AS FALHAS DO RECONHECIMENTO FACIAL - INVESTIGAÇÃO CRIMINAL DIGITAL

Então você tem um sistema que tem um problema de viés E você tem um banco de dados que tem um problema de viés é super polêmico porque afeta a questão de privacidade e direito de imem de cada um a maior dificuldade que a gente enfrenta é O Anonimato né Toda a funcionalidade é uma falha de segurança disfarçada [Música] o sistema de reconhecimento facial funciona analisando características únicas do rosto como distância entre os olhos e formato do queixo e comparando esses dados com um banco de imagens pré-definido essa tecnologia foi usada em um aeroporto dos Estados

Unidos onde um passageiro vindo do Brasil foi preso poral documentos no setor bancário criminosos têm usado fotos falsas para burlar o sistema e realizar fraudes como aconteceu com uma idosa de 74 anos em São Paulo já nos estádios o reconhecimento facial causou a prisão por engano de um torcedor do Confiança que foi confundido com um criminoso não é à toa que hoje uma das grandes bases de dados usadas para treinar o sistema de reconhecimento facial são bases de dados do sistema de Justiça Criminal eh no Brasil e fora do Brasil Então são pessoas que você

tem a foto da pessoa pousando com bastante iluminação de frente de lado e a partir disso você consegue gerar essa assinatura digital digamos assim do rosto eh mas existem vários problemas porque se você comparar os os sistemas atuais que servem por exemplo para portaria ou para aplicativos de banco etc quando a pessoa tá parada alguns segundos olhando paraa câmera e a partir eh eh dessa dessa interação com o sistema é feita a avaliação a precisão de fato é muito alta e cresceu muito nos últimos anos já existe uma segurança muito grande nesses sistemas mas quando

a gente tem uso um espaço urbano que é obviamente mais caótico você tem variação de iluminação Às vezes você tem chuva você tem Neva você tem maresia muitas vezes você não tem uma manutenção adequada da câmera então a câmera tá com a tá com a lente suja às vezes para evitar a depredação você coloca a câmera num poste muito alto então ela C o rosto numa angulação que não é a ideal Então você vai gerando uma série de fatores que prejudica essa identificação que você não gera esse modelo ideal da pessoa parada com boa iluminação

na frente da câmera e aí todos esses fatores de fato diminuem muito a [Música] precisão o primeiro grande problema é o risco da vigilância em massa e porque a gente tá Tá entregando hoje na mão das forças policiais uma ferramenta que a gente não sabe exatamente como que elas vão ser usadas a gente não sabe por exemplo quais são os bancos de dados que são usados para fazer esse cruzamento a gente não tem um controle externo sobre quem de fato Tá acessando eh eh esses sistemas Então por mais que a gente possa confiar no policial

que tá ali gerindo o projeto por mais que a gente possa confiar na Corporação essa falta de Transparência essa falta de controle externo gera uma dúvida por exemplo se o policial não tá fazendo uso para questões privadas ou se ele não tá fazendo uso por exemplo para questões políticas e aí podem ser desde coisas muito pequenas como por exemplo um caso extraconjugal que essa pessoa tá tá fazendo ou uma fantasia mais ousada que ela usou no carnaval até questões como perseguição política hoja a lei geral de proteção de dados trata boa parte sobre uso de

câmeras de reconhecimento facial de maneira pública inclusive nós temos debates sobre eh leis que foram aprovadas nesse sentido e foram suspensas pelo poder J judiciário ou atividades que o próprio município tinha implementado E também o judiciário suspendeu temporariamente é super polêmico porque afeta a questão de privacidade e direito de margem de cada um E esse monitoramento deve ser a serviço da segurança choque de direitos muitas polêmicas eu defendo o uso sim deixo que super regulamentado E aí nós temos algumas leis tramitando mas ainda nenhuma de grande destaque a própria lgpd autorizaria esse uso desde que

