Silent Network Auth (SNA): A Nova Geração de Autenticação Sem Senha no Brasil

No cenário brasileiro de segurança digital e desenvolvimento de aplicativos, a autenticação multifator (MFA) consolidou-se como um pilar essencial para proteger contas contra acessos não autorizados. No entanto, os métodos tradicionais, como o envio de senhas de uso único por SMS (SMS OTP) ou WhatsApp OTP, enfrentam dois grandes gargalos: a fricção na experiência do usuário (UX) — que precisa aguardar o código, copiá-lo e colá-lo no aplicativo — e a vulnerabilidade a golpes sofisticados de engenharia social, como interceptação de mensagens (phishing) e clonagem de chip (SIM Swap).

Nesse contexto de evolução da cibersegurança, surge o Silent Network Auth (SNA) — também conhecido comercialmente como *Verify My IP* —, uma tecnologia inovadora sob a iniciativa internacional GSMA Open Gateway que está revolucionando a autenticação móvel no Brasil, permitindo validar a identidade do usuário de forma 100% silenciosa e sem senhas.

---

1. O que é Silent Network Auth (SNA)?

O Silent Network Auth (SNA) é uma API de rede padronizada globalmente pela GSMA que permite a verificação instantânea e segura da posse de um número de celular. Em vez de enviar uma mensagem contendo um código de segurança temporário para o telefone do usuário, a validação ocorre em nível de infraestrutura de rede móvel (operadora), comparando os dados da conexão celular ativa com o número informado.

No Brasil, as três principais operadoras de telefonia móvel — Vivo, Claro e TIM — cooperaram para unificar essas APIs, permitindo que desenvolvedores de software acessem essa tecnologia de maneira uniforme por meio de gateways de CPaaS integrados.

Principais Vantagens da SNA:

• Zero Fricção para o Usuário: Não há necessidade de copiar códigos, ler mensagens ou alternar telas. O processo ocorre de forma totalmente transparente e invisível no background.
• Proteção Anti-Phishing: Como a autenticação depende diretamente da sinalização da operadora móvel sobre o canal de rede ativo física, é impossível para um atacante interceptar a validação por meio de telas falsas na internet.
• Imunidade ao SIM Swap: A rede móvel é capaz de detectar se o cartão SIM do número associado foi alterado recentemente, abortando a autenticação automática caso um roubo de linha (SIM Swap) tenha ocorrido poucas horas antes.

---

2. Como Funciona o Handshake Técnico da SNA

A magia da autenticação silenciosa reside na capacidade de fazer uma validação cruzada entre o endereço IP da conexão de internet móvel do celular e os registros internos do sistema da operadora de telefonia.

mermaid sequenceDiagram participant User as Dispositivo do Usuário participant App as Backend do Aplicativo participant Gateway as Bulk SMS Gateway participant Carrier as Rede da Operadora (Vivo/TIM/Claro)

User->>App: Inicia login / fornece número (+5511999998888) App->>Gateway: Solicita autenticação SNA (phone, userIP) Gateway->>Carrier: Consulta validade do IP para o número Carrier->>Carrier: Verifica se o IP da conexão corresponde ao MSISDN do chip Carrier-->>Gateway: Retorna resultado (Match / No Match) Gateway-->>App: Retorna confirmação de identidade App-->>User: Acesso autorizado (Login concluído) 

O Fluxo Passo a Passo:

1. Entrada do Usuário: O usuário digita o número de celular no aplicativo móvel utilizando a rede 3G/4G/5G ativa no aparelho.
2. Requisição de Validação: O backend da aplicação intercepta a requisição e extrai o endereço IP público de conexão do celular do usuário. Em seguida, envia esses dados (número do celular e IP de origem) para o gateway da Bulk SMS.
3. Consulta de Rede: O gateway encaminha a consulta para a API da operadora celular correspondente ao chip do usuário.
4. Verificação de MSISDN/IP: A operadora verifica em seus bancos de dados em tempo real se o tráfego de dados do IP informado está roteado pelo MSISDN (número de celular) associado ao cartão SIM daquele chip físico.
5. Autenticação: Se houver correspondência exata, a operadora retorna um sinal de confirmação ("MATCH") e o acesso do usuário é liberado instantaneamente.

