Existe uma diferença gigantesca, no mundo da regulação, entre "altamente recomendado" e "obrigatório". A primeira expressão protege quem cumpre voluntariamente, mas não pune quem ignora. A segunda transforma o procedimento em pré-requisito de existência: sem ele, não há emissão válida.
Em 24 de abril de 2026, o Comitê Gestor da ICP-Brasil cruzou essa linha em relação ao Match Biométrico (match biométrico). Até essa data, o match biométrico era a verificação biométrica que separava as Autoridades Certificadoras mais rigorosas das menos rigorosas. A partir da Pauta 3, virou regra para todas — sem exceção de canal, sem exceção de modalidade.
Neste artigo, explicamos o que é o match biométrico, o que muda com a obrigatoriedade total, como o procedimento ataca diretamente as fraudes com IA generativa, quais Autoridades Certificadoras já operam nesse padrão e como o cidadão é impactado no momento da validação.
O que é o Match biométrico na ICP-Brasil?
MET é o nome técnico da operação que compara a biometria facial coletada no momento da emissão de um certificado digital com uma biometria de referência armazenada em uma base nacional qualificada. A pergunta que o match biométrico responde é simples: a face que está aparecendo aqui agora é, de fato, a face que o Estado brasileiro tem cadastrada em nome desse CPF?
O match pode ser feito contra duas categorias de base:
- Bases públicas governamentais: Senatran/Renach (a base por trás do serviço DataValid do Serpro, com cerca de 70 milhões de pessoas), passaporte (Polícia Federal, com aproximadamente 13 milhões de biometrias) e, no horizonte, a CIN.
- Base interna da ICP-Brasil: o PSBio, gerido pelo próprio ITI, com cerca de 20 milhões de pessoas individualizadas e crescimento orgânico a cada nova emissão.
O Diretor de Auditoria do ITI, Pedro Cardoso, foi enfático sobre a qualidade exigida da base usada no match biométrico:
"uma base higienizada deduplicada"
— Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
Não é qualquer banco de fotos que pode entrar no match biométrico. É preciso ser uma base nacional, deduplicada (cada pessoa única conta uma vez) e capaz de batimento 1 para N — ou seja, capaz de comparar uma biometria com TODA a base, e não apenas com um registro pré-indicado.
O que muda com a obrigatoriedade do match biométrico para 100% dos certificados?
Antes da Pauta 3, parte do mercado fazia MET em todas as emissões. Outra parte fazia em algumas. Outra parte fazia raramente. A linguagem regulatória vigente até 24 de abril de 2026 usava a expressão "altamente recomendado", o que, em prática regulatória, deixava cada Autoridade Certificadora livre para calibrar seu próprio nível de exigência conforme custo, fricção e modelo de negócio.
Esse cenário acabou. O conselheiro Leonardo Gonçalves, da sociedade civil, explicou a virada com palavras que valem como marco regulatório:
"A gente exige o match biométrico, que hoje era altamente recomendado, para todas as validações da ICP Brasil"
— Leonardo Gonçalves, conselheiro da sociedade civil (ANCD-NCD), em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
E foi mais explícito sobre a abrangência:
"A partir dessa resolução, a gente vai ter que garantir que todo certificado emitido na ICP Brasil passe por um match biométrico numa base pública ou na própria base da PSBio. Todos"
— Leonardo Gonçalves, conselheiro da sociedade civil (ANCD-NCD), em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
A palavra "todos" carrega o peso da decisão. Não é "todos da AR Eletrônica". Não é "todos os e-CPF emitidos remotamente". É todos. Inclui presencial, videoconferência, módulo virtual, AR Eletrônica e qualquer outra modalidade que vier a existir. O MET vira piso comum.