é pra segurança pública O problema é que o judiciário tem interpretado de outra forma eh e você falou do outro problema que também é muito sério que é sobre a precisão desses sistemas o debate sobre racismo e algoritmo ganhou mais força com a pesquisa da Joy bamini que era uma pesquisadora do Mit da Universidade nos Estados Unidos e que depois virou até o tema do de um documentário que tem na Netflix o coded Bias eh é um documentário Super Interessante que mostra que ela foi construir um sistema eh de reconhecimento facial que na verdade precisava

identificar a face dela para para aplicar maquiagens e ela via que o rosto dela o rosto de uma mulher negra não era identificado pelo sistema e ela foi tentar entender um pouco o que que tava acontecendo e ela fez uma análise um levantamento com os principais produtos no mercado Isso alguns anos atrás então olhou pro sistema da Microsoft da Amazon e para alguns outros e o que ela descobriu é que existe uma disparidade muito grande eh paraa identificação desses eh desses sistemas então homens brancos eh T alta precisão pro reconhecimento facial e mulheres negras tem

uma um um índice de precisão bem mais baixo isso se dá para uma série de fatores entre eles Muitas vezes os bancos de dados usados para treinamento desses sistemas Ou seja você pega o o o modelo você treina ele com rostos de pessoas que existem então rostos de homens brancos mulheres brancas homens negros mulheres negras eh outros fenótipos digamos de pessoas com com olhos mais puxados fenótipos asiáticos indígenas etc e Teoricamente O que você espera é que esse sistema vai aprender especificamente a identificar o rosto naquela imagem e diferentes características diferentes fenótipos fenótipos humanos se

esse banco de dados ele tem menos exemplos de uma determinado de um determinado grupo populacional ele vai entender menos como identificar esse grupo populacional se a gente for olhar o banco de mandados de prisão em aberto ele ele reflete o padrão de policiamento que a gente tem no Brasil nas grandes cidades do Brasil ele não reflete necessariamente o padrão de criminalidade Então você vai ter muito pouca gente por exemplo presa por lavagem de dinheiro então homens brancos crimes de colarinho branco etc são pouco são pouco representados nesses bancos de dados aquela pessoa presa em flagrante

com pouca quantidade de tráfico de drogas que é quem tá povoando o sistema carcerário brasileiro é sobre representado Então você tem um sistema que tem um problema de viés E você tem um banco de dados que tem um problema de viés Então você tá somando dois problemas e daí a gente tem esse grande problema do racismo algorítmo no Brasil Se alguém for preso por causa de um erro da plataforma por causa de um erro no reconhecimento facial esse pode processar o próprio estado porque é inadmissível que alguém seja preso por um erro desta forma e

dessa categoria E aí o estado poderia ter que pagar indenização mas assim como se tiver uma falha lá no banco também tem que arcar com a indenização basta essas vítimas procurarem a justiça e que são erros que a plataforma tem que est quase ideal ou perfeita antes de ser liberada para o uso assim dessa forma podendo incriminar pessoas por isso que eu defendo sim o uso de reconhecimento facial nessas câmeras de segurança mas com leis super rigorosas respeitando o lgpd e evitando incriminar qualquer tipo de usuário ou cidadão de maneira equivocada o que seria catastrófico

o uso de reconhecimento facial nos estádios de futebol brasileiros ganhou força nos últimos anos com uma ferramenta para aumentar a segurança especialmente para identificar foragidos da Justiça ou torcedores banidos com a implementação da lei geral do esporte estádios com capacidade superior a 20.000 pessoas estão obrigados a adotar essa tecnologia embora o objetivo seja melhorar a gestão de Multidões e combater fraudes o uso massivo desse sistema levanta preocupações sobre a privacidade racismo algorítmico e erros de identificação como falsos positivos que já resultaram em casos de detenções injustas e constrangimento de [Música] torcedores é a maioria das

polícias tem um sistema que é o seguinte o o sistema gera o alerta eh então você tem um reconhecimento facial você tem um operador que verifica as duas fotos e fala de fato existe uma semelhança muito grande e Comunica a Patrulha a Patrulha chega no lugar e faz a abordagem só que você imagina que digamos o exemplo que eu dei anteriormente é uma é um pai de família que não paga pensão alimentícia eh ele tá lá com mandado de prisão em aberto o policial vai abordar essa pessoa de uma determinada forma agora Digamos que a

identificação seja para uma pessoa que tem um homicídio eh e tá sendo procurada por homicídio eh Digamos que essa pessoa vê o policial chegando se assusta e sai correndo o policial corre atrás dispara e mata essa pessoa e aí descobre depois que foi um reconhecimento equivocado a culpa por esse pela morte decorrente intervenção policial é do policial que tirou é do sistema que fez a o reconhecimento equivocado é do operador lá do centro de que fez o despacho de forma equivocada Você tem uma cadeia de responsabilização que não tá muito clara e é difícil de

