Garantia de Carteiras Digitais: Estruturas da UE, EUA e Austrália

O mundo está a mover-se rapidamente em direção à identidade digital, e as carteiras digitais estão a tornar-se a principal forma de as pessoas gerirem as suas credenciais. Mas quão confiáveis são estas carteiras? O seu valor depende inteiramente da robustez das estruturas de garantia por trás delas. Neste artigo, vamos mergulhar nos cenários de garantia e autenticação de identidade digital de três grandes potências globais: a União Europeia com o eIDAS 2.0, os Estados Unidos com o NIST SP 800-63, e a Austrália com a sua estrutura TDIF/AGDIS.

Vamos explorar os princípios fundamentais que são surpreendentemente semelhantes em todo o mundo, como os níveis de garantia baseados em risco e o papel crítico da biometria na vinculação de uma credencial digital a uma pessoa real. No entanto, também vamos descobrir as diferenças significativas nas suas arquiteturas e regulamentações. Analisaremos o modelo granular e flexível dos EUA, a abordagem unificada e interoperável da UE, e o sistema híbrido da Austrália.

Um tema central que vamos investigar é a tensão entre a segurança centrada no dispositivo e a conveniência do utilizador baseada em contas, particularmente como grandes players como a Apple e a Google estão a sobrepor contas na nuvem a credenciais vinculadas ao dispositivo. Também detalharemos os passos práticos do cadastramento de credenciais, explicando por que o "imposto de recadastramento" de provar a sua identidade para cada novo dispositivo é uma característica de segurança deliberada, não uma falha.

Finalmente, vamos analisar mais de perto os aspetos únicos da Carteira de Identidade Digital Europeia (EUDI) e o poder das Assinaturas Eletrónicas Qualificadas (QES) dentro da UE, que têm o mesmo peso legal que uma assinatura manuscrita. No final deste artigo, terá uma compreensão abrangente do cenário complexo e em evolução da identidade digital global, e das escolhas estratégicas que desenvolvedores, governos e utilizadores enfrentam.

No mundo digital, a identidade não é um conceito binário de conhecido ou desconhecido; é um espectro de confiança. Um Nível de Garantia (LoA - Level of Assurance) quantifica essa confiança, representando o grau de certeza de que um indivíduo que reivindica uma identidade específica é, de facto, o "verdadeiro" proprietário dessa identidade. Esta medida é a base da confiança digital, sustentando todas as transações e interações seguras. Um LoA mais alto significa um processo mais rigoroso de verificação e autenticação de identidade, o que, por sua vez, reduz o risco de fraude de identidade, acesso não autorizado e outras formas de abuso.

No entanto, alcançar uma garantia mais alta não vem sem custos. Os processos necessários — como a verificação presencial ou o uso de hardware especializado — podem introduzir despesas e inconveniências significativas tanto para o utilizador (o titular da identidade) quanto para o prestador de serviços (a parte confiadora ou relying party). Este atrito inerente pode criar barreiras de acesso, levando potencialmente à exclusão de indivíduos que não possuem a documentação necessária, os meios técnicos ou a capacidade de navegar por procedimentos complexos. Consequentemente, a seleção de um LoA apropriado não é apenas uma decisão técnica, mas um exercício crítico de gestão de risco que procura encontrar um equilíbrio delicado entre segurança, usabilidade e o potencial de exclusão.

Este equilíbrio é determinado pelo impacto potencial de um erro de autenticação. Para atividades de baixo risco, como criar uma conta num fórum público ou alterar um endereço de correspondência, um LoA mais baixo pode ser perfeitamente aceitável. As consequências de um erro são mínimas. Por outro lado, para transações de alto risco, como aceder a registos financeiros ou de saúde sensíveis, iniciar grandes transferências de fundos ou assinar contratos legalmente vinculativos, é exigido um LoA muito mais alto para mitigar o grave potencial de dano.

A escolha de uma estrutura de garantia e dos seus níveis exigidos, portanto, transcende a implementação técnica para se tornar um instrumento de política económica e social. Uma estrutura que estabelece um padrão de garantia demasiado alto pode criar uma fortaleza impenetrável que é segura, mas inacessível a uma parte significativa da população, sufocando assim a adoção digital e a participação económica. Por outro lado, uma estrutura com padrões demasiado baixos convida à fraude generalizada, o que corrói a confiança dos consumidores e das empresas, acabando por prejudicar a economia digital que visa apoiar. Esta tensão fundamental informa as diferentes abordagens adotadas pelas principais economias globais, moldando os seus ecossistemas digitais de acordo com as suas filosofias regulatórias e prioridades sociais únicas.

Historicamente, o Nível de Garantia era um conceito monolítico. Um novo desenvolvimento no campo da identidade digital foi a desconstrução deste conceito pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) na sua Publicação Especial 800-63, Revisão 3. Esta revisão dividiu o LoA em três componentes distintos e ortogonais, permitindo uma gestão de risco mais precisa e granular: Nível de Garantia de Identidade (IAL), Nível de Garantia do Autenticador (AAL) e Nível de Garantia de Federação (FAL).

Esta separação de preocupações é uma divergência arquitetónica fundamental do modelo mais unificado usado na União Europeia. O modelo do NIST permite que um prestador de serviços desacople o risco do registo do risco do acesso. Por exemplo, uma agência governamental pode exigir um evento de comprovação de identidade presencial de altíssima confiança (IAL3) para emitir uma credencial digital para aceder a registos sensíveis. No entanto, para o acesso rotineiro subsequente para visualizar esses registos, pode exigir apenas uma autenticação multifator de força moderada (AAL2). Esta flexibilidade permite uma aplicação mais matizada dos controlos de segurança, adaptada a ações específicas dentro de um serviço.

Em contraste, a estrutura eIDAS da UE usa um LoA unificado (Baixo, Substancial, Elevado) que abrange tanto os aspetos de registo como de autenticação. Ao mapear entre os dois sistemas, a garantia geral de um serviço é ditada pelo seu elo mais fraco. Por exemplo, um sistema projetado com o mais alto nível de comprovação de identidade (IAL3) e federação (FAL3), mas que usa apenas um nível moderado de autenticação (AAL2), seria classificado como equivalente ao LoA "Substancial" do eIDAS, e não "Elevado". Esta distinção tem implicações profundas para desenvolvedores e arquitetos que constroem sistemas globais, pois força uma escolha entre projetar para a maior granularidade (NIST) e depois mapear para o modelo mais simples da UE, ou manter lógicas de fluxo separadas para cumprir a filosofia arquitetónica distinta de cada região. O modelo dos EUA prioriza a flexibilidade na gestão de risco para a parte confiadora, enquanto o modelo da UE prioriza a simplicidade e a interoperabilidade clara para o reconhecimento transfronteiriço.

