Skip to content
Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Dados13 min de leitura

Verificação biométrica: impressão digital, facial e voz

Guia completo sobre verificação biométrica no Brasil — impressão digital, reconhecimento facial e de voz — com enquadramento LGPD, obrigações Bacen e conformidade KYC/AML para empresas brasileiras.

Equipe CheckFile
Equipe CheckFile·
Illustration for Verificação biométrica: impressão digital, facial e voz — Dados

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

A verificação biométrica utiliza características físicas ou comportamentais únicas de uma pessoa para confirmar a sua identidade. Ao contrário das senhas ou dos documentos físicos, os traços biométricos são inerentes ao indivíduo: não se podem esquecer, extraviar nem transferir facilmente.

Este artigo é fornecido exclusivamente para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências normativas são exatas à data de publicação. Os requisitos variam por jurisdição e setor. Consulte um profissional qualificado para obter orientação adaptada à sua situação específica no Brasil.

No contexto da conformidade regulatória brasileira, a biometria ocupa um lugar singular: a LGPD, Art. 11 (Lei 13.709/2018) classifica os dados biométricos como "dado sensível", cujo tratamento é sujeito a requisitos reforçados de base jurídica e consentimento. Ao mesmo tempo, a Circular Bacen 3.978/2020 e a Resolução BCB No. 37/2020 impõem identificação biométrica como componente dos procedimentos KYC das instituições financeiras reguladas.

Na nossa plataforma, a fraude em documentos de identidade representa 19 % da fraude documental total detetada, com uma taxa de recall de 94,8 % e um tempo médio de verificação de 4,2 segundos — dados que ilustram a importância de integrar a biometria em fluxos de verificação documental robustos.

O que é a verificação biométrica e como funciona

A verificação biométrica compara um traço capturado em tempo real com um modelo armazenado previamente (comparação 1:1). A identificação biométrica, por sua vez, coteja o traço contra uma base de dados de múltiplos indivíduos (comparação 1:N). Esta distinção não é apenas técnica: tem consequências regulatórias diretas no Brasil e no plano internacional.

As três modalidades mais utilizadas em processos de KYC e incorporação digital são:

  • Impressão digital: leitura das cristas papilares únicas do dedo. Amplamente utilizada em dispositivos móveis e quiosques de acesso, inclusive nos aplicativos bancários das principais instituições brasileiras (Nubank, Itaú, Bradesco).
  • Reconhecimento facial: análise da geometria facial a partir de imagem ou vídeo em tempo real. Modalidade dominante no onboarding remoto e amplamente adotada pelo setor financeiro brasileiro, incluindo verificação facial integrada ao CPF via serviços como o Datavalid da Serpro.
  • Reconhecimento de voz: extração de padrões espectrais e prosódicos da voz. Habitual na autenticação telefónica em centrais de atendimento ao cliente.

Síntese-chave: A verificação biométrica (1:1) oferece maior precisão do que as senhas e complementa a verificação documental em fluxos KYC. Fonte: Guia prático da ENISA sobre biometria.

Métricas de precisão: FAR, FRR e EER

Qualquer solução biométrica é avaliada com três indicadores estatísticos essenciais.

Métrica Definição Objetivo em alta segurança
FAR (False Acceptance Rate) Probabilidade de aceitar um impostor < 0,01 %
FRR (False Rejection Rate) Probabilidade de rejeitar um utilizador legítimo O mais baixo possível
EER (Equal Error Rate) Ponto onde FAR = FRR Impressão digital: ~1–2 %; Facial: ~0,1–2 %; Íris: ~0,01 %

O EER é o indicador de referência para comparar sistemas. Um EER de 0,01 % na íris significa que esta supera a impressão digital (~1–2 %) e o reconhecimento facial (~0,1–2 %) em ambientes de alta segurança, embora com custos de implementação significativamente superiores.

Síntese-chave: Um FAR < 0,01 % é o limiar padrão para aplicações de segurança bancária e onboarding KYC de alto risco. As organizações devem documentar os seus valores de EER nas avaliações de impacto de proteção de dados exigidas pela LGPD. Fonte: NIST FRVT Ongoing — Face Recognition Vendor Testing.

Deteção de vivacidade (liveness detection)

A deteção de vivacidade determina se o traço biométrico provém de uma pessoa presente e não de um artefacto (fotografia, máscara 3D ou vídeo sintético gerado por IA).

