Europa um passo à frente com o eIDAS v2.0 e o EU Digital Identity Wallet
Introdução
Autenticação é o simples ato de verificar a identidade de alguém, confirmando que eles são quem dizem ser. Em sistemas digitais, a história da autenticação abrange mais de 60 anos, desde a autenticação tradicional baseada em senha até a autenticação biométrica baseada em dispositivos móveis, incluindo os diversos mecanismos de segundo fator de autenticação.
Embora a autenticação seja um dos fatores mais importantes em segurança digital, o problema central de identificação do usuário permanece. O clássico cartoon do jornal The New York Times, já com mais de 20 anos, descreve bem esse problema: "Na Internet ninguém sabe que você é um cão".
Em linhas gerais, estamos tentando replicar no mundo digital os modelos de autenticação e identificação do mundo físico baseados nos documentos de identidade, porém, sem sucesso, ainda que com os diversos avanços em termos de autenticação forte.
Identity Wallets
Com a evolução da tecnologia e o surgimento do conceito de Self-Sovereign Identity (Identidade Soberana), ou também conhecido como Decentralized Identity (Identidade Descentralizada), conforme descrito no artigo "O que são Identidades Descentralizadas / DIDs na prática?" publicado aqui no Identity Academy, passou a ser viável a replicação do modelo físico de autenticação e identificação no mundo digital, onde, os três elementos, issuer (emissor), holder (titular/dono da credencial) e verifier (verificador) atuam de forma independente e descentralizada, com a verificação da identidade acontecendo através de algoritmos e criptografia baseados no modelo de chaves pública e privada.
A figura a seguir ilustra esse modelo: o Emissor (Issuer) emite a credencial do indivíduo ou entidade, que poderá ser verificada posteriormente pelo Verificador (Verifier) quando apresentada pelo Titular (Holder) da credencial ou documento. Um elemento importante desse modelo, tanto do ponto de vista prático para sua efetiva utilização, como oportunidade de negócio para empresas, é a utilização de uma carteira digital, Identity Wallet, para armazenar as diversas credenciais em posse dos usuários, seja um indivíduo ou uma entidade.
Identity Wallet, na forma de aplicativo móvel ou web, é o lugar em que usuários poderão armazenar suas credenciais contendo dados pessoais de identificação para uso posterior, permitindo aos usuários o gerenciamento e a divulgação seletiva de informações de identidade de diferentes fontes e para diferentes propósitos. Identity Wallet possibilita total controle ao usuário e potencialmente um alto nível de confiança na verificação de tais credenciais e suas informações.
Conforme enfatizado pelo Gartner no relatório "Gartner Hype-Cycle for Digital Identity 2024", Identity Wallets possibilitam a abertura de novos modelos de serviços que demandem compartilhamento de dados baseado no consentimento do usuário. Entidades governamentais podem emitir documentos de identidade de forma totalmente eletrônica e descentralizada - não estou aqui me referindo à CNH eletrônica pois esta, até o momento, é apenas uma cópia digital da CNH em papel, sem possibilidades de verificação por meio de outro sistema digital. Entidades privadas, como por exemplo bancos e universidades, podem ser emissores de credenciais, evitando semanas de burocracia quando necessitamos de algum serviço que demande confirmação de renda ou verificação de diploma universitário.
eIDAS 2.0 e Digital Identity Wallet na Europa
Electronic Identification Authentication and Trust Services, abreviado como eIDAS 2.0, é um conjunto de padrões que visa promover o uso de identificação eletrônica dentro da União Europeia. O texto final aprovado em 2023 foi oficialmente publicado no "Diário Oficial" da União Europeia em 30 de Abril de 2024, passando a oficialmente vigorar a partir de 20 de Maio de 2024.
A regulamentação eIDAS 2.0 é uma evolução do seu antecessor eIDAS, ou eIDAS 1.0 como vem sendo referenciado atualmente. A regulamentação eIDAS 1.0, que entrou em vigor em 2014, possibilitou aos cidadãos da União Europeia utilizar Identificação Eletrônica Nacional, eIDs, para o acesso a serviços públicos online oferecidos por qualquer país da União Europeia. Por exemplo, quando eu acesso a página da "receita federal" da Holanda onde moro atualmente, posso me autenticar utilizando o DigID (exclusivo para cidadãos e residentes na Holanda) ou utilizar o eID, European Login, caso eu fosse cidadão de qualquer outro país da União Europeia residente na Holanda.
Em linhas gerais, o eID funciona de forma similar ao que existe no Brasil com o e-CPF ou e-CNPJ, possuindo diferentes níveis de confiança e com um custo mensal ou anual aos cidadãos ou empresas que queiram adquiri-lo, custo esse que varia conforme o nível de confiança desejado.
O eIDAS 2.0, no entanto, apresenta um avanço significativo, dando um passo fundamental na criação e utilização de Identity Wallets interoperáveis que possam ser utilizadas por todo cidadão residente nos países da União Europeia, garantindo o direito de cada indivíduo possuir identidades digitais que sejam reconhecidas em qualquer país da União Europeia, fornecendo um método simples e seguro para determinar quanto de informação o usuário deseja compartilhar com serviços que exigem troca de informações e promovendo a utilização de credenciais eletrônicas para identificação ou confirmação de informações pessoais para acessos a serviços públicos e privados dentro da União Europeia.