O Nível de Garantia não é uma classificação técnica abstrata; é o principal guardião que determina o que um utilizador tem permissão para fazer no mundo digital. O LoA atribuído a uma identidade digital ou exigido por um serviço dita diretamente o escopo das transações, a sensibilidade dos dados que podem ser acedidos e o peso legal das ações realizadas.

No extremo inferior do espectro, uma identidade com um baixo nível de garantia — tipicamente uma que é autoafirmada sem verificação — concede acesso a serviços de baixo risco. Isto inclui atividades como participar em fóruns online, criar uma conta de webmail básica ou aceder a websites públicos onde a consequência de um impostor obter acesso é negligenciável.

À medida que o nível de garantia aumenta para "Substancial", o utilizador ganha acesso a uma gama muito mais ampla e sensível de serviços. Este nível normalmente exige que a identidade do utilizador tenha sido verificada contra documentos oficiais e exige o uso de autenticação multifator (MFA). Consequentemente, é o padrão para muitas interações digitais comuns e importantes. Exemplos de serviços desbloqueados no LoA Substancial incluem:

• Aceder a portais governamentais online para entregar impostos ou verificar benefícios.
• Realizar transações bancárias online.
• Aceder a registos de saúde pessoais ou informações de seguros.
• Interagir com fornecedores de serviços públicos ou empresas de telecomunicações.

O nível mais alto de garantia, "Elevado", é reservado para as transações mais críticas e de alto risco, onde as consequências de uma falha de autenticação poderiam ser severas, levando a perdas financeiras significativas, responsabilidade legal ou danos a indivíduos ou ao interesse público. Alcançar este nível requer os métodos de comprovação de identidade mais rigorosos, envolvendo frequentemente verificação presencial ou remota supervisionada, e o uso de autenticadores baseados em hardware e resistentes a adulterações. Serviços que exigem LoA Elevado incluem:

• Assinar eletronicamente documentos legalmente vinculativos com o mesmo peso de uma assinatura manuscrita, como contratos imobiliários ou grandes acordos de empréstimo.
• Aceder a dados governamentais ou corporativos altamente sensíveis.
• Realizar transações financeiras de alto valor ou grandes transferências de dinheiro.
• Autorizar prescrições eletrónicas para substâncias controladas.
• Emitir os próprios documentos de identidade fundamentais, como um passaporte.

Um sistema de identidade digital que pode suportar múltiplos níveis de garantia permite uma arquitetura flexível e apropriada ao risco, permitindo que os utilizadores elevem o seu nível de garantia conforme necessário para diferentes transações. Uma credencial de identidade obtida no LoA Elevado pode, com o consentimento do utilizador, ser usada para aceder a serviços que exigem garantia Substancial ou Baixa, mas o inverso não é verdadeiro. Esta hierarquia garante que o nível de confiança estabelecido seja sempre proporcional ao nível de risco envolvido.

À medida que as nações constroem as suas infraestruturas digitais, elas estão a codificar a confiança através de estruturas de garantia distintas. Embora muitas vezes partilhem raízes comuns em padrões internacionais como a ISO 29115, as implementações específicas na União Europeia, nos Estados Unidos e na Austrália revelam prioridades diferentes em relação à interoperabilidade, flexibilidade e segurança.

A abordagem da União Europeia à identidade digital está ancorada no Regulamento eIDAS (Identificação Eletrónica, Autenticação e Serviços de Confiança), que visa criar um ambiente legal previsível e interoperável para transações eletrónicas em todos os estados-membros. A estrutura atualizada eIDAS 2.0 estende esta visão ao exigir a criação da Carteira de Identidade Digital da UE (EUDI Wallet), uma carteira digital pessoal para cada cidadão, residente e empresa.

No coração do eIDAS estão três Níveis de Garantia (LoA): Baixo, Substancial e Elevado. Estes níveis fornecem uma medida unificada de confiança numa credencial de identificação eletrónica (eID), abrangendo todo o ciclo de vida, desde o registo até à autenticação. Esta abordagem unificada foi projetada para simplificar o reconhecimento mútuo; uma credencial eID notificada por um estado-membro com um determinado LoA deve ser reconhecida por todos os outros estados-membros para serviços que exijam o mesmo ou um LoA inferior. Os níveis são definidos da seguinte forma:

Embora o eIDAS defina os níveis, não prescreve tecnologias específicas, permitindo que os estados-membros desenvolvam os seus próprios esquemas nacionais de eID que reflitam o seu contexto local, como o MitID da Dinamarca (que suporta os três LoAs) ou o itsme® da Bélgica (que opera no LoA Elevado).

A estrutura dos Estados Unidos, definida pela Publicação Especial 800-63-3 do NIST, adota uma abordagem mais granular e componentizada à garantia. Em vez de um único LoA unificado, separa o processo em três níveis de garantia distintos: Identidade (IAL), Autenticador (AAL) e Federação (FAL). Este modelo fornece às agências federais e outras organizações um conjunto de ferramentas flexível para realizar uma Avaliação de Risco de Identidade Digital (DIRA) e adaptar os controlos de segurança precisamente aos riscos de transações específicas.

Níveis de Garantia de Identidade (IAL):

Níveis de Garantia do Autenticador (AAL):

Este modelo granular permite que uma organização misture e combine níveis conforme necessário. Por exemplo, um sistema pode exigir um evento único de comprovação IAL2 no registo, mas depois permitir que os utilizadores escolham entre AAL1 (apenas senha) para ações de baixo risco e AAL2 (MFA) para ações de maior risco dentro da mesma aplicação.

A abordagem da Austrália, historicamente governada pelo Trusted Digital Identity Framework (TDIF) e agora a evoluir para o Australian Government Digital ID System (AGDIS) sob a Lei de ID Digital de 2024, representa um modelo híbrido que partilha características com os sistemas da UE e dos EUA. O TDIF separa os conceitos de comprovação de identidade e força de autenticação, muito como a divisão IAL/AAL do NIST, mas usa a sua própria terminologia distinta.