Existem duas abordagens:

  • Ativa: o utilizador realiza uma ação específica (piscar, rodar a cabeça, pronunciar uma frase). Mais fiável, maior fricção.
  • Passiva: a análise é realizada em segundo plano sem interação adicional. Menor fricção, tecnologia mais exigente.

A proliferação de deepfakes é uma preocupação especialmente relevante no Brasil, que apresenta uma das maiores taxas de fraude de identidade digital do mundo. O COAF (Conselho de Controle de Atividades Financeiras) e o Bacen têm alertado sistematicamente para o crescimento de ataques de apresentação e injeção de vídeos sintéticos em fluxos de onboarding remotos. A deteção de vivacidade torna-se, portanto, um componente não negociável em qualquer fluxo de verificação facial implementado desde 2024. Os sistemas sem liveness são vulneráveis a ataques de apresentação (ISO/IEC 30107-3).

Síntese-chave: A deteção de vivacidade passiva de última geração reduz os ataques de apresentação em mais de 99,9 % sem aumentar a taxa de abandono do utilizador. Fonte: ISO/IEC 30107-3:2023 — Biometric presentation attack detection.

Enquadramento regulatório brasileiro

LGPD Art. 11: dados biométricos como dado sensível

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) classifica os dados biométricos como "dado sensível" no Art. 11, equiparando-os a dados sobre origem racial, convicção religiosa, saúde, orientação sexual e outros. O tratamento de dados sensíveis exige base jurídica reforçada: as hipóteses aplicáveis ao contexto empresarial incluem o consentimento específico e destacado do titular [Art. 11, I], o cumprimento de obrigação legal ou regulatória pelo controlador [Art. 11, II, a], e a tutela da saúde ou prevenção de fraudes [Art. 11, II, g].

A ANPD (Autoridade Nacional de Proteção de Dados) é a autoridade de supervisão competente. A ANPD emitiu a Resolução CD/ANPD No. 4/2023, que cria um regime simplificado da LGPD para microempresas e startups, mas não afasta as obrigações relativas ao tratamento de dados sensíveis. Para qualquer implementação biométrica em larga escala, a realização de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), equivalente ao DPIA europeu, é recomendada e, em muitos casos, obrigatória.

A supervisão financeira sectorial é exercida pelo Banco Central do Brasil (Bacen), que acompanha a conformidade AML/KYC das instituições sob a sua tutela. A Comissão de Valores Mobiliários (CVM) supervisiona as entidades do mercado de capitais.

Síntese-chave: Qualquer empresa que trate dados biométricos no Brasil está sujeita aos requisitos da LGPD Art. 11. A ANPD pode aplicar sanções de até 2 % da receita bruta da organização no Brasil, limitadas a R$ 50 milhões por infração. Fonte: ANPD — Portal oficial.

Bacen Circular 3.978/2020 e Resolução BCB No. 37/2020: KYC biométrico nas instituições financeiras

A Circular Bacen 3.978/2020 estabelece os procedimentos para a política de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD-FT) das instituições financeiras brasileiras. A norma exige que as instituições disponham de procedimentos de identificação, qualificação e monitoramento de clientes. A verificação biométrica — incluindo reconhecimento facial com liveness detection — é o método preferido para o onboarding remoto, na ausência de comparecimento presencial do cliente.

A Resolução BCB No. 37/2020 complementa este regime ao definir os requisitos de identificação de clientes para abertura de contas e contratação de produtos. O Bacen adota uma abordagem baseada em risco: a intensidade das medidas de diligência varia conforme o perfil de risco do cliente.

O sistema Pix e o open banking brasileiro, implantados sob a supervisão do Bacen, exigem autenticação forte dos utilizadores, incluindo autenticação biométrica. O Datavalid, serviço da Serpro (Serviço Federal de Processamento de Dados), permite a validação de dados do CPF com confronto facial, sendo amplamente utilizado por bancos e fintechs brasileiras para verificar a autenticidade do titular do CPF no onboarding digital.

Síntese-chave: As instituições financeiras sujeitas à supervisão do Bacen devem implementar procedimentos KYC compatíveis com a Circular 3.978/2020 e a Resolução BCB No. 37/2020. A biometria facial com liveness é o método aceite pela indústria para o onboarding digital sem comparecimento presencial. Fonte: Banco Central do Brasil — Normas PLD-FT.

AML: Lei 9.613/1998 e o papel do COAF

A prevenção à lavagem de dinheiro no Brasil tem como base a Lei 9.613/1998, alterada pela Lei 12.683/2012, que ampliou o rol de crimes antecedentes e as obrigações dos sujeitos obrigados. O COAF (Conselho de Controle de Atividades Financeiras), unidade de inteligência financeira vinculada ao Banco Central do Brasil desde 2019, é a entidade responsável pelo recebimento, análise e disseminação de informações sobre operações suspeitas.