fato você produzir boas práticas para isso porque o que você tem de protocolo de abordagem e de escalonamento do uso da força eh ele reconhece também o risco pro policial e o policial que tá fazendo uma abordagem de alguém que é um criminoso procurado por homicídio tem um risco muito maior do que o exemplo que eu dei de um mandado por por pensão alimentícia ou qualquer coisa desse tipo eh e o que vai acontecer olhando um pouco pro histórico da polícia é que a corrente vai quebrar pro elo mais fraco que é o policial da

ponta eh esse policial que vai fazer a abordagem e que vai acabar numa interação violenta que vai sofrer as consequências jurídicas desse tipo de de problema o caso lá do jogo do torcedor do Confiança foi um pouco isso eles fizeram abordagem no meio da torcida um constrangimento enorme eh ele foi levado inclusive Se não me engano pro centro do campo toda a polícia vendo aquilo e mas a culpa é do policial que que reagiu a a ao sistema que informou que aquele que aquela pessoa era um criminoso procurado seria a empresa por exemplo que fez

um algoritmo defeituoso um algoritmo não necessariamente preciso é difícil a gente definir essa cadeia de responsabilidade e pensar boas práticas seria pensar boas práticas para todas essas etapas que Eu mencionei a tecnologia de reconhecimento facial também é muito utilizada por instituições bancárias e plataformas digitais como um mecanismo de autenticação de usuários e proteção de transações financeiras com a promessa de oferecer mais segurança e conveniência aos clientes essa tecnologia permite o acesso a contas e a realização de operações bancárias por meio de identificação biométrica facial olha Eh o reconhecimento facial na verdade ele é uma biometria

né então ele é utilizado pelos pelos aplicativos ou pelos dispositivos paraa proteção né da do acesso desses aplicativos ou desses dispositivos né em geral quando acontece uma fraude nesses Ness nessa biometria o seja mesmo a facial ou qualquer outro tipo de biometria o objetivo é que a invasão desse desse desse dispositivo D desse aplicativo no intuito de um comprometimento de um crime eh patrimonial no caso os mais comuns o estelionato aí e o furto qualificado com toda a facilidade obviamente vem uma vulnerabilidade Existe uma grande frase no mundo de segurança que diz toda a funcionalidade

é uma falha de segurança disfarçada então por exemplo né a gente pagava boleto na fila do banco ali etc hoje você paga pelo aplicativa Então essa facilidade você não precisa pegar o carro e na agência etc né tão mais fácil tão mais rápido você fazer isso online pelo aplicativo etc isso traz uma série de riscos quando a gente pensa obviamente na questão do reconhecimento facial é não só os nossos rostos rostos estão públicos né como hoje em dia os nossos dados né hoje a maioria dos golpes ou senão todos os que eu tenho visto eh

que estão sendo aplicados em instituições financeiras por exemplo exemplo são de baixa sofisticação são aqueles que estão emulando o nosso rosto o nosso V Sei lá nossa Face né nessa camada de apresentação Então você tem por exemplo né Eh um uma autenticação que a gente chama de fria né então é difícil de você da do próprio aplicativo a tecnologia saber se tá lidando ali com um um humano mesmo né Pensa naquelas câmeras que conseguem do do do exército consegue ver se tá tem a questão da temperatura e etc e tal nas webcams por exemplo que

são utilizadas não tem esse tipo de tecnologia ainda óbvio que é coisa que pode no futuro vir a existir mas por enquanto é difícil de saber se se tá lidando com uma foto com um vídeo num iPad a gente a gente vê muita fralde de seu rosto reduzido ali mas o iPad ele tem um tamanho muito próximo ao nosso rosto também né então você vê é difícil da da câmera por exemplo saber se tá lidando ali com eh uma foto um vídeo num [Música] iPad uma das formas também utilizadas por esses criminosos com Deep fake

