No reino digital pode identificar-se de muitas maneiras. Mas quantos dos seus dados pessoais controla…? Pouco ou nada. A blockchain pode resolver isso.

Há poucas coisas mais centrais para pôr uma sociedade e economia a funcionar do que a identidade. Sem uma forma de nos identificarmos uns aos outros e aos nossos bens, dificilmente seríamos capazes de construir grandes nações ou criar mercados globais. Quanto maior e mais complexa é uma sociedade ou um mercado, mais difícil se torna a identidade. No mundo físico, desenvolvemos várias formas de lidar com isto, geralmente envolvendo algum tipo de “prova” de reivindicações de identidade, desde selos de cera e cartas de apresentação na época pré-industrial até aos passaportes, cartas de condução e diplomas que hoje conhecemos. Para criar uma economia digital, precisamos de ter tipos similares de provas, ou “credenciais”, no mundo digital. Estas também foram desenvolvidas ao longo dos anos, começando com simples representações digitais do nosso meio físico, documentos em papel evoluindo para meios mais sofisticados de identificação digital como certificados digitais, assinaturas electrónicas, criptografia e hashing de chave pública/privada – métodos que podem ajudar a identificar de forma única um pedaço de dados digitais (por exemplo, um documento digital) e “provar” propriedade da mesma. Apesar destes úteis blocos de construção, existem persistentes – e cada vez mais graves – problemas com a forma como a identidade digital funciona hoje em dia. A maioria destes problemas não estão relacionados com a tecnologia, mas sim com os processos. Um problema é que o actual panorama da identidade digital é extremamente fragmentada. Navegar na web exige que os utilizadores façam malabarismos com todos os diferentes identidades associadas aos seus nomes de utilizador ou outros pseudónimos, a maioria dos que não estão fortemente relacionadas com as suas verdadeiras identidades. Esta experiência não é fluida nem, a menos que haja uma parceria entre eles, existe alguma forma padrão de utilizar os dados gerados por uma plataforma, noutra. Num mundo ideal, os utilizadores poderiam adicionar directamente os últimos vídeos musicais vistos no YouTube para as suas listas de reprodução Spotify sem utilizar um serviço externo, e conectando-se apenas uma vez, mantendo ao mesmo tempo o controlo dos seus dados. Outro problema grave é que os dados relacionados com a identidade não são seguros. Nós acostumamo-se aos avisos quase diários de violação de dados sensíveis de utilizadores revelados em massa por hackers e criminosos, à facilidade com que os golpistas podem criar identidades fraudulentas e utilizá-las para cometer roubo, incluindo roubar identidades de terceiros. Em suma, uma total falta de controlo que temos sobre os nossos dados pessoais – dados que nós, consciente ou inconscientemente, criamos quando estamos online, e que podem ser e são utilizados para nos traçar o perfil, ganhar dinheiro connosco e potencialmente influenciar as nossas opiniões. Nem tão pouco são apenas indivíduos que lutam com as insuficiências do regime actual de identidade digital. As empresas são confrontadas com custos e complexidade maciços, para não falar dos riscos regulamentares entre outros, tentando assegurar e proteger os dados dos utilizadores e na verificação das identidades das contrapartes com quem lidam online, quer sejam clientes, fornecedores, parceiros ou concorrentes. Os governos também têm razões para desejar melhorias na forma como a identidade digital é tratada. Seja para identificar correctamente os cidadãos de forma a fornecer-lhes as credenciais emitidas/reconhecidas pelo governo (quem é um cidadão, quem não), para desembolsar correctamente os benefícios, para tornar possível votação electrónica, ou para combater crimes como o financiamento do terrorismo ou branqueamento de capitais, os governos confiam fortemente nas identidades digitais. E eles vão querer que estam sejam fiáveis. Como guardiães do bem-estar dos seus cidadãos, empresas, mercados e economias, têm também interesse em assegurar que a sociedade tem acesso a um quadro de identidade digital viável e fácil de usar. Um terceiro problema é que, sob o actual regime de identidade, há frequentemente um elo fraco entre as identidades digital e “offline”. Isso faz com que seja relativamente fácil criar identidades falsas. Para as empresas, este elo fraco cria terreno fértil para os fenómenos de opiniões falsas, “gostos” falsos, e comentários falsos, que podem ajudar na perpetração de fraude e à perda de receitas. Para a sociedade, este elo fraco facilita a criação e divulgação de males como “notícias falsas”, o que representa uma ameaça potencial para o bom funcionamento da democracia.

