É seguro tirar uma selfie com um documento de identidade?

“Faça o upload de uma selfie segurando um documento com foto para confirmar sua identidade”: essas solicitações estão se tornando cada vez mais comuns para vários serviços on-line. Bancos, serviços de aluguel de carros e até potenciais empregadores ou locadores de imóveis podem solicitar essas fotos.

Compartilhar dados confidenciais dessa maneira ou não, é uma decisão pessoal. Levantamos todos os prós e contras e preparamos dicas sobre como se proteger se precisar tirar essa selfie.

Precisa tirar uma selfie com seus documentos?

Sem uma “selfie com documento de identidade”, talvez seja impossível instalar determinados aplicativos bancários, registrar-se em serviços como o de compartilhamento de carros ou solicitar um empréstimo rapidamente. A escolha aqui é muito simples.

Quer usar esses serviços? Tire a foto. Preocupa-se com a segurança dos seus dados? Não tire a foto. Entretanto, não será possível fazer uma transferência bancária, alugar um carro rapidamente ou resolver problemas financeiros com um empréstimo instantâneo, por exemplo. As opções são claras: ou obtemos acesso a esses serviços ou priorizamos nossa segurança.

Um argumento comum daqueles que optam por tirar selfies com documentos de identidade é que seus dados já vazaram várias vezes, então eles não têm medo de possíveis riscos de segurança. Bem, se você distribui selfies com documentos de identidade por todos os cantos e usa a mesma senha “12345” em todas as contas há anos, é provável que seus dados já tenham sido comprometidos.

Para saber com certeza se seus dados vazaram ou não, use nossa proteção e, na seção Verificação de vazamento de dados, forneça todos os endereços de e-mail que você ou seus entes queridos possam ter usado para se registrarem em serviços on-line. Usuários do Kaspersky Premium também podem verificar seus números de telefone na seção Verificação de roubo de identidade. Em seguida, nosso aplicativo procurará automaticamente por vazamentos de dados em segundo plano, avisará se algum for encontrado e informará o que fazer em cada caso.

O que pode dar errado?

Infelizmente, com raras exceções, quase nunca podemos saber como as empresas realmente armazenam e processam nossos dados. Normalmente, tudo o que os usuários sabem sobre seus dados pessoais é que sua segurança é levada muito a sério e, portanto, são armazenados com muito cuidado. Concordamos que esse tipo de mensagem não inspira muita confiança, especialmente quando a afirmação não é lastreada por nada, exceto uma página de política de privacidade no site.

Muitas vezes, os serviços armazenam os dados por muito tempo. Por exemplo, uma popular empresa europeia de compartilhamento de carros armazena os dados dos usuários por até 10 anos. Nesse período, um usuário pode mudar de residência várias vezes, parar de dirigir ou simplesmente se esquecer do serviço de compartilhamento de carros, mas suas informações pessoais ainda permanecerão armazenadas nos servidores da empresa. E como, segundo o contrato, a empresa pode transferir dados do cliente para terceiros, teoricamente a selfie do seu documento de identidade pode acabar nas mãos de outra pessoa sem o seu conhecimento. Esse não é um exemplo de uma empresa “ruim”, mas uma dura realidade: quase todas as organizações que solicitam documentos com foto durante o registro processam seus dados sob condições semelhantes. E esse é apenas o lado oficial, nós nem mencionamos os vazamentos…

A transmissão de dados será realizada de acordo com os regulamentos de segurança europeus, mas isso não é garantido.

Vazamentos de dados de empresas de compartilhamento de carros são um problema clássico: essas empresas estão sujeitas a ataques de hackers desde sempre. Às vezes, esses vazamentos levam a situações absurdas. Na Rússia, criminosos registraram contas falsas em serviços de compartilhamento de carros usando fotos de passaporte roubadas, depois reservaram carros caros, violaram as leis de trânsito e causaram acidentes. Onde eles conseguiram os dados? De vazamentos de dados de clientes de outras empresas de compartilhamento de carros!

E não devemos nos esquecer da ameaça mais óbvia: empréstimos inesperados. Claro que é improvável que grandes bancos emitam um empréstimo com base apenas em uma selfie com um documento, mas organizações menos responsáveis que concedem microempréstimos a praticamente qualquer pessoa com certeza fariam isso. Imagine a dor de cabeça que é encontrar uma dúzia de empréstimos em seu nome de repente. Sem mencionar o fato de que outra empresa não confiável agora tem uma selfie sua com seu documento.

As selfies com documentos de identidade são uma ferramenta universal nas mãos de criminosos. Além dos cenários acima, os fraudadores podem abrir uma empresa de fachada em seu nome ou registrar um cartão SIM usando sua identidade para violar a lei de várias maneiras. Quanto mais serviços forem compatíveis com o registro on-line remoto, maiores serão os riscos gerados pelas selfies com documentos de identidade.

Os criminosos há muito tempo vendem conjuntos de fotos e vídeos de pessoas segurando folhas brancas de papel do tamanho de documentos padrão em sites clandestinos para forjar fotos e contornar os procedimentos padrão de KYC (Know Your Customer, Conheça seu cliente). Se eles conseguirem uma selfie real com um passaporte, eles terão uma mina de ouro nas mãos…

Como reduzir os riscos

Infelizmente, apesar dos riscos significativos, às vezes ainda temos que tirar essas fotos. Portanto, o melhor que podemos fazer é abordar o processo com o máximo cuidado. Como se proteger?

• Estude a política de privacidade da empresa. Antes de enviar selfies com documentos, procure saber tudo o que puder sobre a empresa. Verifique onde e por quem seus dados serão processados, por quanto tempo serão armazenados e se a empresa pode passar as informações do cliente para autoridades, terceiros ou até mesmo para outros países.
• Investigue o histórico de vazamentos de dados da empresa. Descubra se houve algum vazamento de dados de clientes. Se houve algum, ele ocorreu mais de uma vez? Que tipo de informação vazou? Como a empresa reagiu à violação? É possível descobrir isso usando consultas de pesquisa como vazamentos de dados da Nome_da_Empresa ou violações de dados da Nome_da_Empresa.
• Adicione marcas d’água à sua selfie. Se decidir que vale a pena arriscar, adicione marcas d’água à selfie com o nome do serviço para o qual você a enviará. Isso pode ser feito facilmente em seu smartphone usando o editor de fotos integrado para sobrepor texto semitransparente ou por meio de aplicativos gratuitos, há muitos deles em qualquer loja de aplicativos. Dessa forma, mesmo que a foto vaze, será muito mais difícil para os criminosos a usarem em registros de outros serviços.
• Envie a foto pelo aplicativo ou site oficial do serviço. Não use aplicativos de mensagens ou e-mail para enviar selfies de documentos.
• Exclua a selfie imediatamente após o envio se o dispositivo não tiver proteção confiável. Não se esqueça de remover a selfie das suas mensagens (se possível), da pasta Excluído recentemente em seu smartphone ou da lixeira de seu computador.
• Verifique regularmente seu histórico de crédito. Consulte seu banco para saber como ser notificado imediatamente sobre alterações em seu histórico de crédito.
• Use proteção máxima para todos os seus dispositivos, com alertas sobre roubo de identidade e vazamentos de dados.
• Use a Carteira de proteção de identidade do Kaspersky Password Manager para armazenar e compartilhar documentos e fotos confidenciais criptografados em todos os seus dispositivos.
• Compare o valor do serviço fornecido com o valor da selfie com documento de identidade. E nunca forneça seus dados pessoais em troca de recompensas monetárias.