Guia de Passkeys para Portais de Clientes de Seguros

1. Introdução#

Os portais de clientes de seguros estão sob pressão de várias direções ao mesmo tempo. O risco de account takeover está a aumentar, o SMS OTP é caro em escala, os call centers absorvem as consequências de falhas de senhas e MFA e os reguladores exigem cada vez mais MFA resistente a phishing. Esta combinação faz dos seguros um dos casos de uso de autenticação de clientes mais claros para as passkeys.

Este artigo abrange:

1. Por que motivo os portais de seguros são um forte caso de uso para passkeys: risco de ATO, fluxos caros de OTP, deteção de fraude atrasada e crescente pressão regulatória.
2. Como as passkeys se comparam aos métodos de autenticação legados: SMS OTP, e-mail OTP, TOTP e device trust em termos de segurança, UX, conformidade e custos.
3. O que torna as implementações de seguradoras diferentes: CIAM legado, arquitetura de portais multimarcas, fluxos de agentes versus segurados e regulamentação regional.
4. Como as seguradoras podem implementar passkeys com um modelo operacional prático: o que medir, como utilizar o modelo de maturidade e como passar de logins baseados em OTP para uma MFA resistente a phishing.
5. Como as passkeys impulsionam a adoção digital e a migração para o self-service: o caso estratégico para líderes de nível C e vice-presidentes: mudança de canal, desvio do call center e como associar a observabilidade da autenticação aos resultados do negócio.

2. Por que motivo os portais de clientes de seguros são um alvo principal para account takeover?#

Os portais de clientes de seguros detêm alguns dos dados pessoais mais sensíveis que existem, embora dependam frequentemente de uma segurança de login fraca. Isto torna-os num alvo natural para ataques baseados em credenciais. As contas dos segurados contêm números de Segurança Social, detalhes bancários, registos de saúde e histórico de sinistros. Tudo isso pode ser rentabilizado através de roubo de identidade ou de pedidos fraudulentos.

Ao contrário dos portais bancários, onde a monitorização de transações apanha a fraude em tempo real, a fraude em seguros leva muitas vezes semanas ou meses a aparecer. Um invasor que consiga aceder a uma conta de um segurado pode alterar beneficiários, apresentar pedidos de indemnização fraudulentos ou exfiltrar dados pessoais muito antes que a seguradora detete o compromisso.

A dimensão do problema:

• Credential stuffing na porta de entrada: o NYDFS multou oito seguradoras de automóveis num total de 19 milhões de USD em outubro de 2025 especificamente porque não aplicaram MFA nos sistemas de cotação voltados para o público. Os atacantes utilizaram o credential stuffing para aceder a dados sensíveis de condutores em massa.
• O SMS OTP é caro e frágil: à escala de uma seguradora (milhões de segurados), os custos de entrega de SMS OTP acumulam-se rapidamente. Uma operadora que envia 10 milhões de OTPs por mês a 0,03 USD por mensagem gasta 3,6 milhões de USD anualmente, e isso assumindo 100 % de entrega. Na prática, a filtragem das operadoras, a portabilidade de números e o roaming internacional fazem com que 5 a 15 % dos OTPs nunca cheguem, com cada falha de entrega gerando potencialmente uma chamada para o suporte.
• Carga de call centers com redefinições de senhas: os call centers de seguros já lidam com sinistros complexos e consultas sobre apólices. Adicionar redefinições de senhas e resolução de problemas de MFA a esta mistura desvia o tempo dos agentes de atividades que geram receita. Estimativas do setor situam as chamadas relacionadas com autenticação em 20 a 40 % do volume total do call center em serviços financeiros para o consumidor.
• A pressão regulatória está a apertar: para além do NYDFS, a FTC Safeguards Rule determinou a obrigatoriedade da MFA para instituições financeiras não bancárias desde junho de 2023, e a NAIC Insurance Data Security Model Law (adotada em mais de 25 estados) exige a MFA com base no risco para todos os licenciados.

