Juliana Braz: «No pots verificar allò que no pots identificar de manera única»

Juliana Braz lidera el Desenvolupament de Negoci Internacional i actua com a portaveu de Serpro, l’esquelet tecnològic del govern federal brasiler. Des d’aquest rol, connecta dret, administració pública i enginyeria per abordar un dels reptes més grans de l’Estat: demostrar de manera fiable qui és qui a escala nacional. Es va formar professionalment contribuint a transformar el permís de conduir en paper en la premiada CNH Digital (permís de conduir digital) i, des d’aleshores, s’ha consolidat com una veu clara i pragmàtica en identitat digital, prevenció del frau i drets de la ciutadania. Per a Juliana, la identitat és un bé públic i la «seguretat per disseny» no es negocia: biometria i tokenització allà on aporten confiança real; compliment estricte de la LGPD i controls d’accés basats en rols per protegir la privacitat; i camins inclusius perquè la tecnologia no deixi mai ningú enrere.

Defensa el model de nivells de seguretat de Gov.br (Bronze, Plata, Or) com a full de ruta per escalar la confiança, alhora que impulsa la interoperabilitat entre silos de dades per frenar identitats sintètiques i xarxes d’enginyeria social. Amb una visió realista sobre el risc dels deepfakes i del SIM swap, insisteix que la cultura i la formació han d’avançar al mateix ritme que les eines. De cara al futur, imagina un ecosistema ancorat en el CPF que evoluciona cap a la SSI (Self-Sovereign Identity), amb Serpro com a capa sobirana de confiança del Brasil i com a hub d’intel·ligència antifrau en temps real.

P: Juliana, la teva carrera combina dret, administració pública i tecnologia. Què et va motivar a especialitzar-te en temes d’identitat i frau en el teu paper a Serpro?

La meva motivació per especialitzar-me en identitat i frau a Serpro sorgeix directament de la meva experiència pràctica desenvolupant sistemes nacionals crítics. Vaig començar la meva carrera a Serpro treballant amb la base de dades existent del permís de conduir (CNH), que ja era una de les principals fonts d’identificació del Brasil.

Va ser gràcies a la meva participació activa en el projecte de creació de la CNH Digital —una iniciativa que va transformar un document físic en una credencial d’alta seguretat, reconeguda a escala nacional amb premis importants com l’iBest— que em vaig sentir profundament fascinada per aquest àmbit. Vaig adonar-me que la identitat és l’actiu més fonamental de l’Administració Pública i que la tecnologia és la millor solució per als complexos problemes de confiança i de frau a gran escala.

Per això, la meva especialització a Serpro és l’evolució lògica d’aquesta trajectòria. Utilitzo la meva formació en Administració Pública i el meu coneixement tècnic per entendre on es troben les vulnerabilitats dels processos (allà on es produeix el frau) i, a partir d’aquí, aplicar tecnologies avançades —com la biometria i la tokenització— per dissenyar solucions de seguretat robustes, protegint el ciutadà i garantint la integritat de la digitalització del sector públic.

P: Com a directiva en una institució clau per a la digitalització del govern, què has après sobre el valor de la identitat digital per a la ciutadania i per a l’Estat?

La meva experiència gestionant iniciatives de digitalització del govern m’ha ensenyat que el valor de la Identitat Digital és absolutament estructural: actua com el motor central d’un Estat modern, eficient i inclusiu. No és només una millora tecnològica; redefineix la relació entre ciutadà i govern, transformant ineficiències històriques en serveis àgils i fiables.

Per al ciutadà, el gran valor és la inclusió universal i l’accés simplificat. La Identitat Digital elimina la necessitat de presència física, cues i tràmits en paper, permetent que milions de persones accedeixin a serveis essencials des de qualsevol lloc i en qualsevol moment, assegurant que els drets arribin a qui realment els necessita. A més, una identitat digital sòlida, sovint recolzada en biometria, és molt més segura davant del frau que els documents físics. Això no només protegeix la persona contra el robatori d’identitat, sinó que també li dona un major control sobre les seves pròpies dades.

