O que acontece se eu for roubado e levarem meu celular com as passkeys?

Depende da implementação do banco. Se o banco usar chaves sincronizadas em nuvem, você pode revogar o acesso pelo seu Apple ID ou conta Google e recuperar as chaves em um novo aparelho. Se o banco usar chaves fixas ao dispositivo (Device-Bound), o fraudador precisará da sua biometria (FaceID/TouchID) ou PIN do aparelho para usar a chave. Sem isso, a passkey é inútil. Você precisará fazer um novo reconhecimento facial no banco com o aparelho novo para emitir uma nova chave.

Passkeys substituem a biometria facial que os bancos já usam?

Não, elas se complementam. A biometria facial do banco (como a liveness detection que tira foto do seu rosto) verifica sua identidade real contra uma base de dados. A passkey (ativada pela biometria do próprio celular) verifica se você é o dono daquele dispositivo específico de forma rápida a cada login. A foto do rosto será usada mais para recuperação de conta e emissão de novas passkeys, enquanto o login no dia a dia será apenas encostar o dedo ou olhar para o celular.

Por que o SMS com código de segurança (OTP) não é mais seguro?

O SMS tem duas falhas graves. Primeiro, ele pode ser interceptado pelas operadoras de telefonia através de ataques de SIM Swapping (clonagem de chip). Segundo, mesmo que chegue com segurança ao seu celular, você pode ser enganado por um site falso de phishing para digitar esse código lá. O fraudador pega o código em tempo real e entra na sua conta. Passkeys são imunes a isso porque não há código para ser digitado.

Fintechs e startups menores têm caixa para implementar FIDO2?

Sim. Diferente do passado, onde segurança de ponta exigia infraestrutura proprietária cara, o padrão WebAuthn (FIDO2) é aberto e suportado nativamente por iOS, Android, Windows, Mac e todos os navegadores modernos. Existem diversas APIs e provedores de identidade como serviço (IDaaS) que permitem a integração de passkeys em aplicativos menores com baixo custo de desenvolvimento.

Fim das Senhas? Como FIDO2 e Passkeys Vão Eliminar o Phishing no Banking Brasileiro

A indústria financeira brasileira sangra bilhões de reais todos os anos por um motivo absurdamente simples: nós ainda confiamos em senhas. Segundo levantamentos recentes que cruzam dados da Febraban e do Fórum Brasileiro de Segurança Pública, mais de 70% das fraudes de invasão de conta (Account Takeover - ATO) começam com credenciais roubadas. O fraudador não invade os servidores do banco. Ele hackeia o usuário.

Se você opera uma fintech ou um banco digital no Brasil hoje, sabe que a engenharia social é o calcanhar de Aquiles da nossa infraestrutura. O cliente recebe um SMS falso dizendo que sua conta do Nubank, Itaú ou Mercado Pago foi bloqueada. Ele clica no link, digita o CPF, a senha e, de quebra, insere o código de seis dígitos do SMS que o banco acabou de enviar. O estrago está feito. O fraudador limpa a conta via Pix em questão de minutos.

Tentamos remendar esse problema por anos. Forçamos os usuários a criarem senhas com letras maiúsculas, números e símbolos esotéricos. Implementamos autenticação de dois fatores (MFA) via SMS, e-mail e aplicativos geradores de código. A dura realidade é que nada disso funciona contra um ataque de phishing moderno. O SMS virou uma piada de mau gosto para qualquer quadrilha especializada em SIM Swapping ou ataques Adversary-in-the-Middle (AitM).

A única saída técnica viável para o setor financeiro atende por dois nomes que andam juntos: FIDO2 e Passkeys. A transição não é apenas uma atualização de segurança. É uma mudança completa de paradigma na forma como provamos quem somos no ambiente digital.

A Falência Múltipla do MFA Tradicional

Para entender a revolução das passkeys, precisamos olhar para as ruínas do sistema atual. O mercado brasileiro de pagamentos digitais é um dos mais dinâmicos do mundo. O Pix transaciona volumes colossais diariamente. A velocidade da liquidação exige uma segurança igualmente ágil e impenetrável.

