A adoção do Onboarding Digital nas instituições financeiras será cada vez maior. Na primeira parte da série (aqui), destaquei os principais fatores que têm motivando esta adesão. A transformação digital e as perspectivas de crescimento das transações online são pontos fundamentais nesse processo. A isso também somam-se as restrições impostas pela pandemia da COVID-19. Nessa “tempestade perfeita”, o cadastro de novos clientes pelo meio digital traz tanto importantes mudanças para o setor financeiro quanto a necessidade de que o segmento se cerque de procedimentos para assegurar a segurança e a redução de riscos. Diante da diversidade de recursos técnicos e tecnológicos, bem como da miríade de diferentes procedimentos adotados pelas diversas instituições financeiras ao redor do mundo, o GAFI lançou recentemente o Guia Digital ID (aqui). Esse documento visa a contribuir para que surjam padrões globais de identidade digital que sejam compatíveis com as melhores práticas de combate à lavagem de dinheiro e financiamento do terrorismo. Visa também a incentivar a inovação e a inclusão financeira responsáveis. O GAFI apoia o uso de novas tecnologias no setor financeiro desde fortaleçam a implementação de padrões de qualidade nos programas de PLD-FT. O ritmo acelerado da inovação no espaço da identidade digital atingiu um ponto de inflexão. Os padrões, tecnologia e processos de identificação digital evoluíram a um ponto em que os sistemas para fazer essa identificação em escala estarão comercialmente disponíveis em breve. Algumas dessas tecnologias relevantes incluem: * uma variedade de tecnologia biométrica; * a rápida evolução e aceitação dos smartphones, com câmeras, microfones e outras tecnologias, * identificadores de dispositivos digitais e informações relacionadas, tais como endereço IP, cartões SIM e sistema de posição global (GPS) * scanners de alta definição para digitalizar cartões de identificação, carteiras de motorista e outros documentos; * transmissão de vídeo de alta resolução permitindo identificação e verificação remotas e prova de “vida”; * inteligência artificial e machine learning que podem, por exemplo, ajudar a determinar a validade do documento de identidade emitido pelo governo; * tecnologia de contabilidade distribuída (DLT), tecnologia que permite a realização confiável e segura de qualquer transação. Recomendação 10 GAFI O desafio para as instituições financeiras será determinar como os sistemas de identificação digital podem ser usados para cumprir com a Recomendação 10 do GAFI relacionada ao processo de due diligence do cliente. Entre outros apontamentos, a recomendação 10 destaca que deve ser feita a due diligence quando a instituição financeira estabelece relações comerciais, realiza operações, tem a suspeita que tal operação se relaciona com a lavagem de dinheiro ou com o financiamento do terrorismo, ou quando suspeita da veracidade ou adequação das informações de identificação do cliente. Assim, segundo a recomendação, a identificação do cliente através de procedimentos usando “fontes independentes e confiáveis de documentos, informação ou dados” é essencial e deve ser feita em todos esse momentos. Nesse contexto, o sistema de identificação digital usado para conduzir a due diligence do cliente dependerá não apenas de governança, processos e procedimentos adequados, mas também de tecnologia confiável que forneça níveis aceitáveis de segurança e resultados precisos. Ao que se refere à tecnologia, a abordagem baseada em risco recomendada no guia do GAFI baseia-se em um conjunto de estruturas de garantia de código aberto e são orientadas por padrões técnicos para sistemas de identificação digital desenvolvidos em várias jurisdições. Destaca-se o trabalho da Organização Internacional de Padronização (ISO) em conjunto com a Comissão Eletrotécnica Internacional (IEC) que visa padronizar as estruturas de garantia de identificação digital. Esse trabalho também atualiza uma série de normas técnicas relacionadas à identidade, segurança e privacidade da tecnologia da informação visando desenvolver uma política global abrangente. Benefícios em potencial Os sistemas de identificação digital que atendem aos altos padrões tecnológicos, organizacionais e de governança prometem melhorar a confiabilidade, a segurança, a privacidade e a conveniência da identificação de pessoas físicas. Em relação às normas do GAFI, segundo a própria instituição, um sistema de identificação digital independente e confiável poderia: * facilitar a identificação e verificação do cliente no processo de onboarding; * apoiar o processo de due diligence e pesquisa minuciosa das transações durante todo o período de relacionamento comercial, facilitar outras medidas de due diligence do cliente (CDD); * auxiliar o monitoramento de transações com o objetivo de detectar e relatar transações suspeitas, bem como esforços gerais de gerenciamento de riscos e antifraude; * potencialmente reduzir custos e aumentar a eficiência de serviços regulados, ao possibilitar a realocação de recursos para outras funções PLD-FT; * contribuir para a inclusão financeira, permitindo que pessoas não atendidas tenham acesso à identidade