Identidade Digital Auto-Soberana

O Gerenciamento de Identidades e a Capacidade de Provar Quem Somos

Tatiana Revoredo

Published in

The Global Strategy

19 min readNov 3, 2019

Texto base de minha palestra sobre Identidade Digital do World Legal Summit (WLS). Atualizado em 16/9/2020.

A capacidade de provar quem somos

Existem poucas coisas mais centrais para uma sociedade e economia que funcionem do que a identidade. Sem um meio de identificarmos uns aos outros e às nossas posses, dificilmente poderíamos construir grandes nações ou criar mercados globais[1].

À medida que mais pessoas, dispositivos e dados pessoais associados ficam on-line, há um foco crescente em um elemento fundamental desse novo ambiente digital — nossas identidades.

A capacidade de provar que somos quem dizemos é cada vez mais determinante para as nossas oportunidades de estabelecer confiança uns com os outros e realizar interações significativas em uma economia digital. Se abordado corretamente, representa oportunidades transformadoras, como o acesso a serviços básicos e experiências digitais mais personalizadas, melhor saúde e bem-estar, melhor rastreabilidade nas cadeias de fornecimento, segurança dos cidadãos e proteção global da biodiversidade.

No entanto, ainda estamos aprendendo o que significa “identidade em um mundo digital”.

Também ainda estamos desenvolvendo políticas e práticas sobre a melhor forma de coletar, processar ou usar dados relacionados à identidade de forma a capacitar indivíduos sem infringir suas liberdades ou causar danos a eles. Há espaço significativo para melhorar como os dados de identidade são manipulados on-line e quanto controle os indivíduos têm no processo.

Merece destaque, aqui, o fato de que:

Ao pensamos em identidade digital, precisamos vê-la não como uma única coisa. Identidade digital é a soma total de todos os atributos que existem sobre nós no mundo digital, uma coleção em constante crescimento e em evolução de pontos de dados.

Há problemas persistentes — e cada vez mais sérios — na maneira como a identidade digital funciona hoje.

Por isso, veremos a seguir quais são os problemas com identidades "online" e, logo em seguida, o panorama atual do sistema de identidade em alguns países.

Os problemas com identidades "online"

A identidade online sofre com cinco problemas muito reais:

1. O problema da proximidade: quando você lida com pessoas à distância, as oportunidades de fraude são abundantes.

2. O problema de escala: os sistemas de identidade online são baseados em relacionamentos de negócios e integrações técnicas para obter as autoridades de confiança. Tudo isso é caro e feito apenas para casos de uso de alto valor.

3. O problema da flexibilidade: os sistemas de identidade atuais são rígidos, com esquema fixo e casos de uso.

4. O problema da privacidade: identificadores compartilhados, como "cookies" do navegador, permitem que informações pessoais sejam acumuladas e correlacionadas sem nosso conhecimento. Os exemplos de"hacks" em inúmeras empresas "centralizadas" podem ser encontrados em abundância no "Worlds Biggest Data Breachees & Hachs", como ilustra a figura abaixo:

Worlds Biggest Data Breachees & Hachs — Last updated 18 Dec 2019

5. O problema do consentimento: os sistemas de identidade se baseiam em identificadores universais, como endereços de e-mail, números de telefone e até números de seguridade social, que facilitam a correlação de comportamento de terceiros e acompanham as pessoas sem sua permissão.

Panorama Atual do Sistema de identidade no Brasil

Atualmente, o sistema de identidade no Brasil ainda é, em sua maioria, analógico e bastante fragmentado.

Para se ter uma ideia, as identificações civis biométricas não estão unificadas no país. Isto é, o Brasil não tem um cadastro integrado de impressões digitais.

Por causa disto, uma pessoa consegue tirar identidades (físicas) diferentes em qualquer lugar no Brasil. Isto significa que uma pessoa má intencionada pode ter múltiplas identidades (físicas) no Brasil (uma em cada Estado). Todas terão a mesma digital, mas com nome e dados diferentes, devido a falta de integração biométrica entre os Estados. Um potiguar, por exemplo, pode utilizar-se de dados de um paulista para fazer seu registro de identidade no Rio de Janeiro [2].