Níveis de Comprovação de Identidade (IP):

O TDIF define uma série de níveis de IP crescentes com base no número e qualidade dos documentos de identidade verificados e no método de vinculação do utilizador à identidade.

Níveis de Credencial (CL):

O TDIF define a força da credencial de autenticação usada para acesso contínuo.

Esta estrutura híbrida permite que os serviços australianos especifiquem tanto a força da identidade necessária (nível IP) quanto a força de autenticação necessária (nível CL) para o acesso, fornecendo uma estrutura baseada em risco semelhante em princípio à do NIST.

Apesar das terminologias e filosofias arquitetónicas diferentes, emerge um padrão claro de uma hierarquia de risco de três níveis nas estruturas da UE, EUA e Austrália. Ao mapear os seus requisitos, podemos criar uma visão geral.

Esta comparação revela uma tendência subjacente poderosa: a convergência global na vinculação biométrica como a âncora de confiança definitiva para identidade de alta garantia. Embora as estruturas usem linguagem diferente — a "recolha biométrica obrigatória" do NIST no IAL3, o "Objetivo de Vinculação" da Austrália para IP2+ e superior, e o uso planeado de deteção de vivacidade da EUDI Wallet para alcançar o LoA Elevado — o princípio é idêntico. Nos três principais ecossistemas ocidentais, o mais alto nível de confiança digital já não é estabelecido apenas pela verificação de documentos ou por perguntas secretas. É alcançado vinculando um ser humano vivo e presente à sua evidência de identidade autorizada e emitida pelo governo através de verificação biométrica. Esta verificação "vivacidade-para-documento", tipicamente uma digitalização facial comparada com uma foto de passaporte ou carta de condução, tornou-se o padrão internacional de facto para a comprovação de identidade digital de alta garantia. Isto tem implicações para a pilha de tecnologia de qualquer provedor de identidade, elevando a deteção de vivacidade certificada e a correspondência biométrica de alta precisão de funcionalidades de valor acrescentado para componentes centrais e não negociáveis de qualquer plataforma que procure operar nos níveis mais altos da economia de confiança digital.

A tabela seguinte fornece uma análise comparativa direta, traduzindo os requisitos de cada estrutura para uma estrutura comum.

O Reino Unido, que antes estava sob o regime eIDAS da UE, traçou o seu próprio caminho com uma estrutura de garantia que ainda espelha as melhores práticas internacionais. O Good Practice Guide 45 (GPG45) do Reino Unido define um rigoroso processo de comprovação de identidade que produz um de quatro níveis de confiança numa verificação de identidade: Baixo, Médio, Alto ou Muito Alto. Esta abordagem alinha-se de perto com os modelos familiares de LoA de múltiplos níveis; de facto, o GPG45 referencia explicitamente a sua conformidade com o eIDAS, NIST 800-63, ISO/IEC 29115 e o Pan-Canadian Trust Framework do Canadá. Na prática, o GPG45 usa uma pontuação baseada em pontos de verificações (autenticidade do documento, histórico de atividades, correspondência biométrica, etc.) para determinar o nível de confiança para o perfil de identidade de um utilizador. Com base nesta fundação, o governo do Reino Unido está a implementar um novo Digital Identity and Attributes Trust Framework (atualmente em beta), que estabelecerá regras de certificação para provedores de identidade e partes confiadoras. Um objetivo chave da estrutura de confiança do Reino Unido é a interoperabilidade internacional – garantir que as identidades digitais britânicas possam ser confiáveis no estrangeiro e vice-versa – enquanto se mantêm os próprios princípios de privacidade e segurança do país. Isto reflete uma estratégia mais ampla de se manter convergente com os padrões globais, mesmo enquanto o Reino Unido desenvolve o seu ecossistema de identidade digital pós-UE.

A abordagem do Canadá, liderada pelo Digital ID and Authentication Council of Canada (DIACC) através do Pan-Canadian Trust Framework (PCTF), também abraçou os princípios centrais de garantia multinível e interoperabilidade. Historicamente, o Canadá empregou um modelo de garantia de quatro níveis (Níveis 1 a 4) comparável aos esquemas do NIST e ISO 29115, com a maioria dos serviços de e-government federais a exigir um login de "alta" garantia (aproximadamente equivalente ao Nível 3). No entanto, as partes interessadas canadianas reconheceram que um único LoA composto pode mascarar diferenças importantes na forma como uma identidade foi verificada. Por exemplo, métodos de comprovação muito diferentes – digamos, verificação remota baseada em conhecimento versus verificações de documentos presenciais – podem ambos satisfazer o mesmo LoA tradicional, obscurecendo os diferentes níveis de risco. Existe agora um amplo consenso no Canadá de que a garantia precisa de ser mais granular e específica da capacidade. O PCTF está a evoluir para um modelo modernizado e baseado em risco que separa a garantia de comprovação de identidade da garantia do autenticador (credencial), ecoando a distinção IAL/AAL pioneira do NIST. Esta evolução implica uma estrutura de confiança abrangente e um programa de acreditação: provedores de identidade, emissores de credenciais e auditores são certificados contra critérios comuns para que uma identidade digital verificada numa província ou setor possa ser aceite com confiança noutra. O resultado é uma abordagem convergente onde o Reino Unido e o Canadá – cada um através dos seus próprios mecanismos – reforçam as mesmas normas globais: identidade digital de alta garantia baseada numa forte comprovação inicial (muitas vezes com biometria), autenticação multifator contínua e padrões rigorosos de privacidade e controlo do utilizador. Ambos os países exemplificam como jurisdições diversas podem inovar na implementação, mantendo-se alinhadas com a malha de confiança internacional que sustenta as transações digitais transfronteiriças.

Embora as estruturas de garantia forneçam a base teórica para a confiança, a sua aplicação prática dentro das carteiras digitais determina a segurança e a usabilidade do sistema no mundo real. Isto envolve duas etapas críticas: proteger o acesso à própria carteira e o processo inicial e de alto risco de cadastrar uma credencial digital confiável.