Onde o match biométrico pode ser feito? Base pública OU PSBio (e quando os dois são obrigatórios)
Aqui mora a nuance técnica que muitos vão confundir e é a parte mais importante deste artigo. A resolução é precisa nas palavras de Leonardo Gonçalves: o match biométrico deve ser feito "numa base pública OU na própria base da PSBio". A conjunção é OU, não E. Mas a regra completa só faz sentido quando se entende a chamada regra do batimento 1 para N (1:N), formalizada pelo Diretor de Auditoria do ITI, Pedro Cardoso:
"O comitê deliberou que só poderia ser utilizada uma base biométrica de âmbito que tivesse atuação nacional e que ela tivesse ali o que a gente chama de um batimento 1 para N, uma base higienizada deduplicada"
— Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
O batimento 1:N significa comparar uma biometria nova contra TODAS as biometrias já cadastradas em uma base — e não apenas contra um único registro pré-indicado (que seria o 1:1). Sem 1:N, é teoricamente possível que a mesma pessoa apareça duas vezes na base com identidades diferentes, e o match biométrico não detectaria.
Aplicando isso à matriz de bases aprovadas pela Pauta 3, o resultado é o seguinte:
- Usar PSBio diretamente: o PSBio nasce deduplicado e oferece 1:N nativo. Um único match biométrico no PSBio satisfaz a obrigação.
- Usar base do passaporte (Polícia Federal): oferece 1:N nativo. Um único match biométrico na base do passaporte satisfaz a obrigação.
- Usar DataValid/Senatran (CNH): a base não é deduplicada nativamente — o serviço DataValid do Serpro consulta a base do Senatran/Renach mas não garante 1:N. Nesse caso, o match biométrico no DataValid sozinho NÃO basta. É necessário fazer o match biométrico combinado com o PSBio, justamente para garantir a unicidade do cidadão. José Gonçalves, Diretor de Tecnologia do ITI, foi explícito ao detalhar essa regra:
"Estou falando aqui base não detuplicada DataValid, a base da CNH, mediante a utilização em conjunto com a base do PSBio, que é a base da ICP Brasil, isso dá segurança e traz a mesma forma dos outros processos de emissão de certificados que a gente tinha anteriormente"
— José Gonçalves, Diretor de Tecnologia do ITI (DTEC), em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
Pedro Cardoso reforçou a mesma regra técnica:
"Para essas bases que não fazem um batimento 1 para N, ele possa ser utilizado desde que utilize o nosso PSBio, que aí sim é uma base que tem abrangência nacional, que tem um batimento 1 para N. Então, necessariamente, ele precisa cumprir dois requisitos"
— Pedro Cardoso, Diretor de Auditoria do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
A regra prática que toda Autoridade Certificadora e Autoridade de Registro precisa seguir, portanto, é simples:
- Se a base primária do match biométrico tem 1:N nativo (PSBio, passaporte) → um match biométrico basta.
- Se a base primária do match biométrico não tem 1:N nativo (DataValid/CNH e qualquer outra base não-deduplicada que vier a ser autorizada) → o match biométrico nessa base é obrigatório E o cruzamento adicional com o PSBio também.
- Em todos os casos: pelo menos um match biométrico é obrigatório por certificado emitido. Não há mais "altamente recomendado".
É essa engrenagem que sustenta o discurso do conselheiro Leonardo Gonçalves de que "todo certificado emitido na ICP Brasil passe por um match biométrico" — em todos os cenários, o cidadão é checado contra ao menos uma base higienizada e deduplicada antes de o certificado ser emitido.
Como o match biométrico funciona contra fraudes com IA generativa?
O MET é a camada que responde a uma pergunta diferente da que o Liveness Detection responde. O Liveness 3D garante que existe uma pessoa viva na frente da câmera — não é um vídeo gravado, não é uma foto, não é um deepfake gerado em tempo real. O match biométrico, por sua vez, garante que essa pessoa viva é, de fato, quem ela alega ser.
Sem match biométrico, um fraudador suficientemente sofisticado poderia comparecer a uma emissão usando seu rosto verdadeiro, passar pelo Liveness 3D (afinal, ele está vivo), apresentar documentos falsificados e obter um certificado em nome de outra pessoa. O Liveness não captura essa fraude porque o problema não é prova de vida — é identidade alegada.