As entidades obrigadas — instituições financeiras, corretoras, administradoras de consórcio, factorings, entre outras — devem identificar os seus clientes, manter registros de operações e comunicar operações suspeitas ao COAF. A biometria integra os procedimentos de identificação exigidos, em especial para clientes não presenciais.

Síntese-chave: O COAF pode solicitar informações a sujeitos obrigados e encaminhar relatórios de inteligência financeira ao Ministério Público e aos órgãos de investigação. A não conformidade com as obrigações de identificação da Lei 9.613/1998 e da Circular Bacen 3.978/2020 pode resultar em sanções administrativas e penais. Fonte: COAF — Portal oficial.

Lei nº 14.063/2020: assinaturas eletrônicas e autenticação biométrica

A Lei nº 14.063/2020 estabelece o regime das assinaturas eletrônicas no Brasil para atos públicos e privados. A lei define três níveis: assinatura eletrônica simples, avançada e qualificada. A autenticação biométrica — incluindo reconhecimento facial certificado — pode ser utilizada para compor o nível avançado, desde que o provedor seja reconhecido pela ICP-Brasil ou equivalente. Esta lei reforça a validade jurídica dos processos de onboarding digital com verificação biométrica.

Documentos de identidade no Brasil: CPF, RG, CNH e CNPJ

No Brasil, os documentos de identidade primários para pessoas físicas são:

  • CPF (Cadastro de Pessoas Físicas): emitido pela Receita Federal, é o identificador fiscal universal e o número de referência para a maioria dos processos de verificação digital. O Datavalid (Serpro) permite confrontar dados do CPF com a base da Receita Federal, incluindo fotografia oficial para confronto facial.
  • RG (Registro Geral) / CNH (Carteira Nacional de Habilitação): documentos de identidade físicos que incluem fotografia e, em versões mais recentes, dados biométricos (impressão digital). A CNH digital, emitida pelo Denatran/Senatran, é aceite como documento de identidade válido em processos de onboarding.
  • CNPJ (Cadastro Nacional da Pessoa Jurídica): emitido pela Receita Federal, é o identificador principal das pessoas jurídicas. A verificação do CNPJ é complementada pela identificação biométrica dos sócios e administradores.

A Receita Federal (receita.fazenda.gov.br) disponibiliza serviços de consulta pública e APIs para validação de CPF e CNPJ, utilizados em fluxos KYC automatizados.

Biometria no ciclo de vida do KYC

A verificação biométrica integra-se em três momentos do ciclo KYC:

  1. Incorporação (onboarding): verificação facial com liveness detection + cotejo contra documento de identidade (CPF + RG ou CNH). Cumpre os requisitos da Circular Bacen 3.978/2020 e da Lei 9.613/1998 para identificação do cliente em processos não presenciais.
  2. Reautenticação periódica: impressão digital ou facial para verificar que o titular continua a ser o mesmo utilizador ativo. Reduz o risco de apropriação de contas (ATO — Account Takeover), modalidade de fraude com crescimento expressivo no Brasil.
  3. Transações de alto valor: segundo fator biométrico obrigatório em pagamentos Pix acima de determinados limites ou em contratos que excedam limiares de risco definidos internamente.

A plataforma CheckFile combina verificação documental com análise biométrica num fluxo unificado, alcançando uma taxa de recall de 94,8 % na deteção de fraude com uma taxa de falsos positivos de 3,2 %, de acordo com dados internos CheckFile ZPD.

Implementação prática: requisitos mínimos no Brasil

Antes de implementar um sistema biométrico no Brasil, uma organização deve garantir:

  • Base jurídica documentada ao abrigo da LGPD Art. 11, com indicação expressa da hipótese de tratamento de dados sensíveis aplicável.
  • RIPD (Relatório de Impacto à Proteção de Dados Pessoais) elaborado antes da implementação, com análise de riscos residuais e medidas de mitigação.
  • Política de retenção de modelos biométricos: os modelos não devem ser conservados além do tempo necessário ao cumprimento da finalidade (princípio da necessidade, LGPD Art. 6.º, III).
  • Liveness detection certificada contra ataques de apresentação (ISO/IEC 30107-3), especialmente considerando o elevado nível de fraude por deepfake no mercado brasileiro.
  • Procedimento de reclamação para utilizadores incorretamente rejeitados (FRR elevado), em conformidade com os direitos dos titulares previstos na LGPD Art. 18.
  • Conformidade com a Circular Bacen 3.978/2020 para entidades sujeitas à supervisão do Bacen, incluindo documentação dos procedimentos de identificação.
  • Aviso de privacidade específico para o tratamento de dados biométricos, com linguagem clara e acessível, conforme exigido pela LGPD Art. 9.º.

