O problema não é apenas o vazamento. É a crise da confiança digital

Nos últimos dias, voltou-se a discutir no Brasil os riscos envolvendo exposição de Dados pessoais e uso indevido de informações digitais. Mas a questão mais importante talvez seja outra: o problema da identidade digital não começa no vazamento em si. Começa no fato de que muitos processos ainda tratam Dados estáticos como se fossem prova de identidade.

Informações como CPF, nome, data de nascimento, telefone e e-mail não deveriam mais ser considerados suficientes para confiar em alguém. São Dados que podem estar corretos, mas não provam que aquela pessoa é quem diz ser. Desta forma, o desafio hoje não é apenas proteger bases de Dados, mas também o uso da identidade ao longo de toda a jornada digital. Cadastro, login, recuperação de conta, mudança de dispositivo, transações sensíveis e atendimento precisam ser tratados como momentos de risco.

Nos últimos anos, os vazamentos de Dados deixaram de ser eventos isolados para se tornarem parte recorrente do cenário digital global. Entre os casos mais emblemáticos estão os incidentes envolvendo a Yahoo, em 2013, que afetaram cerca de 3 bilhões de contas. No Brasil, em 2021, um megavazamento colocou em circulação informações atribuídas a mais de 220 milhões de brasileiros, incluindo CPF, telefone e dados cadastrais. Na época, autoridades apontaram que os dados provavelmente não vieram de uma única invasão específica, mas sim da agregação de diferentes bases já expostas anteriormente. Neste mês, a Receita Federal precisou se pronunciar em nota a respeito de um suposto vazamento oferecido em fóruns ilegais.

Desde então, relatórios do setor de Cibersegurança vêm apontando o Brasil entre os países com maior volume de Dados expostos no mundo. O crescimento dos incidentes também aparece em números oficiais: apenas em 2024, órgãos federais registraram milhares de ocorrências relacionadas à segurança da informação e exposição de Dados, além do aumento de notificações envolvendo instituições financeiras e operações ligadas ao Pix. O cenário reforça que o problema atual já não está apenas na existência de vazamentos, mas na capacidade de criminosos utilizarem essas informações para fraudes cada vez mais sofisticadas.

As empresas precisam partir de uma nova premissa: parte relevante dos Dados pessoais dos usuários já pode estar exposta. Há algum tempo não é mais possível depender apenas da confidencialidade de Dados cadastrais para tomar decisões de confiança. É necessário validar comportamento, dispositivo, biometria, contexto, risco e consistência da jornada.

A pergunta correta deixa de ser a existência real dos Dados e passa a ser essa pessoa, nesse dispositivo, nesse momento, com esse comportamento, deveria ser autorizada a seguir. A senha pode ser roubada, reutilizada ou comprada. O CPF pode estar exposto. E a combinação dos dois não prova identidade.

Estamos falando de uma fraude digital muito mais sofisticada, automatizada e barata de executar. Com IA e deepfakes, criminosos conseguem manipular voz, imagem, documentos e mensagens em uma escala inédita. O problema deixa de ser apenas alguém sabe meus Dados para alguém pode tentar se passar por mim.

Por isso, a autenticação precisa funcionar como uma camada contínua de confiança. Isso significa biometria com prova de vida, análise de dispositivo, detecção de comportamento suspeito, inteligência de risco e validações adaptativas. Nem todo usuário precisa passar pelo mesmo nível de fricção. O risco irá definir a experiência.

Não dá mais para tratar validação de identidade como uma etapa simples de cadastro. Ela precisa ser uma camada crítica de defesa capaz de impedir que dados expostos sejam transformados em acesso, fraude e prejuízo. Até porque, nos últimos anos, ações judiciais contra empresas relacionadas a vazamentos de dados e fraudes digitais cresceram significativamente após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais.

O Brasil avançou muito em digitalização. Bancos, varejo, fintechs, telecom e governo aceleraram a experiência digital. Agora o próximo passo é amadurecer a infraestrutura de confiança por trás dessa transformação. Porque, no fim, confiança digital não é apenas proteção. É condição para crescimento, escala e sustentabilidade da economia digital. Acredito firmemente que o Brasil é o país mais avançado do mundo em termos de digitalização; discuto isso toda semana. É por isso que me mudei para cá e estou trabalhando para construir um VU maior no Brasil.

Por Sebastián Stranieri, fundador & CEO da VU.