E tal ocorre porque o cadastro civil biométrico é uma atribuição estadual (e não federal), razão pela qual cada Estado possui a sua regulamentação e o seu nível de maturação. Isso sem falar que é um processo caro e trabalhoso.

Integrantes das forças armadas estão em um banco de identificação à parte, que os demais órgãos estatais não tem acesso. E quem for preso sem um documento de identidade, passa a ter como registro as informações dadas no momento da prisão.

Apesar disto, a identificação digital tem avançado no Brasil.

O Brasil é um dos poucos países do mundo onde o Estado criou uma Infraestrutura Brasileira de Chaves Públicas — ICP-Brasil (o PKI oficial no Brasil), legalmente criado pela Medida Provisória 2.200, emitida pela última vez em 24 de agosto de 2001.

Outro ponto positivo é que além da identidade digital, o método brasileiro permite também verificar a validade da assinatura e integridade dos documentos.

Ademais, desde 1997, quando determinou-se a fusão dos sistemas de registro em nível estadual em um futuro registro unificado de IDs, o Brasil vem se preparando para lançar seu serviço nacional de identidade digital. E desde então o governo tem avançado em uma agenda de interoperabilidade de dados.

Em 2008, o TSE começou a recadastrar os eleitores, agora obtendo informações biométricas.

Em 2017, o projeto DNI foi aprovado por lei — a Lei Federal nº 13.444/2017[3]criou a ICN (Identificação Civil Nacional) — e os testes foram realizados em 2018, com a equipe do TSE testando a identificação digital, e membros do parlamento e funcionários públicos do governo federal que se recadastrando em maio de 2018.

Usando a base de dados biométricos da Justiça Eleitoral como base, cerca de 100 milhões de brasileiros — de uma população total de mais de 210 milhões de pessoas — tiveram seus dados biométricos capturados pelo TSE até o momento. E além de informações sobre cartões de votação, o repositório brasileiro de ID digital está sendo lançado com dados de seguridade social. Segundo o TSE, os dados do programa do ICN poderiam ser usados pelo Instituto Nacional de Seguridade Social (INSS) para reduzir fraudes nos benefícios.

De acordo com o órgão responsável pelo programa de Identificação Civil Nacional (ICN)[4], o Tribunal Superior Eleitoral (TSE), estados brasileiros estão atualmente sendo avaliados e preparados para a implementação da identificação digital nacional, prevista para novembro deste ano.

O projeto prevê a inclusão de outros documentos, como carteiras de motorista, certidões de nascimento e casamento, bem como dados de registro de saúde pública e, eventualmente, carteiras de identidade — que todo cidadão brasileiro já detém.

Espera-se que a identificação digital no Brasil seja totalmente implementada em 2020.

O Cenário Internacional

Canadá

A abordagem dos EUA, abordada no próximo item, tem espelhado os desenvolvimentos canadenses em identidade digital em muitos aspectos.

O white paper Canadian Developments in Digital Identity também incentiva o governo a assumir um papel de liderança no desenvolvimento da infraestrutura para sistemas de identidade digital [5].

Embora haja diferenças notáveis nos regimes de privacidade entre o Canadá e os EUA, a privacidade e a segurança cibernética têm sido uma preocupação primordial no desenvolvimento dos melhores sistemas de identidade digital de ambos os países.

Além disso, as propostas também sugerem a necessidade de coordenação e cooperação internacional entre governos e empresas na efetiva proteção e autenticação de identidades digitais.

No Canadá, os princípios que sustentam a legislação de privacidade buscam proteger a autonomia do indivíduo para controlar as informações pessoais.

No entanto, como e em que medida os indivíduos devem ou não controlar como suas informações pessoais são usadas estão sendo avaliados.

O contexto mais amplo no Canadá é a recém-anunciada National Digital and Data Transformation Consultations, iniciado pelo Ministro da Inovação. Essas consultas buscam informar a posição do Canadá sobre os dados, dado o rápido surgimento de tecnologias exponenciais.

Neste contexto, as jurisdições canadenses empregam modelos de identidade centralizados e federados e estes continuarão a coexistir no futuro a curto prazo.