Dados de alto valor, deteção de fraude atrasada, custos crescentes de OTP e regulamentação cada vez mais restrita apontam todos para a mesma direção: os portais de seguros precisam urgentemente de uma autenticação resistente a phishing.

3. Como as passkeys se comparam ao SMS OTP, e-mail OTP, TOTP e device trust para os portais de seguros?#

Escolher o método de autenticação certo significa ponderar sobre segurança, experiência do utilizador, recuperação, complexidade de implementação, carga no suporte, postura de conformidade e custos em escala. A tabela abaixo analisa o desempenho de cada opção.

Resumindo: as passkeys são a única opção com pontuação mais alta em todos os critérios de segurança, experiência do utilizador, carga de suporte, conformidade e custos à escala. O compromisso é a complexidade da implementação, mas trata-se de um investimento único que se rentabiliza à medida que a adoção avança.

4. O que torna a implementação de passkeys diferente para as seguradoras?#

A implementação de passkeys nos seguros não é a mesma coisa que implementá-las na banca ou em SaaS. As seguradoras lidam com infraestruturas legadas, complexidade de várias marcas, populações de utilizadores divergentes e requisitos regulamentares em camadas que moldam cada decisão de implementação.

4.1 Plataformas CIAM legadas#

A maioria das grandes seguradoras gerem a identidade dos consumidores em plataformas CIAM empresariais como Ping Identity, ForgeRock ou Okta. Estas plataformas já suportam o FIDO2/WebAuthn ao nível do protocolo, mas este suporte apenas abrange a cerimónia de backend. A camada de adoção (os convites de registo, os prompts adaptados ao dispositivo, tratamento de erros e a telemetria do lado do cliente) ou está em falta ou requer um desenvolvimento personalizado significativo.

Isto cria a mesma "armadilha de 1 %" observada em implementações bancárias: a caixa de verificação do IdP está assinalada, mas a adoção estagna porque ninguém construiu a jornada do produto que move os segurados da senha para a passkey.

4.2 Portais multimarcas e estratégia de rpID#

Uma grande seguradora típica gere produtos automóveis, residenciais, de vida e produtos especializados, muitas vezes em subdomínios separados ou mesmo em domínios distintos adquiridos através de fusões e aquisições. As passkeys estão ligadas à origem: uma credencial criada em automovel.seguradora.pt não funcionará em vida.seguradora.pt, a não ser que ambas partilhem o mesmo Relying Party ID (rpID).

A solução:

• Defina um único rpID ancorado no domínio principal (ex., grupodeseguros.pt) antes de iniciar qualquer trabalho com as passkeys.
• Envie toda a autenticação para uma camada central de SSO (OIDC/SAML) que utilize este rpID comum.
• Se os domínios legados não puderem ser consolidados imediatamente, utilize o Related Origins para colmatar o hiato sem forçar um novo registo.

4.3 Fluxos de agentes versus segurados#

O setor segurador tem duas populações de utilizadores muito diferentes que acedem aos mesmos sistemas de backend:

A Branch Insurance mostrou como isto funciona na prática: começaram com os agentes (maior frequência, ambiente mais controlado) e atingiram uma taxa de adoção inicial de 25 % antes de se expandirem para os segurados. Começar pelos agentes criou confiança interna e fez emergir os problemas específicos dos dispositivos numa fase inicial.

4.4 Panorama da conformidade regional#

A autenticação em seguros não é apenas uma questão regulatória dos EUA. As regras exatas diferem por mercado, mas a direção é consistente: controlos de identidade mais fortes, cobertura de MFA mais abrangente e maior escrutínio dos canais digitais voltados para o cliente.

