O setor de venda de ingressos online enfrenta uma batalha contra bots automatizados que acumulam ingressos para revenda posterior. A situação se agravou com o avanço da inteligência artificial, que tornou obsoletas as soluções tradicionais de proteção.
Nem precisa ir muito longe para ilustrar o problema e seus impactos em nosso mundo prático: é só voltar um pouco relembrar como foram os processos de vendas de ingressos dos últimos grandes shows de música pop no Brasil.
Raphael Michel, criador do sistema de bilhetagem pretix, afirma categoricamente que os CAPTCHAs perderam sua eficácia como barreira contra bots. Eventos com alta demanda criam terreno fértil para cambistas que utilizam automação para comprar ingressos em massa e revendê-los a preços inflacionados.
O problema atual do CAPTCHA
Os CAPTCHAs evoluíram desde o reconhecimento de textos distorcidos até a identificação de imagens e tarefas auditivas. O problema é que os modelos de IA contemporâneos conseguem superar facilmente todos os desafios estabelecidos pelo sistema.
Qualquer tentativa de aumentar a dificuldade para máquinas também prejudica a experiência dos usuários humanos.
As leis de acessibilidade europeias complicam ainda mais o cenário, exigindo alternativas para pessoas com deficiências visuais ou auditivas. Isso limita drasticamente as variações possíveis de CAPTCHAs.
O problema para resolver o problema
Fornecedores de segurança migraram para monitoramento comportamental através de aprendizado de máquina. O reCAPTCHA v3 analisa movimentos do mouse, histórico de navegação e padrões de cliques para distinguir humanos de bots.
A abordagem entrega dois problemas que são difíceis de serem superados pelo sistema atual:
- a privacidade, pela coleta em massa de dados pessoais;
- e os falsos positivos, que podem bloquear usuários legítimos.
Bots modernos utilizam navegadores reais controlados por código, tornando-se praticamente indistinguíveis de usuários humanos ou pessoas que dependem de tecnologias assistivas, impedindo o uso de certas métricas sem excluir os usuários genuínos.
Esquemas de prova de trabalho, que forçam computadores a resolver problemas computacionalmente caros, também se mostram ineficazes no contexto de ingressos. A margem de lucro da revenda justifica facilmente esses custos adicionais, além de gerar desperdício energético desnecessário.
Para piorar ainda mais a situação, serviços especializados que combinam inteligência artificial com trabalhadores mal remunerados para resolver CAPTCHAs em escala industrial, minando qualquer barreira tecnológica implementada.
Como (talvez) resolver a questão?
Michel identifica apenas duas soluções realmente eficazes: a personalização forte de ingressos, que precisam ser vinculados de forma obrigatória a identidades verificadas, e limites baseados em recursos difíceis de falsificar, como números de telefone ou cartões de crédito únicos.
O especialista propõe o “teorema BAP”, similar ao teorema CAP de bancos de dados, para a criação de banco de dados dos usuários mais complexo e avançado.
Os atuais sistemas de proteção não podem simultaneamente oferecer resistência a bots, acessibilidade e respeito à privacidade. Na opinião de Michael, os organizadores de eventos e responsáveis pelas plataformas de segurança devem escolher apenas duas dessas três propriedades.
A conclusão é preocupante: no ambiente competitivo da venda de ingressos, não existe solução tecnológica atual que permita proteger-se de bots mantendo simultaneamente privacidade e acessibilidade dos usuários.
E até que um consenso seja alcançado por aqueles que contam com o poder de fazer alguma coisa, os usuários ficam mais vulneráveis.