Uma carteira digital é um contentor seguro para as credenciais mais sensíveis de um indivíduo. Proteger este contentor é primordial. A segurança de uma carteira é uma construção multicamadas, começando com a segurança física do dispositivo e estendendo-se aos protocolos criptográficos que governam o seu uso.

A primeira e mais básica camada de defesa é o mecanismo de controlo de acesso do próprio dispositivo, como um PIN, senha ou leitura biométrica (ex: Face ID, leitura de impressão digital). Isto impede que um atacante oportunista que ganhe acesso físico a um dispositivo desbloqueado aceda imediatamente à carteira. No entanto, esta camada por si só é insuficiente para operações de alta garantia.

Portanto, é necessária uma segunda camada independente de autenticação para aceder à aplicação da carteira e, mais importante, para autorizar a apresentação de uma credencial. As melhores práticas e as regulamentações emergentes, como a estrutura da EUDI Wallet, exigem autenticação forte e multifator (MFA) para aceder às funções da carteira. Isto normalmente envolve a combinação de pelo menos dois dos seguintes fatores:

• Algo que sabe: Um PIN ou senha específico da carteira.
• Algo que tem: O próprio dispositivo físico, que contém as chaves criptográficas.
• Algo que é: Uma verificação biométrica, como uma impressão digital ou leitura facial, realizada no momento da transação.

Além da autenticação do utilizador, a tecnologia subjacente da carteira deve ser robusta. As práticas de segurança centrais incluem:

• Uso de um Elemento Seguro (SE) ou Ambiente de Execução Confiável (TEE): As chaves criptográficas críticas devem ser armazenadas numa parte do dispositivo protegida por hardware e resistente a adulterações, separada do sistema operativo principal. Isto impede que malware extraia chaves privadas.
• Encriptação de Ponta a Ponta: Todos os dados, tanto em repouso dentro da carteira como em trânsito durante uma apresentação, devem ser criptograficamente encriptados para impedir a interceção e o acesso não autorizado.
• Backup e Recuperação Robustos: Como as credenciais podem ser armazenadas localmente, um mecanismo seguro para recuperação é essencial caso o dispositivo seja perdido, roubado ou danificado. Isto pode ser alcançado através de backups encriptados na nuvem ou, mais comumente em sistemas descentralizados, uma frase de recuperação ou "semente" detida pelo utilizador que pode restaurar a carteira num novo dispositivo.

Seguir um princípio de "Confiança Zero" também é vital; a carteira nunca deve confiar implicitamente em nenhum pedido, mas sim verificar cada interação. Ao combinar uma autenticação forte do utilizador com uma arquitetura técnica reforçada, uma carteira digital pode servir como um guardião verdadeiramente confiável da identidade digital de um utilizador.

O processo de emissão de uma credencial de Dados de Identificação Pessoal (PID) de alta garantia ou de uma Carta de Condução Móvel (mDL) para uma carteira é a personificação prática de um evento de comprovação de identidade IAL2 ou superior. Esta jornada é o passo mais crítico no ciclo de vida da credencial, pois estabelece a confiança fundamental sobre a qual todas as transações futuras se basearão. Existem dois métodos principais para este cadastramento de alta garantia: uma jornada ótica que depende da câmara do dispositivo e uma jornada criptográfica que usa Near Field Communication (NFC).

Este é o método mais comum para documentos que não possuem um chip NFC ou quando o NFC não é utilizado. Embora os passos específicos possam variar ligeiramente entre jurisdições e provedores de carteira, o fluxo principal é notavelmente consistente e envolve uma sequência de ações de verificação e vinculação:

Todo este processo é projetado para cumprir os requisitos de alta confiança de estruturas como o NIST IAL2 ou o eIDAS LoA Substancial/Elevado. A verificação de vivacidade, em particular, é um componente não negociável para prevenir as formas mais comuns de fraude de identidade durante o cadastramento ótico remoto.

Para documentos de identidade eletrónicos (eIDs) modernos, como os cartões de identidade nacionais (como o Personalausweis alemão), é possível uma jornada de cadastramento criptográfica mais segura usando NFC. Este método lê os dados diretamente do chip embutido no documento, oferecendo segurança superior à digitalização ótica.

A jornada de cadastramento NFC típica desenrola-se da seguinte forma:

1. Iniciação: O utilizador inicia o processo na aplicação da carteira e é solicitado a usar o seu ID eletrónico.
2. Desbloqueio do Chip: Para aceder ao chip, este deve primeiro ser desbloqueado. Isto é feito inserindo um Número de Acesso ao Cartão (CAN) — um número de 6 dígitos impresso no documento — para estabelecer uma conexão segura através de um protocolo conhecido como Password Authenticated Connection Establishment (PACE).
3. Leitura de Dados NFC: O utilizador encosta o seu documento de identidade ao leitor NFC do seu smartphone. A aplicação lê de forma segura os dados do chip, que incluem detalhes pessoais e uma fotografia de alta resolução, certificada pelo governo.
4. Verificação Criptográfica: A aplicação realiza verificações de segurança críticas em segundo plano. A Autenticação Passiva verifica a assinatura digital da autoridade emissora nos dados, garantindo que não foram adulterados. A Autenticação Ativa envia um desafio ao chip para confirmar que é genuíno e não um clone.
5. Verificação do Titular (Vinculação): Mesmo com um documento criptograficamente seguro, o sistema deve verificar se a pessoa que o detém é o verdadeiro proprietário. Isto pode ser feito de duas maneiras:
   • Vivacidade e Correspondência Biométrica: O utilizador realiza uma verificação de vivacidade (como na jornada ótica), e o seu rosto é biometricamente comparado com a foto de alta qualidade e confiável lida do chip.
   • Entrada do PIN do eID: Para o mais alto nível de garantia, como com o eID alemão, o utilizador é solicitado a inserir o seu PIN pessoal de 6 dígitos. Isto prova "posse e conhecimento" (o utilizador tem o cartão e sabe o PIN), criando uma vinculação de LoA Elevado sem necessariamente precisar de uma verificação de vivacidade nesse passo específico.
6. Emissão e Provisionamento: Com a identidade verificada com sucesso a um alto nível de garantia, o emissor assina criptograficamente a credencial digital e provisiona-a na carteira do utilizador.