• EUA: a Parte 500 do NYDFS obriga à implementação de MFA universal até novembro de 2025 para as entidades abrangidas, incluindo as seguradoras licenciadas em Nova Iorque. O NYDFS alerta expressamente para o facto de os OTPs via SMS serem fracos e recomenda alternativas mais resistentes a phishing. A NAIC Insurance Data Security Model Law impulsiona a MFA baseada no risco em mais de 25 estados, enquanto que a FTC Safeguards Rule requer MFA para determinadas instituições financeiras não bancárias e intermediários.
• UE: O DORA entrou em aplicação no dia 17 de janeiro de 2025 e aplica-se a empresas de seguros em toda a UE. O DORA é mais vasto do que uma simples norma relativa à MFA, mas aumenta o nível da gestão dos riscos das TIC, do reporte de incidentes, dos testes de resiliência e da supervisão de terceiros no que respeita a sistemas de clientes.
• Austrália: a APRA CPS 234 requer controlos de segurança da informação proporcionais ao risco nas seguradoras e noutras entidades reguladas pela APRA. O guia de 2023 sobre MFA da APRA menciona especificamente o reforço da autenticação para o acesso privilegiado, o acesso remoto e as atividades de elevado risco, e indica que lacunas materiais na MFA com impacto nos segurados podem constituir uma falha de segurança sujeita a reporte.
• Canadá: a Diretriz B-13 da OSFI aplica-se às instituições financeiras regulamentadas a nível federal, o que inclui as seguradoras. A OSFI determina que as entidades devem implementar controlos de acesso e de identidade baseados no risco, que incluam a MFA nos canais externos e nas contas com privilégios.

Para seguradoras multirregionais, a implicação prática é simples: deve desenhar a autenticação de clientes para cumprir com o regime aplicável mais restrito. A orientação comum aponta para a MFA baseada no risco e cada vez mais resistente a phishing, não para a continuidade da dependência da OTP por SMS.

5. O que devem as seguradoras medir antes e depois do lançamento de passkeys?#

Lançar passkeys sem telemetria do lado do cliente é como redigir uma apólice de seguros sem os dados de subscrição. Não saberá o que está a falhar, onde ou para quem até que o seu call center fique sobrecarregado. O erro de "lançamento às cegas" verificado nas implementações bancárias aplica-se igualmente aqui, especialmente devido à diversidade dos dados demográficos dos segurados com os quais as seguradoras lidam.

No mínimo, as seguradoras devem medir três resultados orientados para o negócio:

• Taxa de sucesso de login: os segurados e agentes estão a concluir os inícios de sessão de forma mais fiável após o lançamento das passkeys?
• Taxa de registo: os utilizadores estão efetivamente a criar passkeys, ou a adoção está a estagnar logo no primeiro aviso?
• Volume de fallbacks e de suporte: os utilizadores estão a recorrer a SMS ou à recuperação por senha, e os tickets de suporte ligados à autenticação estão a diminuir?

Se estes três números apontarem na direção correta, a implementação está a funcionar. Caso contrário, tem de ajustar os tempos dos convites, a estrutura do fallback, a cobertura de dispositivos ou a educação do utilizador antes de alargar à escala.

5.1 O percurso dos sinistros e as alterações de contas têm mais impacto do que os acessos genéricos#

Os portais de seguros não são simplesmente experiências de "iniciar sessão e ver saldo". Os momentos de maior risco ocorrem geralmente quando um segurado apresenta uma queixa, altera os detalhes de pagamento, atualiza a sua morada, adiciona um condutor, substitui um beneficiário ou acede a documentação sensível. Estes trajetos não devem ser agrupados num único indicador genérico de login.

Por isso, as seguradoras deverão analisar os resultados das passkeys em eventos de elevado risco de contas de forma individual. Se a taxa de sucesso global de login parecer forte, mas as jornadas relacionadas com reclamações ou pagamentos continuarem a voltar a utilizar SMS ou métodos de recuperação manuais, a implantação não reduzirá efetivamente os riscos nas áreas onde é mais relevante. Esta é uma das maiores diferenças entre os seguros e aplicações de consumo utilizadas com mais frequência.

5.2 A baixa frequência de acessos altera o guião da adoção#

Muitos segurados efetuam login apenas algumas vezes por ano: numa renovação de contrato, quando há um problema de faturação ou se apresentarem uma queixa. Isto torna a adoção de passkeys em seguros bastante distinta de produtos diários. Há menos possibilidades para incentivar, orientar e remediar de uma má experiência inicial.

