Por dois anos e meio, o regulador da identidade digital brasileira combateu uma ameaça sem ter força normativa para fazê-lo. Em 24 de abril de 2026, durante a reunião do Comitê Gestor da ICP-Brasil que aprovou a AR Eletrônica, o ITI virou essa página de forma definitiva — e fez questo de tornar públicas as razões que sustentam o endurecimento.
Pela primeira vez de forma oficial, o órgão reconheceu que houve fraudes com deepfake dentro da cadeia ICP-Brasil. E, na mesma sessão, transformou em norma vinculante o que antes era apenas recomendação: o uso de Liveness Detection 3D de alta resolução para toda a indústria e a obrigatoriedade do MET biométrico para 100% dos certificados emitidos. A AR Eletrônica, neste contexto, não é apenas conveniência — é resposta normativa.
O que o ITI confirmou sobre fraudes com deepfake na ICP-Brasil?
O reconhecimento veio do Diretor de Auditoria do ITI, Pedro Cardoso, durante a apresentação da Pauta 3. A passagem é técnica, mas histórica: é a primeira vez que o regulador admite, em ato público, que ataques com deepfake afetaram, ainda que em proporções pequenas, a infraestrutura de chaves públicas brasileira.
“Nós tínhamos enfrentado, pelo menos há dois anos e meio, quase três anos, em proporções muito pequenas, mas fraudes onde utilizavam-se de deepfake”, declarou Cardoso. — Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
O reconhecimento veio acompanhado de um diagnóstico claro sobre a evolução do problema: “Esses ataques estão mais sofisticados, agora com a parte de inteligência artificial”. — Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
Trata-se da combinação que, há pouco tempo, era apenas hipotética: ferramentas generativas de IA capazes de fabricar vídeos sintéticos próximos do real, integradas a técnicas de injeção de vídeo (que substituem o feed da câmera por um stream pré-fabricado) e de circumvenção dos sistemas de prova de vida 2D tradicionais. O ITI confirma que essa combinação não ficou no plano teórico — chegou ao mundo real.
Por que o ITI não conseguia combater essas fraudes antes da Pauta 3?
A confissão mais reveladora da reunião talvez tenha sido sobre as ferramentas disponíveis ao regulador antes desta nova rodada normativa. Pedro Cardoso explicou que o ITI vinha agindo, mas dentro de um arsenal limitado: “Nós tínhamos enfrentado com conscientização, com ofícios circulares, sugerindo fortemente mudança de procedimento, mas sem uma força normativa”. — Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
A frase escancara o ponto: o regulador identificava o problema, comunicava o mercado, recomendava medidas — mas não tinha uma resolução que tornasse o uso de Liveness Detection 3D ou de MET biométrico obrigatório. Cada AC e cada AR decidia se ia ou não adotar; algumas avançavam, outras seguiam com o mínimo legal. A heterogeneidade da resposta criava brechas.
Camolesi, o presidente do ITI, foi mais explícito sobre o esforço do órgão nesse intervalo: “O ITI tem atuado nesses últimos dois anos muito pesadamente nas questões de fraude. Nós estamos desenvolvendo, inclusive, ferramentas de IA que nos auxiliem no combate à fraude”. — Nilson Camolesi, Presidente do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
O recado é implícito: o regulador está usando IA para defender a infraestrutura, ao mesmo tempo em que enfrenta atacantes que também usam IA. É uma corrida tecnológica em curso — e a Pauta 3 é a primeira peça regulatória que se equipara à sofisticação do problema enfrentado.
Quais são as novas regras antifraude aprovadas em 24 de abril de 2026?
A Pauta 3 introduz três endurecimentos simultâneos, que se reforaram mutuamente:
- Liveness Detection 3D obrigatório para toda a indústria, não apenas para a AR Eletrônica.
- MET biométrico obrigatório para 100% dos certificados emitidos — deixa de ser “altamente recomendado” e passa a ser exigência.
- Bases biométricas com batimento 1:N como regra; bases sem essa capacidade só podem ser usadas em conjunto com o PSBio, que oferece a deduplicação nativa.