Conheça os preços e planos CheckFile para soluções de verificação biométrica adaptadas ao volume da sua organização.

Perguntas frequentes

Os dados biométricos são sempre dados pessoais ao abrigo da LGPD?

Sim. A LGPD Art. 5.º, I define dados pessoais como qualquer informação relacionada a pessoa natural identificada ou identificável. Os dados biométricos são dados pessoais por natureza e, quando utilizados para identificar de forma inequívoca uma pessoa, são classificados como dados sensíveis ao abrigo do Art. 5.º, II, c/c Art. 11, sujeitando-se ao regime reforçado de bases legais e exigências de consentimento específico e destacado quando este for a hipótese escolhida.

Qual é a diferença entre verificação biométrica e identificação biométrica no contexto regulatório brasileiro?

A verificação biométrica (1:1) compara o utilizador com o seu próprio modelo previamente registado: confirma que "é quem diz ser". Exemplo: confronto do rosto capturado com a fotografia do CPF via Datavalid. A identificação biométrica (1:N) procura a quem pertence um traço numa base de dados de múltiplas pessoas. Para efeitos da LGPD, ambas constituem tratamento de dados sensíveis; contudo, a identificação 1:N implica riscos adicionais de privacidade que devem ser ponderados no RIPD.

O que é o Equal Error Rate (EER) e como se interpreta?

O EER é o limiar operacional em que a taxa de falsa aceitação (FAR) e a taxa de falsa rejeição (FRR) se igualam. Um EER baixo indica maior precisão geral. A impressão digital típica tem um EER de 1–2 %; o reconhecimento facial moderno atinge valores de 0,1–2 %; a íris chega a 0,01 %. Nas aplicações bancárias brasileiras, o sistema é configurado para minimizar o FAR (probabilidade de aceitar um impostor), ainda que isso eleve o FRR.

É obrigatório realizar um RIPD antes de utilizar reconhecimento facial no Brasil?

A LGPD não prevê explicitamente uma lista taxativa de situações que obrigam à elaboração do RIPD, mas a ANPD pode solicitá-lo a qualquer momento, e a sua elaboração prévia é uma boa prática mandatória para tratamentos de dados sensíveis em larga escala. O RIPD deve documentar as categorias de dados tratados, as finalidades, os riscos identificados, as medidas de mitigação e os responsáveis. Para verificação facial integrada em onboarding digital de larga escala, a realização do RIPD é essencial para demonstrar conformidade perante a ANPD.

Pode o Bacen exigir biometria nos processos AML?

O Banco Central do Brasil não impõe uma tecnologia concreta, mas a Circular 3.978/2020 e a Resolução BCB No. 37/2020 exigem que as instituições financeiras implementem procedimentos de identificação e qualificação de clientes que permitam confirmar a identidade do titular com elevado grau de certeza nos processos não presenciais. A verificação biométrica com liveness detection é o método aceite pela indústria para cumprir este requisito no onboarding digital, desde que suportada por base jurídica LGPD válida e documentada no RIPD.

Descubra como o CheckFile integra verificação biométrica e documental num único fluxo para KYC, AML e onboarding digital seguro no Brasil.

Para aprofundar as técnicas de deteção de fraude documental, consulte o nosso artigo sobre dados e estatísticas de fraude documental.

Aprofundar o tema

Descubra os nossos guias práticos e recursos para dominar a conformidade documental.

Artigos relacionados

Dados10 min

IA vs Verificação Manual de Documentos: Comparação

Comparação de ROI entre verificação documental com IA e controle manual: custo por verificação, taxas de erro e detecção de fraude no Brasil.

Ler
Dados14 min

ROI da automatizacao da conformidade: estudo com dados por setor

Retorno sobre o investimento da automatizacao da conformidade documental: benchmarks por industria, calculadora de custos e dados 2026.

Ler
Dados14 min

Fraude documental e custos de validação: dados 2026

Dados-chave da fraude documental e custo real da validação manual no Brasil. Estudos, estatísticas e ROI da automatização.

Ler