O que o mercado chama de MFA (Multi-Factor Authentication) hoje é, na maioria das vezes, MFA vulnerável a phishing. O ataque clássico de Adversary-in-the-Middle (AitM) funciona de forma devastadora. O criminoso configura um servidor proxy reverso. Quando o usuário acessa www.itau-segurança-atualizacao.com, essa página falsa se conecta em tempo real ao servidor verdadeiro do banco.

O usuário digita sua senha na página falsa. O servidor do criminoso repassa a senha para o banco. O banco, achando que é um login legítimo, envia um SMS com o código OTP (One-Time Password) para o celular do usuário. O usuário digita esse código na página falsa. O criminoso pega o código, insere no site real do banco e captura o token de sessão. A partir desse momento, o fraudador tem acesso irrestrito à conta. O MFA tradicional não falhou por falta de criptografia; falhou porque o usuário foi enganado.

Nós, que acompanhamos as resoluções do Banco Central, sabemos que a pressão regulatória está aumentando. A Resolução Conjunta Nº 6 do BACEN e CMN já exige controles rigorosos de cibersegurança e prevenção a fraudes. A resposta do mercado precisa ir além de campanhas de conscientização pedindo para o cliente "não clicar em links suspeitos". Precisamos tirar a decisão de segurança das mãos do usuário.

O que é FIDO2 e como as Passkeys mudam o jogo

A FIDO Alliance (Fast IDentity Online) é um consórcio global que inclui gigantes como Apple, Google, Microsoft, além de bandeiras de cartão e processadores de pagamento. O padrão FIDO2, específicamente o protocolo WebAuthn (Web Authentication), foi desenhado com um objetivo claro: eliminar senhas e criar uma autenticação resistente a phishing.

Passkey é o nome comercial e amigável que a indústria adotou para as credenciais FIDO2. Na prática, uma passkey substitui a senha por um par de chaves criptográficas (criptografia assimétrica).

Funciona assim:

Quando o usuário cria uma conta (ou atualiza seu método de login) no aplicativo do banco, o dispositivo dele (smartphone ou computador) gera duas chaves matemáticas únicas.
A chave pública é enviada e armazenada nos servidores do banco.
A chave privada nunca sai do dispositivo do usuário. Ela fica trancada no enclave seguro do hardware (como o Secure Enclave da Apple ou o Titan M do Google).

Para usar a chave privada e assinar o desafio de login enviado pelo banco, o usuário precisa provar que está presente. Ele faz isso usando a biometria do próprio aparelho (Face ID, Touch ID, biometria facial do Android) ou o PIN do dispositivo.

O Segredo da Resistência ao Phishing: Domain Binding

Aqui está a genialidade do FIDO2 que elimina o golpe da página falsa. O protocolo exige uma técnica chamada "Domain Binding" (vinculação de domínio).

Quando o navegador ou aplicativo tenta autenticar o usuário, o protocolo verifica exatamente qual é o domínio que está solicitando o login. Se a passkey foi criada para nubank.com.br, ela está criptograficamente amarrada a esse domínio exato.

Se o usuário for enganado e entrar em nubank-promocao-pix.com, o site falso vai pedir a autenticação. O navegador ou sistema operacional do celular vai checar o domínio, perceber que não baté com o registro original e simplesmente não vai ativar a passkey. O usuário não consegue fazer login no site falso nem se quiser. O sistema o protege dele mesmo.

O Cenário Brasileiro: Quem está puxando a fila

No Brasil, a adoção começou pelas bordas do ecossistema financeiro e agora atinge o núcleo duro. O Mercado Pago foi um dos pioneiros ao implementar passkeys para proteger as contas de seus milhões de usuários, reduzindo drasticamente a fricção no checkout e práticamente zerando o ATO via engenharia social.

Observamos grandes players varejistas e bancos digitais correndo para atualizar seus SDKs de segurança. O Nubank, conhecido por sua arquitetura moderna, tem se movimentado fortemente na direção de abandonar senhas legadas, útilizando a biometria comportamental e de hardware como fatores primários.