Pan-Canadian Trust Framework (PCTF)

O Setor Público Canadense, contudo, está se movendo ativamente em busca de um IDD (identidade digital auto-soberana). Para isso, estabeleceu o PCTF — Pan-Canadian Trust Framework — uma ferramenta para ajudar a compreender a SSI no contexto do governo e para impulsionar a mudança institucional para melhor servir os canadenses. Veja a figura abaixo da atualização mais recente do PCTF Versão 1.1 (Rascunho de consulta (2020–06–02) para revisão pública):

Fonte: https://canada-ca.github.io/PCTF-CCP/

Ao desenvolver o perfil do setor público do PCTF, tornou-se evidente que as funções e responsabilidades dos vários atores do ecossistema digital precisavam ser esclarecidas.

Esses atores consistem em uma ampla gama de instituições governamentais, organizações e indivíduos que atuam em uma variedade de funções.

Depois de analisar os modelos existentes, incluindo o modelo W3C Verifiable Credentials, e trabalhar por meio de várias iterações, um modelo conceitual genérico emergiu, que é ilustrado a seguir:

Atores do ecossistema digital (fonte: THE PUBLIC SECTOR PROFILE OF THE PAN-CANADIAN TRUST FRAMEWORK (PCTF), VERSION 1.1, pag. 19)

O PCTF busca encorajar novos relacionamentos institucionais que podem alavancar a identidade auto-soberana.

A adoção do modelo de identidade auto-soberana dentro do setor público canadense ainda está sendo idealizado ao longo de 2020.

Todavia, ainda é muito cedo para dimensionar como isso mudará a infraestrutura tecnológica ou institucional dos serviços públicos canadenses.

Os Estados Unidos [6]

De acordo com o relatório [7] publicado pela The Better Identity Coalition– uma organização focada no desenvolvimento de melhores soluções para verificação e autenticação de identidade, US $ 16,8 bilhões foram perdidos nos Estados Unidos devido a fraude de identidade em 2017 e no mesmo ano houve um aumento de 44,7% no número de violações de dados.

Quase 179 milhões de registros contendo informações pessoais foram expostos, ilustrando a inadequação dos atuais sistemas de identidade.

O Relatório apresenta um conjunto de recomendações de políticas consensuais, intersetoriais e agnósticas de tecnologia (“Plano de Política”) para abordar as inadequações existentes e melhorar a identidade digital nos Estados Unidos.

Estônia

A Estônia possui um dos sistemas de identificação digital mais avançados do mundo.

Muito mais do que um documento de identidade com foto legal, o cartão nacional obrigatório também oferece acesso digital a todos os serviços eletrônicos seguros da Estônia. 98% dos estonianos possuem identidade digital “cumulativa”, 67% usam ID-card regularmente, 88% usam a internet regularmente[8].

O chip do cartão carrega arquivos incorporados e, usando criptografia de chave pública de 2048 bits, pode ser usado como prova definitiva de identificação em um ambiente eletrônico.

Aqui estão alguns exemplos de como é usado regularmente na Estônia[9]:

identificação legal de viagem para cidadãos estonianos que viajam dentro da EU
cartão nacional de seguro de saúde
prova de identificação ao fazer login em contas bancárias
para assinaturas digitais
para i-votação
para verificar registros médicos,
apresentar declarações fiscais, etc.

A Estônia vê o próximo passo natural na evolução do estado eletrônico como a transferência de serviços básicos para um modo totalmente digital.

União Europeia

Qualquer sistema de identificação digital, para ser totalmente utilizável, deve ser utilizável dentro do próprio país do cidadão e também reconhecido por outros países.

Este foi o objetivo da UE ao introduzir um regulamento sobre identidade eletrónica e serviços de confiança no mercado único em 2016 (vulgarmente conhecido como Regulamento eIDAS).

1 — Regulamento eIDAS

O eIDAS abrange serviços de confiança em geral e a interoperabilidade de identidades eletrônicas reconhecidas pelo governo em todo o mercado único. Ele fornece um mecanismo para permitir e forçar a aceitação de e-IDs autorizados por um estado membro da União Européia em todos os outros estados membros.

Embora o eIDAS só possa garantir o reconhecimento de identidade digital por órgãos do setor público em outros Estados-Membros, ele permite que os eIDs do setor público e privado se beneficiem desse reconhecimento mútuo, por exemplo, o esquema SPID privado italiano.

