A verificação de idade está a tornar-se uma parte padrão da forma como as pessoas acedem a serviços online. O que começou como uma ferramenta política destinada a restringir o acesso das crianças a certos conteúdos está agora a passar por plataformas, dispositivos e sistemas de identidade nacional.
Dadas as profundas implicações para a privacidade pessoal, a Proton tem acompanhado esta mudança a partir de vários ângulos: como as leis são redigidas, como as empresas as implementam e o que acontece quando as verificações de identidade se tornam incorporadas na infraestrutura digital quotidiana.
O que significa realmente a verificação de idade
A verificação de idade é frequentemente descrita como uma salvaguarda simples para confirmar se alguém tem idade suficiente para aceder a um serviço. Na prática, o termo abrange uma vasta gama de sistemas, desde datas de nascimento autodeclaradas a verificações de documentos de identidade governamentais e serviços de identidade de terceiros.
O fosso entre a linguagem e a implementação é importante. À medida que estes sistemas se expandem, a verificação envolve frequentemente a recolha de mais dados pessoais do que as pessoas podem esperar, incluindo documentos de identificação oficiais ou sinais biométricos.
Leia mais: O que significa realmente a verificação de idade (e por que razão o termo é enganador)
Como as leis de verificação de idade se estão a expandir
Governos em várias regiões introduziram ou propuseram leis que exigem que as plataformas verifiquem as idades dos utilizadores antes de concederem acesso a certos tipos de conteúdos ou serviços. Estas políticas são normalmente justificadas como medidas de proteção infantil.
Os nossos relatórios têm-se focado no que acontece após a implementação destas leis. Os requisitos tendem a expandir-se com o tempo, e a aplicação da lei empurra frequentemente as plataformas para formas mais invasivas de recolha de identidade. Nalguns casos, o acesso a serviços online fica associado a sistemas de verificação que não faziam parte originalmente do design do produto.
Existem também efeitos mais amplos. À medida que a verificação se torna mais comum, pode afetar a forma como as pessoas acedem a informações online, incluindo conteúdos que não são restritos, mas que ainda assim são encaminhados através de sistemas que exigem verificações de identidade.
Leia mais: Na pressa pelas verificações de idade, estamos a colocar em risco a segurança das crianças
O que acontece depois de as leis de verificação de idade entrarem em vigor
Verificação de idade em plataformas
As plataformas começaram a introduzir sistemas de verificação de idade a nível global em resposta à pressão regulatória. O Discord, por exemplo, introduziu uma abordagem de verificação “adolescente por predefinição” em partes do seu serviço.
Estes sistemas exigem que as pessoas confirmem a sua idade antes de acederem a determinadas funcionalidades ou conteúdos. O processo depende frequentemente de fornecedores de verificação externos ou do envio da identidade.
As implicações de segurança tornaram-se mais visíveis após um incidente que envolveu dados de verificação de idade, expondo dezenas de milhares de documentos de identificação governamentais submetidos através de uma integração de plataforma. O incidente destacou os riscos associados à centralização de documentos de identidade para controlo de acesso.
Leia mais: Discord introduz verificação de idade global “adolescente por predefinição”
70 000 documentos de identificação governamentais expostos em incidente de dados do Discord
Verificações de idade a passar para os sistemas operativos
A verificação de idade já não se limita a aplicações ou sítios web individuais. Está a ser cada vez mais integrada nos sistemas operativos e nas definições ao nível do dispositivo.
Quando a verificação passa para a camada do SO, altera a forma como o controlo de acesso funciona. Em vez de cada aplicação gerir a verificação de forma independente, o sistema operativo pode atuar como o guardião das permissões relacionadas com a idade em vários serviços.
A Apple começou a introduzir funcionalidades de verificação relacionadas com a idade no Reino Unido, onde a pressão regulatória aumentou. Isto transfere parte da responsabilidade das verificações de identidade das aplicações para os fabricantes dos dispositivos.
Leia mais: Quando a verificação de idade passa para o seu sistema operativo
A verificação de idade da Apple no Reino Unido traz verificações de identidade para o iPhone
Sistemas de identidade digital e política nacional
Os governos estão a avançar para estruturas de identidade digital mais amplas que poderiam ser utilizadas em vários serviços, e não apenas para verificações de idade.
O sistema de ID digital proposto pelo Reino Unido é um exemplo. É apresentado como uma forma de simplificar o acesso aos serviços e melhorar os processos de verificação. Os críticos levantaram preocupações sobre a expansão do âmbito e o potencial para os sistemas de identidade se tornarem incorporados na atividade online quotidiana.
A Austrália também introduziu políticas que afetam a forma como as pessoas acedem às redes sociais, com implicações na verificação de identidade e na conformidade das plataformas. Embora estas medidas se foquem em danos específicos, contribuem para uma tendência mais ampla de controlo de acesso ligado à identidade.
Leia mais: A nova proposta de ID Digital do Reino Unido explicada
Banimento de redes sociais na Austrália: por que razão pode ser ainda pior para a privacidade
Riscos de segurança em sistemas do mundo real
Os sistemas de verificação de idade baseiam-se em dados pessoais sensíveis. Em muitos casos, isso inclui identificação emitida pelo governo ou informações biométricas.
Incidentes de segurança já mostraram os riscos envolvidos. Uma aplicação de verificação de idade utilizada na UE foi comprometida pouco depois do lançamento, levantando questões sobre a rapidez com que estes sistemas podem ser atacados uma vez implementados. Outros incidentes que envolveram plataformas que utilizam verificações de identidade expuseram grandes volumes de dados pessoais.
Estes eventos apontam para um problema estrutural: os sistemas concebidos para verificar a identidade também criam alvos de alto valor para os atacantes.
Leia mais: A aplicação de verificação de idade da UE foi pirateada em dois minutos
Alternativas à verificação baseada na identidade
Existem abordagens que tentam confirmar a idade sem exigir a divulgação total da identidade, tais como técnicas de estimativa no dispositivo e sistemas concebidos para minimizar a partilha de dados com terceiros.
Estes modelos ainda estão em desenvolvimento e não são amplamente adotados na regulamentação. A maioria das leis e implementações atuais baseia-se na verificação de identidade ou em métodos equivalentes que exigem o envio de dados pessoais.
Leia mais: Quais são as alternativas à verificação de idade?
Para onde conduz esta mudança
A verificação de idade está cada vez mais incorporada em múltiplas camadas da Internet, desde a legislação até às plataformas e sistemas operativos. Cada camada introduz a sua própria implementação, mas a direção geral é consistente: mais acessos online estão a ser ligados a verificações de identidade.
O resultado prático é uma mudança na forma como a privacidade, o anonimato e o acesso coexistem online. Sistemas concebidos para proteções direcionadas estão a expandir-se para a infraestrutura geral.
Esta coleção de relatórios acompanha essa progressão à medida que continua a desenrolar-se.
