Como Funciona a Deteção de Vivacidade? Ativa vs. Passiva (PT-PT)

A deteção de vivacidade é uma verificação biométrica que confirma que a pessoa no enquadramento da câmara é real e fisicamente presente — não uma fotografia, uma máscara ou um vídeo sintético. É a camada técnica que distingue "um rosto aparece na imagem" de "um humano vivo está realmente lá".

Sem ela, a correspondência facial é fácil de falsificar. Um atacante com a foto de um alvo — disponível publicamente nas redes sociais ou numa base de dados violada — pode segurá-la em frente a uma câmara e passar numa verificação de correspondência facial. A Deteção de Ataques de Apresentação, ou PAD, é a disciplina que preenche esta lacuna. Os módulos de vivacidade da Didit funcionam em cada sessão de verificação e devolvem uma decisão em menos de 2 segundos.

Principais conclusões

• A deteção de vivacidade responde a uma pergunta: uma pessoa viva está presente em frente à câmara neste momento?
• Vivacidade passiva (0,10 €) não requer nenhuma ação do utilizador — o modelo analisa uma única captura em busca de sinais de vida.
• Vivacidade ativa (0,15 €) emite um desafio — virar, piscar ou seguir um alvo — e verifica uma resposta física real.
• PAD (Deteção de Ataque de Apresentação) é a norma ISO/IEC 30107-3 que define os tipos de ataque e os limiares de aceitação.
• A vivacidade passiva da Didit é certificada pelo iBeta para o Nível 1 PAD: 0% de sucesso de ataque e 0% IAPAR (Taxa de Aceitação de Apresentação de Ataque de Impostor) em 360 tentativas.
• O fluxo principal completo de KYC (Conheça o Seu Cliente) — Verificação de Identidade + Vivacidade Passiva + Correspondência Facial + Análise de IP — custa 0,33 €, com 500 verificações gratuitas todos os meses.

O que é a deteção de vivacidade?

A deteção de vivacidade é a parte de um fluxo biométrico que verifica se o sujeito é uma pessoa real e fisicamente presente — não uma falsificação. O termo formal para o campo é Deteção de Ataques de Apresentação (PAD), padronizado na ISO/IEC 30107-3. Um sistema PAD classifica cada sessão como genuína ou como um ataque de apresentação: uma tentativa de enganar o sensor biométrico apresentando algo diferente de um rosto vivo.

A principal métrica de desempenho é o IAPAR — Taxa de Aceitação de Apresentação de Ataque de Impostor. Mede a fração de tentativas de falsificação que o sistema classifica incorretamente como genuínas. Um IAPAR mais baixo é melhor; 0% significa que o sistema rejeitou todos os ataques no conjunto de testes.

Por que é importante

A correspondência facial por si só pergunta: este rosto corresponde a uma imagem de referência? Não pergunta: esta é uma pessoa viva? São perguntas diferentes. Um fraudador que obtém uma foto de documento — de um vazamento de dados, um perfil de rede social ou uma digitalização de identificação roubada — pode responder à primeira pergunta sem estar presente.

A vivacidade preenche essa lacuna. Combinada com a verificação de documentos e a correspondência facial, constrói a verificação tripartida que sustenta o KYC regulamentado: o documento certo, o rosto certo e uma pessoa viva a segurá-los juntos.

Os reguladores referenciam cada vez mais a vivacidade biométrica nos quadros de prova de identidade remota. O processo geral de verificação da Didit recebeu a atestação Tesoro/SEPBLAC/CNMV — o único fornecedor formalmente atestado por um governo de um estado membro da UE como mais seguro do que a identificação presencial — e a vivacidade é um componente central dessa garantia.

Vivacidade passiva: como funciona

A vivacidade passiva não exige nada do utilizador. A pessoa olha para a câmara; o sistema captura um fotograma ou uma sequência curta e analisa-o sem qualquer aviso.

A análise vai muito além de verificar se um rosto é detetado. O modelo procura sinais que distinguem uma superfície real e tridimensional de uma reprodução plana: microtextura da pele versus papel ou ecrã, sinais de profundidade na iluminação e sombra, a forma como a luz reflete numa face curva versus um substrato plano, e micro-movimentos naturais — micro-piscares involuntários, movimento respiratório — que as imagens estáticas não conseguem replicar.

O resultado é uma classificação (genuíno ou ataque) mais uma pontuação de confiança, devolvida em menos de 2 segundos. Como a vivacidade passiva não requer nenhuma ação do utilizador, integra-se de forma limpa em qualquer fluxo de integração com atrito mínimo.

Deteta: fotografias impressas, ecrãs a reproduzir um rosto, vídeo de reprodução capturado sem um desafio específico em tempo real.

Melhor para: integração de consumidores, verificação de idade, reautenticação em etapas — qualquer fluxo onde o atrito é uma preocupação de conversão.

Vivacidade ativa: como funciona

A vivacidade ativa adiciona uma etapa de desafio em tempo real. O sistema solicita que o utilizador execute uma ação física: virar a cabeça para um ângulo específico, piscar, sorrir ou seguir um ponto em movimento no ecrã. A resposta é gravada e verificada em relação ao que uma pessoa viva e fisicamente presente produziria.