A estrutura da EUDI Wallet reconhece explicitamente a importância do cadastramento baseado em NFC para alcançar o LoA Elevado, vendo-o como um pilar tanto para a configuração inicial como para a recuperação de conta. Este método criptográfico é fundamentalmente mais seguro do que a jornada ótica porque verifica a autenticidade digital do documento diretamente, em vez de depender da inspeção visual de uma imagem digitalizada.

A experiência de cadastramento para um utilizador pode diferir significativamente dependendo se está a adicionar uma credencial a uma carteira nativa integrada no sistema operativo do seu dispositivo (ex: Apple Wallet, Google Wallet) ou a uma aplicação autónoma de terceiros fornecida por um emissor ou outra entidade. A escolha entre estes modelos apresenta um compromisso para emissores e utilizadores: a conveniência integrada e o amplo alcance das plataformas nativas versus o controlo completo e a experiência personalizada de uma aplicação dedicada. A tabela seguinte fornece uma comparação passo a passo destas duas jornadas de cadastramento, oferecendo um guia crucial para qualquer organização que planeie emitir ou verificar credenciais digitais.

Isto pode levar a um ecossistema fragmentado onde um utilizador pode precisar de instalar e gerir várias aplicações de carteira diferentes se necessitar de credenciais de diferentes estados ou emissores (ex: uma aplicação para a sua mDL da Louisiana e outra para a sua mDL da Califórnia).

A implementação prática de carteiras de identidade digital assenta numa base de padrões técnicos e estruturas arquitetónicas. Esta secção fornece uma análise detalhada de dois dos pilares mais significativos no cenário da identidade moderna: o padrão ISO/IEC 18013-5 para cartas de condução móveis e a arquitetura da futura Carteira de Identidade Digital da UE.

A ISO/IEC 18013-5 é o padrão internacional que define a interface para armazenar, apresentar e verificar uma carta de condução móvel (mDL) e outras credenciais semelhantes. Foi projetada para garantir segurança, privacidade e, mais importante, interoperabilidade, permitindo que uma mDL emitida numa jurisdição seja lida e confiada noutra.

Uma questão crítica na arquitetura de carteiras é se uma credencial digital está vinculada ao dispositivo do utilizador ou a uma conta de utilizador. O padrão ISO 18013-5 é fundamentalmente centrado no dispositivo na sua arquitetura de segurança. O seu objetivo principal é prevenir a clonagem de credenciais e garantir que uma apresentação venha do dispositivo autêntico para o qual a credencial foi emitida. Isto é alcançado através de uma forte vinculação ao dispositivo, onde as chaves privadas da credencial são armazenadas dentro de um componente de hardware seguro e resistente a adulterações do dispositivo móvel, como um Elemento Seguro (SE) ou Ambiente de Execução Confiável (TEE). Durante uma apresentação, o dispositivo realiza uma operação criptográfica com esta chave, provando que é o detentor genuíno da credencial. O padrão exige explicitamente que as credenciais sejam armazenadas no dispositivo móvel original ou num servidor gerido pela autoridade emissora, reforçando este modelo centrado no dispositivo.

No entanto, o padrão não proíbe explicitamente o uso de uma conta de utilizador como uma camada para gestão e orquestração. Isto levou ao surgimento de um modelo híbrido, particularmente em implementações de carteiras nativas da Apple e Google. Neste modelo, a âncora de segurança criptográfica permanece o dispositivo físico, mas uma conta na nuvem centrada no utilizador (ex: um Apple ID ou Conta Google) serve como a âncora de gestão do ciclo de vida. Esta camada de conta pode facilitar funcionalidades amigáveis ao utilizador, como transferir uma credencial para um novo dispositivo confiável próximo, no caso da Apple.

O padrão ISO 18013-5 foca-se principalmente no modelo de dados e na interface para apresentar uma credencial, não nos detalhes do processo de registo inicial. No entanto, para que uma mDL seja considerada de alta garantia (ex: cumprindo o NIST IAL2 ou o eIDAS LoA Elevado), o processo de registo deve ser robusto. Na prática, todas as principais implementações de uma mDL de alta garantia exigem uma verificação de deteção de vivacidade durante o cadastramento inicial. Este passo é essencial para vincular o utilizador humano vivo ao seu documento de identidade físico e prevenir ataques de apresentação.

A questão mais complexa surge quando um utilizador adquire um novo dispositivo. É necessária uma verificação de vivacidade sempre que uma mDL é provisionada para um novo telemóvel? Para o cadastramento baseado em ótica, a resposta é esmagadoramente sim. A prática mais segura é tratar o provisionamento para um novo dispositivo como um recadastramento completo. Isto não é uma falha do sistema, mas uma escolha de design de segurança deliberada. Como o modelo de segurança é centrado no dispositivo, com chaves criptográficas ligadas a hardware específico, simplesmente copiar a credencial não é possível nem seguro. Uma nova vinculação deve ser estabelecida entre o utilizador e o novo hardware.

No entanto, este recadastramento nem sempre necessita de uma verificação de vivacidade. Se o utilizador possuir um documento de identidade de alta garantia com um chip NFC e uma carteira que o suporte, pode realizar um recadastramento criptográfico lendo o chip e provando a posse (ex: com um PIN), como detalhado na secção 4.2.2. Isto fornece uma vinculação igualmente forte, se não mais forte, ao novo dispositivo.

As implementações confirmam esta postura. A Credence ID, um fornecedor de tecnologia no espaço, afirma explicitamente que o recadastramento é obrigatório por razões de segurança sempre que um utilizador muda de telemóvel, pois o processo usa chaves específicas do dispositivo e os dados não são transferíveis. Da mesma forma, o processo para adicionar uma mDL à Google Wallet num novo telemóvel Android exige que o utilizador submeta um pedido completamente novo ao DMV.

A Apple oferece um processo de "transferência" mais simplificado, mas esta é uma camada de usabilidade construída sobre os princípios de segurança subjacentes. A transferência depende do estado de confiança da Conta Apple do utilizador e do processo de configuração seguro do novo iPhone para atuar como um substituto para uma comprovação completa. O utilizador ainda é obrigado a autenticar e confirmar a mudança, reautorizando efetivamente a vinculação ao novo hardware.

