Exigência de Biometria para Desbloquear Novos Empréstimos Consignados: uma Solução Aparente com Riscos Reais

A partir de hoje, dia 23 de maio de 2025, entra em vigor a exigência de identificação biométrica obrigatória na aplicação do Meu INSS para desbloqueio de novos empréstimos consignados em benefícios previdenciários e assistenciais pagos pelo INSS.

A medida, determinada em despacho do Presidente do INSS publicada no dia 19 de maio, foi anunciada como uma forma de ampliar a segurança nas operações de crédito para aposentados e pensionistas (entre outros beneficiários) e insere-se na crescente tendência de incorporar tecnologias de autenticação biométrica aos processos financeiros. Porém, essa nova exigência merece uma reflexão crítica, especialmente quanto à sua eficácia real na prevenção de fraudes e aos riscos significativos para a proteção de dados pessoais sensíveis.

A Biometria como “Chave Mestra” e os Limites da Segurança da Informação

A justificativa central da decisão está na ideia de que a biometria, por sua unicidade e dificuldade de replicação, seria uma ferramenta mais segura do que métodos tradicionais de autenticação, como senhas ou tokens alfanuméricos.

Contudo, essa visão não considera adequadamente as vulnerabilidades inerentes ao uso de dados biométricos - como a impressão digital e o reconhecimento facial ou voz - que, uma vez coletados, armazenados e eventualmente vazados, não podem ser alterados ou revogados, ao contrário do que ocorre com uma senha alfanumérica.

A fragilidade desse sistema se manifesta com clareza em situações de violação de bases de dados com informações biométricas. No Brasil, por exemplo, já se noticiaram vazamentos de dados pessoais biométricos de uma empresa de telefonia e em golpes de falsas entregas dos Correios (com o uso dos dados na abertura fraudulenta de contas bancárias digitais e a obtenção indevida de empréstimos). Um eventual megavazamento de dados de identificação biométrica armazenados pelo INSS pode expor milhões de registros dos cidadãos e indica que a biometria pode se converter, paradoxalmente, em um vetor de riscos. Diferente das credenciais convencionais, a "senha" biométrica acompanha a pessoa por toda a vida e não há como "emitir" uma nova impressão digital ou um novo padrão facial, após a ocorrência de um incidente.

A Inversão Probatória e as Dificuldades do Beneficiário

Outro aspecto crítico da exigência da biometria para a contratação de crédito consignado é o efeito probatório que ela pode produzir nos litígios entre consumidores e instituições financeiras e o INSS.

Não é incomum que, diante de uma contestação por parte do consumidor que alega não ter contratado determinado empréstimo, o banco apresente o registro biométrico como prova cabal da contratação, afirmando que o dado foi utilizado para autenticar a assinatura digital ou validar a operação.

Esse cenário gera uma inversão probatória velada, na qual o consumidor e beneficiário do INSS (muitas vezes idoso, vulnerável e sem conhecimentos técnicos) passa a enfrentar enormes dificuldades para demonstrar que não foi ele quem realizou a operação.

A dificuldade de perícia sobre os dados biométricos, os desafios técnicos para auditar sistemas privados de autenticação e a ausência de transparência sobre o ciclo de vida desses dados (coleta, armazenamento e uso, entre outras operações de tratamento) reforçam a assimetria informacional entre bancos e consumidores.

Dados Biométricos como Dados Pessoais Sensíveis: Proteção Reforçada e Deveres Legais

No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) inclui a biometria na categoria de dados pessoais sensíveis (art. 5º, II), sujeitos a regime jurídico mais restritivo, especialmente na definição das bases legais (art. 11). Na União Europeia, o Regulamento Geral de Proteção de Dados (RGPD ou GDPR) classifica esses elementos como categorias especiais de dados pessoais (art. 9º). Em ambas as normas, o tratamento desses dados exige uma base legal adequada e a adoção de medidas técnicas e organizacionais de segurança aptas a mitigar riscos e prevenir a ocorrência de incidentes.

O princípio da necessidade (ou da minimização de dados) obriga os agentes a coletar apenas os dados estritamente necessários para a finalidade pretendida . No entanto, a exigência indiscriminada da biometria para desbloqueio de operações financeiras gera dúvidas sobre a proporcionalidade da medida e sua adequação ao risco. É mesmo indispensável submeter todos os beneficiários do INSS (que buscam contratar um empréstimo bancário) a esse tipo de autenticação? Ou haveria meios alternativos, menos invasivos e igualmente eficazes para assegurar a validade da transação?

O Paradoxo da Segurança: Biometria como Vulnerabilidade

Ao contrário de eliminar fraudes, a adoção obrigatória da biometria pode, na verdade, criar novos vetores de risco. Os sistemas biométricos podem ser fraudados mediante técnicas de "spoofing", que replicam características físicas de uma pessoa a partir de imagens e áudios, entre outros dados pessoais. Além disso, o armazenamento centralizado de bases de dados biométricos eleva significativamente a superfície de ataque para criminosos cibernéticos, o que torna os entes públicos e as instituições financeiras como alvos prioritários.

Paradoxalmente, a imposição da biometria como requisito para o crédito consignado pode aumentar a confiança excessiva nesses sistemas, levando consumidores e operadores financeiros a baixar a guarda para outros elementos tradicionais de verificação, como a análise documental, a conferência de histórico e a validação presencial.

O Consentimento e a Autonomia do Titular: Elementos Enfraquecidos

Outro problema relevante está relacionado ao consentimento. Embora a LGPD permita o tratamento de dados pessoais sensíveis mediante outras bases legais além do consentimento (art. 11, I e II), a exigência regulatória esvazia a liberdade real do titular.

Quando a biometria se transforma em pré-requisito obrigatório para desbloquear crédito, o consentimento deixa de ser um ato genuinamente livre e informado, convertendo-se em uma adesão forçada, considerando que o fornecimento dos dados biométrico é condicionado ao cumprimento de dever regulatório pelo controlador (art. 11, II, 'a', da LGPD).

A autonomia do titular sobre seus dados é, assim, sacrificada em prol de uma segurança meramente presumida, sem que se ofereçam opções alternativas ou mecanismos eficazes de impugnação.

Conclusão: Entre a Segurança Prometida e os Riscos Ignorados

A exigência de biometria para desbloqueio de novos empréstimos consignados, que passa a valer a partir de 23 de maio de 2025, representa uma típica medida de segurança performática: cria a impressão de proteção robusta e suficiente, mas ignora a existência de vulnerabilidades técnicas, jurídicas e sociais.

Ao tratar dados biométricos como senhas infalíveis, esquece-se que esses elementos são imutáveis, cuja exposição compromete irremediavelmente a privacidade e a segurança dos seus titulares.

Além disso, transfere ao consumidor a carga de provar que não contratou o crédito, enquanto protege a instituição financeira sob o manto de uma suposta autenticidade biométrica.

Frente a esse cenário, é imperativo que órgãos reguladores, entidades de defesa do consumidor e o próprio Judiciário desenvolvam uma interpretação crítica dessa nova prática, a fim de exigir a máxima transparência na gestão dos dados biométricos pelo INSS (controlador) e pelas instituições financeiras (operadores), a possibilidade de meios alternativos de autenticação e o fortalecimento dos direitos de informação e contestação dos titulares. A segurança da informação, quando construída sobre fundamentos frágeis, pode transformar-se em risco, e não em proteção.