Todos os países membros da União Europeia serão obrigados a fornecer pelo menos um aplicativo Identity Wallet para cidadãos, residentes e entidades empresariais que desejem utilizá-los. Adicionalmente, empresas de software autorizadas poderão desenvolver seus aplicativos de Identity Wallet. Em pouco tempo do lançamento oficial do eIDAS 2.0, observamos inúmeras empresas anunciando e iniciando o desenvolvimento de seus aplicativos Identity Wallet.
Para dar suporte ao desenvolvimento de produtos e serviços baseados em Identity Wallets, uma arquitetura de referência foi definida, padronizando os papeis e protocolos a serem utilizados e dando suporte ao parlamento europeu na definição de novas regulamentações.
Para os fins informativos deste artigo, optei por criar uma versão "bem" simplificada da arquitetura de referência, enfatizando os principais elementos dentro do modelo explicado anteriormente com o tripé Emissor, Titular e Verificador. A figura a seguir ilustra essa versão simplificada da arquitetura de referência eIDAS 2.0 para Identity Wallets.
Conforme pode-se observar, existem diversos papeis que compõem a arquitetura de referência. O Registro Confiável (Trusted Lists Registrar) é a parte responsável por manter e publicar uma lista confiável de provedores de Wallets, Emissores e Verificadores, contendo principalmente uma combinação de chave-pública + ID da entidade em questão que pode ser utilizado para verificação de assinaturas e documentos emitidos por tal entidade. A Parte Confiável (Relying Party), no papel de Verificador, representa qualquer organização que aceite credenciais via Identity Wallet, por exemplo, uma loja online, um banco ou mesmo um órgão governamental oferecendo serviços online. O PID, Provedor de Dados de Identificação Pessoal (Person Identification Data Provider) representa as entidades que mantêm dados de cidadãos em cada país, por exemplo, no Brasil a Receita Federal seria um PID, uma vez que esta mantém o cadastro de pessoa física CPF. Provedores Qualificados e Não Qualificados (Qualified e Non-Qualified Providers) são entidades responsáveis por emitir documentos e credenciais. Concluindo, as Fonte de Autenticidade (Authentic Source) são organizações que mantêm "de fato" algum conhecimento sobre indivíduos e empresas, tais como informações de escolaridade, diplomas, licenças profissionais, dados financeiros. A Fonte de Autenticidade fornece informações para os Provedores Qualificados. No Brasil poderíamos pensar na OAB ou SERASA como diferentes exemplos de Fontes de Autenticidade.
Um elemento importante para o funcionamento do eIDAS 2.0, não diretamente presente na arquitetura de referência por já ser um serviço existente, é o QTSP, Provedor de Serviços de Confiança Qualificado (Qualified Trust Service Provider), uma entidade que garante a confiabilidade de serviços eletrônicos; tais serviços incluem assinaturas eletrônicas, certificados, selos, entre outros, tendo um papel crucial na validação legal, integridade e autenticidade de serviços eletrônicos.
A arquitetura de referência completa, incluindo os demais elementos, protocolos e normas, pode ser obtida na página do EU Identity Wallet (link no final do artigo). O resumo que apresentei anteriormente é uma pequena amostra do nível de detalhes necessários para garantir a segurança e confiabilidade do uso de identidades digitais através de Identity Wallets.
Cenários e Oportunidades de negócio
Obviamente, o cenário mais elementar para utilização de Identity Wallets é na autenticação e identificação de usuários para o acesso a serviços online de forma segura e confiável. Provedores de serviços online podem se beneficiar, principalmente serviços públicos, da praticidade do login através de uma credencial emitida por uma determinada organização e apresentados via Identity Wallet, sem a necessidade de armazenar dados do usuário, principalmente a dupla usuário/senha.
Um outro cenário básico para Identity Wallets é a emissão e armazenamento de documentos pessoais como CNH, CPF e RG eletrônicos, que possam ser apresentados pelo usuário e validados eletronicamente. Com tecnologias emergentes, como o Selective Disclosure for JWT (link no final do artigo), usuários terão a opção de escolher quais informações divulgar para um provedor de serviço no momento da validação de uma credencial.
Diversas possibilidades se abrem para empresas públicas ou privadas que queiram emitir credenciais digitais. Uma universidade poderá emitir diplomas universitários em forma digital, e estes, serem armazenados em uma Identity Wallet; empresas poderão emitir suas próprias credenciais, por exemplo, atestando que um determinado indivíduo é funcionário e ocupa um determinado cargo. Uma infinidade de outros casos de uso poderão ser emitidos em formato digital, armazenados em uma Identity Wallet e validados eletronicamente quando necessário. Processos de verificação de documentos poderão ser muito mais rápidos e eficientes, como por exemplo, um estudante ao se registrar em um programa de pós-graduação, poderia apresentar o seu diploma de graduação como uma credencial eletrônica através de sua Identity Wallet; a universidade recebendo a inscrição do estudante poderia imediatamente verificar eletronicamente a autenticidade do diploma.
Conclusão
O eIDAS 2.0 e o EU Digital Identity Wallet são a resposta da União Europeia aos desafios de autenticação e identificação no mundo digital, permitindo que indivíduos controlem seus dados de identificação pessoal, e, abrindo inúmeras oportunidades de negócios para empresas provedoras de Wallets, Emissores e provedores de serviços no papel de Verificadores, que queiram expandir suas ofertas de serviços online de forma simples para os usuários, porém, segura devido a complexidade do ecossistema eIDAS 2.0.
Comments