Esta necessidade de restabelecer a ligação biométrica em cada novo dispositivo cria um certo grau de atrito para o utilizador, que pode ser pensado como um "imposto de recadastramento" para manter a alta segurança. Embora inconveniente, é uma consequência direta de um modelo de segurança que, com razão, prioriza a prevenção da clonagem de credenciais em detrimento da sincronização perfeita de documentos de identidade de alta garantia.

A Carteira de Identidade Digital Europeia (EUDI Wallet) é a peça central da regulamentação eIDAS 2.0. É concebida como uma aplicação segura e controlada pelo utilizador que será fornecida por cada Estado-Membro da UE, permitindo que os cidadãos armazenem e partilhem dados de identificação pessoal (PID) e outras atestações eletrónicas de atributos (EAAs), como uma carta de condução, diploma universitário ou prescrição médica.

Uma questão arquitetónica chave para a EUDI Wallet é como ela lidará com o uso em múltiplos dispositivos. A atual Estrutura de Arquitetura e Referência (ARF) e análises relacionadas sugerem que a EUDI Wallet não funcionará como um serviço de nuvem típico que sincroniza o seu estado de forma transparente entre múltiplos dispositivos. Em vez disso, a arquitetura aponta para um modelo onde um utilizador tem uma carteira principal, ancorada no dispositivo, que atua como a sua raiz de confiança.

A regulamentação exige que cada Estado-Membro forneça pelo menos uma carteira aos seus cidadãos. O componente arquitetónico central é a Unidade de Carteira, que reside no dispositivo móvel pessoal de um utilizador e depende de um Dispositivo Criptográfico Seguro de Carteira (WSCD) local ou remoto para a sua segurança. Este design vincula inerentemente as funções de segurança mais elevadas da carteira a um contexto de dispositivo específico. Embora a ARF descreva explicitamente fluxos para o uso entre dispositivos — por exemplo, usar um smartphone para ler um código QR para autenticar uma sessão num portátil — este é um modelo de interação, não um modelo de sincronização. A verdadeira sincronização do estado da carteira, incluindo as suas chaves privadas e credenciais, entre múltiplos dispositivos é tecnicamente complexa e levanta desafios de segurança significativos que poderiam entrar em conflito com o princípio do eIDAS de "controlo exclusivo" pelo utilizador.

As análises atuais da estrutura concluem que a maioria das implementações da EUDI Wallet está a ser projetada para uso em um único dispositivo. Isto leva a várias conclusões sobre o cenário multi-dispositivo:

• Uma Carteira Principal: Um cidadão provavelmente terá uma carteira EUDI principal emitida pelo seu Estado-Membro, ancorada ao seu dispositivo pessoal principal.
• Múltiplas Carteiras Independentes: Um cidadão com dupla cidadania poderia possuir múltiplas EUDI Wallets (ex: uma da Alemanha e uma da França), mas estas seriam instâncias separadas, independentes e não sincronizadas.
• Carteiras de Negócios Separadas: A impraticabilidade de usar uma carteira pessoal de um único dispositivo para fins profissionais levou ao desenvolvimento do conceito de European Business Wallet (EUBW), uma infraestrutura de carteira separada para gerir funções e credenciais organizacionais.

Esta abordagem arquitetónica posiciona a EUDI Wallet menos como uma "carteira na nuvem sincronizada" e mais como um "hub de identidade digital". O dispositivo móvel principal do utilizador servirá como a sua raiz de confiança pessoal para interações digitais de alta garantia. Outros dispositivos interagirão com este hub em vez de serem pares iguais. Isto tem implicações de usabilidade importantes: os utilizadores precisarão do seu dispositivo principal para realizar operações críticas. Também sublinha a importância crítica de mecanismos de backup e recuperação robustos e fáceis de usar, pois a perda do dispositivo principal poderia tornar a identidade digital inacessível até que um recadastramento completo seja concluído.

O ecossistema da EUDI Wallet está a ser construído sobre uma detalhada Estrutura de Arquitetura e Referência (ARF) que visa criar um sistema federado, mas totalmente interoperável em toda a UE. A ARF baseia-se em quatro princípios de design chave: centrado no utilizador, interoperabilidade, segurança por design e privacidade por design.

A arquitetura define um conjunto de papéis e interações claras:

A interoperabilidade é a pedra angular deste ecossistema, garantindo que uma carteira emitida num Estado-Membro possa ser usada para aceder a um serviço em qualquer outro. Isto é alcançado através da adoção obrigatória de padrões técnicos comuns. Para interações remotas (online), a ARF especifica o uso dos protocolos OpenID for Verifiable Presentations (OpenID4VP) e OpenID for Verifiable Credentials Issuance (OpenID4VCI). Para interações de proximidade (presenciais), a estrutura exige a conformidade com o padrão ISO/IEC 18013-5.

A confiança nesta vasta rede descentralizada é estabelecida e mantida através de um sistema de Listas de Confiança. Cada Estado-Membro manterá listas de Provedores de Carteira certificados, Provedores de PID e outros prestadores de serviços de confiança qualificados. Estas listas nacionais são agregadas numa Lista de Listas de Confiança da UE central, criando uma "espinha dorsal de confiança" verificável que permite a qualquer participante no ecossistema verificar criptograficamente a legitimidade de qualquer outro participante.

Enquanto a autenticação confirma a identidade para fins de acesso a um serviço, uma assinatura digital serve um propósito diferente e mais profundo: captura a intenção legal de uma pessoa de concordar com o conteúdo de um documento ou conjunto de dados. Dentro da estrutura eIDAS da União Europeia, a forma mais elevada e legalmente significativa disto é a Assinatura Eletrónica Qualificada (QES).

O regulamento eIDAS estabelece uma hierarquia clara de assinaturas eletrónicas, cada uma construindo sobre a anterior.

A consequência mais significativa da QES é o seu efeito legal. De acordo com o Artigo 25 do Regulamento eIDAS, uma Assinatura Eletrónica Qualificada terá o efeito legal equivalente a uma assinatura manuscrita. Esta é uma presunção legal poderosa que é reconhecida uniformemente em todos os 27 Estados-Membros da UE.