Esse pacote sobe o piso de segurança de toda a infraestrutura, não apenas do canal eletrônico. É uma decisão estratégica: o ITI optou por usar a janela aberta pela viabilização da AR Eletrônica para puxar para cima o requisito antifraude do mercado todo. A descrição detalhada do MET obrigatório está em MET biométrico vira obrigatório.
Como o Liveness Detection 3D protege contra deepfakes?
O Liveness Detection é a tecnologia que confirma que há um ser humano vivo segurando o dispositivo no momento da captura. Existem várias gerações. A 2D, mais antiga, baseia-se em movimentos solicitados (piscar, virar a cabeça, sorrir) e em assinaturas estatísticas da imagem. Com IA generativa avançada, esses sinais ficaram possíveis de simular.
O Liveness 3D de alta resolução opera em outro patamar: analisa profundidade, paralaxe, reflexos sutis, microvibrações e outros sinais que dependem de uma face física diante de uma câmera. Foi essa modalidade que o Comitê Gestor escolheu como obrigatória.
Quem trouxe a proposta para o texto final foi Leonardo Gonçalves, em nome da sociedade civil: “Implementação de liveness detection na versão 3D de alta resolução para toda a indústria, justamente para endereçar a mitigação de fraudes e de deepfakes”. — Leonardo Gonçalves, sociedade civil/NCD-ANCD, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
Importante: o requisito vale para toda a indústria, não só para a AR Eletrônica. Quem opera com videoconferência, com presença física ou com qualquer outra modalidade também precisará adequar seus fluxos. O detalhamento técnico está em Liveness Detection 3D vira obrigatório.
O que muda para Autoridades Certificadoras e ARs com a obrigatoriedade do MET biométrico?
O MET biométrico obrigatório é a mudança de impacto operacional mais profundo. Até agora, o cruzamento entre a face capturada na emissão e uma base biométrica externa era apenas “altamente recomendado” — ou seja, uma boa prática que algumas Autoridades Certificadoras adotavam, mas que não era exigida em todos os fluxos.
A Pauta 3 muda esse status. Cada certificado emitido na ICP-Brasil precisa, a partir da entrada em vigor, atravessar um MET contra uma base pública confiável ou contra o próprio PSBio. Para AC e AR, isso significa:
- Adequação de fluxos de emissão presencial, por videoconferência e eletrônica para incluir o cruzamento biométrico.
- Integração com o serviço DataValid do Serpro (acesso ao Senatran/Renach), com a base do passaporte e/ou com o PSBio.
- Histórico de evidências robôsto para auditoria do ITI, comprovando que o MET ocorreu e foi positivo.
Para o cidadão, a mudança aparece em forma de dois ou três segundos a mais no momento da emissão — o tempo de a biometria ser comparada na nuvem. É um preço pequeno em troca de uma base de confiança muito maior.
Por que essa mudança importa para quem emite Selo Eletrônico?
O Selo Eletrônico, certificado de pessoa jurídica da Cadeia V12, depende de uma cadeia de confiança que começa no e-CPF do representante legal. Se o e-CPF que ativou um Selo Eletrônico foi emitido com fraude (por exemplo, com deepfake do diretor da empresa), todo o ecossistema corporativo ancorado nesse Selo fica contaminado.
Por isso, a obrigatoriedade do MET biométrico para 100% dos certificados, anunciada na Pauta 3, é especialmente relevante para empresas. Ela protege exatamente a porta de entrada que abre a emissão de Selo Eletrônico subsequente. Para Leandro Albertini, fundador do Selo Eletrônico, essa é a base normativa que permite ao ecossistema apostar com segurança em fluxos contínuos de venda e ativação, integrando o e-CPF emitido na AR Eletrônica ao Selo Eletrônico da empresa que aquele cidadão representa.
Perguntas frequentes (FAQ)
O ITI confirmou oficialmente fraudes com deepfake na ICP-Brasil?
