mDLs ISO 18013-7 na Integração Bancária e KYC (2025)

Durante anos, a integração bancária remota dependeu de processos complicados de Know Your Customer (KYC) que geralmente exigem que os utilizadores digitalizem um documento de identificação físico ou uma carta de condução, muitas vezes combinado com uma verificação de vivacidade ou uma videochamada em direto. Este método tem muita fricção e está exposto a novas vulnerabilidades de segurança baseadas em IA.

No entanto, está a ocorrer uma grande mudança. Nos próximos anos, estes processos legados serão substituídos por credenciais digitais seguras e centradas no utilizador. No centro desta transformação está a carta de condução móvel (mDL), que já começou a difundir-se por diferentes regiões. A norma ISO/IEC 18013-7 é o principal facilitador, fornecendo uma estrutura segura para apresentar estas identificações digitais online.

Embora o nosso artigo anterior sobre a API de Credenciais Digitais (2025): Chrome & Safari tenha abordado a tecnologia de forma mais ampla, esta análise foca-se especificamente em como as mDLs compatíveis com a norma ISO 18013-7 estão a ser adotadas no setor bancário. Vamos analisar o estado inicial atual em três mercados-chave, os Estados Unidos, a Austrália e a Europa, para perceber como as instituições financeiras estão a evoluir desde os primeiros projetos-piloto até aos primeiros sistemas em produção.

Nos EUA, a adoção de cartas de condução móveis para KYC remoto está a passar de projetos-piloto liderados pelo governo para planos de implementação concretos por parte das principais instituições financeiras. Um marco fundamental foi a publicação oficial da norma ISO/IEC 18013-7 a 7 de outubro de 2024, que define o protocolo para apresentar uma mDL de forma segura através da internet.

Embora nenhum banco tenha lançado um processo de integração online em grande escala com mDL até meados de 2025, as bases estão a ser estabelecidas. Um desenvolvimento importante é a funcionalidade da Apple "Verify with Wallet on the Web", anunciada na WWDC 2025, juntamente com progressos comparáveis no navegador Chrome da Google. Esta funcionalidade permitirá que os utilizadores partilhem informações de identidade verificadas de mDLs emitidas pelo estado e armazenadas na Apple Wallet ou em Wallets de terceiros diretamente com websites, representando um catalisador significativo para a adoção em massa.

Abaixo está um resumo das principais iniciativas nos EUA:

O anúncio da Apple nomeou um vasto conjunto de parceiros de lançamento, incluindo as instituições financeiras U.S. Bank e Chime, e outros serviços como Turo e Uber Eats. Isto indica que, mais para o final de 2025, espera-se que os seus clientes estejam entre os primeiros a usar a identificação digital do iPhone em vez de carregar documentos físicos. A iniciativa é também apoiada pelas agências estatais de veículos motorizados do Arizona, Geórgia e Maryland. Para além do ecossistema da Apple, o National Cybersecurity Center of Excellence (NCCoE) dos EUA continua o seu projeto para construir uma arquitetura de referência para acelerar a adoção de mDL para prova de identidade online.

A Austrália tem sido pioneira a nível mundial na implementação de cartas de condução digitais (DDLs) a nível estadual. O regulador financeiro, AUSTRAC, deu a sua aprovação em 2019 para que os bancos aceitassem estas identificações digitais para fins de KYC. No entanto, o mercado está numa fase de transição, passando de verificações online manuais para a exploração de plataformas de identidade digital mais integradas.

Muitos bancos ainda dependem do método clássico de alta fricção para o KYC online: exigir que os clientes tirem e carreguem fotos da sua carta de condução física, muitas vezes combinado com uma verificação de "vivacidade" em que o utilizador tira uma selfie ou grava um vídeo curto. Indo além disto, algumas instituições implementaram soluções intermédias. Por exemplo, o sistema eVerify do ANZ Bank digitaliza parte do processo, permitindo que os clientes se verifiquem inserindo manualmente o seu Número de Carta de Condução (DLCN) online, que é depois verificado numa base de dados governamental. Embora seja mais simplificado do que o carregamento de fotos, isto ainda não constitui uma verificação de mDL totalmente automatizada, onde os dados são trocados de forma segura e instantânea com um único toque.

Embora o enquadramento regulamentar esteja em vigor, uma troca de dados fluida e baseada em API, com base na norma ISO 18013-7, ainda não é uma prática padrão nos principais bancos. O setor está posicionado para esta mudança à medida que os quadros nacionais de identificação digital amadurecem e mais estados evoluem as suas DDLs para serem totalmente compatíveis com uma futura norma online.

Em contraste com a adoção impulsionada pelo mercado nos EUA e na Austrália, a União Europeia está a seguir uma estratégia "push" de cima para baixo. Através de um regulamento conhecido como eIDAS 2.0, a UE está a impor a criação de um mercado único e interoperável de identidade digital. A pedra angular desta iniciativa é a Carteira de Identidade Digital da UE (EUDI) Wallet, uma aplicação móvel que cada estado-membro deve oferecer aos seus cidadãos até 2026/2027. Esta carteira (wallet) foi concebida para armazenar uma vasta gama de credenciais digitais verificadas, como diplomas académicos, passes de viagem e certificações profissionais.

Para o setor bancário e indústrias reguladas, duas credenciais dentro da carteira (wallet) são interessantes: os Dados de Identificação Pessoal (PID), que funcionam como a identificação digital nacional oficial, e a Carta de Condução Móvel (mDL). Embora sirvam funções diferentes, a arquitetura técnica de ambas baseia-se na série de normas ISO, tornando o formato mDL discutido neste artigo um componente central do quadro de identidade da UE. A carteira (wallet) permitirá que as pessoas partilhem estes atributos verificados pelo governo com bancos e outras empresas privadas de uma forma segura e controlada pelo utilizador.

Este mandato regulamentar está a ser ativamente definido através de vários Projetos-Piloto em Larga Escala (LSPs) lançados em 2023 para testar casos de uso reais no setor bancário e de pagamentos. Estes projetos-piloto envolvem centenas de entidades públicas e privadas, incluindo grandes instituições financeiras. Para indústrias reguladas como a banca, a participação é obrigatória. O regulamento exige que aceitem a EUDI Wallet para identificação de clientes e autenticação forte do cliente (SCA) até 2027.

Abaixo está um resumo das principais iniciativas que impulsionam a adoção de mDL e ID digital no setor bancário europeu:

Este mandato regulamentar irá efetivamente comoditizar a verificação de identidade de alta garantia. Quando um processo de negócio central como o KYC se torna um serviço universal apoiado pelo governo, o foco competitivo passará de como um banco verifica uma identidade para o que faz com essa identidade confiável. Os bancos que conseguirem aproveitar os atributos verificados da carteira (wallet) para oferecer serviços superiores — como aprovações instantâneas de crédito ou pagamentos transfronteiriços fluidos — ganharão vantagem. A EUDI Wallet não é apenas um exercício de conformidade; é uma mudança de mercado que força todas as instituições financeiras na Europa a prepararem-se para a próxima geração de banca digital.

A era do KYC de alta fricção, que força os clientes a digitalizar documentos físicos e a realizar verificações de vivacidade, está a chegar ao fim. Como este artigo demonstrou, a transição para a verificação de identidade digital segura e com um só toque está bem encaminhada, mas o caminho para a adoção difere significativamente em todo o mundo. Nos Estados Unidos, o impulso é liderado pelo mercado, com gigantes da tecnologia como a Apple a estabelecer parcerias com bancos inovadores como o U.S. Bank e o Chime. Na Austrália, um ambiente regulamentar progressista preparou o terreno, mas a adoção é mais gradual à medida que o mercado transita de verificações manuais para redes de identificação digital verdadeiramente integradas. Entretanto, a União Europeia está a seguir um poderoso mandato de cima para baixo, obrigando por lei todo o seu setor bancário a adotar a EUDI Wallet e as suas credenciais subjacentes compatíveis com a norma ISO.

Apesar destas diferentes estratégias, está a surgir uma base técnica comum: a norma ISO/IEC 18013-7. Seja impulsionada pela procura do mercado ou por um mandato regulamentar, está a tornar-se o modelo global de como partilhamos a identidade online de forma segura. A trajetória é clara. No final de 2025 e em 2026, a primeira vaga de fluxos de integração compatíveis com a norma ISO deverá entrar em funcionamento, transformando a experiência do utilizador e melhorando a segurança através da verificação criptográfica de dados. Em última análise, a adoção da norma ISO 18013-7 representa uma mudança global em direção a uma economia digital mais segura, privada e eficiente, onde a identidade verificada já não é uma barreira, mas sim um facilitador de confiança fluido.