Origem Verificada: Como o STIR/SHAKEN Combate Fraudes Telefônicas no Brasil

Por que o Origem Verificada importa para a sua operação

Se você opera uma rede de telefonia, já sabe que o spoofing de caller ID prejudica toda a cadeia. Seus assinantes recebem chamadas fraudulentas, perdem confiança no serviço de voz e passam a ignorar ligações legítimas. Para contact centers, a consequência direta é a queda nas taxas de atendimento. Para ISPs que ofertam STFC ou SCM com voz, o problema vai além da reputação: a Anatel está tornando a verificação de origem obrigatória.

A Resolução n. 777/2025 criou o Origem Verificada, a implementação brasileira do protocolo STIR/SHAKEN. Até outubro de 2028, todas as prestadoras de serviços de telecomunicações precisam estar integradas ao sistema. Este artigo explica o que muda na sua rede, quais investimentos serão necessários e como se preparar dentro do cronograma regulatório.

Como o STIR/SHAKEN funciona na prática

O protocolo STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs) usa certificados digitais para validar a identidade do originador de cada chamada.

Quando a sua operadora origina uma chamada, o softswitch ou SBC assina digitalmente o cabeçalho SIP Identity com um certificado emitido por autoridade certificadora reconhecida pela ABR Telecom. A operadora de destino recebe essa assinatura e a verifica. Se a validação é bem-sucedida, a chamada chega ao destinatário com o nome da empresa, logotipo, motivo da ligação e um selo de verificação.

O protocolo define três níveis de atestação que você precisa entender para configurar sua rede corretamente. O nível A (Full Attestation) indica que a sua operadora conhece o cliente e confirma que ele está autorizado a usar aquele número. É o nível que gera o selo completo de verificação. O nível B (Partial Attestation) confirma que você conhece o cliente, mas não pode atestar o direito dele àquele número específico. O nível C (Gateway Attestation) indica que a chamada entrou pela sua rede via gateway e você não pode verificar a origem real.

Na prática, chamadas com atestação nível C passarão a ser tratadas com desconfiança crescente pelos smartphones e aplicativos de bloqueio. Para contact centers que dependem de altas taxas de atendimento, garantir atestação nível A é prioridade.

Cronograma de adoção obrigatória: o que fazer e quando

A Resolução n. 777/2025 estabelece um cronograma gradual até outubro de 2028. O planejamento para a sua operação depende do porte da prestadora.

Para operadoras do Grupo PMS (Vivo, Claro, TIM, Oi), a adequação das redes para originar e verificar chamadas com STIR/SHAKEN é a primeira etapa. Essas operadoras já estão em processo de implementação e suas redes são referência para a interconexão com prestadoras menores.

Para operadoras de médio porte, a segunda fase exige a implementação do suporte à verificação. Isso significa que sua rede precisa ser capaz tanto de assinar chamadas originadas quanto de verificar chamadas recebidas.

Para provedores regionais e ISPs com autorização STFC, a fase final requer integração completa ao sistema. Se você ainda opera com softswitch legado que não suporta os cabeçalhos STIR/SHAKEN no SIP, este é o momento de planejar a migração ou atualização.

O que você precisa implementar na sua rede

A adequação técnica envolve três componentes principais que afetam diretamente a infraestrutura do seu softswitch e SBC.

O primeiro é o STI-AS (Secure Telephone Identity Authentication Service). Este serviço assina digitalmente as chamadas originadas na sua rede. Ele consulta o certificado da sua operadora e insere a assinatura criptográfica no cabeçalho SIP Identity antes de encaminhar a chamada.

O segundo é o STI-VS (Secure Telephone Identity Verification Service). Este serviço verifica as assinaturas das chamadas recebidas. Ele consulta a chave pública da operadora originadora e valida se a assinatura é legítima.

O terceiro é a integração com a infraestrutura de certificados digitais da ABR Telecom. Sua operadora precisa obter certificados de identidade telefônica, mantê-los atualizados e garantir que os sistemas STI-AS e STI-VS estejam conectados ao repositório de certificados.

Além disso, seus sistemas de CDR precisam ser atualizados para registrar o nível de atestação de cada chamada. Essa informação é necessária tanto para auditoria regulatória quanto para relatórios de desempenho do serviço.

O papel da ABR Telecom e o registro de empresas

A ABR Telecom é a entidade coordenadora do Origem Verificada. Ela gerencia a infraestrutura de certificação digital, administra o cadastro de empresas verificadas e mantém a base de dados de números verificados.

Para a sua operação no dia a dia, isso significa que você precisará interagir com a ABR Telecom para obter certificados, cadastrar as empresas clientes que desejam usar o selo de verificação e manter as informações atualizadas no sistema.

Se você opera um contact center ou atende clientes que fazem chamadas em grande volume (bancos, seguradoras, utilities), o cadastro dessas empresas no Origem Verificada é um serviço de valor agregado que você pode oferecer. O sistema já registra 2,2 bilhões de chamadas contratadas por mês, o que demonstra a demanda do mercado.

Impacto no seu modelo de negócio

O Origem Verificada cria duas oportunidades concretas e um risco que você precisa gerenciar.

A primeira oportunidade é oferecer o cadastro e a gestão do Origem Verificada como serviço para seus clientes corporativos. Empresas que fazem chamadas em volume querem o selo de verificação para aumentar as taxas de atendimento. Você pode intermediar esse processo.

A segunda oportunidade é a diferenciação competitiva. Operadoras que implementarem o STIR/SHAKEN antes do prazo obrigatório demonstram compromisso com a qualidade do serviço e com o combate a fraudes, o que pode ser um argumento comercial relevante.

O risco é não se adequar a tempo. Chamadas originadas sem verificação serão cada vez mais bloqueadas ou sinalizadas como suspeitas pelos smartphones. Se a sua rede não assina chamadas, seus clientes corporativos migrarão para operadoras que oferecem essa funcionalidade.

Como o Origem Verificada se integra com outras regras da Anatel

O Origem Verificada não opera de forma isolada. Ele faz parte de um ecossistema regulatório que inclui o sistema "Não Me Perturbe", as regras para grandes chamadores e o novo RGST (Regulamento Geral dos Serviços de Telecomunicações).

Para operadoras que já lidam com as obrigações de grandes chamadores, o STIR/SHAKEN adiciona uma camada de verificação que complementa os controles existentes. As chamadas verificadas terão tratamento preferencial, enquanto chamadas sem verificação enfrentarão restrições crescentes.

Para contact centers, a combinação dessas regulações exige atenção redobrada. Não basta apenas cadastrar o número no "Não Me Perturbe". É preciso garantir que as chamadas saiam da rede com assinatura STIR/SHAKEN válida e atestação de nível adequado.

Próximos passos para a sua operação

Se você ainda não iniciou o planejamento, comece pelo diagnóstico da sua rede. Verifique se o seu softswitch e SBC suportam os cabeçalhos SIP Identity do STIR/SHAKEN. Levante os custos de implementação dos serviços STI-AS e STI-VS. Entre em contato com a ABR Telecom para entender o processo de certificação.

O prazo de outubro de 2028 parece distante, mas a complexidade da implementação e os ciclos de teste exigem planejamento antecipado. Operadoras que deixarem para a última hora enfrentarão gargalos na certificação e no suporte técnico da ABR Telecom.

Referências

• Resolução n. 777/2025 - Regulamento Geral dos Serviços de Telecomunicações (RGST)