Há muitas razões para este actual estado das coisas. Algumas delas são técnicas, tendo a ver, por exemplo, com o carácter anónimo das comunicações digitais ou a facilidade com que os dados digitais podem ser duplicados ou falsificados. A maioria destes problemas técnicos pode e está a ser resolvida, no entanto. Para muitos observadores, o principal problema com a identidade digital hoje em dia é que ela é em grande medida “centralizada”. Isto não significa que exista uma fonte central para as identidades digitais, mas sim que as identidades digitais são quase sempre fornecidas por terceiros (muitas vezes uma empresa privada) para um fim específico. Isto pode dever-se ao facto de fornecer identidade ser o seu negócio, tal como o é por exemplo, com as autoridades de certificação, ou porque é necessário a fim de fornecer um serviço online, como é o caso de um banco ou de uma empresa de comunicação social. Qualquer que seja a situação específica, no paradigma actual a informação de identidade do utilizador é “centralizada” nos servidores da entidade emissora. Graças a uma combinação de avanços no hardware, incluindo o sofisticação crescente dos smartphones, bem como os avanços em criptografia e o advento da blockchain, é agora possível construir novos quadros de identidade baseados no conceito de identidades descentralizadas – potencialmente incluindo um subconjunto interessante de identidade descentralizada conhecida como identidade auto-soberana (SSI). Em resumo, as identidades descentralizadas são identidades digitais que são criadas por um indivíduo e permanecem sob o seu controlo. Ao anexar um informação (credenciais) de fontes autorizadas a estas identidades, o indivíduo pode criar confiança nas alegações que faz sobre as suas ou a sua identidade, mantendo ao mesmo tempo esse controlo. Como isso poderia funcionar num contexto europeu, tanto tecnicamente como a partir de um ponto de vista regulamentar, é o tema do resto do presente documento. Olhamos também para o sujeito através da lente da tecnologia blockchain, mostrando como esta pode ser utilizada numa futura identidade descentralizada bem como a forma como a identidade descentralizada pode ser um potenciador de casos importantes de utilização de blockchain. Como é de esperar com uma nova tecnologia, há muitas filosofias e abordagens à identidade descentralizada. Em vez de escolher apenas um, tentámos pintar um quadro amplo e de fácil compreensão baseado  sobre os princípios básicos que estão na base da maioria das abordagens. É um momento interessante para a indústria da identidade digital, um momento em que muitos elos parecem estar a juntar-se para criar algo novo. Acreditamos que, num mundo cada vez mais complexo em que as pessoas são cada vez mais desconfiam dos dados, as identidades digitais viáveis e descentralizadas podem ser não apenas uma novidade tecnológica, mas um desenvolvimento de elevada importãncia.

Antes de podermos discutir a identidade descentralizada, é útil clarificar sobre o que queremos dizer por identidade digital. A questão não é tão simples quanto aparenta. Considere o facto de que, embora todos nós gostemos de pensar que sabemos quem somos, quando outros nos identificam, não têm acesso ao nosso sentido central de nós próprios. Em vez disso, eles precisam de confiar em vários tipos de informação que lhes é fornecida ou que são capazes de descobrir – os nossos nome, por exemplo, ou como é a nossa cara, ou o que os outros dizem sobre nós. No mundo da identidade digital, uma peça discreta de informação ligada à informação de alguém ou a identidade de algo é referida como um “atributo de identidade”. Existe praticamente um número potencial ilimitado de tais atributos. Existem, por exemplo, “biométricos” intrínsecos. atributos de identidade, como o nosso género, com quem somos parecidos, as nossas impressões digitais, os nossos padrões de voz, a forma como utilizamos um teclado. Há também atributos que representam a nossa identidade social, como o nosso nome, data de nascimento, endereço actual ou estado civil. Muitos de nós, quando pensamos sobre a identidade, pensamos em termos de atributos de identidade “oficiais” que nos foram dados pelos nossos governos, como o nosso número de identificação nacional, passaporte ou cartas de condução, e estes são certamente importantes também. Existem outros identificadores sociais, como a nossas relações familiares, o nosso círculo de amigos, os nossos gostos em comida e vestuário, ou os nossos passatempos. O histórico das nossas transacções – o que comprámos e vendemos, e quanto pagámos ou recebemos – é também uma parte importante da nossa identidade. O mesmo acontece com o histórico de para onde vamos e o que fazemos durante o dia, bem como o registo do que outras pessoas pensam sobre nós (ou seja, a na nossa reputação). A lista poderia continuar sem parar. O aspecto chave a ter em conta é que a identidade digital é atómica por natureza: com base em bits discretos de informação relacionados connosco. E que pode ser cumulativo: um atributo de identidade pode e frequentemente é uma colecção de outros atributos. Quando pensamos na identidade digital precisamos fazê-lo não como uma coisa única. É antes a soma total de todos os atributos que existem sobre nós no reino digital, uma constante recolha crescente e evolutiva de pontos de dados.

