o CPF como a fraude preferida em relação à forma tradicional de golpe com cartão de crédito, devido ao fato de os números de CPF não estarem prontamente disponíveis para serem rastreados por seus titulares. De fato, enquanto as transações e extratos de cartão de crédito podem ser prontamente acessados on-line, a atividade do CPF é quase impossível de ser monitorada. Um fraudador pode facilmente roubar o número do CPF de um indivíduo (como mencionado anteriormente – ele não é exatamente confidencial), obter um empréstimo ou fazer uma compra em nome de um titular legítimo do CPF, contraindo uma dívida em nome da vítima.
Mais grave ainda, os números de CPF são um alvo ideal para os golpistas. Há todo um ecossistema clandestino dedicado a facilitar a fraude envolvendo o CPF como um serviço. Tudo o que é necessário é uma combinação de números de CPF válidos, facilmente obtidos por meio de ataques diretos de phishing e malware. De fato, em 2020, uma auditoria oficial mostrou que havia pelo menos 12 milhões a mais de CPFs atribuídos a “cidadãos” do que a população total do Brasil.
O problema com as verificações de CPF para comprovação de identidade
As organizações que operam no mercado brasileiro são legalmente obrigadas a verificar os números de CPF dos clientes para cumprir as leis de combate à lavagem de dinheiro e financiamento ao terrorismo (AML/CTF) do país. Por sua vez, as empresas dentro e fora do país recorrem aos processos de KYC para garantir a conformidade e reduzir o risco à reputação – e não avançam além disso. Infelizmente, quando se trata de números de CPF, isso é um problema por diversos motivos. Em primeiro lugar, como já enfatizado, esses números são fáceis de serem obtidos. Em segundo lugar, apesar da uniformidade dos números de CPF, entre os estimados 210 milhões de brasileiros, cerca de 50 milhões não têm um número de CPF ativo. Isso pode ocorrer porque ele nunca foi emitido ou porque foi bloqueado. Seja qual for o motivo, esses cidadãos são marginalizados.
No entanto, a principal razão pela qual a confiança nos processos KYC para validar identidades no Brasil é um problema tão grande é que os números de CPF são identificadores estáticos, ou seja, um atributo de dados fixo que não muda (como uma data de nascimento). Qualquer processo de verificação de identidade que dependa de dados determinísticos prontamente disponíveis tem muito mais probabilidade de ser comprometido. De fato, na economia digital atual, em que as informações são tão facilmente compartilhadas e acessadas por meios convencionais e inadequados, os dados estáticos não são suficientes.
A diferença em relação aos dados dinâmicos
Visto que os fraudadores de identidade sofisticados são conhecidos por criar identidades falsas a partir de elementos de dados estáticos vazados, as organizações precisam adotar o uso dos dados dinâmicos. Em resumo, os elementos de dados de identidade dinâmica incluem itens como o número de telefone, o endereço de e-mail e o endereço IP (Internet Protocol) de um cliente. Diferentemente dos atributos de dados estáticos, os atributos de dados dinâmicos podem potencializar inúmeros vínculos dinâmicos, metadados, histórico e padrões de atividade para validar uma identidade.
Por exemplo, conforme detalhado em nosso eBook sobre detecção e combate à fraude de identidade, esses vínculos dinâmicos entre elementos de identidade são muito mais importantes quando se tratam de identidades roubadas, pois há pouca consistência entre os elementos. Por exemplo, com os metadados, examinar o histórico de endereços em relação à idade do histórico de crédito é um indicador útil porque a idade deve ser semelhante. Além disso, os elementos de comportamento têm muitos indicadores fortes. Por exemplo, o risco de IP é particularmente eficaz para detectar a origem e o local de uma identidade.
Baseado no que o cliente informou em um registro – seja um aplicativo de abertura de conta ou uma transação – os elementos dos dados da identidade dinâmica como nome, e-mail, número de telefone, endereço e endereço IP podem ser avaliados. >
Os benefícios de uma abordagem probabilística para a avaliação de riscos são imensos. Por exemplo, sinais de risco como “email-first-seen-days” estão correlacionados com o comportamento de uma identidade e podem identificar com maior precisão onde há maior probabilidade de ocorrência de fraude. A resposta não é um sim ou não binário – é um número (especificamente, um número de dias) cuja correlação com a fraude conhecida demonstra um valor probabilístico. Para ir mais além, essa abordagem poderia até mesmo determinar há quanto tempo um e-mail está associado a um número de telefone. Esta simplesmente não é uma questão levantada por uma abordagem de KYC tradicional.
Impulsionando insights de dados externos
Portanto, agora que sabemos que seus dados internos – especialmente os identificadores estáticos – não são suficientes para mitigar a fraude envolvendo o CPF, o que devemos observar? Bem, para adicionar contexto e impulsionar a diferenciação, certifique-se de aproveitar os insights de dados externos corretos. Eles permitirão a verificação da identidade e a prevenção de fraudes graças aos vínculos comportamentais fornecidos pela tecnologia de machine learning. >
Principais funcionalidades que tornam os dados da Ekata exclusivos
Cobertura global ampla
Os dados em nossos produtos fornecem uma visão abrangente da identidade de um cliente, analisando cinco elementos-chave de identidade – nome, telefone, e-mail, endereço físico e IP – e como esses elementos estão vinculados a uma identidade. Em seguida, nossas pontuações baseadas em machine learning combinam dados globais para fornecer cobertura e interações digitais do mundo real para prever atividades boas e fraudulentas do cliente. “>
Entre fronteiras e entre indústrias
A maioria dos nossos clientes tem redes locais ou específicas para cada cliente, o que limita sua capacidade de oferecer o melhor valor para o seu cliente. Felizmente, nossa Identity Network global oferece uma visão dos padrões de fraude entre países e setores, além dos dados locais.
Higienização e pré-processamento dos dados
A higienização dos dados é o processo de detecção ou remoção de dados inconsistentes, corrompidos ou com problemas provenientes da rede. A Ekata tem um rigoroso processo de higienização dos dados que aproveita a análise e a engenharia do big data para validar e normatizar os dados para uso eficiente nos modelos de prevenção de fraudes. No caso da fraude envolvendo o CPF, como os números de CPF usam apenas dados estáticos – nome, sexo, data de nascimento, nacionalidade – e não dados dinâmicos, como endereço, e-mail e telefone, a verificação não pode ocorrer. Essas identidades não são validadas!
Verificação em tempo real
Organizamos os dados de verificação de identidade em um banco de dados estruturado de forma gráfica e gerenciamos bilhões de registros globais em tempo real. Calculamos e avaliamos o risco, além de padronizar, normatizar e eliminar a duplicidade de dados. Isso garante que não contabilizemos registros duplicados ou atualizações manuais de informações como uma nova transação.
Para concluir
Considerando que 80% das ocorrências de fraude de identidade no Brasil ocorrem no estágio da verificação de identidade de uma transação e da abertura de uma conta digital, a capacidade de avaliar com confiança o risco de fraude se resume a ter acesso a dados exclusivos e valiosos que permitam uma tomada de decisão precisa e rápida para a verificação de uma identidade de forma precisa. Aproveitar os dados dinâmicos e os sinais de risco preditivos é ir além das limitações da abordagem determinística adotada na verificação do CPF
Para saber mais sobre o comprometimento da Ekata com a excelência dos dados e os recursos de verificação de identidade baseados nos cinco principais elementos de dados dinâmicos: nome, e-mail, telefone, IP e endereço, entre em contato hoje mesmo.