O Open Finance é o grande catalisador dessa mudança em 2026. Com a proliferação dos Iniciadores de Transação de Pagamento (ITPs), a jornada de pagamento precisa ser fluida. Redirecionar o usuário para o app do banco, pedir senha de 8 dígitos, depois token, depois biometria, derruba a taxa de conversão. O uso de passkeys permite que o usuário autorize uma iniciação de pagamento via Pix com apenas um olhar para a câmera do celular, mantendo o nível máximo de segurança exigido pelo BACEN.

Impacto Direto no P&L das Instituições

Nossa análise de mercado mostra que a implementação de FIDO2 não é apenas um projeto do CISO (Chief Information Security Officer). É uma agenda do CFO (Chief Financial Officer).

Manter uma infraestrutura baseada em senhas é caríssimo. Dados de consultorias globais indicam que entre 20% e 50% das chamadas de helpdesk em instituições financeiras estão relacionadas a redefinição de senhas e problemas de acesso. Cada chamada para um call center custa, em média, de R$ 15 a R$ 30 para o banco.

Multiplique isso por uma base de 30 milhões de clientes. O custo operacional anual apenas para ajudar pessoas que esqueceram senhas ou tiveram contas bloqueadas por tentativas de invasão atinge as dezenas de milhões de reais.

Somado ao custo de suporte, temos o custo direto da fraude. O ressarcimento de valores roubados via Pix por invasão de conta, os custos com processos judiciais (onde a jurisprudência brasileira frequentemente condena o banco por falha na prestação do serviço) e a perda de confiança da marca pesam pesadamente no balanço. Passkeys cortam essas duas linhas de despesa na raiz.

Desafios Práticos da Adoção em Massa

Nem tudo é um mar de rosas. A transição de um modelo de 40 anos (senhas alfanuméricas) para criptografia invisível traz desafios reais de UX (User Experience) e engenharia.

O Problema da Recuperação de Conta

Se a chave privada fica no celular, o que acontece se o cliente for assaltado na Avenida Paulista e levarem o aparelho desbloqueado?

A indústria resolveu parte disso com as "Passkeys Sincronizadas". Apple e Google sincronizam as chaves na nuvem (iCloud Keychain e Google Password Manager). Se você compra um iPhone novo e faz login no seu Apple ID, suas passkeys descem para o novo aparelho. A segurança da sua conta bancária passa a depender da segurança da sua conta Apple ou Google.

Para o setor bancário mais conservador, isso gera desconforto. Muitos bancos brasileiros estão optando por "Device-Bound Passkeys" — chaves que não vão para a nuvem. Elas morrem com o hardware. Se o cliente perde o celular, ele precisa passar por um processo rigoroso de prova de vida (reconhecimento facial com liveness detection integrado à base da Serpro ou CNH) para emitir uma nova chave no dispositivo novo. É o equilíbrio entre segurança extrema e atrito necessário na recuperação.

Fragmentação do Ecossistema

Outro desafio é o uso cruzado. Como um usuário cria uma passkey no iPhone e depois tenta logar na sua conta bancária pelo navegador Windows no computador do escritório? O padrão FIDO2 resolve isso via CTAP2 (Client to Authenticator Protocol). O computador exibe um QR Code, o usuário escaneia com o iPhone, autentica com o FaceID via Bluetooth (para provar proximidade física) e o login acontece no Windows. A tecnologia funciona perfeitamente, mas explicar essa coreografia para o brasileiro médio exige interfaces muito bem desenhadas pelos times de produto.

O Veredito: A Senha Tem Prazo de Validade

O mercado financeiro brasileiro sempre foi vanguarda em tecnologia bancária global. O salto do cheque para o TED, do TED para o Pix, provou nossa capacidade de adoção em massa de novas tecnologias quando elas resolvem dores reais.

A eliminação das senhas e a aposentadoria do SMS como fator de segurança já não são previsões futuristas. São demandas operacionais imediatas. Bancos, adquirentes e fintechs que insistirem em pedir senhas de 6 ou 8 dígitos nos próximos dois anos estarão assumindo um risco de fraude desproporcional.

O phishing não vai acabar porque os criminosos desistiram. O phishing vai acabar porque, com FIDO2 e passkeys, não haverá mais nada que o usuário possa entregar acidentalmente ao fraudador. A segurança, finalmente, deixará de ser um fardo cognitivo para o cliente e passará a ser uma garantia matemática da infraestrutura.