O procedimento consiste na pré-notificação de um regime à Comissão Europeia; revisão por pares por todos os estados membros e notificação completa, após o que o reconhecimento transfronteiriço entra em vigor.

O eIDAS faz sentido para SSI (identidade digital descentralizada):

O Regulamento eIDAS constitui o principal quadro de confiança para a identificação eletrónica no Espaço Económico Europeu.
O eID é um alicerce do Mercado Único Digital, permitindo o estabelecimento de relações eletrônicas à distância transfronteiriças no campo do governo eletrônico.
O eIDAS pode ser estendido para incluir o reconhecimento de eIDs para uso do setor privado, como AML / CFT, plataformas online, etc.
Sua abordagem de tecnologia neutra poderia facilmente permitir o uso de sistemas SSI, constituindo uma oportunidade real para sua adoção.
A regulação eIDAS tem uma forte influência no espaço regulatório internacional, graças aos trabalhos recentes da UNCITRAL — United Nations Commission on International Trade Law.

SSI resolve os desafios atuais do eIDAS:

Questões sociais e jurídicas: a autenticação distribuída pode superar a percepção de falta de privacidade, o que pode impedir a expansão massiva dos sistemas atuais. Ele permite o compartilhamento de dados confidenciais em condições aceitáveis da perspectiva do GDPR.
capacidades tecnológicas e de infraestrutura do provedor de identidade (resiliência, continuidade, capacidade, segurança, etc.): a substituição do nó de autenticação por um DLT permite transferir o risco do ponto único para uma rede, desde que ofereça garantias.
Aspectos financeiros e de responsabilidade: o modelo de nó único público dificulta o repasse de custos às entidades que confiam e sobrecarrega a responsabilidade do emissor, principalmente se pública. Em contraste, em uma DLT pode haver um modelo financeiro no qual as partes confiantes arcam com o custo da autenticação, sem a necessidade de estabelecer relações jurídicas complexas, reduzindo também a responsabilidade potencial do emissor.

SSI e os desafios do GDPR:

A ancoragem de DID pode ser considerada como tratamento de dados pessoais, pelo menos no caso de pessoas físicas.
A escrita de hashes de credenciais verificáveis fora da cadeia ou apresentações verificáveis também pode ser considerada como processamento de dados pessoais, especialmente quando metadados estão associados aos hashes registrados: provavelmente será necessária uma regulamentação específica para fornecer segurança jurídica (como no campo das comunicações eletrônicas).
Transferências internacionais não controladas podem ocorrer em DLTs públicos.

SSI e o futuro eIDAS:

Cenários de curtíssimo prazo (sem alterações no regulamento)

1. uso de meios de eID eIDAS notificados e certificados qualificados para emitir credenciais verificáveis

2. Ponte eIDAS: aumentando o valor legal das credenciais verificáveis e o reconhecimento internacional

3. Uso dos nós eID atuais para emitir a asserção SAML com base em um VC / VP.

Cenários de curto prazo (com base na interpretação do Regulamento):

4. Uso de IDs verificáveis como meio de identificação eletrônica eIDAS

5. Emissão de certificados qualificados com base em um método DID específico e credencial verificável

Cenários de médio a longo prazo também foram identificados, exigindo que o Regulamento eIDAS seja modificado

2 — ESSIF: European Self-Sovereign Identity Framework

O ESSIF é uma iniciativa em andamento para acelerar o papel da IDD na estratégia de “mercado único” digital da UE.

A estrutura de identidade autossoberana europeia (ESSIF) é parte da Infraestrutura de Serviço de Blockchain Europeia (EBSI — European Blockchain Service Infrastructure), uma iniciativa conjunta da Comissão Europeia e da Parceria Europeia Blockchain (EBP — European Blockchain Partnership) para permitir serviços públicos transfronteiriços em toda a UE.