O MET fecha esse buraco. Quando a face capturada é comparada contra uma base nacional vinculada ao CPF informado, qualquer divergência acima do limiar de tolerância bloqueia a emissão. O fraudador pode estar vivo, mas a face dele não bate com a face cadastrada no Senatran ou no PSBio em nome daquele CPF — e o sistema recusa.
Combinados, Liveness 3D + MET formam uma defesa em camadas: a primeira impede ataques de mídia (foto, vídeo, deepfake), a segunda impede ataques de impostor humano. Esse é o pacote mínimo da nova ICP-Brasil pós-Pauta 3.
O presidente do ITI contextualizou o esforço de fraude que motivou a virada:
"O ITI tem atuado nesses últimos dois anos muito pesadamente nas questões de fraude"
— Nilson Camolesi, Presidente do ITI, em reunião do Comitê Gestor da ICP-Brasil, 24/04/2026.
O MET obrigatório é uma parte concreta dessa atuação pesada. É a tradução normativa de uma posição política que vinha sendo construída há dois anos em ofícios circulares e cartas técnicas, mas que faltava de força regulatória vinculante.
Quais Autoridades Certificadoras já operam com MET obrigatório?
Pela natureza do mercado, várias Autoridades Certificadoras já vinham aplicando match biométrico em parte ou totalidade de suas emissões — particularmente as que disputam contratos com bancos, operações de alto valor e clientes corporativos exigentes. Para essas, a Pauta 3 apenas formaliza o que já fazem, e não traz custo de adaptação relevante.
O choque maior alcança as ARs e ACs que vinham operando no piso mínimo da regra anterior, oferecendo emissões mais baratas justamente por economizar na consulta a bases biométricas externas. Para essas, o match biométrico obrigatório é um custo novo — pequeno por emissão, relevante na escala mensal — que tende a se incorporar gradualmente ao preço final do certificado digital ao longo de 2026 e 2027.
Existe ainda uma terceira camada de impacto: as bases biométricas externas vão receber muito mais consultas a partir de agora. O Senatran (via DataValid do Serpro) e a base do passaporte (Polícia Federal) precisam se preparar para um aumento substancial de tráfego. O PSBio, sob governança do ITI, também ganha relevância operacional ainda maior — passa a ser o "checador final" de praticamente toda emissão de certificado digital no país.
Como o cidadão é impactado por essa mudança no momento da validação?
Para o cidadão final, o match biométrico é praticamente invisível. A captura biométrica que ele faz na hora da emissão é exatamente a mesma do ponto de vista da experiência: olha para a câmera frontal do celular, segue os movimentos guiados pelo aplicativo, espera alguns segundos. Os bastidores é que mudaram completamente.
O que muda na experiência prática é a probabilidade de bloqueio. Cidadãos que apresentam biometria divergente da base nacional — seja por erro de cadastro, por mudança facial significativa fora da janela de 5 anos ou por qualquer outra razão — vão receber bloqueios automáticos que antes não receberiam. Esse atrito legítimo, embora chato pontualmente, é o preço de um sistema que rejeita também os fraudadores reais.
Para Leandro Albertini, fundador do Selo Eletrônico e que atua com certificação digital ICP-Brasil desde 2016, o match biométrico obrigatório é o tipo de mudança que separa, no longo prazo, ecossistemas de identidade digital sérios de ecossistemas vulneráveis. Ele defende que esse era o passo inevitável para que o Brasil mantenha a credibilidade da ICP-Brasil diante da próxima década de ataques cada vez mais sofisticados.