Isto significa que a um documento assinado com uma QES não pode ser negado efeito legal ou admissibilidade como prova em processos judiciais apenas pelo facto de estar em formato eletrónico. Embora as leis nacionais ainda determinem que tipos de contratos exigem uma forma escrita, para qualquer transação onde uma assinatura manuscrita é suficiente, uma QES é o seu equivalente legal. Isto torna a QES o padrão de ouro para transações que envolvem alto valor, risco legal significativo ou requisitos estatutários para uma assinatura escrita, tais como:

• Contratos de compra e venda de imóveis.
• Contratos de empréstimo e crédito de alto valor.
• Documentos notariais e petições judiciais oficiais.
• Contratos de trabalho e resoluções corporativas.

O uso da QES proporciona não-repúdio, o que significa que o signatário é impedido de negar o seu envolvimento no acordo assinado, uma característica crítica em disputas legais. Este reconhecimento legal transfronteiriço é um pilar fundamental do Mercado Único Digital da UE, permitindo que empresas e cidadãos se envolvam em transações eletrónicas seguras e convenientes sem o fardo administrativo e o custo dos processos baseados em papel.

Criar uma assinatura com o poder legal de uma QES envolve um processo rigoroso e regulamentado que garante o mais alto nível de garantia de identidade e segurança. Dois componentes centrais são obrigatórios:

1. Um Certificado Qualificado para Assinaturas Eletrónicas: Este é um certificado digital que vincula os dados de verificação da assinatura (uma chave pública) a um indivíduo específico e nomeado. Este certificado só pode ser emitido por um Prestador de Serviços de Confiança Qualificado (QTSP). Um QTSP é uma organização que passou por um rigoroso processo de auditoria e certificação por um órgão de supervisão nacional e está listada na Lista de Confiança da UE. Antes de emitir um certificado qualificado, o QTSP deve verificar a identidade do requerente a um alto nível de garantia, muitas vezes através de procedimentos de identificação presenciais ou remotos equivalentes.
2. Um Dispositivo de Criação de Assinatura Qualificada (QSCD): A própria assinatura eletrónica deve ser criada usando um QSCD. Este é um hardware ou software configurado que foi certificado como cumprindo os rigorosos requisitos de segurança do eIDAS. A função principal do QSCD é gerar a assinatura de forma segura e proteger a chave de assinatura privada do signatário, garantindo que ela permaneça sob o seu controlo exclusivo em todos os momentos. Exemplos de QSCDs incluem módulos de segurança de hardware (HSMs) certificados, smart cards ou serviços de assinatura remota seguros geridos por um QTSP.

A EUDI Wallet foi explicitamente projetada para integrar esta funcionalidade, seja sendo certificada como um QSCD ou comunicando-se de forma segura com um serviço QSCD remoto fornecido por um QTSP. Esta integração democratizará o acesso à QES, permitindo que qualquer cidadão europeu com uma EUDI Wallet totalmente configurada crie assinaturas digitais legalmente vinculativas com apenas alguns toques, um passo significativo em direção a uma administração e economia totalmente digitalizadas e sem papel.

O cenário global da identidade digital está a convergir em torno de princípios chave como a confiança biométrica e a segurança centrada no dispositivo. Navegar neste terreno em evolução requer ação estratégica de todos os participantes. As seguintes recomendações são oferecidas para guiar as principais partes interessadas no equilíbrio entre segurança, usabilidade e interoperabilidade.

• Analise os Níveis de Garantia Alvo: Antes do desenvolvimento, determine precisamente o nível de garantia que a sua carteira ou serviço precisa de alcançar. Se as credenciais forem usadas para processos regulados como KYC ou verificações de alto risco, garanta que as medidas de comprovação de identidade e autenticação sejam robustas o suficiente para cumprir esses requisitos legais e de conformidade específicos desde o início.
• Priorize a Adoção da Carteira: A carteira mais segura é inútil se ninguém a tiver. Projete fluxos de cadastramento simples e de baixo atrito que incentivem os utilizadores a instalar e provisionar as suas carteiras. Construir serviços de valor acrescentado sobre um ecossistema de carteiras só é viável se houver uma massa crítica de adoção entre a base de utilizadores alvo.
• Adote uma Arquitetura Flexível: Projete plataformas de identidade e autenticação com uma arquitetura interna que possa mapear tanto para modelos de garantia granulares (estilo NIST) quanto unificados (estilo eIDAS). Isto garante a capacidade de servir mercados globais sem exigir pilhas de produtos totalmente separadas.
• Invista em Tecnologias de Confiança Centrais: A deteção de vivacidade certificada e a correspondência biométrica de alta precisão já não são funcionalidades opcionais; são componentes centrais para qualquer oferta de identidade de alta garantia. O investimento em tecnologias que são compatíveis com padrões como a ISO/IEC 30107-3 para deteção de ataques de apresentação é crítico.
• Projete para o "Imposto de Recadastramento": Reconheça que o recadastramento num novo dispositivo é uma característica de segurança, não um erro. Projete jornadas de cadastramento e recadastramento claras, fáceis de usar e altamente seguras que minimizem o atrito, mantendo a integridade do processo de vinculação biométrica.
• Proteja Todo o Ciclo de Vida: Foque-se não apenas no cadastramento, mas também em mecanismos seguros de backup e recuperação. À medida que a EUDI Wallet e outros modelos centrados no dispositivo se tornam prevalentes, processos de recuperação fáceis de usar, mas seguros (ex: baseados em frases semente ou protocolos geridos pelo emissor) serão um diferenciador chave.
• Implemente o Step-Up da Carteira com Fallbacks Interoperáveis: Ao integrar a verificação de identidade baseada em carteira (ex: para KYC), use padrões emergentes como a API de Credenciais Digitais onde disponível. No entanto, para garantir ampla compatibilidade entre plataformas e carteiras que ainda não suportam a API, implemente mecanismos de fallback robustos, como fluxos baseados em código QR ou deep link (ex: usando OpenID4VP). Isto garante uma experiência de utilizador consistente e um alcance mais amplo.
• Proteja Contas com Passkeys: Para carteiras de terceiros que usam contas online para gerir metadados ou credenciais de utilizador, estas contas tornam-se uma fronteira de segurança crítica. Elas devem ser protegidas com os métodos de autenticação mais fortes possíveis e resistentes a phishing, como as passkeys (FIDO2). Isto previne ataques de tomada de controlo de conta que poderiam comprometer os dados do utilizador ou facilitar atividades de recadastramento fraudulentas.