Os objetivos principais do ESSIF são:

facilitar a interação transfronteiriça com a SSI;
assegurar a interoperabilidade dos projetos SSI nacionais;
alinhar os blocos de construção existentes (eIDAS, etc) com SSI;
ajudar a construir uma camada de identidade no EBSI

Infraestrutura do ESSIF:

Seminários online são a melhor maneira de aprender mais sobre ESSIF e seu papel nas iniciativas digitais mais amplas da UE:

Uma visão geral dos coordenadores do ESSIF (julho de 2019)
Uma visão geral de como o programa ESSIF incentiva a interoperabilidade e as contribuições europeias para o panorama mais amplo de SSI
Consultas públicas estão disponíveis na página da UE

Reino Unido

1 — Como é a identidade no Reino Unido

O governo do Reino Unido tem autoridade exclusiva para definir e conferir cidadania e documentação de identidade associada. No entanto, um em cada cinco da população do Reino Unido não tem documento âncora de raiz, como passaporte ou carteira de motorista.

Além disso, existem várias formas de identidade no Reino Unido, atualmente administradas por uma miríade de agências e que, na era digital, ainda operam em linhas pré-digitais.

Existem vários departamentos governamentais para os quais a identidade é importante para o seu funcionamento, por exemplo: Gabinete, Departamento de Cultura, Mídia e Esporte (DCMS), Home Office, Escritório do Passaporte de Sua Majestade (HMPO), Ministério das Relações Exteriores, Gabinete do Comissário de Informação ( ICO), Agência de Licenciamento de Motoristas e Veículos (DVLA), DWP e HMRC.

O Governo deveria nomear um único ponto de contato como líder em identidade digital.

Há uma fragmentação crescente entre departamentos governamentais, que estão implantando diferentes soluções de identidade, causando atrito para o acesso do usuário.
O Reino Unido atualmente tem vários reguladores e aplicadores diferentes em relação à identidade, por exemplo: British Board of Film Censors (BBFC) e Gambling Commission, Video Standards Council, a polícia, tribunais, órgãos de padrões comerciais, autoridades locais.
As soluções de identidade operam de forma diferente por setor (por exemplo, farmacêutico, seguro, setor público) ou foram projetadas para usos específicos (por exemplo, apenas pagamentos, apenas faturamento eletrônico ou logística).
As soluções são definidas por fronteiras nacionais e não podem operar além da fronteira.
Em um mundo pós-GDPR, onde a minimização de dados é um requisito, a legislação, que exige que cópias físicas de documentos de identidade sejam transferidos e armazenados, deve ser revisada e atualizada.

O modelo atual de uso de senhas para serviços online está, como todos sabem, quebrado e os casos de hackeamento de dados estão aumentando. Todos nós odiamos senhas e elas não são de forma alguma seguras.

Nove em cada dez logins em todo o mundo são bots que tentam atacar senhas por meio de “força bruta” ou usando sobrenomes e senhas roubados em milhares de sites para tentar entrar.

2 — O Regulamento eIDAS e o Governo do Reino Unido

Em agosto de 2019, a verificação Gov.UK do Reino Unido pré-notificada sob o esquema eIDAS e o processo de notificação completa está em andamento.

No entanto, não é claro como o Governo pretende proceder, dadas as indicações de alterações ao regime. Também não está claro se outras empresas comerciais podem notificar no Reino Unido agora ou em 18 meses, quando os atuais contratos do Gov.UK Verify terminarem.

O Reino Unido, portanto, exige, com urgência, um impulso político claro para a criação de um mercado de identidade digital em pleno funcionamento, que incorpore os domínios público e privado e que possa ser aceito para reconhecimento na UE e internacionalmente. Tal iniciativa deve ser associada a uma campanha de comunicação para destacar os benefícios das identidades digitais para o consumidor.

3 — O atual modelo de identificação do setor público do Reino Unido

Ao contrário de algumas outras jurisdições europeias, o Reino Unido não tem “carteira de identidade”. No entanto, ele tem o esquema Gov.UK Verify, que desempenha uma função semelhante a muitos cartões de identificação europeus, pois permite o acesso a serviços públicos online.

Gov.UK Verify foi debatido pela primeira vez em 2011. Foi desenvolvido pelo Government Digital Service (GDS), parte do Gabinete do Governo encarregado de liderar a transformação digital do governo. O Gov.UK Verify foi lançado em maio de 2016.