No paradigma da identidade centralizada discutida acima, é fornecida a identidade de uma pessoa por alguma entidade externa. No paradigma descentralizado de identidade que agora queremos explorar, o objectivo é colocar o utilizador no centro e assim eliminar a necessidade de terceiros emitirem e administrarem a identidade. Isto pode ser conseguido colocando o máximo possível da infra-estrutura de identidade nas mãos do utilizador e confiando em métodos descentralizados de confiança, por exemplo algoritmos criptográficos que podem produzir provas matemáticas da veracidade da informação sem a necessidade de uma autoridade terceira. No mundo da identidade descentralizada, os utilizadores criam as suas próprias identidades digitais. Isto normalmente começa com um utilizador que cria o seu próprio ou seus próprios identificadores únicos, e depois anexa informação a esse identificador de uma forma que torna possível provar a sua genuinidade. Uma vez feito isto, o utilizador pode recolher credenciais de autoridades de confiança e produzi-los conforme as necessidades. Uma utilização típica seria a de um utilizador recolher credenciais do governo, por exemplo que ele ou ela é um cidadão, ou tem um certo número de identificação nacional ou vive num determinado endereço. Quando chega a altura de fazer uma alegação, por exemplo de que ele ou ela tem o direito de votar numa eleição ou tem idade suficiente para comprar álcool, o utilizador pode então simplesmente apresentar a credencial apropriada. Graças a várias técnicas criptográficas, tal como as assinaturas digitais, é possível obter forte prova de que a credencial é genuína (ou seja, emitida efectivamente pela autoridade nomeada e não adulterado desde então) e que a pessoa que a apresenta é de facto a pessoa em questão. Muitas pessoas utilizam hoje o termo credenciais verificáveis (VCs) para se referirem às credenciais digitais que vêm com tais provas criptográficas. As credenciais verificáveis desempenham um papel fundamental num quadro de identidade descentralizada. Na sua essência, são como versões digitais das credenciais físicas que levamos connosco, tais como os nossos passaportes ou cartas de condução, embora com propriedades adicionais tornadas possíveis pela sua natureza digital. Há muitas vantagens na utilização de identidades descentralizadas e credenciais verificáveis. Não só dá muito mais controlo ao utilizador sobre a sua identidade, como também torna a identidade muito mais fácil de usar online. Uma vez emitida, uma credencial descentralizada pode ser facilmente empregue em múltiplos websites. Longe ficarão os dias de inscrição constante em contas e a reentrada da mesma informação uma e outra vez. E se a credencial muda, por exemplo, se o utilizador mudar de casa, esta alteração também só precisa de ser registada uma vez. As identidades descentralizadas devem também, pelo menos em teoria, ser mais seguras do que as centralizados, quanto mais não seja pela simples razão de que o utilizador mantém a identidade com ele próprio. O volt face é, claro, que o utilizador também assume responsabilidade pelos dados de identidade. Para muitos, este trade-off valerá a pena. A identidade descentralizada não é apenas algo que possa apelar aos utilizadores finais. Poderia também ser um vantagem para as empresas, que deixariam de ser único responsável pela infra-estrutura de identidade. Isto pode reduzir tanto o custo como o risco. Dito isto, enquanto a identidade descentralizada como descrito até agora, coloca o utilizador no centro do quadro de identidade, continua a ser em grande medida dependente de dados fornecidos por partes terceiras. Cartas de condução digitais e cartões de registo de eleitores ainda têm de ser emitidos por uma central central. Tal como os seus homólogos físicos, eles permanecem sob o controlo último dessa autoridade (o Estado pode emitir uma carta de condução, e pode também revoga-la). Para muitos casos de utilização envolvendo identidade, confiando nas autoridades para a emissão de credenciais que podem ser associadas a um identificador gerado pelo utilizador não seria apenas aceitável, seria desejável. Hoje em dia, no entanto, a tecnologia permite-nos fazer mais. Identidade auto-soberana: Controlo total por parte do utilizador É possível dar um passo em frente no que toca à identidade descentralizada, dando aos utilizadores o controlo não só dos seus identificadores mas também dos dados associados com eles. Este é o cerne do que se conhece como identidade auto-soberana (SSI). Numa abordagem SSI, o utilizador tem não só um meio de gerar e controlar identificadores únicos bem como algumas facilidades para armazenar dados de identidade. Poderia ser credenciais verificáveis como descrito acima. Mas também poderiam ser dados de um conta de mídia, um histórico de transações num site de comércio electrónico, ou atestados de amigos ou colegas. Não há realmente limites para o tipo de informações de identidade que possam ser recolhidas e postas em uso. Isto, por sua vez, pode abrir um número de novas possibilidades interessantes. Por exemplo, pode expandir muito o número de e tipos de fontes de dados de identidade que podem ser recolhidos. No mundo SSI, qualquer pessoa com um a identidade descentralizada pode emitir uma credencial ou um atestado para qualquer outra pessoa (embora estes transportarão naturalmente diferentes níveis de