ECA Digital opõe modelo biométrico ao chamado Zero-Knowledge Proof
Google inicia estimativa de idade no Brasil e defende credenciais verificáveis com Zero-Knowledge Proof, enquanto especialistas criticam ecossistema estruturado em KYC e coleta massiva de biometria.
O Google iniciou, em janeiro deste ano, a ativação no Brasil de um modelo de estimativa de idade baseado em machine learning e defendeu, durante painel sobre infraestruturas pública e privada para verificação etária, que o ECA Digital adote uma abordagem baseada em risco, com uso de credenciais verificáveis e Zero-Knowledge Proof (ZKP). No mesmo debate, especialistas criticaram o modelo brasileiro atual de verificação digital, centrado em KYC e coleta recorrente de biometria.
A discussão, realizada durante evento do NIC.br sobre o Dia da Internet Segura, evidenciou duas arquiteturas possíveis para a verificação etária no país: uma baseada na identificação completa do usuário, com envio de documentos e biometria, e outra centrada na comprovação mínima de atributos, com preservação de privacidade.
Modelo multicamadas e abordagem baseada em risco
Representantes do Google afirmaram que a empresa adota abordagem multicamadas para aferição de idade. No momento da criação da conta, o usuário declara sua idade. Caso informe ser menor, é direcionado para conta supervisionada. Se declarar ser maior, o sistema aplica modelo de estimativa com base em sinais associados à conta. Persistindo dúvida, é exigida verificação mais robusta, chamada de “hard verification”.
“A gente sabe que para a aferição de idade não existe bala de prata. Então, a nossa abordagem é multifacetada”, afirmou Ana Clara Segura de Azevedo, líder de relações governamentais e políticas públicas no Google. Segundo ela, “não tem que haver um trade off entre privacidade e segurança. As duas coisas têm que conviver”.
A companhia defendeu que o rigor da verificação deve variar conforme o risco do serviço oferecido. “A abordagem baseada em risco é a melhor prática”, declarou. “O rigor da aferição tem que ser diretamente proporcional ao risco daquele serviço.”
Segundo o Google, não deve haver exigência de verificação máxima para todos os casos. Plataformas que oferecem serviços de maior risco, como apostas ou conteúdos restritos, poderiam demandar comprovação mais robusta, enquanto outros serviços poderiam operar com métodos menos intrusivos.
A lógica, segundo a empresa, evita tratar todos os usuários como menores e preserva o acesso de adultos à informação. O modelo dialoga com práticas adotadas na União Europeia e pode influenciar o desenho regulatório do ECA Digital, ao afastar a hipótese de modelo único obrigatório e abrir espaço para gradação conforme risco.
Zero-Knowledge Proof e credenciais verificáveis
No campo técnico, o painel detalhou o uso de Zero-Knowledge Proof como mecanismo para comprovação de idade com minimização de dados. O ZKP é um protocolo criptográfico que permite comprovar uma informação sem revelar o dado subjacente. No caso da idade, o usuário pode demonstrar ser maior de 18 anos sem compartilhar data de nascimento, número de documento ou imagem de identidade.
Em vez de transmitir o documento completo, o sistema gera um token criptográfico que atesta apenas a condição necessária — por exemplo, “maior de idade: sim”. A técnica pode ser implementada por meio de credenciais verificáveis baseadas em padrões abertos do W3C.
Nesse modelo, o documento original — emitido por governo, banco ou outro ente confiável — permanece armazenado na carteira digital do usuário. Quando um serviço solicita comprovação etária, a API permite compartilhar apenas o atributo necessário, mediante consentimento específico.
O Google informou que desenvolveu infraestrutura compatível com padrões internacionais como W3C e ISO, disponível para desenvolvedores, com objetivo de permitir interoperabilidade entre diferentes carteiras e plataformas.
Crítica ao modelo biométrico atual
Yasodara Córdova, assessora sênior para cibersegurança da Dataprev, criticou o modelo predominante no Brasil. “Hoje em dia, aqui no Brasil, a gente tem um abuso da nossa querida base legal de legítimo interesse. E a gente coleta biometria e documento para tudo”, afirmou. Segundo ela, o país estruturou seu ecossistema digital em torno de KYC e não de verificação proporcional de atributos. “A gente construiu o nosso ecossistema em torno do KYC e não em torno da verificação etária ou, necessariamente, controle do usuário sobre seus dados.”
Ela ainda afirmou que a prática de envio integral de documentos e biometria amplia a transferência de dados sensíveis e eleva risco de vazamentos. “Os documentos que a gente passa via chat, via sites inseguros, eles não têm nenhum dispositivo de segurança.”
Para a especialista, a verificação etária pode ser implementada sem ampliar vigilância. “A verificação etária não é contra esses princípios da privacidade, do anonimato, o pseudoanonimato.” E acrescentou: “Vai melhorar porque a gente vai acabar protegendo as crianças e não vai gerar rastreamento nem censura, se a gente fizer do jeito certo.”
Arquitetura regulatória em disputa
O debate ocorre no momento em que o ECA Digital busca definir mecanismos técnicos para restringir o acesso de menores a conteúdos impróprios e serviços considerados de maior risco. De um lado, o modelo vigente no país é baseado em identificação completa e coleta extensiva de dados. De outro, propostas baseadas em credenciais verificáveis e prova criptográfica defendem a comprovação mínima de atributos, com menor transferência de informações sensíveis.
A definição do modelo regulatório poderá impactar a arquitetura técnica da verificação etária no Brasil e influenciar a forma como plataformas digitais, desenvolvedores e provedores de identidade estruturam seus sistemas nos próximos anos.
Artigos sugeridos