Per al govern, la Identitat Digital és el pilar de la bona governança i de la integritat fiscal. Genera eficiència i estalvi de costos estandarditzant i automatitzant els processos d’autenticació a tots els organismes. I, sobretot, és l’eina antifrau més potent: en garantir que cada ciutadà és un individu únic i verificable, l’Estat s’assegura que els recursos públics —com prestacions socials o ajudes d’emergència— arribin només al destinatari correcte, evitant desviaments i pagaments duplicats.

Finalment, la identitat digital permet consolidar i creuar dades de manera segura entre els diferents silos governamentals, oferint una visió única i precisa de la persona per dissenyar polítiques públiques més efectives i millor orientades.

P: El frau d’identitat al Brasil és un repte constant. Des de la teva perspectiva, quines són avui les principals vulnerabilitats que aprofiten els delinqüents?

El frau d’identitat al Brasil és un repte persistent que els delinqüents exploten estratègicament atacant la intersecció entre sistemes heretats, la proliferació de dades robades i la fragilitat humana. Des del punt de vista de la digitalització i la seguretat, les vulnerabilitats comencen amb la filtració de dades personals. El combustible principal del frau és la gran quantitat de dades personals robades i filtrades —incloent-hi CPF, nom de la mare i data de naixement— disponibles a la dark web, que serveixen de base per a obertures fraudulentes de comptes i per a campanyes massives d’enginyeria social.

A més, els delinqüents aprofiten la fragmentació dels registres creant identitats sintètiques, combinant un CPF robat legítim amb dades fictícies per superar els controls inicials d’alta en sectors que no tenen una visió unificada del ciutadà.

En segon lloc, els delinqüents són experts a atacar els processos i l’enllaç més feble de qualsevol sistema: la persona. L’enginyeria social i el phishing continuen sent tàctiques molt efectives; els estafadors utilitzen dades filtrades per construir relats creïbles i manipular la víctima fins que sigui ella mateixa qui lliuri els codis de seguretat. L’atac de SIM swap explota igualment una vulnerabilitat procedimental a les operadores de telecomunicacions: en portar el número de la víctima a una nova targeta, el delinqüent passa a rebre els codis d’autenticació multifactor (MFA) enviats per SMS, eludint així la seguretat de l’aplicació.

Finalment, els sistemes heretats perpetuen vulnerabilitats: la multiplicació històrica de documents d’identitat i la dependència de processos manuals faciliten la falsificació i l’ús de documents robats. A això s’hi afegeixen les amenaces tecnològiques emergents, que posen a prova les noves defenses. A mesura que la biometria facial es converteix en estàndard, els delinqüents inverteixen en vídeos deepfake i màscares digitals d’alta qualitat per enganyar els mecanismes de prova de vida durant l’obertura de comptes. I els atacs a la cadena de subministrament s’han sofisticat, apuntant a proveïdors tercers més petits i menys protegits per robar dades sensibles o injectar codi maliciós en sistemes d’ús massiu.

P: El Brasil ha invertit en biometria i solucions digitals per autenticar milions de persones. Què creus que ha funcionat bé i quines limitacions persisteixen?

El compromís del Brasil amb l’ús de biometria i solucions digitals per a l’autenticació massiva ha estat pioner. Hem assolit fites importants, especialment en la consolidació de dades clau, però encara ens enfrontem a desafiaments rellevants si volem arribar a una seguretat digital realment universal.

La plataforma Gov.br, que utilitza autenticació contrastant amb bases de dades oficials del govern (com la CNH/Denatran i la Receita Federal), ha estat un gran èxit. Funciona amb nivells graduats d’autenticació (Bronze, Plata, Or), incentivant el ciutadà a augmentar el seu nivell de seguretat mitjançant biometria i oferint a l’Estat una capa sòlida d’identitat digital verificada per accedir a milers de serveis.

Tanmateix, continuem tenint dificultats per assolir una interoperabilitat realment fluida entre les grans bases de dades públiques. Disposem de diversos «silos» biomètrics d’alta qualitat que encara no es comuniquen entre ells de manera plena i senzilla. Aquesta fragmentació obliga els organismes a repetir verificacions i complica la creació d’un historial d’identitat veritablement unificat.