Os cidadãos que desejam usar o sistema devem escolher uma das várias empresas que realizarão as verificações de identidade necessárias para verificar sua identidade. Essas empresas — conhecidas como provedores de identidade (PDIs) se inscreveram por meio de processo licitatório e foram contratadas pela Secretaria de Trabalho e Pensões.

No entanto, o esquema Gov.UK Verify atual não foi usado pelos cidadãos nos números previstos e é caro para as organizações do setor público. A inscrição é um processo difícil e demorado, que envolve questões de conhecimento para as quais muitos cidadãos não sabem as respostas.

* O custo de instalação e funcionamento do Gov.UK Verify foi considerável.

** Como os contratos governamentais existentes cessarão em 2020, mais transparência ajudaria a restaurar a confiança do público e das empresas.

World Economic Forum

O Forum Economico Mundial possui uma iniciativa chamada Shaping the Future of Digital Economy and Society [10] (Moldando o futuro da economia digital e da sociedade), consistente em uma plataforma global de cooperação para construir uma economia digital sustentável, inclusiva e confiável.

Esta plataforma global de cooperação possui o objetivo de alcançar seis resultados em nível global:

acesso e adoção — todas as pessoas — sem diferenças geográficas, de gênero ou renda — podem acessar e usar a Internet;
transformação digital responsável(negócios, governos e líderes da sociedade civil devem agir com responsabilidade e competência para promover uma transformação digital sustentável),
Adequado ao propósito, governança informada(Políticas globais, regionais, nacionais são informadas por evidências e bem equipadas para lidar com a natureza transnacional da conectividade digital),
Pessoas, processos e práticas seguras e resilientes (todos os indivíduos, instituições e infra-estrutura são resilientes a vulnerabilidades criadas pelo aumento da conectividade digital),

5. identidades digitais centradas no usuário e interoperáveis

(pessoas podem acessar e usar regimes de identidade digital inclusos que melhoram seu bem-estar social e econômico),

6. Inovação de dados confiável (instituições e instituições podem compartilhar dados de criar valor social e econômico, respeitando a privacidade dos cidadãos digitais).

Tomando essas seis diretrizes como base para um mundo digital sustentável, inclusivo e confiável, uma economia digital, na Reunião Anual do Fórum Econômico Mundial de 2018, em Davos, um grupo diversificado de partes interessadas, públicas e privadas, comprometeu-se a cooperar de forma compartilhada para promover boas identidades digitais centradas no usuário.

Daí surgiu a Plataforma para uma Boa Identidade Digital, que visa avançar o progresso global em direção a identidades digitais que satisfaçam pelo menos cinco critérios.

Critérios às Plataformas para uma boa identidade digital

Segundo o World Economic Forum, uma boa identidade digital deve ser adequada ao propósito, inclusivas, útel, segura e oferecer opções para os indivíduos.

Tal será feito através do avanço da colaboração em seis áreas principais[11]:

1. — Movendo a ênfase além da identidade para todos, para identidades que fornecem valor ao usuário

2. Criando métricas e responsabilidade por uma boa identidade

3. Criação de novos modelos de governança para ecossistemas de identidade digital

4. Promover a mordomia da boa identidade

5. Incentivar as parcerias em torno das melhores práticas e da interoperabilidade, quando apropriado

6. Inovar com tecnologias e modelos e construir uma biblioteca de pilotos de sucesso

Apontando caminhos

1. construir novas estruturas de identidade baseadas no conceito de identidades descentralizadas

Graças a uma combinação de avanços tecnológicos, incluindo a crescente sofisticação dos smartphones, avanços na criptografia e o advento do blockchain, agora é possívelum subconjunto interessante de identidade descentralizada.

2. Buscar um sistema de identidade digital descentralizada autossoberana

Onde o usuário controla não apenas a identidade, mas também os dados associados a ela, o que é conhecido como identidades autossoberana (SSI). Em uma abordagem de SSI, o usuário tem um meio de gerar e controlar identificadores exclusivos, bem como alguma facilidade para armazenar dados de identidade. Os usuários ficam livres para usar os dados de identidade de que gostam. Estas podem ser credenciais verificáveis, mas também podem ser dados de uma conta de mídia social, um histórico de transações em um site de comércio eletrônico ou atestados de amigos ou colegas. Realmente não há limite.

