Para organizações reguladas

A conformidade começa
onde a MFA termina.

A Strong Customer Authentication (SCA) prova que uma credencial foi apresentada. Não prova que a voz na chamada é o titular dessa credencial. A Hongi fecha essa lacuna para bancos, seguradoras e qualquer organização onde a usurpação de identidade tem um custo.

Falar com a equipa Ver o mapa regulatório →
  • $3B
    perdas anuais com BEC e fraude do CEO
    FBI IC3 2024
  • €40M
    perdas belgas com phishing e vishing
    Febelfin 2024
  • Dec 2027
    prazo de aceitação da EUDI Wallet
    Regulation (EU) 2024/1183
  • 80%+
    engenharia social potenciada por IA
    ENISA Threat Landscape 2025

A lacuna de conformidade.

A SCA cobre as pontas de uma interação com o cliente: o login e a assinatura da transação. Tudo o que acontece no meio, a chamada telefónica, a sessão de vídeo, a troca de e-mails, não tem prova de identidade ao vivo. É nesse meio que vivem o vishing, o vídeo deepfake e a fraude do CEO.

coberto pela SCA
lacuna que a Hongi fecha

O mapa regulatório.

Oito quadros que tocam na garantia de identidade nos canais que a Hongi defende. Para cada um, onde a Hongi se situa e o que faz, com a fonte primária.

  1. 2019 PSD2 RTS-SCA em vigor
  2. 2024 EBA fraud reporting orientações atualizadas
  3. Oct 2024 NIS2 transposta
  4. Jan 2025 DORA em vigor
  5. Dec 2027 EUDI Wallet aceitação obrigatória
Regulamentos fundamentais 3
EU em vigor desde 2019
PSD2 · RTS on SCA
Regulamento Delegado (UE) 2018/389
Âmbito

Autenticação forte do cliente: pelo menos dois entre conhecimento, posse, inerência; vinculação à transação.

Onde a Hongi se encaixa

A Hongi é um fator de posse fora de banda complementar para a conversa que envolve a autorização do pagamento. Não substitui a SCA; defende contra engenharia social que contorna um fluxo SCA de outra forma válido (transações induzidas por fraude, usurpação do gestor).

Fonte primária →
EU em vigor desde Jan 2025
DORA
Regulamento (UE) 2022/2554
Âmbito

Resiliência operacional digital do setor financeiro. Art. 9 (proteção e prevenção), Art. 17-19 (notificação de incidentes TIC). Em vigor desde 17 de janeiro de 2025.

Onde a Hongi se encaixa

Reduz a superfície de ataque de engenharia social que desencadeia incidentes relacionados com TIC. O registo de auditoria opcional (árvore de Merkle de hashes de emparelhamento, sem identidades) apoia a reconstrução pós-incidente sem reter dados pessoais.

Fonte primária →
EU obrigatório Dec 2027
eIDAS-2 · EUDI Wallet
Regulamento (UE) 2024/1183
Âmbito

Aceitação obrigatória da EU Digital Identity Wallet pelas partes confiantes a partir de dezembro de 2027 (Art. 5f). Provas criptográficas de identidade fortes.

Onde a Hongi se encaixa

A Hongi é o verificador ao vivo do canal humano ao lado da EUDI: a EUDI prova que uma credencial foi apresentada, a Hongi prova que a voz na chamada pertence ao titular da credencial. Dois problemas ortogonais, uma arquitetura.

Fonte primária →
Quadros de apoio 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (atualizado 2024)
EU

Um cruzamento Hongi falhado durante uma chamada banco-cliente é um sinal limpo, legível por máquina, que pode alimentar a notificação de fraude (fraude do CEO, vishing) onde o esquema atual de fraude com cartão sub-reporta.

atualizado 2024 Fonte primária →
NBB · ICT-veiligheid
Orientações prudenciais do Banco Nacional da Bélgica + implementação da DORA
BE

Camada operacional de garantia de identidade para interações remotas banco-cliente e internas do banco, alinhada com o enquadramento do NBB sobre governação dos serviços apoiados em TIC.

ativo Fonte primária →
GDPR · privacy by design
Regulamento (UE) 2016/679, Art. 25
EU

Sem nome, sem número de telefone, sem e-mail, sem lista de contactos, sem histórico de palavras-código, sem analytics. A chave partilhada vive nos dois dispositivos emparelhados; o servidor encaminha apenas uma cifra opaca. Quase nada há para vazar numa violação.

em vigor desde 2018 Fonte primária →
NIS2
Diretiva (UE) 2022/2555
EU

Acrescenta uma camada de garantia de identidade ao controlo de acessos para interações remotas de alto risco (aprovação de transações, resposta a violações, onboarding de fornecedores) que a MFA por canal de texto não cobre.

transposta 2024 Fonte primária →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, julho de 2025 · ENISA Threat Landscape 2025
GLOBAL

Dirige-se diretamente à ameaça que a ENISA coloca em primeiro lugar. Complementa os níveis de garantia de autenticação do NIST com uma atestação ao nível da sessão sobre o canal humano, agnóstica do mecanismo (telefone, vídeo, presencial).

padrão da indústria Fonte primária →

Onde aparece nas operações.