P: Quan parlem de tecnologia antifrau, molta gent pensa només en eines. Des de la teva experiència, quina importància tenen la cultura organitzativa i la formació dels equips en la prevenció del frau?

És una observació molt encertada. Tot i que el focus públic sovint es posa en les eines més avançades —biometria, IA, xifrat—, la meva experiència demostra que la cultura organitzativa i la formació dels equips són tan importants com la tecnologia mateixa, si no més.

L’èxit en antifrau es basa en un triangle: Tecnologia, Procés i Persones. Si els costats de persones i cultura són febles, fins i tot la tecnologia més avançada fracassarà.

Una cultura antifrau sòlida ha de començar a la cúpula directiva i estendre’s a tots els nivells de la institució. Converteix la prevenció del frau d’una simple llista de verificació de compliment normatiu en un valor central del negoci. La tecnologia genera les alertes, però són les persones ben formades les que aporten context, anàlisi i resposta ràpida.

P: A Serpro treballeu amb dades a gran escala. Com equilibres la necessitat de seguretat i precisió en la identificació amb el respecte a la privacitat i als drets dels ciutadans?

Treballar amb dades governamentals a gran escala en una institució com Serpro exigeix un enfocament rigorós per equilibrar tres necessitats igualment crítiques: seguretat (prevenció del frau), precisió (identificació correcta) i privacitat (drets del ciutadà).

Aquest equilibri no s’aconsegueix amb una única eina, sinó mitjançant un marc profundament integrat de governança, tecnologia i compliment legal.

El punt de partida és el compliment estricte de la llei, en particular de la Lei Geral de Proteção de Dados (LGPD) del Brasil, que proporciona la base jurídica innegociable. Apliquem el principi de «necessitat de conèixer»: la recollida i l’ús de dades es limiten estrictament a allò que és imprescindible per prestar el servei. Per exemple, si només cal verificar la majoria d’edat d’una persona, accedim únicament a la data de naixement, no a la seva adreça ni als noms dels progenitors. Això es dissenya des de l’arquitectura inicial. A més, qualsevol consulta o transferència de dades ha de tenir una finalitat lícita, clara i específica. Ens assegurem que les dades recollides per a finalitats fiscals, per exemple, no s’utilitzin de manera indiscriminada en un servei de salut excepte que la llei ho permeti o hi hagi consentiment explícit. I garantim que el ciutadà estigui informat sobre quines dades s’utilitzen i amb quina finalitat, respectant plenament els seus drets sota la LGPD, incloent-hi l’accés, la rectificació o l’anonimització de les dades quan sigui legalment aplicable.

La tecnologia s’utilitza per protegir les dades i garantir-ne l’ús correcte, no per maximitzar-ne l’accés. L’accés a informació sensible d’identificació està compartimentat, monitoritzat i altament restringit. Utilitzem un control d’accés basat en rols (RBAC) molt estricte perquè només el personal autoritzat pugui manejar aquestes dades, i qualsevol accés queda registrat i és auditable. Per a tasques com l’anàlisi de patrons de frau, proves de qualitat o models d’aprenentatge automàtic, prioritzem l’ús de dades anonimitzades (sense identificadors personals) o pseudonimitzades (amb identificadors substituïts per tokens), de manera que puguem obtenir intel·ligència sobre tendències sense exposar identitats individuals. A més, les dades es xifren tant en trànsit (quan es mouen entre sistemes) com en repòs (quan s’emmagatzemen en bases de dades), i apliquem tokenització en identitat digital, substituint dades sensibles —com el CPF complet— per tokens sense significat per a les transaccions, reduint al mínim l’exposició d’informació.

P: En els darrers anys han sorgit fraus més sofisticats, com els deepfakes o l’ús d’identitats sintètiques. Com veus la capacitat del Brasil per anticipar-se a aquestes amenaces emergents?

Les amenaces sofisticades com els deepfakes i el frau d’identitat sintètica representen l’avantguarda del ciberdelicte i exigeixen passar d’una defensa reactiva a una anticipació proactiva.