• Realize Avaliações de Risco Rigorosas: Não adote uma abordagem única para a garantia. Utilize estruturas de avaliação de risco, como o processo DIRA nos EUA, para determinar o IAL e AAL apropriados necessários para cada serviço ou transação específica. Proteger excessivamente interações de baixo risco cria atrito desnecessário, enquanto proteger insuficientemente as de alto risco convida à fraude.
• Proteja Contas com Passkeys: Após usar uma carteira digital para uma verificação de identidade de alta garantia (step-up), a conta do utilizador tem um estado de identidade confirmado. É crucial proteger esta conta de alto valor contra phishing. Exija ou incentive fortemente o uso de passkeys para logins subsequentes, pois elas fornecem MFA resistente a phishing e garantem que a conta verificada não seja comprometida por métodos de autenticação mais fracos.
• Prepare-se para um Mundo Multi-Carteira: O futuro não é de uma carteira, mas de muitas. As empresas e agências governamentais devem investir em tecnologia de verificação e infraestrutura que seja interoperável e baseada em padrões. Isto significa suportar protocolos como OpenID4VP e ISO 18013-5 para garantir a capacidade de aceitar credenciais de uma vasta gama de carteiras, incluindo a EUDI Wallet, carteiras nativas do SO e outras soluções de terceiros.
• Monitore os Padrões de Vinculação de Dispositivo para Cenários de Alta Garantia: Para modelos de risco que dependem da identificação de um dispositivo físico específico (especialmente com passkeys sincronizadas), monitore de perto a evolução dos padrões WebAuthn para sinais de confiança de vinculação de dispositivo. Embora as propostas iniciais tenham sido descontinuadas, novas soluções estão a ser desenvolvidas para permitir que as RPs diferenciem entre um dispositivo confiável e um recém-sincronizado, permitindo uma avaliação de risco mais granular sem sacrificar a conveniência do utilizador.
• Confie na Criptografia, Não no Ecrã: Treine os funcionários e projete processos para depender da verificação criptográfica de um leitor compatível, não da inspeção visual de uma credencial no ecrã do telemóvel de um utilizador. A inspeção visual é altamente suscetível a spoofing e fraude.

• Fomente a Colaboração Internacional: Continue a apoiar e a participar em organismos de normalização internacionais (como a ISO e o W3C) para reduzir a fragmentação e promover uma linguagem comum para a confiança digital. Harmonizar definições e requisitos sempre que possível reduzirá as barreiras ao comércio e à inovação.
• Enfrente o Desafio Multi-Dispositivo: Reconheça os significativos desafios de usabilidade e segurança colocados pela gestão de múltiplos dispositivos. Incentive o desenvolvimento de padrões e estruturas para a recuperação e sincronização de credenciais seguras e centradas no utilizador que não comprometam o princípio do "controlo exclusivo".
• Equilibre Privacidade e Segurança: À medida que os dados biométricos se tornam a pedra angular da identidade de alta garantia, garanta que as estruturas legais e regulamentares forneçam proteções de privacidade robustas para esta informação sensível, em linha com princípios como o RGPD.

Ao abraçar estas estratégias, as partes interessadas podem não só navegar nas complexidades do ambiente atual, mas também contribuir ativamente para a construção de um ecossistema de identidade digital mais seguro, interoperável e centrado no utilizador para o futuro.

O futuro da identidade digital é um paradigma de máquina para máquina, onde elementos de hardware seguros nos dispositivos assinam desafios criptográficos para provar a identidade de um utilizador. Esta mudança de segredos memorizáveis por humanos para confiança ancorada em hardware é fundamental para eliminar classes inteiras de ataques, especialmente o phishing.

A Corbado especializa-se nesta transição. Ajudamos empresas, desde provedores de carteiras a partes confiadoras reguladas, a acelerar a sua jornada para um futuro verdadeiramente sem senhas. A nossa plataforma foi projetada para:

• Impulsionar a Adoção de Passkeys com Inteligência: Simplesmente oferecer passkeys não é suficiente; a experiência do utilizador deve ser perfeita para impulsionar a adoção. A Passkey Intelligence, um componente central da nossa solução, é uma camada de lógica inteligente que otimiza os fluxos de autenticação. Ela analisa o contexto do utilizador — dispositivo, navegador e histórico — para prevenir becos sem saída comuns, como loops confusos de códigos QR ou prompts para passkeys no dispositivo errado. Ao guiar inteligentemente os utilizadores para o caminho de maior sucesso, aumenta drasticamente as taxas de criação e uso de passkeys, garantindo que contas de alto valor e com identidade verificada sejam protegidas por um método de autenticação que é simultaneamente seguro e sem atrito.
• Facilitar a Identificação e Recuperação: A solução da Corbado suporta processos robustos de recuperação de conta e identificação através de integrações nativas e plugins para fornecedores de verificação de identidade (IDV) existentes.
• Verificar Credenciais Digitais: Olhando para o futuro, a nossa plataforma foi construída para suportar nativamente a verificação de credenciais digitais usando padrões emergentes como a API de Credenciais Digitais, permitindo-lhe cumprir os mais altos níveis de garantia exigidos em ambientes regulados.

Seja você um provedor de carteira que procura oferecer autenticação segura ou uma parte confiadora que precisa de confiar nas credenciais que lhe são apresentadas, a Corbado fornece a infraestrutura fundamental para construir sobre padrões de identidade modernos e resistentes a phishing.

A nossa jornada pelas estruturas de identidade digital da UE, EUA e Austrália revela um claro consenso global sobre os princípios fundamentais da confiança. Todas as principais estruturas ocidentais adotam uma abordagem em camadas, baseada em risco, e adotaram a verificação biométrica — a verificação "vivacidade-para-documento" — como o padrão de ouro para identidade de alta garantia. No entanto, os caminhos para alcançar essa confiança divergem. O modelo dos EUA oferece flexibilidade granular, enquanto a estrutura eIDAS da UE defende a interoperabilidade unificada, e o sistema da Austrália situa-se entre estas duas filosofias. Em última análise, o sucesso das carteiras digitais depende de uma teia de confiança entre utilizadores, partes confiadoras e governos. As estruturas que explorámos são os projetos para esta nova era. O desafio agora é construir sobre elas, criando um ecossistema de identidade que não seja apenas seguro e interoperável, mas verdadeiramente capacitador para cada indivíduo.