oficial, inclusive remotamente, a fim de obter serviços financeiros regulamentados. A inserção de mais pessoas no setor financeiro regulamentado reforça ainda mais as salvaguardas em PLD-FT. Riscos potenciais Os sistemas de identificação digital também apresentam riscos que devem ser entendidos e mitigados. As entidades regulamentadas que não o fizerem correm o risco de não cumprir os requisitos estabelecidos na Recomendação 10 (a) e em outras normas do GAFI. Os sistemas de identificação digital em larga escala que não atendem aos níveis apropriados de garantia representam: * riscos à segurança cibernética, incluindo a possibilidade de ataques cibernéticos destinados a desabilitar amplas áreas do setor financeiro ou desabilitar os próprios sistemas de identificação digital; * riscos à privacidade incluindo fraude e outros crimes financeiros relacionados. Falhas de segurança cibernética podem resultar em roubo de identidade maciço, comprometendo as informações de identificação pessoal (PII) dos indivíduos; * riscos relacionados à governança, segurança de dados e privacidade. Esses riscos variam em relação aos diversos componentes do sistema de identificação digital, mas podem ser mais devastadores do que violações associadas aos sistemas de identificação tradicionais devido à escala potencial dos ataques. Os avanços tecnológicos e os processos bem projetados de prova e autenticação de identidade podem ajudar a mitigar esses riscos. Componentes do sistema de Identidade Digital De acordo com o guia do GAFI, os sistemas de identificação digital envolvem dois componentes básicos. É mencionado, ainda, um terceiro componente, mas sua adoção é opcional. A operação para a identificação digital pode ser conduzida pela instituição ou em parceria com outras organizações. Entidades governamentais e do setor privado em conjunto também podem ser responsáveis pela operação. Conheça os componentes: Componente 1: Prova e registro de identidade Este componente responde à pergunta Quem é você? e envolve coletar, validar e verificar evidências e informações de identidade sobre uma pessoa. Algumas ações que podem ser executadas nesta etapa são: Coletar: atributos e evidências de identidade (por exemplo, preenchendo um formulário on-line, enviando uma foto de selfie ou fotos de documentos como carteira de motorista); Validar: inspeção digital ou física para garantir que o documento seja autêntico e que as informações sejam precisas (por exemplo, verificação de recursos de segurança física e datas de validade); Desduplicar: estabelecer que os atributos e evidências de identidade estejam relacionados a uma pessoa única no sistema de identificação (por exemplo, fazendo pesquisas de registros duplicados e/ou reconhecimento biométrico); Verificar: vincular o indivíduo à evidência de identidade fornecida (por exemplo, usando soluções biométricas como reconhecimento facial e detecção de vivacidade); Registrar: criar a conta de identidade, emitir e vincular um ou mais autenticadores à conta de identidade (por exemplo, usando senhas ou gerador de código único). Componente 2: autenticação e gerenciamento do ciclo de vida da identidade Nesta etapa é feita a autenticação por meio da pergunta: Você é a pessoa que foi identificada e verificada? Funciona para estabelecer, com base nas informações e controles, que a pessoa que declara uma identidade é a mesma pessoa que foi comprovada e registrada. Existem três tipos de fatores que podem ser usados para autenticar alguém: fatores de propriedade: algo que a pessoa possui, por exemplo, chaves criptográficas; fatores de conhecimento: algo que a pessoa conhece, por exemplo, uma senha; fatores inerentes: algo que a pessoa é, por exemplo, biometria. A autenticação pode depender de vários tipos de fatores e protocolos ou processos de autenticação. Esses fatores de autenticação têm níveis diferentes de segurança. Um único fator de autenticação geralmente não é considerado suficientemente confiável. Um processo de autenticação considerado robusto e confiável emprega vários tipos de fatores de autenticação. Componente três: Mecanismos de portabilidade e interoperabilidade (opcional) Os sistemas de identificação digital podem incluir um componente que permite que a prova de identidade seja portátil. Esse componente deve ser suportado por diferentes arquiteturas e protocolos de ID digital. Na Europa, o Regulamento eIDAS fornece uma estrutura para o reconhecimento cruzado de sistemas de identificação digital. No Reino Unido, o GOV.UK Verify é um exemplo de uma identificação digital. Assim, diante da realidade do aumento das interações pelos canais digitais, torna-se essencial que as instituições financeiras estejam atentas aos riscos, requisitos e oportunidades apresentadas pelo onboarding digital e, em especial, pelos sistemas de identificação digital. Fontes: Guidance on digital identity, acessado em 4 de agosto de 2020 Recomendações GAFI 2012, acessado em 4 de agosto de 2020 Autor: Jorge Lasmar Doutor pela London School of Economics, LSE, Inglaterra, e autor das obras “Passaporte para o terror: Os voluntários do estado Inslâmico” e “Perspectivas do terrorismo transnacional contemporâneo”.