Leia também
- ITI confirma fraudes com deepfake na ICP-Brasil — AR Eletrônica nasce como resposta normativa
- Liveness Detection 3D vira obrigatório — como a ICP-Brasil endurece contra deepfakes em 2026
- DataValid não é base biométrica — o mapa oficial das fontes que vão alimentar a AR Eletrônica
Conclusão
Empresários e profissionais que continuarem comprando certificado digital pelo menor preço, sem entender qual nível de validação biométrica seu fornecedor aplica, estão se expondo a um risco silencioso: o de descobrir que um certificado em seu nome foi emitido por outra pessoa, sem que nenhum mecanismo de match biométrico tenha sido executado. Esse cenário, que era tolerado pela regra do "altamente recomendado", deixa de ser tolerado em 2026.
O MET obrigatório para 100% dos certificados é a forma mais concreta da ICP-Brasil dizer ao mercado: confiança não tem preço de saldo. Acompanhe as próximas atualizações do Selo Eletrônico para entender como a sua escolha de fornecedor de certificado se traduz em proteção real ou em risco escondido.
Perguntas frequentes
O que é o Match biométrico na ICP-Brasil?
MET é a sigla para Match Biométrico, o procedimento técnico que compara a face capturada do solicitante de um certificado digital contra uma base biométrica externa qualificada — pública (Senatran/Renach, passaporte) ou interna (PSBio da própria ICP-Brasil) — para confirmar que ele é, de fato, quem afirma ser.
O que muda com a obrigatoriedade do match biométrico para 100% dos certificados?
Antes da Pauta 3 de 24/04/2026, o match biométrico era apenas "altamente recomendado". A partir da nova resolução, todo certificado emitido na ICP-Brasil — não só os emitidos pela AR Eletrônica, mas também os emitidos presencialmente, por videoconferência ou por módulo virtual — precisa passar por MET em base pública ou no próprio PSBio.
O MET é o mesmo que Liveness Detection?
Não. Liveness Detection garante que há uma pessoa viva na frente da câmera (combate ao deepfake e à foto). O MET garante que essa pessoa viva é, de fato, a pessoa que ela alega ser, comparando sua face contra uma base biométrica nacional. São camadas complementares e ambas se tornam exigência obrigatória com a Pauta 3.
O cidadão precisa fazer alguma coisa diferente para o match biométrico?
Não. O MET é executado nos bastidores pela Autoridade Certificadora ou Autoridade de Registro durante o processo de emissão. O cidadão apenas faz a captura biométrica padrão (selfie com prova de vida 3D) — o sistema, a partir daí, compara essa biometria com as bases governamentais habilitadas (CNH, passaporte) e com o PSBio, e libera ou bloqueia a emissão.
O MET no DataValid (CNH) sozinho satisfaz a obrigação da Pauta 3?
Não. A base do Senatran/Renach acessada pelo serviço DataValid do Serpro não é deduplicada nativamente — ou seja, não oferece batimento 1 para N. Por isso, quando uma Autoridade Certificadora usa o DataValid, ela é obrigada a fazer também o match biométrico cruzado com o PSBio (base interna da ICP-Brasil que oferece 1:N nativo). Os dois MET juntos garantem unicidade. Já o PSBio sozinho ou a base do passaporte sozinha satisfazem a obrigação porque oferecem 1:N nativamente.
O que é batimento 1 para N (1:N) e por que importa?
Batimento 1:N é a comparação de uma biometria nova contra TODAS as biometrias já cadastradas em uma base, e não apenas contra um único registro pré-indicado (que seria o 1:1). Sem 1:N, é teoricamente possível que a mesma pessoa apareça duas vezes na base com identidades distintas. A Pauta 3 da ICP-Brasil exige 1:N na base usada para o match biométrico. Se a base primária não tem 1:N nativo, o cruzamento adicional com o PSBio passa a ser obrigatório.
Quando o match biométrico no PSBio é obrigatório e quando é opcional?
É opcional quando a base primária do match biométrico tem 1:N nativo (caso do passaporte da Polícia Federal). É obrigatório quando a base primária não tem 1:N nativo (caso do DataValid/Senatran). Nesse último cenário, a regra é cumulativa: Match biométrico na base pública E match biométrico no PSBio. A obrigação básica permanece: pelo menos um match biométrico por certificado emitido.