simulação 3D de rosto é para tentar burlar o reconhecimento facial e a gente sabe que lamentavelmente ou até por questão de segurança o uso do reconhecimento facial é muito comum principalmente pelos aplicativos bancários E aí os criminosos tentam se passar por aquele titular da conta para acessar a conta cometendo os mais variados crimes mas principalmente o crime de estelionato e o Crime de fraude eletrônica o crime de fraud de eletrônica prevê pena de reclusão de 4 a 8 anos a pena é altíssima por isso que qualquer vídeo deve sempre lembrar de lavrar o boletim de

ocorrência para que a polícia possa investigar esses criminosos que usam lamentavelmente de tecnologia contra todo o sistema se você não tá lendo a temperatura daquela outra parte né você não sabe se é o modelo de Cera você não sabe se é o Ipad com vídeo e por aí vai então são coisas que a a tecnologia vai deixando as pessoas usarem no dia a dia ah por exemplo e Vai Abrindo essa janela de vulnerabilidade a própria questão do do da Baixa resolução hoje você tem muito celular que não tem uma câmera muito potente então é esses

celulares mais baratinhos não vão tirar uma foto de alta resolução então a tecnologia já tem que estar preparada para permitir que esses celulares também sejam utilizados por exemplo para abrir uma conta bancária então as fotos em baixa resolução por exemplo também são utilizadas são usadas pelos fraudadores né só que ele pega uma foto em baixo resolução para tentar vaipassar para tentar burlar o sistema de segurança não que ele tenha uma foto em baixa resolução tua mas como a tecnologia permite que uma foto em baixa resolução seja utilizada para autenticar alguém por reconhecimento facial ele tenta

usar isso para poder eh vai burlar o sistema então perceba tudo isso que a tecnologia permite em termos de funcionalidade é por isso que eu digo que uma funcionalidade é uma falha de segurança disfarçada né é utilizado pelos fraudadores só para finalizar o que pouca gente sabe talvez isso seja uma coisa interessante pra gente tratar aqui é que esses fraudadores tentam absolutamente de tudo para poder burlar um sistema de autenticação por reconhecimento facial porque quando a gente faz uso legítimo leia-se uso o aplicativo do banco para me autenticar para uma transação financeira a gente usa

isso em do segundos o fraudador tá tentando fazer tudo isso que eu falei aqui mas uma série de outros métodos o dia inteiro o pessoal não tem essa noção sabe que ele tenta fazer uma uma transação se passando por você seja usando a foto em baixa resolução seja com Ipad seja com o sei lá se vai ser usar o boneco de Ciro ou não mas percebe ele está tentando isso por horas e horas a fio Até que em algum momento ele consegue além do prejuízo direto com o roubo as vítimas também enfrentam outros impactos com

uma dificuldade de recuperar o crédito e o tempo gasto em processos burocráticos para contestar transações fraudulentas esses danos financeiros se somam aos psicológicos com vítimas sofrendo medo insegurança e constrangimento ao verem seus dados biométricos violados em um recente caso investigado pela polícia de São Paulo criminosos burlaram o sistema de reconhecimento facial de instituições bancárias utilizando fotos adulteradas a Fraude consistia em manipular imagens para que os golpistas conseguissem passar pela etapa de verificação facial acessando indevidamente contas bancárias e realizando transações fraudulentas as investigações indicam que os suspeitos conseguiram driblar o sistema ao usar fotos de baixa

qualidade ou modificadas revelando falhas na tecnologia de reconhecimento Especialmente na detecção de vida que deveria identificar se a imagem é de uma pessoa real ou não acho que tem dois níveis de indivíduos aqui que a gente precisa falar tem os indivíduos que nunca eh se ficaram expostos online leia-se pessoas de baixa inclusão digital pessoas que não TM redes sociais né e e tem as pessoas que se expõem muito né então acho que quando aquela pessoa tá se expondo muito gravando muito vídeo o tempo todo ali postando de forma pública sem controlar onde é que vai

parar esse conteúdo e etc essa pessoa já automaticamente já tá mais vulnerável para esses bandidos todos que a gente tá falando né O que o que quando a gente fala de privacidade proteção Principalmente eu me preocupo muito com este primeiro grupo porque este segundo grupo já tomou a opção de perder muito da sua privacidade quando faz essas postagens todas né mas tem muita gente que tá sofrendo fraudes sem nunca ter postado uma única foto em toda a sua vida esse é o primeiro grupo que eu acho que a gente precisa falar porque são pessoas e

muitas vezes até Humildes mas que por conta da inclusão e digital obrigatória até exemplo Imposto de Renda você precisa fazer online né Tem uma série de trâmites hoje que é obrigatório praticamente fazer online se você não tiver algum tipo de de mecanismo para e se comunicar na internet É como se você não existisse né isso faz com que essas pessoas principalmente idosos né tenham fotos hoje já registradas né em bases de dados né sejam bases de dados oficiais a própria CNH brasileira um exemplo disso né seja fotos eh que foram tiradas por métodos não obrigatórios