confiança, dependendo da natureza da fonte). Na SSI, os utilizadores têm um controlo muito mais fino sobre a quantidade de dados que partilham e com quem. Isto facilita a criação de diferentes identidades para diferentes contextos, com base em diferentes conjuntos de credenciais ou identidade atributos. Pode ter uma identidade digital para o seu prestador de cuidados de saúde, um para o seu site de rede profissional, e um para o seu site das redes sociais. Cada um destes apresentaria um “você” diferente do mundo online, e numa forma que você determina. SSI poderia também tornar possível os indivíduos monetarizarem os seus dados pessoais, por exemplo alugando-o a algoritmos de formação de IA ou vendendo-os a anunciantes, se eles assim o desejarem. A SSI também pode tornar mais fácil o consentimento de partes terceiraspara utilizar dados pessoais e, o que é importante, revogar esse consentimento. Por último, mas não menos importante, porque é um identidade gerida e controlada pelo utilizador, a SSI não pode ser tirada a uma pessoa por qualquer autoridade. Para muitos, esta é a sua característica mais apelativa. O que é necessário para implementar Identidade Auto-Soberana? Há diferentes maneiras de implementar identidade descentralizada. Todas as abordagens, no entanto, terão de resolver um conjunto semelhante de problemas, a maioria dos quais tem a ver com a procura de formas de assegurar a confiança na informação sem recurso a alguma autoridade. Para se ter uma ideia de como isto pode funcionar numa contexto de identidade descentralizada, podemos pensar em termos das seguintes capacidades básicas. – Um identificador único: Para fazer um quadro de identidade descentralizada possível, é necessário ter alguma base, um identificador único que pode ser utilizado num forma descentralizada. Estes são frequentemente referidos para como identificadores descentralizados (DIDs). Ao contrário da maioria dos identificadores fornecidos pela autoridade que emite a identidade, os DIDs são criado pelo utilizador (que poderia ser um pessoa, uma organização ou mesmo uma máquina). Este identificador tem uma parte pública e uma parte secreta associada, que se encontra sob o controlo da pessoa ou entidade que criou o DID, e pode ser usado para provar “propriedade” desse DID. Isto é importante, entre outras coisas, porque cria um forte ligação entre o identificador e o dados subjacentes. Importante aqui é também o facto de uma pessoa ou entidade poder criar tantos DIDs quantos forem necessários para o que quer que seja objectivo. – O conteúdo ou dados reais: Num quadro de identidade descentralizada nós teremos de transferir dados de uma forma que seja compreensível e utilizável por qualquer sistema. Este esforço de normalização poderia tomar a forma de credenciais verificáveis, onde um emissor produz e assina uma credencial para um utilizador que mais tarde a possa apresentar a um verificador. O JSON e algumas das suas versões especializadas é actualmente a norma mais amplamente utilizada para dados relacionados com a identidade. – A capacidade de armazenar dados: O armazenamento é uma das funções centrais em relação aos dados relativos à identidade. Num quadro descentralizado, as credenciais são normalmente armazenadas directamente no dispositivo do utilizador (por exemplo, smartphone, computador portátil) ou mantidas em segurança por terceiros à escolha do utilizador. Tais armazéns de identidade privados são referidos de forma variada como centros de identidade ou cacifos de dados pessoais. Quando apenas sob o controlo do utilizador, identidades são consideradas auto-soberanas. Isto, por sua vez significa que o utilizador pode controlar totalmente o acesso aos dados e não se preocupar com o acesso a ser revogado. Ter dados sob o controlo do utilizador também o torna mais interoperável, permitindo ao utilizador empregar dados em múltiplas plataformas e proteger o utilizador de estar preso a uma única plataforma. – Medidas de segurança adequadas: Em sistemas de identidade centralizados, a entidade  responsável por providenciar os dados é também responsàvels pela segurança dos mesmos. Num quadro de identidade descentralizada, a segurança passa a ser da responsabilidade do utilizador, que pode decidir implementar as suas próprias medidas de segurança ou subcontratar a tarefa a algum serviço como um cofre de banco digital ou uma app gestora de senhas. Enquanto isto coloca um fardo e uma responsabilidade acrescidos sobre o utilizador, também dá liberdade ao utilizador para empregar quaisquer medidas de segurança que ele ou ela considera adequado. Identidade descentralizada também torna a vida mais difícil para os hackers, forçando-os a atacar armazéns de dados individualmente, o que representa um custo e não necessariamente uma acção lucrativa. Grandes sistemas centralizados com milhões de das contas de utilizador são alvos muito mais apelativos, onde se ataca um único ponto ao contrário de vários milhares individuais. – Uma interface: Para implementar identidade, os utilizadores precisarão de um meio para criar e depois usar os seus DIDs. Estes podem tomar a forma de “carteiras” digitais, tipicamente numa telefone do utilizador, ou outros tipos de agentes do utilizador. Como com todos os outros aspectos de identidade, o elemento essencial aqui é que a carteira, e o acesso à mesma, está sob a controlo exclusivo do utilizador.