La capacitat del Brasil per fer front a aquestes amenaces és, en certa manera, dual: comptem amb fortaleses importants en dades a gran escala i en regulació, però seguim tenint mancances en intel·ligència unificada i en preparació tecnològica.

El major actiu del Brasil és l’amplitud i la qualitat de les seves dades. Institucions públiques com Serpro gestionen dades biomètriques i registrals a escala nacional. Aquest volum massiu de dades verificades és la millor defensa contra les identitats sintètiques, perquè dificulta la creació d’una persona fictícia que superi una verificació creuada rigorosa. L’existència de la LGPD obliga les organitzacions a adoptar principis de «seguretat per disseny» i reforça la rendició de comptes. Aquesta pressió reguladora impulsa la inversió contínua en seguretat avançada, que inclou eines per detectar manipulacions sofisticades.

El sector bancari i fintech brasiler, altament competitiu i digitalitzat, actua també com un banc de proves constant. Aquestes institucions despleguen ràpidament tècniques antifrau avançades, com la biometria de comportament en temps real o proves de vida reforçades en el reconeixement facial, elevant contínuament l’estàndard del mercat davant dels deepfakes i els atacs de presentació.

Malgrat aquestes fortaleses, les bretxes estructurals i tecnològiques frenen la nostra capacitat d’anticipació. Tot i que existeixen les dades, la intel·ligència sovint queda fragmentada en silos. Els estafadors comparteixen els seus mètodes de manera global i instantània. Per anticipar els atacs, el sector públic (policia, hisenda, justícia electoral) i el privat (banca, telecomunicacions) han de crear un hub d’intel·ligència de amenaces en temps real, jurídicament sòlid. Sense això, la detecció d’una identitat sintètica utilitzada en un banc pot arribar molt després que s’hagi utilitzat en un organisme governamental.

La tecnologia per generar deepfakes es torna més barata i accessible molt més ràpidament que la tecnologia per detectar-los. El Brasil necessita una inversió concertada més gran en tècniques d’anti-spoofing basades en IA que vagin més enllà de les proves de vida simples i analitzin senyals fisiològics subtils o artefactes al flux de vídeo. Això requereix R+D sostinguda i un nivell d’especialització que avui continua concentrat en pocs laboratoris privats de seguretat.

A més, la regulació sol ser reactiva, tancant l’estable quan el cavall del frau ja ha fugit. Anticipar-se exigeix que els reguladors emetin directrius no només sobre vulnerabilitats actuals, sinó també sobre possibles vectors d’atac futurs, modelant activament com tecnologies com la IA generativa o la computació quàntica podrien comprometre els protocols de seguretat actuals.

En resum, el Brasil té la potència de dades necessària per combatre identitats sintètiques i la dinàmica de mercat per reaccionar als deepfakes. Però, per anticipar-se realment a aquestes amenaces, cal prioritzar l’intercanvi d’intel·ligència entre sectors i dedicar recursos a una R+D proactiva en defensa basada en IA, fent que la defensa sigui tan àgil com l’atac.

P: Des de la teva experiència directa, quins són els factors crítics d’èxit en un projecte públic de verificació d’identitat: tecnologia, governança del dada, col·laboració entre organismes… o alguna cosa més?

La meva experiència directa demostra que l’èxit d’un projecte públic de verificació d’identitat depèn d’una tríada de fonaments no estrictament tècnics, sent la tecnologia l’habilitador i no la finalitat.

El factor més crític és la Governança del Dada i la Unicitat. Sense establir un Estàndard Nacional Únic i sense garantir que les dades nuclears estiguin netes, siguin precises i estiguin actualitzades de manera constant, qualsevol solució biomètrica o digital avançada que hi construïm a sobre acabarà fallant; senzillament, no es pot verificar allò que no es pot identificar de manera única.

En segon lloc, la Col·laboració Interinstitucional és absolutament essencial. L’èxit no arriba construint un silo millor, sinó transformant organismes aïllats en una xarxa unificada i fiable de verificació, capaç de compartir intel·ligència i creuar informació en temps real.