é que a gente tá falando também da questão das contas bancárias e tudo mais a questão é que esses dados acabaram vazando ao longo do tempo né e pouca gente sabe disso e aqui a gente não precisa entrar de que culpa de quem foi mas tem incidente de segurança em órgão governamental tem incidente de segurança em instituição financeira tem incidente de segurança acontecendo em tudo quanto é e os bandidos vão copiando acumulando esses dados porque essa é a matéria prima para eles poderem trabalhar são os nossos dados é o nosso endereço nosso telefone nossas fotos

Nossos Vídeos tudo aquilo que então essa pessoa eh não optou por expor a sua vida íntima né ter a sua privacidade ali violada Mas acabou acontecendo e ela sofre um golpe porque alguém utilizou os dados dessa pessoa para se autenticar perante uma instituição financeira e de repente ela tá devendo de repente enfim ela nem sabe o que tá acontecendo né E como é que essa pessoa se protege né existem mecanismos de monitoramento de CPF né alguns birôs de crédito oferecem isso ah se alguém usar o teu CPF para abrir uma conta a gente vai te

avisar enfim se tiver alguma consulta no teu nome a gente vai te avisar e etc né mas é meio absurdo que você exija que essas pessoas que optaram por estar nesse primeiro grupo tenham que pagar ainda por isso não foi responsabilidade delas o vazamento dos dados delas ter acontecido mas A grande questão é que a maioria das pessoas não faz a mínima ideia que esse risco sequer existe né então acabam descobrindo do pior jeito né não é nem pelo amor é pela dor é quando o CPF é negativado quando é protestado é quando muitas vezes

até e chega algum tipo de notificação de que tem um processo judicial at questões até penais muitas vezes né porque essas pessoas em muitos casos a gente já viu isso acontecer viram até laranjas né porque uma conta foi aberta no nome dela para receber um dinheiro que foi utilizado para sacar ou para mandar para um outro lugar e de repente você tá você figura ali como parte de uma organização criminosa de um negócio que você nem sabe o que alguém abriu uma conta no teu nome e tal a investigação né de crimes cibernéticos ela se

pauta em geral na busca pela autoria pelos rastos que os indivíduos deixam aí pelo caminho né são Então são buscas por IPS por identificações aí que eles vão deixando no caminho do do do cometimento do crime a a Mai maior dificuldade que a gente enfrenta é O Anonimato né hoje o o eh o criminoso tem uma vasta gama aí de artifícios para que se eh Se mascare a i PS ou eh busca O Anonimato de várias maneiras né outro problema que a gente tem inclusive em relacionado ao Anonimato né é que muitas plataformas hoje tanto

no Brasil quanto fora muitas vezes são relutantes aí em ceder informações em relação a a a ao registros aí a cadastros dos dos clientes né Eh mesmo e quando eu digo isso eu não digo apenas em relação aos ofícios da polícia né muitas vezes até com ordens judiciais a gente tem resistência a em obter as informações ou quando ou quando eles fornecem a demora é muito grande e prejudica muitas as investigações [Música] então a gente começa a entrar numa Seara inclusive né Se a gente for falar de medidas eh de resposta que começam e infelizmente

a gente vê pessoas físicas sofrendo com isso todos os dias que é já foi negativado já tem um prejuízo financeiro muitas vezes seu nome foi parado dentro de um inquérito policial imagina ainda tem que contratar um advogado percebe ainda tem que gastar dinheiro para ficar monitorando seu CPF né Então essas pessoas que os bandidos acabam utilizando seus dados para fazer tudo esse essas tramoias que a gente tá falando aqui ainda precisam perder tempo e dinheiro para que esse prejuízo não aumente né não tem muita saída tecnológica nesse sentido eu te falo que ah mas não