Embora a Blockchain não seja necessária para identidade descentralizada, pode ser uma poderosa solução para diferentes aspectos no quadro de identificação descentralizada. Fornece uma infraestruturas pronta para a gestão de dados de uma forma descentralizada mas digna de confiança. Isto pode ajudar a mitigar a necessidade de terceiros de confiança ou fornecer resistência à censura em certas circunstâncias. Podemos imaginar várias utilizações potenciais para bockchain nos contextos SSI, incluindo: – Criação de DIDs. Endereços de blockchain únicos, gerados pelo próprio utilizador e que já alavancam criptografia de chave público/privada. – Utilização da blockchain como registo DID. As blockchains também podem ser usadas como registos DID, que são bases de dados onde se armazena informação sobre quem está relacionado com identificações específicas e como aceder à informação sobre elas (pontos finais do servidor). – Notarização das credenciais. Podemos “autenticar” credenciais, ao colocarmos as sua hashes na blockchain. Isto não significa armazenar as credenciais na blockchain, o que geralmente não é recomendado e é provável que vá contra alguns regulamentos tal como o RGPD. Em vez disso, actua como um carimbo temporal e selo electrónico. Ambos fornecem prova de quando a credencial foi criada, assim como “sela” a credencial anulando qualquer  tentativa de adulteração dessa credencial, e de forma evidente para os observadores externos. Por exemplo, uma universidade pode enviar o hash de um diploma para a blockchain no momento da formatura. Isto fornece ao estudante um carimbo de data de emissão do diploma, bem como uma forma de provar a qualquer momento no futuro que o diploma que está a ser apresentado é o que foi registado nessa altura. – Direitos de acesso e consentimento. As blockchains podem ser utilizadas como um livro de registo partilhado para registar os direitos de acesso à informação. Por exemplo, um utilizador pode concordar em partilhar certas informações com uma plataforma de meios de comunicação social mas apenas por um período de tempo limitado. Este consentimento pode ser registado como uma transacção na blockchain, juntamente com a sua data de expiração. A empresa de comunicação social teria então de apagar a informação na data de expiração e colocar prova dessa eliminação na blockchain. – Facilitando a execução do contrato inteligente. Num esquema totalmente integrado, as ligações entre as credenciais e a blockchain pode permitir interacções contratuais inteligentes e fáceis tais como o desencadeamento de pagamentos em cadeia. De seguida, ilustramos os potenciais casos de uso da identidade descentralizada em soluções que potenciam a tecnologia blockchain.

Neste exemplo, um utilizador que compra um carro eléctrico deseja tirar partido de programas de subsídio público à compra. O desafio é para provar ao organismo público  que trata dos subsídios que o utilizador tenha efectivamente adquirido um carro eléctrico e quando. Antes de qualquer outra coisa, o comprador solicita à empresa de automóveis, que é o emissor da credencial para a compra,  que emita uma credencial verificável associada a um DID que identifica o comprador e que confirma a compra. Isto é assinado pela empresa de automóveis e transferido para a “carteira digital” do comprador. O comprador entra então no website do organismo público e informa-o que quer fazer prova da compra do carro. O organismo envia então um “desafio” à carteira digital a pedir prova de que o comprador é o titular. O comprador recebe então uma notificação na sua carteira a perguntar se quer partilhar esta informação com o organismo público. Neste caso, o indivíduo concorda. A carteira cria então uma apresentação verificável – uma agregação de credenciais verificáveis necessárias para responder ao “desafio”. Neste caso, a apresentação é uma agregação de credenciais verificáveis sobre o indivíduo mais a credencial da empresa de automóveis eléctricos ligada a esse indivíduo. Além disso, o endereço de pagamento “on-chain” do comprador (semelhante às informações bancárias) é anexado para posterior pagamento. Esta informação é enviada para o organismo público, que pode então estar confiante na veracidade da informação, podendo também verificar internamente para ter a certeza de que o indivíduo ainda não recebeu nenhum subsídio. Se todos os controlos forem efectuados, o organismo emite uma credencial que o indivíduo é elegível, sendo um pagamento do subsídio automaticamente desencadeado directamente por um contrato inteligente.

As credenciais de ensino, tal como diplomas, são muito importante para as nossas carreiras. Estão também entre as credenciais de maior duração, uma vez que se espera serem utilizáveis no decurso de uma vida inteira. No mundo físico produzir a emissão de um diploma significa contactar a entidade emissora e passar por um longo e muitas vezes dispendioso processo de prova de identidade, solicitar uma cópia oficial da diploma, e depois esperar pelo seu envio. A emissão online de um diploma com credenciais verificáveis pode racionalizar grandemente este processo, visto que uma cópia digital do diploma pode ser assinada através de uma chave privada gerada pela entidade emissora (por exemplo, universidade) e depois apresentada pelo utilizador quando necessário (por exemplo, durante um processo de recrutamento). A blockchain pode ser utilizada como um registo partilhado que detém um registo de chaves válidas utilizadas por universidades. Se a universidade mudar as suas chaves, ela registará a alteração no livro-razão da blockchain, permitindo aos verificadores (por exemplo um recrutador) aceder ao diploma em qualquer ponto do tempo. Isto é válido mesmo que a entidade emissora já não exista, uma vez que o registo ainda existe “on-chain”.