É por esse motivo que as seguradoras devem medir o número de registos por percurso e não como um total. Um aviso apresentado depois de um pagamento ser validado ou um estado de reclamação visto com sucesso pode reverter os valores muito acima do obtido num pedido efetuado no primeiro ecrã, meses após ter encerrado uma sessão na última vez. Em seguradoras, as melhores fases de aceitação costumam surgir dos níveis de compromisso e fiabilidade alcançados e não pela sua taxa de login.

6. O que é o Insurance Authentication Maturity Model?#

Este modelo de quatro patamares proporciona às seguradoras uma forma de aferirem o ponto em que se encontram hoje no respeitante a autenticação, marcarem as metas a atingir e mostrarem avanços perante direções, responsáveis e auditorias. Cada degrau estabelece-se em função da versão transata.

O diagrama seguinte ilustra os quatro níveis de maturidade como uma progressão do modo "Apenas SMS" até à observabilidade total.

Como usar este modelo:

1. Avaliar: Identifique o seu nível atual através da auditoria de métodos de autenticação, cobertura de telemetria e falhas de conformidade em todos os portais de clientes.
2. Definir alvos: Estabeleça um roteiro de 12 a 18 meses para alcançar pelo menos o Nível 3. As seguradoras sujeitas à supervisão do NYDFS devem ter como meta o Nível 4, a fim de apoiar os requisitos da dupla certificação do CEO/CISO.
3. Comunicar: Utilize o modelo em apresentações ao conselho de administração e submissões aos reguladores para demonstrar um progresso planeado em vez de simples melhorias isoladas.

7. Como as passkeys impulsionam a adoção digital e a migração para o self-service#

Grande parte dos executivos do setor segurador tratam a autenticação como uma preocupação de TI. Esse é um erro. Para líderes de alto nível e vice-presidentes que possuem uma agenda estratégica para impulsionar os seus clientes no sentido de trocarem centros de apoio por canais e aplicações autónomas, o login assinala a maior causa de atrito nesse percurso.

7.1 A autenticação constitui a porta de entrada de qualquer iniciativa digital#

Toda a inovação digital em seguros (avaliações online, modificação nas contas, processamento de pagamentos ou formalizações de documentos) obriga a uma introdução de acessos. Se o utente falhar de modo crónico nesta fase incial, toda a rentabilidade a aplicar desaba sem eficácia.

Os dados confirmam esta realidade:

• 43 % dos consumidores referem que a gestão de dados nos logins tem um grande impacto sobre o seu grau de interesse nas interações virtuais.
• 64 % deixaram de concluir encomendas ou contratos já que foi necessário procederem ao seu registo online ou experimentaram avarias durante o uso.
• 60 % dos utilizadores veem nos canais de vida, de financiamento e afins muitas barreiras técnicas à utilização, tornando os pedidos num obstáculo inicial intransponível.
• Só 20 % dos clientes destes ramos de negócio expressam gosto nas interfaces baseadas neste ramo para contactarem o emissor, derivado muitas vezes a que o acesso em si — surge como pior quando comparado a ofertas a retalho ou serviços nos bancos.

A ilustração infra consolida estas estatísticas sobre o comportamento das plataformas através de uma abordagem agregada de estrangulamento.

Para operadoras a gastarem centenas de milhares no aprimoramento em linhas base, robôs de chat e relatórios de dados digitais sobre acidentes, suportar interações com passwords e verificações por código via telefones, enfraquece todo este progresso na origem. Os segurados que abandonam um site ou perdem acesso à rede tenderão para contatar centros de atendimento diretos ou mesmo locais fisicos - os mesmíssimos veículos dispendiosos cujo modelo de negócio tencionava descartar em nome desta otimização da máquina cibernética.