3. Conscientização de que identidade digital é a soma total de todos os atributos que existem sobre nós no mundo digital, uma coleção de dados em constante crescimento e pontos em evolução.

4. Estabelecer uma coordenação internacional e a harmonização dos padrões de identidade

5. Educar consumidores e empresas sobre melhores soluções de identidade digital

6. os governos devem buscar parcerias com a indústria para educar consumidores e empresas sobre abordagens modernas e melhores práticas em proteção e verificação de identidade.

Um exemplo de um parceiro potencial que deve ser considerado, é a National Cyber Security Alliance (NCSA) — Aliança Nacional de Segurança Cibernética americana –, eis que a NCSA já possui um forte histórico na condução de parcerias público-privadas para educar o público sobre segurança cibernética [12].

Blockchain — solução poderosa para diferentes aspectos da estrutura de identificação descentralizada

No tocante a perspectivas e insights sobre identidade digital, há problemas persistentes — e cada vez mais sérios — na maneira como a identidade digital funciona hoje.

A maioria dos problemas relacionados à identidade digital não está, contudo, relacionada à tecnologia, mas sim aos processos.

Estamos migrando de uma internet centralizada (Web 1.0 e 2.0) para uma internet descentralizda (Web 3.0) já começou. Não é a toa que muitos países já adotando um paradigma de identidade descentralizada, principalmente na Europa — cujo objetivo é colocar o usuário no centro da estrutura e assim remover a necessidade de terceiros emitirem e administrarem identidade.

No mundo da identidade descentralizada, os usuários criam suas próprias identidades digitais. Isso geralmente começa com um usuário criando seu próprio identificador ou identificadores exclusivos e, em seguida, anexando informações a esse identificador de forma a possibilitar a comprovação de que é genuíno. Feito isso, o usuário pode coletar credenciais de autoridades confiáveis e produzi-las quando necessário.

Conquanto Blockchain não seja necessário para a identidade descentralizada, pode ser uma solução poderosa para diferentes aspectos da estrutura de identificação descentralizada (como o suporte à criação e registro de DIDs, credenciamento de notoriedade, fornecimento de uma infraestrutura descentralizada para controle de acesso e consentimento de uso de dados e potencial vinculação de credenciais a contratos inteligentes para, por exemplo, acionar pagamentos automatizados).

Embora desenvolvimentos técnicos e padrões sejam obviamente importantes para a implementação de uma nova estrutura de identidade digital, como em tantos outros aspectos da tecnologia, as questões legais e regulatórias também são extremamente importantes. Ainda mais se considerarmos que nossa identidade toca em tantos aspectos-chave de nossas vidas pessoais e econômicas.

Takeaway

Por fim, para promover o cenário de identidade digital ideal, os formuladores de políticas públicas poderiam…

1. Clarear as questões regulatórias “cinzentas”, em particular em torno da posição de assinaturas baseadas em novas tecnologias como blockchain e timestamps sob eIDAS.

2. Criar a estrutura de identidade digital descentralizada, ao mesmo tempo em que educa as agências governamentais e as incentiva a se envolver na construção, por exemplo, como emissores de credenciais verificáveis.

3. O governo pode e deve desempenhar um papel importante como emissor de credenciais verificáveis.

4. Legisladores devem modernizar o arcabouço legislativo referentes às plataformas de autenticação digital e reduzir as barreiras à adoção de sistemas de segurança inovadores.

5. Esclarecer questões abertas em torno da identidade descentralizada.

6. As novas legislações sobre privacidade, proteção de dadose segurança não devem ser escritas de forma tão ampla que possam impedir o uso de tecnologias promissoras para autenticação baseada em riscos.

7. Governos precisam dar especial atenção à cibersegurança e mitigação de risco cibernético, criando sistemas de detecção e proteção contra invasões, praticando cooperação com instituições públicas e privadas, contribuíndo significativamente para a conscientização dos usuários e está participando de intensa cooperação internacional.

— — —

Este texto foi escrito em razão de minha participação no painel Identidade Digital do World Legal Summit (WLS2019), realizado no Brasil, em Belo Horizonte, em 1º de agosto de 2019. Agradeço imensamente o convite à Comissão de Direito para Startups da OAB-MG.

— — —