Para uma visão um pouco mais técnica do acima exposto, tomamos um exemplo em acção, olhando para uma implementação actual. Konfido é um projecto para criar um paradigma seguro e fiável para os serviços de e-Saúde na UE, financiado ao abrigo do programa Horizonte 2020. No Konfido existe a necessidade de um intercâmbio transfronteiriço de dados de saúde, que preserve a privacidade. O desafio é armazenar as acções durante um intercâmbio transfronteiriço de dados de saúde de uma forma imutável e que preserve a privacidade, para que apenas as partes interessadas envolvidas possam pesquisar e recuperar as acções armazenadas. Para este fim, a blockchain é utilizada devido à sua propriedade para armazenar os registos de acções de forma inviolável. Numa transacção típica, um médico no País A, por exemplo Espanha, solicita o Resumo do Paciente residente no País B, digamos Dinamarca. O Resumo do Paciente é entregue ao médico. Esta acção é então registada, e o registo de auditoria é filtrado, transformado e armazenado numa rede federada de nós em blockchain encriptado com uma chave simétrica. Remetentes e receptores podem pesquisar as acções armazenadas na rede Blockchain utilizando um explorador. Todos os utilizadores podem procurar as acções, mas apenas o remetente e o receptor da acção podem decifrar os “logs” (entradas) com as suas chaves privadas, e lê-los. Neste exemplo, utilizamos a blockchain para a identidade digital no sentido de ter os utilizadores a provar coisas sobre si próprios. Neste caso em particular, apenas aqueles cujos pares de chaves público/privadas coincidem com as armazenadas na blockchain são capazes de decifrar e ver o conteúdo dos registos auditáveis.

Embora os desenvolvimentos e normas técnicas sejam obviamente importantes para a implementação de um novo quadro de identidade digital, como acontece com tantos outros aspectos da tecnologia, as questões legais e regulamentares serão tão importantes quanto isso. Este é certamente o caso no espaço da identidade, que toca tantos aspectos-chave da nossa vida pessoal e económica. Enquanto a identidade toca o panorama jurídico e regulamentar em muitas áreas, a nível da UE há dois regimes regulamentares que são particularmente importantes: o Regulamento Geral de Protecção de Dados (GDPR) e a Identificação Electrónica, Autenticação e Regulamento de Serviços Fiduciários (eIDAS).

O Regulamento Geral de Protecção de Dados (RGPD) estabelece regras relativas à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e regras relativas à livre circulação de dados pessoais. Uma vez que, quase por definição, a informação de identidade são dados pessoais, o RGPD é altamente relevante para o tema da identidade digital. Qualquer quadro de identidade em grande escala terá, portanto, de ter em conta as suas disposições. Dependendo da forma como é concebido, existem muitas áreas de tensão potencial. Um quadro de identidade terá de funcionar dentro dos princípios do RGPD como a minimização dos dados, limitação da finalidade e limitação do armazenamento dos mesmos. Terá também de lidar com muitos dos direitos que as pessoas em causa têm ao abrigo do RGPD, entre eles o conhecido direito a ser esquecido, direito de acesso e direitos relacionados com o tratamento automatizado de dados. O RGPD também estabelece responsabilidades claras para os controladores e processadores de dados que irão certamente também precisam de ser tidas em conta.

Talvez o regulamento mais importante que trata da identidade na UE seja o eIDAS, um regulamento e um conjunto de normas e serviços de confiança para a identificação electrónica e para as transacções electrónicas no Mercado Único Europeu. Este regulamento terá um impacto profundo no quadro da identidade descentralizada, sobretudo no que diz respeito às credenciais de identidade emitidas/reconhecidas pelo governo, pelo que vale a pena uma análise mais atenta. O regulamento eIDAS nasceu da Directiva sobre Assinaturas Electrónicas de 1999, que veio substitui-lo. Esta directiva, que se destinava a proporcionar um quadro legal para o reconhecimento de assinaturas digitais em toda a União Europeia, destinava-se a facilitar transacções electrónicas transfronteiriças através da utilização de assinaturas electrónicas em toda a União. Infelizmente, por várias razões – incluindo o facto de, como directiva e não como regulamento, ter deixado nas mãos dos Estados-Membros a discrição sobre a implementação na legislação local, levando a um conjunto de normas fracturadas e não interoperáveis – ficou aquém das suas ambições. Como regulamento vinculativo, o eIDAS é obrigatório para os Estados Membros Estados e assim será aplicado uniformemente. O objectivo do eIDAS é apoiar o mercado único digital, ao proporcionar um enquadramento jurídico para as assinaturas electrónicas, melhorando legislação anterior, e sua aplicação a outros serviços fiduciários, bem como à identificação electrónica. Estes são serviços auxiliares cruciais para as transacções digitais que não tenham sido normalizadas a nível da UE no passado. O pacote eIDAS inclui: – eID: Uma forma de as empresas e os consumidores provaren electronicamente a sua identidade. – eTimestamp: Prova electrónica de que um determininado conjunto de dados