---

3. Matriz Comparativa: SNA vs. Métodos Tradicionais

Critério / Canal	Silent Network Auth (SNA)	SMS OTP (One-Time Password)	Aplicativos de Autenticação (TOTP)
:---	:---	:---	:---
Experiência do Usuário	Excelente (Invisível, silencioso)	Média (Exige copiar/colar código)	Baixa (Requer alternar app e digitar nota)
Resistência a Phishing	Alta (Imune a clonagem de canais)	Baixa (Códigos podem ser digitados em sites clonados)	Média (Usuários podem ser enganados)
Resistência a SIM Swap	Alta (Detecta alteração recente do chip)	Baixa (Mensagem cai no chip clonado)	Alta (Não depende da linha de telefone)
Velocidade de Processamento	< 1.5 segundos	2 a 10 segundos	Variável (Depende da velocidade do usuário)
Dependência de Dados	Requer conexão móvel celular direta	Funciona em sinal de voz/GSM comum	Funciona offline no dispositivo

---

4. Implementação Prática: Consultando a API SNA em Node.js

Integrar a API de Silent Network Auth requer duas etapas principais no seu backend: primeiro, solicitar um token de autorização de rede e, em seguida, fazer a chamada de conferência do número. Veja abaixo um exemplo completo em Node.js usando o gateway da Bulk SMS:

javascript const express = require('express'); const axios = require('axios'); const app = express(); app.use(express.json());

const BULK_SMS_API_URL = 'https://api.bulksmsbrazil.com/v1'; const API_TOKEN = 'seu_token_api_aqui';
// Rota de login móvel que utiliza SNA app.post('/api/auth/silent-verify', async (req, res) => { const { phoneNumber } = req.body; // Captura o IP de origem do cliente de forma precisa const userIp = req.headers['x-forwarded-for'] || req.socket.remoteAddress;
if (!phoneNumber) { return res.status(400).json({ error: 'Telefone do usuario eh obrigatorio.' }); }
console.log(Iniciando autenticacao silenciosa para ${phoneNumber} no IP: ${userIp});
try { // 1. Solicita a autenticação da rede celular const authResponse = await axios.post(${BULK_SMS_API_URL}/network/sna/verify, { phoneNumber: phoneNumber, clientIp: userIp }, { headers: { 'Authorization': Bearer ${API_TOKEN}, 'Content-Type': 'application/json' } });
const { status, transactionId, carrierMatched } = authResponse.data;
// Se a validação foi positiva if (status === 'COMPLETED' && carrierMatched === true) { console.log(Usuario autenticado com sucesso via rede celular. Transacao: ${transactionId}); // Lógica de sessão (geração de JWT Token, por exemplo) return res.status(200).json({ success: true, message: 'Autenticado silenciosamente com sucesso.', token: 'jwt_mock_session_token' }); } else { console.log(Falha na SNA: IP do usuario nao corresponde ao chip do telefone.); return res.status(401).json({ success: false, error: 'Identidade de rede nao confirmada. Por favor, utilize verificação alternativa.' }); } } catch (error) { console.error('Erro na autenticacao SNA:', error.response ? error.response.data : error.message); return res.status(500).json({ error: 'Erro interno ao consultar operador de telefonia.' }); } });
app.listen(3000, () => console.log('Servidor de login SNA ativo na porta 3000')); 

---

5. Casos de Uso Críticos em Fintechs e Bancos no Brasil

O setor de serviços financeiros é o principal adotante de Silent Network Auth devido às exigências regulatórias do Banco Central do Brasil em relação a canais seguros de transação:

• Onboarding de Contas Digitais: No momento em que um novo usuário tenta abrir uma conta pelo aplicativo móvel, a SNA valida silenciosamente se o número informado de fato corresponde àquele chip ativo, prevenindo cadastros fraudulentos feitos por estelionatários.
• Autorização de Transações Pix: Para transações Pix de valores elevados que fujam do comportamento padrão de consumo do cliente, o sistema do banco executa uma chamada de SNA silenciosa em segundo plano. Se a rede aprovar o pareamento MSISDN/IP, a transação é liberada sem exigir que o usuário digite senhas adicionais, mantendo a transação rápida e extremamente segura.

Para saber mais sobre a documentação de APIs de rede no padrão Open Gateway e testar nossa sandbox de desenvolvimento, consulte nossa página de APIs de Rede e conheça nossas ferramentas de Verify APIs.