Quando a mão vira senha e a privacidade fica exposta

Por Fernando Manfrin*

A evolução da autenticação digital trouxe conveniência e, ao mesmo tempo, uma nova camada de exposição que ainda não foi completamente assimilada pelo público. A substituição de senhas por biometria consolidou a ideia de que o corpo passou a ser a chave de acesso mais segura para serviços financeiros, plataformas digitais e dispositivos pessoais. Impressões digitais, leitura da palma da mão e padrões de interação na tela deixaram de ser apenas recursos tecnológicos e passaram a integrar o núcleo da identidade digital.

Esse avanço, no entanto, deixou de ser apenas uma tendência tecnológica e passou a ganhar escala concreta no mercado. Nos Estados Unidos, a Amazon expandiu o uso do sistema Amazon One, que permite pagamentos e identificação por meio da leitura da palma da mão em lojas físicas e eventos. A proposta é eliminar cartões e senhas, substituindo tudo por um identificador biométrico único. Embora eficiente do ponto de vista operacional, o modelo levanta questionamentos relevantes sobre armazenamento, compartilhamento e eventual uso indevido desses dados em larga escala.

Ao mesmo tempo, a confiança depositada na biometria vem sendo explorada como vetor de fraude, em especial por meio de engenharia social. Nos últimos meses, relatos de golpes que mencionam suposta coleta indevida de dados “pela mão” ou pela tela do celular passaram a circular com mais intensidade, criando um ambiente de insegurança que mistura desinformação com riscos reais.

Do ponto de vista técnico, não há evidência de que dados biométricos possam ser capturados remotamente apenas pelo toque em uma tela comum. Ainda assim, a narrativa tem sido suficiente para induzir usuários a clicar em links maliciosos, baixar aplicativos falsos ou autorizar acessos indevidos em seus próprios dispositivos. O ataque não ocorre na tecnologia em si, mas na percepção do usuário sobre ela. É uma exploração direta da confiança construída ao redor da biometria.

A discussão, no entanto, não é hipotética. Em 2014, durante uma coletiva de imprensa, a então ministra da Defesa da Alemanha Ursula von der Leyen teve a imagem de sua mão capturada em alta resolução por pesquisadores, que conseguiram reproduzir sua impressão digital a partir das fotos. O episódio, que ganhou repercussão internacional, evidenciou que dados biométricos podem ser obtidos de formas indiretas, sem acesso físico ao dispositivo. Anos depois, ela assumiria a presidência da Comissão Europeia, reforçando o alcance institucional de um caso que antecipou debates hoje centrais.

Sob a ótica da privacidade de dados, o cenário exige atenção redobrada. Informações biométricas são classificadas como dados sensíveis por legislações como a LGPD, o que impõe às empresas um nível mais elevado de responsabilidade sobre coleta, armazenamento e uso. Diferentemente de uma senha, dados biométricos não podem ser alterados em caso de comprometimento. Uma vez expostos, o impacto tende a ser permanente.

Ao mesmo tempo, a sofisticação dos sistemas de coleta vai além da biometria tradicional. Padrões de toque, velocidade de digitação e comportamento de navegação já são utilizados para autenticação contínua e prevenção a fraudes. São dados invisíveis para o usuário médio, mas extremamente valiosos para empresas e, consequentemente, atraentes para agentes mal-intencionados.

O desafio atual não está apenas em proteger sistemas, mas em alinhar tecnologia, regulação e educação do usuário. A transparência sobre quais dados são coletados e como são utilizados ainda é insuficiente diante da complexidade desses mecanismos. Enquanto isso, o ambiente digital se torna mais propenso a ataques que exploram justamente essa assimetria de informação.

A discussão sobre privacidade precisa avançar para além do consentimento formal e incorporar uma visão mais estratégica de risco. Biometria não é apenas uma camada de segurança, é um ativo sensível que exige governança rigorosa. Em um contexto em que o próprio corpo se torna credencial, proteger dados deixa de ser uma questão técnica e passa a ser uma questão de confiança.

* Fernando Manfrin é advogado especialista em compliance e data privacy