A Gartner prevê que, até 2026, pelo menos 500 milhões de utilizadores de smartphones vão utilizar regularmente declarações verificáveis disponibilizadas nas suas carteiras de identificação digitais (DIW, na sigla em inglês).
Na Europa, entrou em vigor, em maio, a regulação de identidade digital, na qual se prevê a criação de uma carteira de identificação para a internet e serviços online e a possibilidade de controlar quem tem acesso e partilha os dados.
Entretanto, muitas entidades utilizam a verificação de identidade (IDV, na sigla em inglês) que combina uma fotografia de um documento de identificação com uma selfie, explica a Gartner. Estes dois elementos são um garante de confiança na identidade de alguém durante uma interação digital, na ausência de outro tipo de credenciais.
No entanto, avançam os analistas, com base nos desafios do modelo tradicional de IDV, surgem novas soluções assentes na identidade digital portátil (PDI, na sigla em inglês). O mercado das soluções PDI está a amadurecer e “nos próximos cinco anos” a procura de “verificação de identidade autónoma” irá reduzir-se, explicou Akif Khan, vice-presidente analista da Gartner, na Cimeira de Segurança e Gestão de Riscos da Gartner, em Londres.
O modelo de verificação de identidade, através do qual se pede ao utilizador que realize repetidamente o processo de identificação+selfie, “não é o ideal”, diz Gartner, uma vez que está centrado e limitado aos principais dados pessoais (nome, data de nascimento, morada, etc.). Quando os processos de deslocam para a Internet pode ser “necessário associar outros atributos” como as “qualificações académicas ou profissionais, a prova de emprego”, ou até mesmo “dados relativos a cuidados de saúde”, afirmou Akif Khan.
Por tudo isto, as soluções portáteis de identidade digital vão gradualmente substituir a verificação repetitiva da identidade. Primeiro porque uma PDI se define como “uma identidade digital que contém todos os atributos necessários para identificar” alguém no mundo digital, depois porque também significa que “o utilizador mantém um certo nível de controlo sobre a segurança e a privacidade”.
Subjacente à PDI, está o princípio de que o utilizador já comprovou previamente a sua identidade junto de uma entidade de confiança e, após a autenticação, essa a identidade é confirmada. Num modelo centralizado, esta confirmação é armazenada junto da entidade que verificou a identidade, enquanto num modelo descentralizado, esta confirmação é guardada numa carteira digital no smartphone. Os modelos descentralizados permitem ainda utilizar credenciais verificáveis para os utilizadores poderem fazer afirmações sem revelar mais dados do que os necessários (por exemplo, provar que tem mais de 18 anos, sem partilhar a data de nascimento).
O Gartner recorda que a Comissão Europeia (através do Regulamento eIDAS) exigirá que todos os Estados-membros da UE disponibilizem uma DIW aos cidadãos até 2026.
Entretanto, já estão disponíveis produtos que permitem às organizações beneficiar da PDI para casos de utilização específicos. “Os diretores de segurança da informação (CISO) não precisam esperar que um governo forneça a todos os cidadãos uma solução de PDI”, disse o analista.
Por exemplo, os CISO podem usar uma carteira de identidade descentralizada disponível e emiti-la para os funcionários da sua empresa. A carteira pode então ser introduzida nos fluxos de trabalho de integração de funcionários, recuperação de contas e helpdesk de TI. “Isto acaba por melhorar a segurança ao introduzir uma autenticação forte e melhorar a experiência do utilizador ao eliminar a necessidade de IDV repetidas.”