existiam num momento específico. – eSignature: Expressão em formato electrónico do acordo de uma pessoa singular para o conteúdo de um documento. eIDAS reconhece três níveis de eSIgnatures: Simples, Avançadas e Qualificadas. – eSeal: Garante tanto a origem como a integridade de um documento. É aproximadamente o equivalente, para as pessoas colectivas, de um assinatura electrónica. – Qualified Web Authentication Certificate: Assegura que os websites são de confiança e fiáveis. – Electronic Registered Delivery Service: Protege contra o risco de perda, roubo, danos ou alterações ao enviar documentação. – Reconhecimento legal de documentos electrónicos: Garantia de que um documento não pode ser rejeitado pelo tribunal pelo facto de ser electrónico. Para implementar isto, o eIDAS estabelece um número de princípios fundamentais vinculativos para os Estados-Membros, incluindo o princípio de que os Estados Membros cooperarão nos serviços de eID e de confiança que os cidadãos de um Estado-Membro possam utilizar as suas identificações digitais obtidas num país noutro país para ter acesso aos serviços governamentais. Os Estados Membros são livres de introduzir o que quer que seja que eles considerem adequado para as identidades electrónicas nacionais, mas uma vez aplicados no âmbito do eIDAS, eles devem ser aceites por todos os outros Estados-membros. Para assegurar a interoperabilidade, cada Estado-Membro opera um nó eIDAS, que permite a transferência de confiança desta informação de identificação. O regulamento também estabelece o quadro para fornecer outros tipos de informação de confiança ao exigir que os Estados-Membros estabeleçam listas de prestadores de serviços de confiança qualificados (TSPs) que podem fornecer serviços como a verificação de eSignatures e eSeals e a emissão de certificados. Esta configuração destina-se a tornar as coisas mais fáceis para cidadãos e empresas da UE em vários meios do reino digital. Tornará muito mais fácil a cidadãos de um Estado-Membro mudarem-se para outro Estado-Membro, podendo utilizar a sua identificação nacional já existente. Irá facilitar às empresas as transacções digitais, por exemplo, criando confiança em documentos electrónicos e assinaturas electrónicas de contratos. E acrescentará confiança ao o mercado digital em geral, tornando-o mais fácil de identificar pessoas, organizações e documentos, e a estas identificações terem curso legal.

eIDAS toca a blockchain a diferentes níveis. Como livros-razão totalmente digitais, as blockchains são por definição documentos electrónicos sob a eIDAS. Isso significa, entre outras coisas, que à blockchain, ou mais propriamente os dados, incluindo contratos inteligentes, não pode ser negada força jurídica apenas devido a a sua natureza electrónica. As blockchains também podem ser úteis para a marcação temporal num formato em conformidade com o eIDAS. Hoje em dia, só os prestadores de serviços de confiança têm a capacidade de emitir carimbos temporais que tenham força legal. No entanto, as blockchains podem proporcionar um elevado nível de confiança numa peça de informação com carimbo de data/hora. Podem, portanto, ser uma forma de criar carimbos de data/hora em conformidade com eIDAS de uma forma descentralizada. Algo semelhante acontece com as assinaturas electrónicas e os carimbos electrónicos. As transacções numa blockchain são imutáveis, uma vez desencadeadas. Portanto, a questão é: podem estas transacções ser consideradas como assinadas sob eIDAS, o que é muito provavelmente o caso, e, em caso afirmativo, sob que nível de assinatura? Tal como no caso do carimbo temporal, pode ser possível considerar uma transacção numa blockchain como tendo o nível mais elevado de eSignature, muito mais do que uma assinatura física qualificada, e de forma descentralizada.

Como já vimos, a identidade digital é um pré-requisito essencial para o mercado único digital e deve, portanto, ser uma prioridade dos decisores políticos. Temos defendido um quadro de identidade na Europa. Na nossa opinião, um quadro de identidade descentralizada na Europa poderia ser apoiado das seguintes formas.
  1. Apoiar o papel do governo como emissor de credenciais verificáveis. É evidente que o governo pode e irá desempenhar um papel importante como emissor de credenciais verificáveis. A UE poderia apoiar a utilização de tais credenciais, educando e encorajando organismos públicos sobre a identidade descentralizada e o seu papel como emissores. Os benefícios potenciais para os cidadãos e empresas são enormes, tanto em termos de poupança de custos como de aceleração dos processos.
  2. Clarificar a relação entre as blockchains e o eIDAS. Tal como discutido acima, é possível que o carimbo temporal e as assinaturas em blockchain possam ser consideradas em conformidade com o eIDAS, incluindo potencialmente até ao mais alto nível, através do reconhecimento da blockchain dentro das soluções geridos por prestadores de serviços fiduciários. A UE poderia apoiar um framework de identidade descentralizada, quando clarificados estes pontos. Sentimos que tal posicionaria o eIDAS como um poderoso apoio para a identidade descentralizada na Europa, com o objectivo de ter implementações de SSI até ao mais alto nível de garantia.