No roteiro B2B ver roteiro →

Seis cenários operacionais entre fluxos virados ao cliente e internos. Os mecanismos descritos abaixo exigem emparelhamento organizacional e registos de auditoria que estão no nosso roteiro B2B ativo, ainda não entregues. Iniciamos os primeiros pilotos com bancos no Q4 2026. Uma única verificação falhada em qualquer destes cenários tem uma cauda conhecida de seis dígitos.

01
€40M
phishing e vishing belga · Febelfin 2024

Chamadas de saída do banco para o cliente

PSD2 RTS-SCAEBA fraud reporting
Sem Hongi

Os clientes não conseguem distinguir um gestor real de um burlão de vishing com o contexto certo.

Com Hongi

A palavra-código do cliente tem de corresponder à do gestor. Sem correspondência, não há conversa.

02
$25.6M
uma única videochamada deepfake · Arup 2024

Sessões de vídeo de onboarding de clientes

eIDAS-2GDPRKYC/AML
Sem Hongi

Trocas de rosto por deepfake atingem o KYC remoto. A cara no ecrã pode não corresponder ao ID carregado.

Com Hongi

Ambos os lados leem palavras-código correspondentes à câmara antes da revisão KYC. Atestado na sessão.

03
$3B
perdas anuais de BEC · FBI IC3 2024

Verificação interna (BEC / fraude do CEO)

DORANIS2
Sem Hongi

Pedido urgente de transferência do CEO, assinaturas batem certo, voz parece correta. O dinheiro sai.

Com Hongi

Verificação de palavra-código ao vivo antes de qualquer pagamento incomum. Um único emparelhamento fecha a brecha.

04
4h+
janela de notificação de incidentes da DORA

Resposta a violações

DORA Art. 17-19NIS2
Sem Hongi

Os atacantes exploram o caos do incidente: TI falsa, suporte falso, fornecedores IR falsos.

Com Hongi

Cada chamada interna passa por uma verificação de palavra-código. Sem correspondência, nenhuma instrução é seguida.

05
€100k+
limiar típico de transferência de alto valor

Confirmação de transação de alto valor

PSD2 RTS-SCAEBA fraud reporting
Sem Hongi

Transferência de €100k+ autorizada por telefone sem prova fora de banda de que o cliente é genuíno.

Com Hongi

O cliente lê a sua palavra-código atual em voz alta. O gestor confirma a correspondência. O pagamento prossegue atestado.

06
avg €40k
por incidente de fraude com faturas de fornecedores

KYB de fornecedor

DORA supply-chainNIS2
Sem Hongi

As chamadas de fornecedores têm identidade fraca. A fraude com faturas assenta sobre essa lacuna.

Com Hongi

Emparelhar no KYB. A partir daí, cada chamada de fornecedor é verificada por Hongi. Sem adivinhações.

Uma arquitetura sob escrutínio do DPO.

Um deployment de Hongi é auditável pelo seu DPO numa única tarde. Abaixo, tudo o que mantemos num servidor quando uma organização implanta a Hongi para o seu pessoal e clientes.

  • Tokens push por dispositivo. Identificadores opacos emitidos por APNs/FCM. Sem mapeamento para um nome humano. Necessários apenas para o caminho de notificação por ping silencioso; não usados para a verificação rotineira de palavra-código (essa é totalmente offline).
  • Registo de auditoria opcional de hashes de emparelhamento. Para implantações B2B que exigem rastreabilidade ao abrigo do art. 17 da DORA ou das orientações do NBB, a Hongi pode acrescentar um registo em árvore de Merkle de hashes de emparelhamento (sem identidades, sem palavras-código). Verificável por prova de Merkle. Sem cadeia pública.
  • Metadados de pagamento da gorjeta. Apenas relevante para o produto de consumo, não para B2B. Encaminhado através do Stripe. A Hongi vê que uma gorjeta aconteceu e o montante; nada que a ligue a um utilizador.

O que não armazenamos: nomes, números de telefone, e-mails, listas de contactos, histórico de palavras-código, registos de chamadas, localização, transcrições, biometria, identificadores publicitários. A chave de verificação entre dois dispositivos emparelhados vive apenas nesses dois dispositivos, derivada localmente.

Próximo passo

Reserve uma conversa piloto de 30 minutos.

A equipa Hongi senta-se com os seus responsáveis de conformidade, fraude e TI e percorre o seu caso de uso de maior impacto. Se houver encaixe, corremos um piloto gratuito de 6 meses com até 500 clientes ou colaboradores. Sem aquisição, sem licença, sem exposição.

Enviar e-mail aos fundadores diretamente Ler primeiro as FAQ →

Hongi (Lovit BV) · Vlaanderen, Bélgica · info@hongi.io