Gabriela Biló/Estadão Forma de teclar é tão individual quanto a digital ou retina, dizem especialistas

Quando você está navegando na internet e o cursor do mouse some da tela, pode ser uma falha do computador – ou pode ser só uma empresa tentando confirmar se você é você mesmo. O modo como cada pessoa pressiona, passa dedos, digita ou tecla, seja no celular ou no computador, é algo tão único quanto as impressões digitais ou a retina. Assim, um crescente número de bancos e empresas começaram a rastrear os movimentos físicos dos usuários em seus sites e aplicativos, como uma arma no combate à fraude.

Alguns estabelecimentos usam a tecnologia apenas contra ataques de vírus e em casos de operações suspeitas. Outros vão muito mais longe, reunindo dados de dezenas de milhões de perfis, com os quais podem identificar clientes pelo modo como manuseiam, seguram e teclam seus equipamentos.

É uma coleta de dados invisível para os que são observados. Usando sensores instalados em celulares e códigos em sites, empresas especializadas captam milhares de unidades de informação conhecidas como “dados biométricos de comportamento” que ajudam a comprovar se um usuário digital é realmente quem diz ser.

Para encarregados de segurança cibernética, a tecnologia é uma arma poderosa. Grandes furtos de dados são ocorrências quase diárias. Piratas cibernéticos obtêm, assim, bilhões de senhas e outras informações pessoais estratégicas de clientes de bancos e de lojas, que podem ser usados para roubar dinheiro ou fazer compras fraudulentas.

“Identidade é a mais recente moeda digital e vem sendo furtada em escala industrial”, disse Alisdair Faulkner, um dos fundadores da ThreatMetrix, que faz softwares detetores de fraude para grandes empresas comerciais e financeiras. Muitos clientes da Threat estão usando ou testando ferramentas baseadas em biometria de comportamento.

Órgãos defensores da privacidade, por outro lado, veem as ferramentas biométricas como potencialmente ameaçadoras, em parte porque poucas das empresas que se servem delas revelam a seus clientes quando e como seus teclados estão sendo monitorado.

“Quanto mais dados são coletados com essa tecnologia, mais usos vão ser encontrados para elas”, disse Jennifer Lynch, advogada da Electronic Frontier Foundation, organização de defesa de direitos digitais.“Entre usar a tecnologia para detectar fraudes e usá-la para coletar informações privadas é um pulo.”

Aplicação. O Banco Real da Escócia (BRE), um dos poucos que falam publicamente de seus bancos de dados biométricos de comportamento, começou a testar a tecnologia há dois anos, em contas privadas de seus clientes mais ricos. Está agora ampliando o uso do sistema para todos os 18,7 milhões de contas comerciais e de varejo, segundo Kevin Hanley, diretor de inovação do banco.

Quando os clientes do BRE se logam em suas contas, o software começa a gravar mais de 2 mil gestos interativos diferentes. Nos celulares, o software mede o ângulo em que as pessoas seguram o equipamento, os dedos que usam para discar, a pressão que aplicam e quão rápido deslizam os dedos pela tela. Nos computadores, são registrados o ritmo e a intensidade da teclagem e o modo como o usuário maneja o mouse.

O BRE usa um software desenhado por uma pequena empresa de Nova York chamada BioCatch. O software traça um perfil dos gestos de cada pessoa, que é comparado aos movimentos dos clientes a cada vez que eles acessam a conta. O sistema consegue detectar impostores com uma precisão de 99%, segundo a BioCatch.

Poucos meses atrás,o software detectou sinais pouco usuais vindos da conta de um cliente rico. Após se logar, o impostor usou a rodinha de rolagem do mouse para navegar – algo que o cliente nunca havia feito. Em seguida, o impostor teclou na faixa numérica do alto de um teclado, não nos números laterais que o dono da conta usava tipicamente.

Sinais de alerta foram emitidos. O sistema do BRE bloqueou a conta. Uma investigação posterior constatou que o cliente havia sido hackeado. “Alguém estava tentando criar um novo beneficiário e transferir para ele uma soma de sete dígitos”, informou o especialista. “Intervindo a tempo, abortamos o golpe”, disse Hanley.

O caso em questão foge do padrão. O comportamento dos usuários geralmente não é tão constante. As pessoas agem de modo diferente quando estão cansadas, doentes, sob o efeito de álcool, distraídas ou com pressa. O jeito com que alguém tecla no computador do escritório não é o mesmo com que tecla no laptop sentado no sofá de casa.

A BioCatch ocasionalmente tenta provocar uma reação do cliente. Ela pode por exemplo acelerar o acesso no celular a dados como a data e a hora, ou fazer o cursor do mouse desaparecer por uma fração de segundo da tela do computador.

“Cada um reage de modo diferente a estímulos como esses”, disse Frances Zelany, estrategista da BioCatch. “Alguns mexem o mouse de um lado para outro, outros, de cima para baixo, outros dão um safanão no teclado.”

Como o comportamento dos usuários é muito individual, a fraude torna-se difícil. E, como eles nunca sabem se estão sendo monitorados, não têm as típicas reações de irritação e bloqueio que ocorrem em testes de segurança monitorados. O usuário também não fica buscando a toda hora confirmação por meio da assinatura digital ou pelo código de autenticação.

“Não temos de manter as pessoas sentadas numa sala e fazê-las teclar sob condições ideais de laboratório”, disse Neil Costigan, presidente da BehavioSec, de Palo Alto, Califórnia, empresa que produz o software usado por vários bancos nórdicos. “Você apenas fica observando em silêncio enquanto elas executam as atividades normais com suas contas.”

Empresas do setor chamam isso de “experiência sem atrito”. Órgãos controladores de privacidade chamam de experimentação perigosa.

Sistemas biométricos podem às vezes detectar também problemas de saúde. Se um cliente que tem normalmente mão firme começa a tremer, sua seguradora de carro pode ficar preocupada. Isso é um problema potencial se o banco do cliente, que detectou o tremor por meio de seu software, for também o dono da seguradora.

“Dados como esses costumam vir com alguma cláusula de proteção ao consumidor, mas aqui não existe nenhuma”, disse Pam Dixon, diretora do Fórum Mundial da Privacidade. “Empresas estão usando o sistema sem informar ninguém.”

A maioria dos países não tem leis regulamentando a coleta e uso de dados biométricos de comportamento.

Mesmo as novas regras sobre privacidade da Europa abrem exceções quando se trata de segurança e prevenção de fraudes. Na Califórnia, uma nova lei de privacidade digital inclui a biometria de comportamento na lista de tecnologias de rastreamento que empresas precisam notificar quando usam, mas a lei só entrará em vigor em 2020.

Bancos e empresas comerciais costumam limitar o acesso a dados de clientes. Em muitos casos, porém, elas fornecem esses dados a vendedores externos que trabalham com elas, o que aumenta os riscos, diz Dixon. / Tradução de Roberto Muniz.