7.2 Quantificando a viragem do self-service#

Mudar clientes que usam os centros físicos para o digital é das opções mais drásticas em otimização que existem nestas entidades:

• As chamadas e apoios rondam os 8 a 15 USD por pedido a comparar a cifras marginais de valores ínfimos online. Nas companhias de topo, mudanças marginais que impliquem o fecho nestes números poupam quantias astronómicas em cada finalidade anual do ramo segurador.
• Os clientes retidos nestes cenários tendem 12 % a cancelar menos os respetivos títulos comparando aos agentes de canais obsoletos. Com canais multi-base atinge-se o registo espantoso para aumentos que variam perto da estabilidade adicional nos 25 %.
• As firmas de apoio que implementam bases digitais relatam os valores das perdas e cortes ao nível em que apontam nos 15 a 25 % de amortização das necessidades reais que originavam prejuízos correntes de rotina ou desvios associados aos serviços.
• E 82 % dos assinantes buscam despistar casos por processos limpos, ao passo a evidenciar que as 56 % não reúnem de facto infraestruturas plenas no momento online destas intenções concretizadas — e o espaço para acesso bloqueado avoluma ainda os défices apresentados.

Abaixo figuram evidências destes valores divididas na economia de todos os vetores descritos nas transações.

As passkeys anulam de modo preciso a rutura no propósito do segurado com o seu sucesso nas ligações on-line da portal. Ao efetivar um inicio nos seus dados base sob confirmação pela biometria sem que atinja o tempo previsto que os OTPs criam com 5 a 15 % em avarias do sistema para 2 segundos, um vasto perfil da procura evita contactar os agentes de apoio convencionais para transitar à esfera independente do utilizador do interface.

7.3 O que a observabilidade da Corbado revela unicamente sobre a adoção digital#

As firmas admitem a adesão aquém das suas projeções de mercado. Ignoram no entanto o porquê. Poderão incidir os erros sobre versões ou configurações bloqueadoras à implementação destas novidades para o ramo das palavras-chave encriptadas? Perderão clientes específicos pela falta da oferta?

É aqui que a observabilidade de autenticação da Corbado oferece aquilo que nenhum outro serviço consegue no mercado até hoje: cruzar na mesma ligação o detalhe dos logs das plataformas associado aos registos operacionais a fatores concretos de expansão no desempenho das estatísticas.

A Corbado detalha:

• Onde se registam desistências na infraestrutura ao pormenor — não apenas erros primários limitados às saídas forçadas ou incompatibilidade nas secções operadas e nos nichos.
• Aqueles em que a navegação prende aos canais legados — p. ex., indivíduos nas faixas acima de 60 num dispositivo de Android que, por constrangimentos nos perfis e omissões locais sem a sugestão digital em ecrãs, migram para os sistemas SMS e consequentemente perdem por bloqueio as tentativas base sem ajuda ou suporte à interface por telefone e aos call centers de rede.
• Os cruzamentos efetivos entre validação base a sucesso nas interações destas plataformas — assim verificando os sucessos nos crescimentos ao login de índices de 10 % per si as métricas sobre as proporções nos canais poupados através destas melhorias virtuais das taxas nos meios operacionais remanescentes nas centrais de controlo do contato direto.

Para quem rege estes indicadores face às cúpulas destas orgânicas, esta transparência altera a tese base dos factos "passkeys colocadas em uso" à narrativa na subida que expressa que as passkeys em X% abrandaram ou evitaram o rácio para contactos do atendimento local ao telefone no centro fixo de atendimento poupando uma proporção de verba e recursos para o custo final orçado nos serviços operacionais e rentabilizar por Y % o valor por trimestres fixo da verba das companhias de gestão. Este enquadramento assegura validade estratégica das iniciativas da digitalização nas direções ou nas organizações gerais desta índole de negócio.

8. Como a Corbado ajuda as seguradoras a implementarem passkeys#

A maior parte destas estruturas base opera o processo perfeitamente (através de Okta, da Ping ou da própria ForgeRock). Falta muitas vezes a componente focada ao exterior no sentido para alterar perfis nas aceitações em torno que diz "nós habilitamos em WebAuthn as ligações", para uma assunção em vigor com base em que atesta que: "50 % ou até mais usa a nova infraestrutura" que a Corbado disponibiliza aos utilizadores.

8.1 Motor de adoção#

A interface construída nas opções geridas por nós simplifica aos perfis operacionais de quem administra e os dados necessários nas dinâmicas que habitualmente geram encargo aos produtores base destas engrenagens:

• A opção focada que contextualiza as solicitações surge muitas vezes aquando das verificações atestadas pelo suporte base logo de uma operação (em detrimento aos registos submersos pela configurações gerais dos painéis associados ao operador de rede dos perfis subjacentes nas ligações diretas).
• A subida ou progressão graduada de níveis nas permissões que incide no "Optativo" nas avaliações ao momento em torno de "Aconselhado", para os regimes que são em definitivo "Obrigatórios" seguindo os perfis traçados nos cronogramas que ditam as passagens estipuladas do ramo associado.
• Os modelos geridos A/B à fase na comunicação, nos temporizadores nos portais nas integrações na procura na conversão para todos os campos em linha ou secções em vista.

8.2 Inteligência do dispositivo#

A Corbado lida através de uma escala em evolução dos requisitos e perfis que compatibilizem modelos em particular, gerindo e mitigando a frustração do consumidor ou agente subjacente com uma base e estrutura no desenvolvimento geral nas adaptações às especificidades técnicas:

• Caso a interface se depara que as passkeys apresentem as implementações limitadas a modelos de Samsung, cancela automaticamente o seu processo nas notificações em foco encaminhando através de rotas eficientes da sua base original os utilizadores e limitando atrito à operadora ou serviços alternativos nestas frentes nos desvios efetuados.
• O sistema de Inteligência das Passkeys (Passkey Intelligence) reconhece as capacidades presentes nas operadoras base dos telemóveis do indivíduo a alertar na base evitando, os percalços dos avisos ligados a falhas em andamento do ramo dos serviços (ou falhas gerais nestes serviços ou redes da aplicação ligada à operação na rede interrompida das avarias comuns gerando em consequência novos apelos ou alarmes nas assistências contínuas das comunicações).
• Diversidade dos portáteis ou nas configurações próprias da natureza singular ligada ao sector em estudo de utilizadores legados das plataformas e as agências nas subredes com configurações exclusivas nestas secções que regem ou ditam por política geral e em exclusivo do agente da rede na vertente que trata aos modelos os diferentes índices e configurações de credibilidade em todas a áreas em uso pelas empresas da região na gestão.

8.3 Smart fallbacks#

Para as ocorrências dos impasses irremediáveis à infraestrutura em incompatibilidades destas vias das rotas, estas intervenções desviam nestas frentes todas sem criar no fim em ecrãs pânicos ou suspensões operacionais, reestabelecendo de volta um ciclo normal e de eficácia face às circunstâncias em causa das redes:

• O encaminhamento de indivíduos a redes ou ecossistemas impróprios às soluções de chaves através de processos intermédios em vias integradas de recurso evitando o pânico nas janelas no processo onde a rotura decorre por erro do dispositivo do indivíduo em uso à ação original na aplicação.
• Na sequência dos métodos no ecossistema nas aprovações base de recuperações à verificação da plataforma dos identidades no sistema central que (em eKYC e de outras infraestruturas) dispensa, a base em si não reporta de imediato intervenção aos contatos físicos à infraestrutura gerindo com as ligações no suporte interno para a operadora a autonomia do agente no decorrer.
• Em processos vinculados aos ambientes restritos ou partilhados associados às plataformas dos parceiros a adaptação a proxy em redes de empresas que limitem em QR flows das interfaces (nas transições e intercâmbios nestas mesmas) os protocolos aos parceiros assegura e acomoda num plano base o fluxo por rotina à rede primária.

8.4 Telemetria forense#

O "Raio-X" da Corbado apresenta nos ecossistemas da rede o que as infraestruturas normais de logs e de CIAM nas interfaces e redes nunca conseguirão detalhar com exatidão ou clarividência perante a sua visualização às operações originais:

• O Painel que espelha os graus da segurança das entidades, as credenciais bem sucedidas aos modelos das passkeys com especificações, classes ou até tipos no ecossistema com índices ou critérios sobre o estado do SCA a acompanhar as estatísticas e as coberturas globais aos serviços da base nestes domínios em gestão com as avaliações no momento em destaque nestes modelos de interfaces operacionais aos parceiros subjacentes a redes ou processos interligados às ligações no percurso das redes.
• No processo subjacente que efetiva a segurança destas análises para as secções com volumes anormais na detecção de falhas as verificações no acompanhamento prevê nas inscrições nos perfis nos picos a detecção de problemas antecipadamente impedindo que episódios de ataques concretizem episódios maiores originando a anomalia grave num desvio das origens às redes em causa no sistema na origem aos relatórios nas submissões.
• Presta à diretoria os elementos de resposta em detalhe que a certificação ao NYDFS no plano do CISO das organizações, bem como à exigência da análise pela NAIC obriga para a supervisão formal que serve à regulamentação geral por relatório na administração nos exames em avaliação da rede para a verificação regular destes relatórios da rede do sistema.

A Corbado ao seu ecossistema CIAM original não destitui a arquitetura que utiliza mas sim aperfeiçoa com integração sem alterar o pilar das identidades da rede e do processo dos serviços, a lidar ao pormenor em base no contexto nas plataformas dos dispositivos diversificados, à instrução aos operacionais e a visão nas infraestruturas às equipas através de uma eficácia ao investimento ou nas integrações aos patamares de passkeys em percentagens aquém nas adesões e na gestão a 1 %.

9. Conclusão#

Os portais que acolhem as interações para com os aderentes operacionais às seguradoras atravessam um grande momento nos constrangimentos de múltiplas exigências ou origens ao processo num cruzamento que abala, não apenas pela subida contínua nas incursões com intenções ou fraudes em roubos pelo escalonamento a prejuízos ou danos e a um esgotamento no processamento diário às plataformas das OTP pelas comunicações via infraestrutura nos telefones como de resto pelos alertas dos bloqueios ou constrangimentos com senhas na recuperação e nas exigências dos serviços num contexto às regulações nas infraestruturas em geografias com o escopo no EUA, na União, pela rede e regulamento do modelo às esferas em toda a dimensão na UE, para o Canadá aos Estados Australianos onde as restrições orientam um fluxo digitalizado aos perfis face a vias com a presença, operadoras físicas nas transições a automatização.

A Aflac (registando sucesso às conversões a uns picos dos registos para um universo das passagens e valores no êxito em base dos perfis a 96 % na adoção geral para 500.000 clientes da organização ao sistema das passkeys que obteve), como a Branch Insurance (a constatar uma descida ou melhorias de percentagens das exigências para tickets ou chamadas de 50 % da organização na adaptação desta base ao portal original ao serviço), como de igual o plano e perspetiva que HealthEquity promove, a confirmar a adequação às operações à rede sem exclusão obrigaram os fluxos e aprovar a aceitabilidade à evidência nas escalas operacionais ao êxito nesta operação nas integrações. A solução ou chave trata a via da integração aos processos base à passagem no sistema em causa e modelo por produto na sua implantação à infraestrutura das marcas e as adaptações da sua lógica nas adesões às bases, nos painéis gerados nas ferramentas, à rede na avaliação e integração do cliente nas infraestruturas, nos procedimentos dos fallbacks no sistema, e também no retorno da rede de telemetria base associando esta capacidade à análise direta ao conselho e administração de uma gestão às finanças onde todas estas integrações à rentabilidade geral e à percentagem de redução no contacto físico ou chamadas associadas aos suportes em rede na adaptação e finalizações destes quadros nas opções das plataformas digitais e do utente na operação do ecossistema destas redes de serviço na esfera.

Assuma e acompanhe na adoção nos guias ou normas descritas através do modelo que rege e categoriza, para os registos do setor dos seguros as maturidades e autenticações das infraestruturas referenciadas à marca nos processos neste plano (Insurance Authentication Maturity Model) à determinação, para avaliar no enquadramento, um marco de etapas orientadas nas progressões num prazo contínuo de adaptação num roteiro do programa, à comunicação desta evolução através do calendário das melhorias progressivas num modelo estrutural que avalie nos patamares do regulamento das direções as operações.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas Frequentes#

Como as passkeys reduzem o risco de account takeover em portais de clientes de seguros?#

As passkeys utilizam criptografia de chave pública e privada vinculada ao domínio da seguradora, tornando-as imunes a ataques de phishing, credential stuffing e SIM-swapping que afetam os fluxos de senha e SMS OTP. A Aflac reportou uma taxa de sucesso de login de 96 % após implementar passkeys, e a Branch Insurance viu os tickets de suporte caírem em cerca de 50 %. Como nenhum segredo compartilhado é transmitido durante a autenticação, os invasores não podem coletar credenciais reutilizáveis mesmo se controlarem a rede.

Quais estruturas de conformidade moldam os requisitos de autenticação para portais de clientes de seguros e como as passkeys ajudam?#

Nos EUA, a Parte 500 do NYDFS, a FTC Safeguards Rule e a NAIC Insurance Data Security Model Law pressionam as seguradoras a adotarem uma MFA mais forte. Fora dos EUA, as seguradoras da UE enquadram-se no DORA, as seguradoras australianas no APRA CPS 234 e as seguradoras canadianas na Diretriz B-13 do OSFI, todas as quais elevam as expectativas em torno dos controlos de autenticação para sistemas voltados para o cliente. As passkeys ajudam porque oferecem uma MFA resistente a phishing com credenciais criptográficas FIDO2/WebAuthn e reduzem a dependência de fluxos mais fracos de SMS OTP.

Como as passkeys se comparam a SMS OTP, TOTP e device trust para a autenticação em portais de seguros?#

O SMS OTP custa de 0,01 a 0,05 USD por mensagem em escala, é vulnerável a SIM-swapping e phishing e gera uma alta carga nos call centers devido a falhas de entrega. As aplicações TOTP eliminam o custo por mensagem, mas continuam vulneráveis a phishing e exigem a inserção manual de códigos. O device trust reduz o atrito em dispositivos conhecidos, mas não oferece resistência a phishing. As passkeys combinam segurança resistente a phishing com zero custo por autenticação e tempos de login inferiores a 2 segundos, tornando-as o único método com as classificações mais altas em termos de segurança, experiência do utilizador, custo e conformidade.

O que torna a implementação de passkeys diferente para seguradoras em comparação com bancos ou empresas de SaaS?#

As seguradoras enfrentam a complexidade de portais multimarcas onde os produtos de automóvel, habitação e vida podem operar em subdomínios separados, exigindo uma estratégia de rpID unificada. Plataformas de CIAM legadas, como Ping, ForgeRock ou Okta, lidam com o WebAuthn no backend, mas oferecem ferramentas limitadas para a adoção. Os fluxos de agentes versus segurados requerem diferentes níveis de confiança e perfis de dispositivos. A pressão regulatória também abrange várias jurisdições: seguradoras nos EUA enfrentam a Parte 500 do NYDFS, a NAIC Model Law e a FTC Safeguards Rule, as seguradoras na UE enquadram-se no DORA, as seguradoras australianas respondem ao APRA CPS 234 e as seguradoras canadianas à Diretriz B-13 da OSFI. Isto exige um plano de implementação que satisfaça o padrão aplicável mais rigoroso.

O que é o Insurance Authentication Maturity Model e como as seguradoras o podem usar para avaliar o seu progresso?#

O Insurance Authentication Maturity Model define quatro níveis: Nível 1 (apenas SMS) com OTP de fator único e nenhuma resistência a phishing; Nível 2 (MFA habilitada) com senha mais SMS ou TOTP que atende à conformidade básica; Nível 3 (resistente a phishing) com passkeys implementadas, registo protegido e smart fallbacks; Nível 4 (resistente a phishing + observabilidade) com telemetria completa, device trust e monitorização contínua. As seguradoras podem utilizar o modelo para identificar o seu nível atual, definir marcos a atingir e comunicar o progresso aos conselhos de administração e aos reguladores.