Em Alta futeboldesportointernacionaispessoasnotícia

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Europa analisa privacidade por design em carteira de identidade digital

Relatório europeu de proteção de dados destaca riscos de privacidade da Carteira Europeia de Identidade Digital: rastreio, partilha excessiva de dados e mitigação desafiadora

Telinha
Por
Carteira de identidade digital sob análise da privacidade por design na Europa
0:00
0:00
  • A Autoridade Europeia para a Proteção de Dados publicou um estudo técnico sobre carteiras digitais de identidade (DIW), detalhando riscos de privacidade ao usar estas carteiras para aceder a serviços e transações.
  • O relatório descreve quatro atores no ecossistema: utilizador, emissores de credenciais, organizações que confiam nas credenciais e a autoridade responsável pela governança, e compara modelos isolado, centralizado, federado e uma abordagem centrada no utilizador.
  • Os principais riscos identificados são: integridade e confidencialidade da carteira, divulgação excessiva de dados aos verificadores e a possibilidade de ligar transações para traçar hábitos dos utilizadores.
  • Para mitigar, sugere-se proteger a privacidade desde a conceção e por padrão, com criptografia robusta, Secure Elements e Trusted Execution Environments, ligação criptográfica ao dispositivo, autenticação forte (biometria) e credenciais anónimas com provas de conhecimento zero para divulgação seletiva.
  • O documento aborda o quadro europeu eIDAS, que pretende uma Carteira Europeia de Identidade Digital interoperável e transfronteiriça até ao final de 2026, com emissão, utilização e revogação gratuitas para pessoas físicas, sem a obrigatoriedade de utilização.

A Autoridade Europeia para a Proteção de Dados (AEPD) publicou um estudo técnico de pouco mais de 30 páginas sobre carteiras de identidade digitais. O relatório explica o que são estas carteiras, quais riscos de privacidade surgem ao serem usadas como porta de entrada para serviços e transações, e como devem ser mitigados.

A ideia central é reunir num repositório digital os dados de identificação e credenciais de uma pessoa, semelhante a uma carteira física. Normalmente, as DIW são aplicações móveis com potencial apoio na cloud para cópias de segurança, sincronização e revogações.

O documento descreve quatro atores no ecossistema: o utilizador, os emissores de identidade, as organizações que confiam nas credenciais (verificadores) e a autoridade reguladora do esquema. Analisa modelos de identidade isolado, centralizado e federado, em comparação com uma abordagem centrada no utilizador.

Riscos e Desafios

A análise distingue entre identificação (provar quem se é) e autorização (comprovar direito sem revelar identidade). Sugere que a carteira possa apresentar atributos concretos, como comprovar a maioridade, sem revelar dados adicionais. Também pode funcionar como recipiente de material criptográfico para assinaturas.

Um risco relevante é a concentração de dados sensíveis, que pode levar a vulnerabilidades se a carteira for comprometida. Outro é a divulgação excessiva de dados aos verificadores, quando a interação é muito fluida. Existe ainda o risco de rastrear comportamentos por ligações entre transações através de identificadores persistentes.

Medidas de mitigação

O relatório recomenda abordagem de proteção de dados desde a conceção e por defeito. Sugere criptografia robusta e ambientes isolados de hardware ou sistema, como Secure Elements e Trusted Execution Environments, para operações criptográficas e armazenamento sensível. Em nuvem, os Módulos de Segurança de Hardware (HSM) e servidores robustos são mencionados, com ressalvas sobre disponibilidade sem ligação.

Para reduzir utilização indevida, defende o dispositivo ligado às credenciais (device binding) e autenticação forte, incluindo biometria. Na minimização de dados, enfatiza credenciais anónimas e protocolos que permitam divulgação seletiva, bloqueando ligações entre apresentações sucessivas de credenciais.

Contexto regulatório e implementação

A análise reconhece que técnicas de teste criptográfico, como conhecimento zero, estão em investigação há décadas e ainda enfrentam desafios de compatibilidade com hardware móvel, custo e padronização. O documento aponta que a pressão por avanços está a acelerar a normalização e a adoção.

O relatório também discute o eIDAS, o quadro europeu que exige uma Carteira Europeia de Identidade Digital interoperável até 2026. A emissão, uso e revogação são gratuitas para pessoas físicas, sem obrigatoriedade de uso, com utilidade para acesso a serviços públicos sensíveis.

Relacionados:

computação em nuvemdigitalizaçãoinformaçãoproteção da privacidadetecnologiaUnião Europeia

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais

Flamengo mantém interesse em Andrew
Desporto

Flamengo mantém interesse em Andrew

Telinha
Telinha
Justin de Haas abre leilão
Desporto

Justin de Haas abre leilão

Telinha
Telinha
Netanyahu espera que o Irão seja libertado do jugo da tirania
Internacional

Netanyahu espera que o Irão seja libertado do jugo da tirania

Telinha
Telinha