O desafio é aleatório por sessão. Uma foto impressa não consegue virar a cabeça. Um vídeo pré-gravado não consegue corresponder a um desafio para o qual não foi filmado. Isso torna a vivacidade ativa mais resiliente contra ataques de reprodução e vídeos sintéticos de primeira geração.

Deteta: tudo o que a vivacidade passiva deteta, mais certos ataques de reprodução onde o atacante usa vídeo pré-gravado para falsificar uma sessão.

Melhor para: fluxos de maior risco — integração financeira com requisitos de AML (Anti-Lavagem de Dinheiro), recuperação de contas de alto valor, integração de criptomoedas regulamentadas.

Casos de uso

Integração de fintech para consumidores. Neobancos e plataformas de pagamento executam vivacidade passiva no fluxo principal de KYC para que cada novo utilizador seja confirmado como uma pessoa viva antes da ativação da conta. O custo total de 0,33 € torna-o viável em escala.

Conformidade de exchanges de criptomoedas e VASP. Exchanges e provedores de serviços de ativos virtuais que enfrentam requisitos do FATF precisam de garantia biométrica que resista ao escrutínio regulatório. A vivacidade ativa é o nível apropriado.

Serviços digitais com restrição de idade. Jogos, streaming e plataformas de consumo regulamentadas que usam estimativa de idade facial precisam de vivacidade para confirmar que o rosto que está a ser analisado pertence a uma pessoa viva em frente à câmara, não a uma foto.

Reautenticação de conta. Quando um utilizador inicia uma ação de alto valor — uma grande transferência, uma alteração de credenciais — a Autenticação Biométrica (0,10 €) emparelhada com a vivacidade reconfirma que o utilizador inscrito está fisicamente presente, e não um atacante que assumiu a conta com acesso ao dispositivo.

Como a Didit ajuda

A vivacidade funciona dentro de uma sessão de verificação da Didit — não como uma chamada autónoma separada. A integração funciona da seguinte forma:

1. Na Consola Empresarial, abra o Construtor de Fluxos de Trabalho e adicione Vivacidade Passiva ou Vivacidade Ativa ao seu fluxo de trabalho, juntamente com a Verificação de Identidade e a Correspondência Facial.
2. No seu backend, crie uma sessão: POST /v3/session/ com workflow_id, vendor_data e callback_url.
3. Redirecione o utilizador para session.url — a interface de utilizador (UI) da Didit, alojada, lida com o acesso à câmara, captura e execução do modelo PAD. Nenhuma alteração no SDK do lado do cliente é necessária para adicionar vivacidade a um fluxo existente.
4. Receba o resultado via webhook (session.status.updated) ou consulte GET /v3/session/{sessionId}/decision/. O array liveness_checks[] na resposta contém o estado, a pontuação de confiança e o tipo de ataque detetado, se aplicável.

O Construtor de Fluxos de Trabalho permite configurar ramificações com base no resultado da vivacidade: encaminhar um DECLINED para revisão manual, permitir uma única nova tentativa ou rejeitar de forma definitiva — tudo sem implementações de código.

Perguntas frequentes

Qual a diferença entre vivacidade passiva e ativa?

A vivacidade passiva analisa uma única captura sem aviso ao utilizador. A vivacidade ativa emite um desafio em tempo real — virar, piscar ou seguir — ao qual uma pessoa viva deve responder. A passiva tem menos atrito; a ativa oferece maior garantia contra ataques de reprodução.

O que significa iBeta Nível 1 PAD?

iBeta é um laboratório independente acreditado pelo NIST. O teste Nível 1 PAD abrange fotos impressas, reprodução em ecrã e ataques de vídeo pré-gravado, de acordo com a ISO/IEC 30107-3. A Didit alcançou 0% de sucesso de ataque e 0% de IAPAR em 360 tentativas testadas. O Nível 2 estende a cobertura a máscaras 3D e próteses — um teste separado e mais exigente que a Didit não reivindica atualmente.

Quanto custa a vivacidade?

A Vivacidade Passiva custa 0,10 € por verificação; a Vivacidade Ativa custa 0,15 €. Ambos contam para as 500 verificações gratuitas incluídas todos os meses — sem mínimos, sem taxas de assento.

A vivacidade impede ataques de injeção de deepfake?

O PAD aborda ataques onde um artefacto é apresentado em frente a uma câmara física. Ataques de injeção — onde vídeo sintético é alimentado diretamente no pipeline de captura, contornando a câmara — são uma classe de ameaça distinta que requer camadas de sinal adicionais. Consulte o guia de deteção de ataque de injeção para saber como a Didit aborda ambos.

A vivacidade substitui a verificação de documentos?

Não. A vivacidade confirma que uma pessoa viva está presente; não confirma quem ela é. A verificação de documentos e a correspondência facial estabelecem a identidade; a vivacidade confirma a presença. As três juntas constituem um KYC seguro.

Pronto para começar?

• Conheça a funcionalidade → Documentação de Deteção de Vivacidade
• Veja na plataforma → Página do produto Verificação de Identidade
• Verifique o preço → Preços — Vivacidade Passiva 0,10 €, Vivacidade Ativa 0,15 €, 500 grátis/mês
• Comece gratuitamente → business.didit.me