No dia 1 de dezembro entrou em vigor na China um regulamento que exige que as pessoas tenham os seus rostos digitalizados na hora de comprar uma nova linha de celular. Se você não estava por dentro deste regulamento, é provável que a sua reação inicial seja – assim como a minha - pensar que se trata de uma violação do direito à privacidade. Afinal de contas, por que que um governo teria que realizar o meu reconhecimento facial se o que desejo é apenas ter uma linha de celular?

De acordo com um artigo publicado pela BBC, o governo chinês declarou que quer "proteger os direitos e interesses legítimos dos cidadãos no ciberespaço". Quando você combina a capacidade de rastrear a localização de uma pessoa por meio de um dispositivo móvel com a verificação e o reconhecimento facial, os defensores da privacidade podem ter razão.

Paremos um momento. O mundo está assumindo que os dados obtidos a partir da verificação facial serão usados de forma inadequada, e talvez esta afirmação esteja correta. No entanto, temos de ter presente que não é a tecnologia que causa problemas de privacidade, mas sim a forma como a tecnologia é usada que pode ser motivo de preocupação.

Que problemas a digitalização/reconhecimento facial associado a uma linha de telefone celular resolveria no meu mundo como consumidor? Isso tornaria aceitável uma invasão a minha privacidade, desde que seja algo usado corretamente?

Telefones como autenticadores

Os smartphones tornaram-se uma ferramenta para a autenticação de identidade. Pense por um momento em todos os aplicativos e serviços que fazem uso do envio de um código via SMS ou através de um aplicativo para validar que você é realmente a pessoa que diz ser. Você acessa a página do seu banco e solicita um aumento no limite de saques e, em seguida, eles enviam um código para o seu celular para validar que você é realmente a pessoa que diz ser e que está habilitado para realizar esse pedido. Este cenário levanta a questão de saber se é realmente necessária uma autenticação forte ao assinar um serviço de telefonia móvel para garantir que o autenticador pertence à pessoa real.

Na assinatura inicial do serviço, o problema pode não ser tão óbvio, mas e quanto à manutenção ou mudanças na assinatura? Ou, mais importante ainda, o que acontece quando alguém tenta assumir o controle do seu serviço telefônico através de uma troca de SIM e, em seguida, pode controlar parcialmente a sua identidade?

O FBI emitiu recentemente dois comunicados independentes sobre sequestros de SIM (também conhecido por "SIM swapping") - um relacionado com o roubo de criptomoedas e o outro direcionado à indústria. Em termos básicos, um cibercriminoso entra em uma loja que vende telefones com uma identidade falsa (ou simplesmente ligue para a empresa telefônica) e faz com que o atendente ative um novo cartão SIM para o número de telefone que precisa controlar. Eles podem até mesmo fazer isso sem identificação e usar Engenharia Social, apenas conhecendo seu endereço residencial e algumas outras informações básicas de assinantes que podem ser acessadas livremente através de redes sociais ou outros sites públicos.

Uma vez que o novo SIM é emitido e ativado, o criminoso pode receber mensagens de texto de autenticação ou baixar aplicativos e, desta forma, se fazer passar pela vítima. Praticamente todos os serviços (e-mails, bancos, redes sociais e muitos outros) usam o telefone como um dispositivo de autenticação para redefinição de senha, tornando infinitas as opções para o criminoso.

Enquanto isso, a vítima ficará se perguntando por que seu telefone parou de funcionar e graças a essas horas cruciais desperdiçadas pelo usuário, que espera o retorno do sinal do celular, o criminoso terá conseguido o tempo suficiente para monetizar seu crime.

Recentemente testei a capacidade de obter um SIM de substituição e entrei em uma loja filial local da rede telefônica da minha operadora e pedi um novo SIM devido a perda de um telefone. Apresentei o meu RG, que permaneceu na minha carteira e foi em parte coberto, e tudo o que o atendente realmente viu foi o meu nome, data de nascimento e meu número de RG - isso poderia facilmente ter sido uma falsificação devido à falta de inspeção ou remoção da carteira. Minutos depois: recebi meu novo chip SIM. Foi tudo surpreendentemente simples! Se minha intenção tivesse sido maliciosa, eu teria o controle do mesmo dispositivo usado para validar a identidade do assinante.

Agora, voltando ao regulamento sobre o reconhecimento facial na China. Se a tecnologia é usada para proteger os usuários contra a troca do chip SIM e do roubo de identidade, garantindo que o smartphone ou, como discutido acima, o autenticador de identidade, pertence apenas ao verdadeiro assinante, então parece ser um uso muito positivo da tecnologia em busca da proteção do consumidor. Você assinaria este serviço e permitiria esse nível de proteção? Sim.