  3. Esclarecer questões em aberto em torno da identidade descentralizada e o GDPR. Torna-se premente pedir esclarecimentos sobre a implementação de requisitos para o cumprimento do GDPR de vários tipos de dados implicados no contexto do SSI, tais como DIDs, documentos DID, revogação de registos (de várias implementações), endereços e chaves públicas, e o grau em que certos tipos de métodos de ofuscação podem retirar estes dados do âmbito do GDPR (tornando-o suficientemente “anonimizado”). Convém notar que o RGPD foi desenvolvido sem levar em conta os desenvolvimentos da tecnologia blockhain, dado ainda ser relativamente recente e na altura pouco conhecida, pelo que é essencial a clarificação deste aspectos e como o RGPD pode ser adaptado à blockchain.
  4. Esclarecer outras potenciais questões regulamentares. Pedimos esclarecimentos jurídicos sobre a reutilização de credenciais emitidas fora do seu ambiente regulamentar original, tais como, por exemplo credenciais sujeitas à Quinta Directiva AML (AMLD5), Revides Payment Services Directive (PSD2), e o eIDAS para permitir comparabilidade horizontal das credenciais.
  5. Continuar o trabalho de exploração de um Quadro de Identidade Auto-Soberana como parte dos Serviços Europeus de infraestrutura Blockchain (EBSI). À medida que a UE desenvolve as normas da blockchain sob a EBSI, deve procurar assegurar-se de que são conhecedores e interoperáveis com DIDs e VCs.
  6. Apoiar a ampla utilização da identidade digital em cidades. As cidades mais pequenas poderiam ser um excelente teste para quadros de identidade descentralizada. A UE poderia apoiar as autoridades locais através de financiamento e perícia para construir em toda a cidade infraestruturas para os seus residentes e assim testar em ambiente vivo.

Se o acima exposto parece complexo, é porque é. Mas tecnologicamente as identidades descentralizadas e auto-soberanas são agora mais viáveis do que nuca. Passar de uma implementação viável para uma efectiva é, no entanto, um longo caminhoa percorrer e, entre outras coisas, exigirá um acordo sobre normas e processos. Neste momento há muitas organizações a seguir identificadas, tanto públicas como privadas, a trabalhar sobre tais normas e assim ajudar a construir as bases conceptuais para um quadro de identidade descentralizada. – World Wide Web Consortium (W3C). O W3C é a principal organização internacional de normalização para a World Wide Web. Está a trabalhar em identificadores descentralizados e credenciais verificáveis através de dois grupos de trabalho dedicados a estes temas. – Fundação da Identidade Descentralizada (DIF). A DIF é um amplo consórcio industrial com mais de 60 membros fundado pela Microsoft, ConsenSys/uPort, Evernym e outros. A sua missão é assegurar a interoperabilidade das plataformas de identidade através de redes de blockchain. – Organização Internacional de Normalização (ISO). A ISO está a trabalhar em normas de identidade através da ISO TC 307 (Blockchain e DLT) e da ISO SC 27 (técnicas de segurança informática). – CEN/CENELEC. CEN, o Comité Europeu de Normalização, e CENELEC, o Comité Europeu de Normalização Electrotécnica, são dois dos três organismos (juntamente com o ETSI) que foram “oficialmente reconhecidos pela União Europeia e pela Associação Europeia de Comércio Livre (EFTA) como sendo responsáveis pelo desenvolvimento e definição de normas voluntárias a nível europeu”. O CEN/CENELEC abordou a identidade, entre outras coisas, num “white paper” sobre recomendações para normas de blockchain na Europa. – Fundação OpenID. A Fundação OpenID é uma organização internacional de normalização sem fins lucrativos de indivíduos e empresas empenhada em possibilitar, promover e proteger as tecnologias OpenID. A sua norma OpenID Connect é utilizada por muitas aplicações, utilizando a notação de objectos JavaScript (JSON) como um formato de dados. – Internet Engineering Task Force (IETF). A IETF é uma organização de normas abertas, desenvolvendo e promovendo normas voluntárias da Internet, especialmente as normas que compõem o conjunto de protocolos da Internet TCP/IP. – Associação Internacional das Associações de Blockchain de Confiança (INATBA). INATBA, uma nova organização lançada em Abril de 2019, reúne a indústria, startups e PMEs, decisores políticos, organizações internacionais, reguladores, sociedade civil e organismos de normalização para apoiar a Blockchain e a Distributed Ledger Technology (DLT), a fim de ser integrada e ampliada em múltiplos sectores. Espera-se que desempenhe um papel importante no desenho e desenvolvimento da blockchain e da identidade na Europa. – Hyperledger Indy. O Hyperledger Indy é um livro-razão distribuído, construído com o objectivo de descentralizar a identidade. Desenvolveu especificações, terminologia e padrões de design para a identidade descentralizada, juntamente com uma implementação destes conceitos.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *