Há uma revolução silenciosa acontecendo na infraestrutura digital das organizações. Enquanto debatemos identidades humanas, biometria, certificados digitais, carteiras de identidade nacionais, uma outra categoria de identidades cresce de forma exponencial e, na maior parte das vezes, sem governança: as Identidades Não Humanas, ou NHI (Non-Human Identities).
Por Redação do Crypto ID
Se você ainda não ouviu esse termo, prepare-se. Ele está redefinindo os limites da cibersegurança, da conformidade regulatória e da gestão de risco em praticamente todos os setores econômicos.
O alerta veio de um lugar inesperado: o horário do almoço.
“Será que as empresas sabem quantas identidades não humanas existem no ambiente delas?”
Foi durante uma pausa para o almoço que Leandro Roosevelt, Country Manager Brazil na Qualys. profissional com mais de 25 anos dedicados à cibersegurança e à identificação digital no Brasil e LATAM, fez uma pergunta que deveria tirar o sono de qualquer gestor de TI ou segurança. Ele a publicou em seu perfil no LinkedIn no início de maio de 2026 e ela chegou até nós antes mesmo do café esfriar:
“No processo de me atualizar agora no almoço, fiquei pensando se as empresas sabem quantas identidades humanas existem no ambiente delas e se elas se dão conta que podem ter mais que o dobro de não-humanas? Service accounts. API keys. Tokens de integração. Credenciais de pipeline. Identidades de máquinas que se comunicam com máquinas etc., tudo sem nenhum humano no meio do processo,” escreveu Roosevelt.
A pergunta toca em algo que o mercado ainda não soube responder bem. A maioria dessas identidades nunca foi auditada, acumula privilégios excessivos, nunca teve a senha trocada e, em muitos casos, ninguém mais sabe sequer para que foram criadas.
A conclusão de Roosevelt é provocadora: “A próxima grande brecha não vai ter rosto. Vai ter um token de API com 3 anos de vida e privilégios de admin.”
Quando a Regina Tupinambá, co-fundadora do Crypto ID, comentou a publicação dizendo que “precisamos falar muito mais sobre NHI”, a resposta de Roosevelt foi rapida e direta: “Concordo 100%: a superfície de risco já mudou, mas boa parte das discussões ainda continua presa à identidade humana.”
É exatamente para mudar isso que escrevemos este artigo!
O Que São Identidades Não Humanas?
Uma identidade não humana é qualquer credencial utilizada por uma máquina — não por uma pessoa. Isso inclui:
- Dispositivos: servidores, laptops, sensores IoT, equipamentos industriais
- Workloads: contêineres, máquinas virtuais, funções serverless, microsserviços
- Agentes de IA: sistemas autônomos que executam tarefas sem supervisão humana direta
- Pipelines de automação: scripts de CI/CD, contas de serviço, integrações entre sistemas
As credenciais que sustentam essas identidades são variadas: chaves de API, tokens OAuth e JWT, senhas de serviço, chaves SSH e certificados X.509. Cada um desses elementos representa uma porta de entrada para sistemas críticos, e cada um pode se tornar um vetor de ataque se não for gerenciado adequadamente.
A escala é impressionante. Para cada colaborador humano em uma organização, pode haver dezenas ou centenas de identidades não humanas em operação. Em uma empresa de médio porte com mil funcionários, estamos falando potencialmente de dezenas de milhares de credenciais circulando em sistemas, pipelines e nuven, a maior parte delas invisível para as equipes de segurança.
Por Que Isso Importa Agora?
A resposta está na convergência de três fenômenos simultâneos: a migração acelerada para a nuvem, a adoção de arquiteturas cloud-native e a explosão de agentes de inteligência artificial.
Em ambientes cloud-native, microsserviços se multiplicam a cada sprint. Um pipeline de CI/CD pode gerar e destruir dezenas de identidades temporárias por dia. Funções serverless se autenticam em APIs sem qualquer interação humana. Agentes de IA acessam bases de dados, executam transações e interagem com sistemas externos de forma completamente autônoma.
O problema é que, diferentemente dos usuários humanos, essas entidades geralmente não estão sujeitas a políticas claras de governança. Credenciais são criadas por diferentes times, com diferentes ferramentas, sem padronização. Permissões excessivas são concedidas por conveniência. Tokens expirados permanecem ativos. Chaves privadas são armazenadas em texto simples em repositórios de código.
O resultado é uma superfície de ataque crescente, difusa e de difícil mapeamento. Um ponto cego que agentes maliciosos já aprenderam a explorar.
E os dados do mercado confirmam: Snowflake, Cloudflare, Microsoft – três dos maiores incidentes de segurança de 2024 – não começaram com a senha de um usuário humano comprometida. Começaram com service accounts que ninguém olhava.
Os Quatro Vetores de Risco das NHIs
Compreender as vulnerabilidades específicas das identidades não humanas é o primeiro passo para mitigá-las:
1. Falta de visibilidade: As NHIs são criadas por equipes distintas, com ferramentas distintas. A maior parte das organizações simplesmente não sabe quantas identidades não humanas possui, onde estão e o que elas acessam.
2. Ausência de governança: Não há políticas centralizadas que definam como essas credenciais devem ser emitidas, renovadas ou revogadas. O resultado são credenciais hardcoded em scripts, tokens sem rotatividade e certificados vencidos que continuam operando silenciosamente.
3. Processos manuais e fragmentados: A gestão artesanal de certificados e credenciais não escala. Em arquiteturas de microsserviços, onde centenas de certificados podem ser solicitados por hora, planilhas e scripts caseiros são insuficientes e perigosos.
4. Expansão da superfície de ataque: Credenciais sem gerenciamento ou expiradas são alvos preferenciais. Comprometer uma NHI pode dar ao atacante acesso a pipelines de dados, infraestrutura de nuvem ou sistemas de pagamento sem nenhuma intervenção humana no caminho.
PKI: A Fundação da Confiança Digital para Máquinas
Dentre as tecnologias disponíveis para proteger identidades não humanas, os certificados digitais X.509 emitidos via PKI se destacam pela robustez. Diferentemente de tokens ou senhas, os certificados são criptograficamente seguros, não reutilizáveis e vinculados a políticas de ciclo de vida controláveis.
A PKI forma a raiz de confiança que permite a comunicação segura entre máquinas em escala. Com ela, cada workload, cada dispositivo IoT, cada agente de IA pode provar sua identidade de forma verificável desde que a infraestrutura de emissão, validação e revogação esteja bem estruturada.
PKI e IoT: o desafio de identificar bilhões de coisas
O mundo IoT torna o problema das NHIs ainda mais visceral. Um sensor industrial, uma bomba de combustível inteligente, um monitor de saúde conectado – cada um desses dispositivos é, na prática, uma identidade não humana que precisa ser provisionada, autenticada e monitorada ao longo de todo o seu ciclo de vida. E quando falamos de dezenas de milhares de dispositivos em campo, a gestão manual simplesmente colapsa.
É nesse contexto que a CERMOB, braço tecnológico do Grupo Asamar, se posiciona como uma referência. A empresa é a única brasileira a desenvolver sistemas operacionais criptográficos padrões ISO para módulos seguros com aplicação em IoT, sendo homologada pelo ITI – Instituto Nacional de Tecnologia da Informação. Sua plataforma PKI para elementos seguros criptográficos resolve um problema que poucos no mercado conseguem endereçar com a profundidade técnica necessária: dar identidade criptográfica verificável a objetos, não apenas a pessoas, entregando confiança intrínseca aos dados gerados por esses objetos.
Com presença na Hannover Messe 2026, a maior feira mundial de sistemas embarcados, realizada na Alemanha em abril de 2026, a CERMOB levou ao palco global a discussão sobre como dispositivos embarcados – de controladores industriais a equipamentos IoT de missão crítica – precisam de identidades digitais robustas desde o momento de fabricação, e não como camada adicional posterior.
À frente dessa visão está Alexandre Siffert, Diretor da CERMOB. Executivo sênior com mais de 30 anos de carreira em empresas de TI e Telecom, Siffert acumulou passagens por áreas comerciais, técnicas, financeiras e administrativas, combinando visão estratégica de negócios com profundo conhecimento das tecnologias de segurança criptográfica. É sob sua liderança que a CERMOB tem expandido sua atuação para além das fronteiras nacionais, posicionando a empresa como referência global em PKI para sistemas embarcados e IoT.
Para Siffert, a PKI não é apenas uma ferramenta de conformidade — é a única arquitetura capaz de resolver o problema de identidade não humana com a escala, a interoperabilidade e a segurança que a nova economia exige:
“Todo dispositivo conectado é uma identidade. E identidade sem raiz de confiança criptográfica é apenas um número facilmente falsificado, facilmente comprometido. A PKI é a única tecnologia que garante, desde o chip até a nuvem, que aquela máquina é quem diz ser. Não há atalho para isso.”
“Na IoT, o problema das NHIs se multiplica por milhões. Cada sensor, cada atuador, cada controlador precisa de um certificado emitido por uma autoridade confiável, com ciclo de vida gerenciado e revogação garantida. Quando isso não existe, a superfície de ataque não é uma porta, é um estádio inteiro de portas abertas.”
HSMs e o Banco Central: quando a regulação impõe o padrão de ouro
O complemento natural da PKI é o HSM (Hardware Security Module). Esses dispositivos físicos armazenam e protegem as chaves criptográficas privadas de forma que nunca possam ser exportadas em texto claro, mesmo diante de ataques sofisticados.
No Brasil, o Banco Central é pioneiro na exigência desse padrão: suas resoluções determinam que todas as chaves criptográficas utilizadas no sistema financeiro -incluindo as que sustentam identidades de máquina no SPB, no PIX, e em integrações de Open Finance – sejam armazenadas exclusivamente em HSMs certificados, não em servidores convencionais. É uma exigência que coloca o Brasil na vanguarda regulatória global em proteção de identidades digitais.
Nesse cenário, a DINAMO Networks se consolida como referência nacional. Fabricante brasileira de HSMs, a DINAMO Networks atende todas as aplicações críticas do Banco Central, fornecendo a infraestrutura de proteção de chaves para instituições financeiras, processadoras de pagamento, ACs da ICP-Brasil e órgãos governamentais.
Seus procedimentos requisitos técnicos e equipamentos garantem que as chaves que sustentam milhões de transações diárias – e as identidades não humanas que as executam – estejam protegidas em hardware dedicado, auditável e em conformidade com os mais rigorosos padrões internacionais.
À frente da DINAMO Networks está Marco Zanini, CEO da empresa há mais de duas décadas. Engenheiro com profundo domínio de criptografia aplicada, Zanini liderou a participação da DINAMO nos projetos mais críticos da infraestrutura digital brasileira, do SPB ao PIX e ao DREX, e é uma das vozes mais diretas e contundentes quando o assunto é o que separa a segurança real da falsa sensação de proteção. Para ele, o problema das identidades não humanas começa antes mesmo da questão de quantas existem: começa em onde as suas chaves estão guardadas.
“Emitir uma chave criptográfica é apenas o começo. O erro que vejo repetidamente no mercado, e que já custou bilhões em prejuízos, é tratar a emissão como se fosse o destino. Não é. A chave emitida e armazenada em um servidor web é uma chave comprometida esperando o momento de ser explorada. Não existe nível de criptografia que resista a uma chave exposta em texto claro num sistema de arquivos. Guardar uma chave criptográfica em claro num servidor é como colar a senha do cofre na porta do próprio cofre. Qualquer um que tiver acesso àquele ambiente lê a chave, usa a chave e se passa pela identidade que ela representa. Isso não é uma questão de ser mais ou menos cuidadoso. É uma questão arquitetural. Ou a chave privada vive dentro de um HSM, um ambiente físico dedicado, auditável, que nunca permite a exportação da chave em claro, ou ela está vulnerável. Ponto.“
“E o problema se multiplica quando falamos de identidades não humanas. Uma organização com mil colaboradores humanos pode ter dez, vinte mil identidades de máquina em operação: tokens de API, certificados de serviço, credenciais de pipeline, chaves de integração. Cada uma dessas identidades tem um ciclo de vida. Ela nasce, precisa ser renovada, precisa ser revogada quando não é mais necessária. Se você não tem um processo centralizado de gestão dessas chaves, o que chamamos de CLM, Certificate Lifecycle Management, você não tem segurança. Você tem caos com aparência de ordem. E o caos é exatamente o que o atacante procura.“
“O Banco Central entendeu isso antes de todo mundo. As resoluções que exigem HSM certificado para todas as chaves do sistema financeiro não são burocracia, são a única resposta tecnicamente correta para o problema. Nós implementamos isso no SPB, no PIX e no DREX. O resultado é um sistema que processa centenas de milhões de transações com chaves que nunca saíram do hardware, nunca foram expostas, e cujo ciclo de vida é gerenciado de forma centralizada e auditável. Isso é o padrão que toda organização que opera com identidades não humanas deveria perseguir, não porque a regulação exige, mas porque é a única forma de ter controle real sobre o que está acontecendo na sua infraestrutura.“
Completando o tripé, o CIEM (Cloud Infrastructure Entitlement Management) permite visualizar, analisar e corrigir as permissões concedidas a cada identidade na nuvem, aplicando o princípio do menor privilégio de forma contínua e automatizada.
Relevância Setorial: Quem Precisa Prestar Atenção
Para o mercado brasileiro e latino-americano, o problema tem um agravante: a conversa sobre identidade digital ainda gira majoritariamente em torno de MFA e acesso humano. O inventário das NHIs, na maior parte das organizações da região, nem sequer começou.
Do setor financeiro à saúde, da indústria ao agronegócio, do varejo às telecomunicações, do jurídico à infraestrutura crítica: em todo lugar onde há automação, integração e conectividade, há identidades não humanas que precisam ser gerenciadas.
O Alerta da Regulação
A relevância das NHIs não passa despercebida pelos reguladores. No Brasil, as resoluções do Banco Central já estabelecem requisitos claros para proteção criptográfica de identidades em sistemas financeiros. A LGPD impõe responsabilidades sobre o tratamento de dados em qualquer sistema automatizado. E globalmente, frameworks como o NIST CSF e a diretiva NIS2 europeia tratam a gestão de identidades de máquina como componente essencial da resiliência cibernética.
Organizações que ignoram as NHIs não apenas enfrentam riscos operacionais, elas enfrentam risco regulatório e reputacional.
O Que Fazer: Princípios para uma Gestão Segura de NHIs
Inventariar antes de proteger é o princípio fundamental. Você não pode proteger o que não conhece — e o primeiro passo é mapear todas as identidades não humanas em operação: certificados, chaves, tokens e contas de serviço.
A partir daí, a automação do ciclo de vida deixa de ser opcional. A renovação manual de certificados não escala, e ferramentas de CLM resolvem isso ao automatizar emissão, renovação e revogação, eliminando o risco de expiração silenciosa.
Mas automatizar sem governança cria novos problemas. Políticas claras sobre como NHIs são criadas, quais permissões recebem e quando são descontinuadas precisam ser aplicadas de forma centralizada e auditável — não delegadas a times isolados.
A proteção das chaves privadas merece atenção especial. O uso de HSMs é a melhor prática do setor e, em muitos ambientes regulados, uma exigência legal que não admite alternativas.
O princípio do menor privilégio completa a equação: cada identidade não humana deve ter acesso apenas ao estritamente necessário para sua função. Ferramentas de CIEM ajudam a identificar e corrigir excessos de privilégio antes que se tornem vetores de ataque.
Por fim, a gestão de NHIs não pode ser um silo. Ela deve estar integrada à estratégia de IAM da organização, com visibilidade, controle e responsabilidade compartilhados.
A Identidade Vai Além do Ser Humano
As Identidades Não Humanas não têm rosto, não têm voz, mas têm acesso a dados sensíveis, sistemas críticos e infraestruturas essenciais. Gerenciá-las com o mesmo rigor que aplicamos às identidades humanas não é uma opção — é uma necessidade estratégica.
O Crypto ID continuará acompanhando, aprofundando e provocando o debate sobre esse tema. Porque acreditamos que a segurança digital começa pelo que não se vê.
Glossário de Siglas
- AC — Autoridade Certificadora. Entidade responsável por emitir, gerenciar e revogar certificados digitais dentro de uma infraestrutura PKI.
- API — Application Programming Interface. Interface que permite a comunicação entre sistemas de software distintos.
- CIAM — Customer Identity and Access Management. Conjunto de soluções para gerenciar identidades e acessos de clientes em plataformas digitais.
- CI/CD — Continuous Integration / Continuous Delivery. Práticas de desenvolvimento de software que automatizam a integração e entrega de código.
- CIEM — Cloud Infrastructure Entitlement Management. Tecnologia para gerenciar e corrigir permissões excessivas concedidas a identidades em ambientes de nuvem.
- CLM — Certificate Lifecycle Management. Gestão automatizada do ciclo de vida de certificados digitais, da emissão à revogação.
- CRM — Customer Relationship Management. Sistema de gestão de relacionamento com clientes.
- HSM — Hardware Security Module. Dispositivo físico de segurança dedicado ao armazenamento e proteção de chaves criptográficas.
- IAM — Identity and Access Management. Conjunto de políticas, processos e tecnologias para gerenciar identidades digitais e controlar acessos.
- ICP-Brasil — Infraestrutura de Chaves Públicas Brasileira. Cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais com validade jurídica no Brasil.
- IoT — Internet of Things (Internet das Coisas). Ecossistema de dispositivos físicos conectados à internet que coletam e trocam dados de forma autônoma.
- ISO — International Organization for Standardization. Organização internacional que desenvolve e publica normas técnicas.
- ITI — Instituto Nacional de Tecnologia da Informação. Autarquia federal brasileira responsável por manter e credenciar a ICP-Brasil.
- JWT — JSON Web Token. Padrão aberto para transmissão segura de informações entre partes como um objeto JSON assinado digitalmente.
- LGPD — Lei Geral de Proteção de Dados. Legislação brasileira que regula o tratamento de dados pessoais por pessoas físicas e jurídicas.
- MFA — Multi-Factor Authentication (Autenticação Multifator). Método de autenticação que exige dois ou mais fatores de verificação de identidade.
- NHI — Non-Human Identity (Identidade Não Humana). Qualquer identidade digital atribuída a um sistema, serviço, dispositivo ou agente automatizado — e não a uma pessoa.
- NIS2 — Network and Information Security Directive 2. Diretiva europeia que estabelece requisitos de cibersegurança para operadores de infraestruturas críticas e serviços essenciais.
- NIST CSF — National Institute of Standards and Technology Cybersecurity Framework. Framework de cibersegurança desenvolvido pelo governo dos EUA para orientar organizações na gestão de riscos cibernéticos.
- OAuth — Open Authorization. Protocolo padrão de autorização que permite acesso seguro a recursos de terceiros sem compartilhamento de credenciais.
- OT — Operational Technology (Tecnologia Operacional). Hardware e software que monitora e controla equipamentos físicos, processos e infraestruturas industriais.
- PIX — Sistema de pagamentos instantâneos criado pelo Banco Central do Brasil, disponível 24 horas por dia, 7 dias por semana.
- PKI — Public Key Infrastructure (Infraestrutura de Chaves Públicas). Conjunto de tecnologias, políticas e procedimentos para emissão, gerenciamento e revogação de certificados digitais baseados em criptografia assimétrica.
- PKCS#11 — Public Key Cryptography Standards #11. Interface de programação padrão para dispositivos criptográficos como HSMs e smartcards.
- SPB — Sistema de Pagamentos Brasileiro. Conjunto de entidades, sistemas e procedimentos relacionados ao processamento de pagamentos e transferências de fundos no Brasil.
- SSH — Secure Shell. Protocolo de rede criptografado para comunicação segura entre sistemas, amplamente utilizado para acesso remoto a servidores.
- TLS/SSL — Transport Layer Security / Secure Sockets Layer. Protocolos criptográficos que garantem a segurança das comunicações em redes de computadores, amplamente usados na internet.
Referências e Leituras Complementares no Crypto ID
O Crypto ID tem construído ao longo dos anos um repositório robusto sobre identidade digital, cibersegurança e tecnologias de confiança. Para aprofundar sua compreensão sobre Identidades Não Humanas e temas correlatos, confira nossas publicações:
- Identidades Não Humanas na Nuvem: Certificados, PKI e o Desafio da Segurança Invisível
- NHIs: A nova fronteira crítica da segurança cibernética
- Cibersegurança e a explosão das identidades não humanas
- Identidade e Cibersegurança: O Que Realmente Importa na Escolha de Soluções IAM
- Fraudes em infraestruturas críticas expõem falha estrutural e colocam tecnologia brasileira no radar global
- PKI: um aliado estratégico seguro da Internet das Coisas (IoT)
- DINAMO Networks se consolida como referência em segurança digital no Brasil
- Sucesso absoluto marca o IAM TECH DAY 2025 e consolida o evento como referência em inovação e tecnologia
O Crypto ID é o maior portal de inteligência editorial sobre identificação digital, criptografia, certificação, IAM e cibersegurança do Brasil e América Latina. Desde 2014, conectamos tecnologia, regulação e decisão.
Identidade Digital
Na era da computação quântica gestão de identidade deixa de ser um recurso técnico e passa a ser um ativo estratégico de governança. Leia mais sobre esse tema aqui!
Conectando soluções inovadoras de empresas nacionais e globais à nossa audiência altamente qualificada que acessa o Crypto ID em busca conhecimento elevado sobre identificação digital, cibersegurança, transformação digital, combate a fraude e todo o universo que protege pessoas e ativos digitais das empresas.
Apresente como a sua empresa pode ajudar organizações a crescer considerando o cenário digital atual. Entre em contato e mostre ao mercado o valor das suas soluções.
Fale com a gente: +55 11 9 9286 7046 ou contato@cryptoid.com.br
