Em uma era em que o rosto, a voz ou as palavras de qualquer pessoa podem ser falsificados em segundos, é mais fácil imitar uma pessoa online do que provar que você é essa pessoa.
Deepfakes são quase indistinguíveis de vídeos reais, mensagens geradas por IA podem falsificar colegas de trabalho e figuras públicas, e ladrões de identidade estão burlando as proteções legadas mais rápido do que as organizações podem implantar novos patches. Os custos associados a esse nível de fraude estão aumentando rapidamente. Somente em 2023, US$ 1,2 bilhão foi perdido em golpes de impostores nos EUA.
Com a revolução da IA ameaçando o que sabemos sobre segurança hoje, estamos em meio a uma crise de confiança digital — e a identidade está no centro dela. Os sistemas de segurança são construídos sobre a suposição de que podemos saber com segurança quem está por trás da tela. Na verdade, isso nunca foi certo. A boa notícia é que a tecnologia para mudar isso está aqui — então, vamos mergulhar de cabeça.
O que pensávamos que a confiança significava — e por que não é mais suficiente
Durante anos, a confiança digital se parecia com certificados SSL, senhas com hash, autenticação multifator (MFA) e cookies de bom comportamento. Mas, quando se trata de provar quem você é, precisamos de mais do que MFA ou perguntas de segurança. Precisamos de prova.
Com violações relacionadas à identidade representando 80% de todos os incidentes de segurança em 2023, os líderes de segurança, encarregados de proteger os ativos de uma organização e suas pessoas, precisam de confiança. Confiança na identidade, autorização e intenção de usuários e sistemas em todos os ecossistemas complexos que supervisionam.
Ao mesmo tempo, a confiança do usuário está diminuindo. Fricção, falsos positivos e violações de dados condicionaram as pessoas a serem céticas — mesmo quando os sistemas pedem que elas autentiquem, verifiquem e confiem com crescente frequência.
Como chegamos aqui? A infraestrutura não conseguiu evoluir no ritmo das ameaças, ou os sistemas de identidade estão desatualizados (ou pior, inexistentes). Quando a identidade é frágil, todo o resto desmorona.
A maioria das pilhas tradicionais de gerenciamento de identidade e acesso (IAM) não foram construídas para uma internet de deepfakes, exploits de dia zero e invasores alimentados por IA. Aqui estão alguns dos culpados:
Senhas fracas e fadiga de MFA: principais alvos para phishing, reutilização e engenharia social
Bancos de dados centralizados: alvos atraentes para invasores e pontos únicos de falha
Sistemas de identidade isolados: Cada plataforma tem uma versão diferente de “você”, criando risco e atrito
A fraude de identidade sintética — pessoas totalmente falsas construídas a partir de dados reais parciais — é agora uma das formas de crime financeiro que mais cresce, com o potencial de custar bilhões globalmente nos próximos anos. Se a segurança relacionada à identidade não evoluir, as equipes de segurança terão uma batalha difícil pela frente:
Sobrecarga de sinais: milhares de sinais de autenticação, tokens e anomalias de sessão para triagem
Caos na conformidade: navegando por estruturas em evolução como NIST 800-63, GDPR e eIDAS 2.0
Insatisfação do usuário: logins, redefinições e atritos que impulsionam o abandono e reduzem a confiança
Os sistemas legados tratam a identidade como uma tela de login simples. Mas hoje, a identidade deve ser uma prova viva e verificável — não apenas um registro armazenado.
Verificabilidade como a nova camada de confiança.
A solução não são senhas mais fortes ou mais fatores. É uma evolução de como pensamos sobre segurança para incluir propriedades relevantes para o ser humano e uma nova perspectiva conhecida como identidade baseada em prova.
Modelo Antigo: Confie no usuário
Novo Modelo: Confie na matemática
Credenciais digitais verificáveis (VDCs) permitem que usuários, funcionários e sistemas apresentem prova de identidade, autorização, afiliação ou conhecimento criptograficamente assinada e com preservação da privacidade.
Identidade Legada | Identidade verificável |
Reivindicações estáticas e centrais | Credenciais digitais portáteis e criptograficamente verificáveis |
Confie no emissor | Confie na prova criptográfica |
SSO Federado | Carteiras digitais mantidas pelo usuário |
Honeypots centrais | Confiança distribuída e baseada em consentimento |
Esses modelos removem a necessidade de reverificação constante, permitindo o controle de acesso portátil, programável e comprovável sem expor desnecessariamente dados confidenciais.
Por que isso é mais importante do que nunca
Estamos entrando em um momento crucial para o amadurecimento das tecnologias de segurança e das melhores práticas para elevar uma identidade humana mais forte à esfera digital, para que os serviços possam verificar criptograficamente sua identidade humana. Se não agirmos, corremos o risco de ficar ainda mais para trás:
A IA ameaça a identidade em escala: os LLMs podem se passar por pessoas com um realismo surpreendente
A fraude está aumentando rapidamente: os golpes baseados em identidade estão se tornando mais difíceis de detectar e mais caros de corrigir
Os reguladores estão entrando em ação: do eIDAS 2.0 na UE aos padrões em evolução nos EUA, as organizações em breve serão obrigadas a verificar mais — e armazenar menos.
Enquanto isso, os usuários estão exigindo privacidade, transparência e controle sobre seus eus digitais. A mudança para uma identidade verificável e controlada pelo usuário não é um luxo, é inevitável.
É hora de reforçar a camada de confiança
A boa notícia: sabemos por onde começar. A confiança digital não é um problema de UX. É um problema estrutural. E com a IA entrando no mainstream, precisamos tomar mais medidas para nos proteger online.
Precisamos parar de adaptar modelos antigos e começar a construir sistemas de identidade que sejam seguros por design, portáteis por padrão e verificáveis em cada ponto de contato.
As credenciais digitais verificáveis representam mais do que um novo conjunto de recursos. Eles são a base para um novo tipo de confiança online, um que escala, protege e se adapta.
Inscreva-se para receber atualizações para ficar por dentro e saber mais sobre credenciais digitais verificáveis.