Sim. Em 24 de abril de 2026, o Diretor de Auditoria do ITI, Pedro Cardoso, confirmou em reunião pública do Comitê Gestor da ICP-Brasil que houve fraudes com deepfake na cadeia, em proporções pequenas, registradas há cerca de dois anos e meio. É a primeira confirmação oficial e formal feita pelo regulador.
Por que o ITI não conseguia combater essas fraudes antes da Pauta 3?
Porque o combate vinha sendo feito por meio de ofícios circulares e recomendações de mudança de procedimento, sem força normativa vinculante. A Pauta 3, aprovada em 24 de abril de 2026, transforma essas recomendações em obrigação: Liveness Detection 3D obrigatório, MET biométrico para 100% dos certificados e exigência de bases biométricas com batimento 1:N.
O que é Liveness Detection 3D e por que ele entra como obrigatório?
Liveness Detection 3D é a tecnologia que confirma que há um ser humano vivo, em tempo real, segurando o dispositivo de captura, analisando profundidade, micromovimentos e reflexos da face. A versão 3D de alta resolução foi tornada obrigatória para toda a indústria de certificação digital justamente para mitigar fraudes com deepfakes, cuja sofisticação aumentou com a inteligência artificial generativa.
Como o MET biométrico obrigatório protege a ICP-Brasil?
O MET (Match biométrico) compara a biometria capturada no momento da emissão com a biometria armazenada em uma base pública confiável ou no PSBio. Com a obrigatoriedade aprovada na Pauta 3, todo certificado da ICP-Brasil — não apenas os emitidos via AR Eletrônica — passa a precisar desse cruzamento, dificultando ataques baseados em identidades sintéticas geradas por IA.
Conclusão
Quem mantiver fluxos de emissão em Liveness 2D ou sem MET obrigatório depois da entrada em vigor da Pauta 3 vai ficar exposto não apenas ao risco operacional de fraude, mas também ao risco institucional de auditoria do ITI — agora amparado em norma vinculante, não mais em mera recomendação. A confirmação pública de que houve deepfakes na cadeia muda o cenário: ninguém no mercado pode mais alegar que o problema é teórico ou que está em outro lugar. Empresas, ARs e ACs que demorarem a se adequar ao novo piso de segurança vão pagar caro — em reputação, em saúde da carteira de clientes e em risco de descredenciamento. Acompanhe as próximas análises técnicas no blog do Selo Eletrônico.
Perguntas frequentes
O ITI confirmou oficialmente fraudes com deepfake na ICP-Brasil?
Sim. Em 24 de abril de 2026, o Diretor de Auditoria do ITI, Pedro Cardoso, confirmou em reunião pública do Comitê Gestor da ICP-Brasil que houve fraudes com deepfake na cadeia, em proporções pequenas, registradas há cerca de dois anos e meio. É a primeira confirmação oficial e formal feita pelo regulador.
Por que o ITI não conseguia combater essas fraudes antes da Pauta 3?
Porque o combate vinha sendo feito por meio de ofícios circulares e recomendações de mudança de procedimento, sem força normativa vinculante. A Pauta 3, aprovada em 24 de abril de 2026, transforma essas recomendações em obrigação: Liveness Detection 3D obrigatório, MET biométrico para 100% dos certificados e exigência de bases biométricas com batimento 1:N.
O que é Liveness Detection 3D e por que ele entra como obrigatório?
Liveness Detection 3D é a tecnologia que confirma que há um ser humano vivo, em tempo real, segurando o dispositivo de captura, analisando profundidade, micromovimentos e reflexos da face. A versão 3D de alta resolução foi tornada obrigatória para toda a indústria de certificação digital justamente para mitigar fraudes com deepfakes, cuja sofisticação aumentou com a inteligência artificial generativa.
Como o MET biométrico obrigatório protege a ICP-Brasil?
O MET (Match biométrico) compara a biometria capturada no momento da emissão com a biometria armazenada em uma base pública confiável ou no PSBio. Com a obrigatoriedade aprovada na Pauta 3, todo certificado da ICP-Brasil — não apenas os emitidos via AR Eletrônica — passa a precisar desse cruzamento, dificultando ataques baseados em identidades sintéticas geradas por IA.