Finalment, el projecte ha d’estar guiat per la Usabilitat i la Inclusió. El sistema ha de ser prou segur per combatre el frau, però també prou senzill per assolir una adopció ciutadana propera al 100 %. Això implica oferir múltiples vies de verificació, accessibles i adaptades, per evitar que les mesures de seguretat excloguin les persones més vulnerables.

P: Si pensem en inclusió financera i accés a serveis, com podem evitar que els sistemes antifrau generin barreres per a ciutadans vulnerables que potser no tenen tots els documents o la tecnologia necessària?

La paradoxa és que la seguretat no pot convertir-se en barrera. Per evitar que els sistemes antifrau excloguin ciutadans vulnerables, hem de passar d’un enfocament de compliment rígid a un enfocament d’inclusió per disseny.

Fem servir autenticació per nivells, com els de Gov.br. Un servei senzill només requereix un nivell de seguretat baix, mentre que els serveis d’alt risc (com el pagament de prestacions) exigeixen una verificació biomètrica completa. D’aquesta manera, garantim que la majoria de persones tinguin accés fàcil, reservant les proves més fortes per als casos de major impacte.

És essencial mantenir punts de verificació assistida per personal (com centres d’atenció governamentals). Per a qui no té smartphone o una connexió estable, una persona formada ha de poder validar-ne la identitat, reduint la bretxa digital.

El sistema també ha d’acceptar proves alternatives d’identitat i creuaments de dades històriques (com registres fiscals o sanitaris), en lloc d’exigir sempre un únic document perfecte. En definitiva, la seguretat ha d’estar dissenyada per trobar maneres de dir «sí, ets tu» a través de múltiples camins accessibles, en comptes de ser un mur que només poden superar els més capacitats tecnològicament.

P: Juliana, si poguessis donar un consell a una persona jove que comença en compliance i prevenció del frau, quina experiència o aprenentatge li recomanaries prioritzar?

Més enllà del coneixement tècnic, recomano fermament buscar experiència operativa i «històries de trinxera». La teoria no és suficient. Cal entendre el cicle complet del frau, ja sigui acompanyant l’equip de resposta a incidents o mapant els processos de negoci de principi a fi.

El delinqüent sempre buscarà la fissura més feble del procés, així que aprendre a pensar com un atacant —i entendre com recopilar evidències i coordinar una resposta sota pressió— és la formació més valuosa que es pot adquirir. Aquesta visió transversal és el que transforma un especialista en compliment en una figura de lideratge indispensable.

P: Finalment, mirant al futur, com imagines l’ecosistema d’identitat digital del Brasil d’aquí a 10 anys i quin paper hauria de jugar Serpro en aquest escenari?

D’aquí a deu anys, imagino l’ecosistema d’identitat digital del Brasil plenament consolidat, amb el CPF com a identificador únic i autoritatiu, i el país avançant cap a un model d’Identitat Autosobirana (SSI). Això significa que la identitat digital serà una credencial privada i xifrada, gestionada pel mateix ciutadà al seu dispositiu mòbil i que li permetrà compartir només les dades estrictament necessàries (per exemple, demostrar la majoria d’edat sense revelar la data de naixement). Aquesta base eliminarà la fragmentació actual de bases de dades i farà possible una verificació en temps real, d’alta integritat, a tots els serveis públics i privats.

De manera clau, aquest sistema s’integrarà naturalment amb els models econòmics del futur, proporcionant la confiança digital necessària per a l’adopció massiva de noves tecnologies.

El paper de Serpro en aquest futur ha d’evolucionar: de proveïdor d’aplicacions específiques a «Habilitador de Confiança Sobirana» i «Hub d’Intel·ligència» del govern federal. Això implica mantenir la infraestructura crítica i segura on resideixen les dades fonamentals i aprofitar l’enorme escala d’informació per oferir Intel·ligència Antifrau avançada, en temps real, com a servei. Serpro ha de convertir-se en la capa principal de confiança que verifica les dades biomètriques i registrals d’una persona davant de les fonts autoritzades per a tots els serveis públics.

En centrar-se en la seguretat i en la integritat de les dades, Serpro permetrà que altres organismes públics i empreses innovin sense haver de preocupar-se per la verificació d’identitat al nucli dels seus serveis.