tem uma ferr enta que faça os bandidos não terem mais acesso aos teus dados não isso já foi já existem quando você para para analisar esse ecossistema do Cyber crime você vê que os próprios bandidos usam serviços de consulta não tem hoje os birôs de crédito que permitem as empresas consultar um CPF e saber a renda mensal uma série de coisa e tal os bandidos também tem esse serviço né só que eles vão saber eh todos os endereços onde você morou as escolas onde você estudou é um negócio surreal muitas vezes até melhor base de

dados mais enriquecidas que os próprios biros de crédito sabe por quê Porque eles vão usar isso a assim a favor deles para praticar Golpes etc então imagine uma pessoa física que sofreu com isso como é que ela vai fazer esses dados saírem da mão do bandido isso compete ao estado não a pessoa física caso um usuário tenha a sua conta bancária invadida porque um criminoso usou um Deep fake ou uma simulação 3D do rosto e conseguiu superar o reconhecimento facial a responsabilidade Claro é do banco porque seu sistema de segurança falhou o usuário não teve

culpa nenhuma o nosso rosto é um dado público basta ter uma rede social que centenas de fotos suas estarão ali disponíveis isso não é culpa do usuário quando o indivíduo consegue usar a tecnologia e superar um fator de segurança que quem cuida é o banco Inclusive a sua responsabilidade é objetiva de acordo com a lei e precedentes do STJ também reconhecem essa responsabilidade de que Quando um usuário não deu causa essa invasão e o sistema de segurança do banco falhou quem tem que pagar pelo prejuízo é o próprio banco e aí ele pode depois ir

atrás responsabilizar o autor mas ao consumidor titular da conta Quem deve ressarcir é o próprio banco hoje obviamente os maiores bancos estão mais preparados para isso né Tem uma trilha de auditoria muito interessante sobre o que a gente chama da sessão do usuário que que é isso quando alguém começa a utilizar o aplicativo ali tô falando no caso do celular mas isso se aplica também até aos sistemas que rodam em computador né em laptop Enfim tudo que tiver ali uma webcam mas ele sabe Exatamente tudo aquilo que você tá fazendo e ele tá guardando registros

logs de tudo aquilo então no momento que ele entende toda a tua sessão seja se você demorou 2 minutos ou 2 horas ele consegue Ant momento da fraude porque ele vai aprendendo com o trabalho ali do fraudador a gente vê que os grandes bancos já estão nesse nível de maturidade a questão Catarine aqui a gente tem muitas finex que estão entrando o tempo todo nesse mercado e você sabe como é startup né é tipo lança logo o produto pensa em em segurança na maioria das vezes né Pensa em segurança depois e aí você quando você

vai fazer uma perícia num sistema desses a trilha de auditoria é é praticamente nula e para nós eh quando a gente vai pegar uma prova do que foi que aconteceu o registro só diz assim autenticou ou não autenticou Ah mas quantas vezes a pessoa tentou antes disso ah eu não tenho log disso então Eles tomam as primeiras fraudes para aprender com isso e gerar trilhas de auditorias mais robustas para poder depois enfim de alguma forma conter isso então resumindo grandes bancos já estão bem mais robustos com isso os as pequenas instituições financeiras a gente vê

que ainda tem muito a incrementar nesses registros todos e obviamente se não tá registrando não tem como parar não tem detecção né você não consegue detectar aquilo que você não tá registrando né a lei geral de proteção de dados fala que por exemplo se uma empresa coleta a sua imagem numa validação de identificação facial ela deve armazenar com muita segurança essa informação porque o vazamento de coleta pode gerar é uma facilidade para o criminoso criar uma Deep fake ou uma manipulação 3D do seu rosto porque a própria ferramenta vai ter validado aquele acesso e o

vazamento pode ser utilizado contra ele mesmo vai dizer o dado que vazou é utilizado contra o próprio sistema de segurança e a conta Possivelmente pode ser invadida por isso que a npd a autoridade Nacional de Proteção de dados fiscaliza a gestão desses dados principalmente biométrico e facial por parte das empresas principalmente dos bancos que deve ser armazenado com maneira de maneira muito segura e de maneira nenhuma vazar se acontecer o vazamento npd inclusive pode mutar essas instituições