App de verificação de idade da UE não tem planos de suporte para desktop

 (github.com/eu-digital-identity-wallet)
2 pontos por GN⁺ 2025-09-25 | 1 comentários | Compartilhar no WhatsApp
  • O projeto de carteira de identidade digital da UE está focado apenas em plataformas móveis (Android/iOS) e não considera suporte para desktop
  • Muitos cidadãos, como pessoas sem smartphone e usuários de diferentes sistemas operacionais, acabam excluídos do serviço
  • Solicitações frequentes de verificação de idade e preocupações com privacidade reduzem a usabilidade
  • Essa abordagem gera preocupações importantes, como dependência de Google e Apple, limitação da concorrência e enfraquecimento da soberania digital
  • Foi levantada a necessidade de alternativas baseadas em código aberto, extensões de navegador e padrões universais

Visão geral e problema central

  • Esta questão levanta preocupações sobre a usabilidade do sistema de verificação de idade da Carteira de Identidade Digital da UE (eu-digital-identity-wallet)
  • Como a proposta atual está concentrada em apps móveis (Android e iOS), ela evidencia o problema de excluir na prática pessoas sem smartphone, usuários de PC e quem usa sistemas operacionais alternativos

Principais problemas de usabilidade

  • Parte-se do pressuposto de que todos os cidadãos possuem smartphone, mas ainda há casos de pessoas sem smartphone, como idosos
  • Ao usar a web, especialmente em navegação privada ou modo anônimo, a verificação de idade é exigida a cada vez, o que reduz bastante a acessibilidade na web
  • Extensões de navegador para automatizar o processo também foram discutidas, mas têm limitações em termos de confiabilidade e proteção de dados pessoais
  • O custo de implementação técnica é alto e há risco de dependência de linguagens de programação ou ecossistemas específicos, o que eleva a barreira de entrada para pequenos atores, como startups

Resposta da UE e da comunidade

  • O projeto da UE afirma que, "ao acessar conteúdo com restrição de idade, o usuário precisa comprovar sua identidade de uma forma confiável e com garantia de privacidade"
  • Como o mobile (Android/iOS) representa a maior parte dos usuários e dos casos reais de uso, o suporte a desktop não está incluído no escopo atual
  • Também explica que se trata apenas de um exemplo de implementação de referência para atender à Lei de Serviços Digitais (DSA), e que outras soluções alternativas também podem ser implementadas
  • O projeto declarou que pretende considerar no futuro a expansão para outras plataformas e diferentes contribuições

Contestação e preocupações adicionais

  • Em alguns países europeus, mais de 1 em cada 10 domicílios não possui smartphone
  • Embora existam no mercado vários sistemas operacionais e dispositivos além dos sistemas padrão fornecidos por Google e Apple (Linux, Windows, Sailfish etc.), a abordagem atual os exclui
  • A infraestrutura pública de identidade passa a depender de uma estrutura monopolizada por empresas específicas (Google e Apple), prejudicando a liberdade de escolha do usuário e a concorrência futura no mercado
  • Como infraestrutura pública, é necessário garantir independência de plataforma e neutralidade de fornecedor, além de considerar alternativas como smart cards, tokens de hardware FIDO2 e frameworks de autenticação próprios da UE

Propostas de alternativas técnicas e de política pública

  • Foram propostas abordagens universais baseadas em padrões, como a W3C Credential Management API, além de navegadores, sistemas operacionais e extensões open source
  • Concentrar o sistema de identidade digital no mobile pode ser adequado para substituir documentos físicos, mas, para autenticação online, é essencial garantir uma base web e possibilidade de expansão
  • Com o avanço regulatório, muitas vozes levantam preocupação com uma estrutura em que cidadãos da UE fiquem dependentes de determinadas empresas americanas

Conclusão e demandas

  • Em uma infraestrutura central como a identidade digital (incluindo verificação de idade), é essencial garantir universalidade, neutralidade de fornecedor e independência de plataforma
  • Reforça-se a necessidade de desenvolver e adotar soluções alternativas com base em diferentes hardwares, sistemas operacionais, navegadores e APIs abertas
  • O projeto atual da UE é apenas um exemplo, e permitir implementações open source e de terceiros, além da expansão para desktop e outras plataformas, é uma tarefa indispensável

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-25
Comentário no Hacker News

  • No momento, este projeto está focado em plataformas móveis, ou seja, Android e iOS, porque esses dois sistemas cobrem a maior parte dos usuários; suporte a desktop não está incluído nos planos atuais. Acho que essa situação é parecida com perguntar “vocês por acaso não têm celular?”, só que em uma escala muito maior. Onde eu moro também uso celular só no mínimo necessário. Isso vale até trabalhando na indústria de tecnologia. Mesmo assim, fico muito preocupado com o fato de isso estar ficando cada vez mais inconveniente. Está se criando um clima em que, para ser reconhecido como membro da sociedade, você precisa usar um celular. Principalmente agora que vários países, inclusive o meu, estão avançando com verificação de idade, e ainda se fala em bloquear o sideloading no Android, eu me preocupo se até o fim de 2026 quem não tiver um smartphone aprovado pelo governo vai deixar de ser tratado como gente. Veja este link do YouTube

    • Esses projetos estão sendo promovidos com a intenção de ampliar o acesso à sociedade moderna por meio de smartphones fáceis e baratos para mais pessoas, mas o resultado é um aprofundamento da estratificação social. Meu irmão também odeia tecnologia de verdade e só usa um celular flip antigo, e é até surpreendente a quantidade de problemas que isso causa. O pior é quando sites de desktop ficam exigindo instalação de app e nem funcionam direito.

    • Quero falar sobre uma notícia recente de uso obrigatório de app: a Ryanair vai parar de aceitar cartões de embarque impressos a partir de novembro e passará a fornecê-los apenas pelo app. Nem pelo navegador móvel no site da Ryanair eles mostram o QR code; é obrigatório usar o app. Link da notícia

    • O ponto central é tornar todo mundo rastreável como se usasse uma “coleira”. Teóricos da conspiração se preocupam com implante de microchip, mas, na prática, a sociedade moderna está sendo controlada de um jeito que provoca muito menos rejeição do que isso. Parece que há liberdade e oportunidades infinitas, mas na realidade isso é justamente o instrumento que limita a liberdade. Citando Gilles Deleuze em ‘Postscript on the Societies of Control’, o sistema de controle acompanha em tempo real a posição de cada elemento, seja animal ou pessoa, e, embora pareça um crachá digital ou cartão, na prática o computador está monitorando toda a nossa localização e comportamento. Link do artigo

    • Acho até melhor que a verificação de idade não se aplique ao desktop, que não é tão controlado. Pelo menos no desktop ainda existe alguma liberdade.

  • Acho que este é um bom exemplo de uma exigência sendo levada adiante sem reflexão adequada. Pelo que dizem, aplicativos de desktop nem estão incluídos no escopo da verificação de idade. Se for assim, talvez isso até traga de volta os aplicativos de desktop em vez de serviços web. Mas agora os adultos é que estão sendo cada vez mais incomodados. Outro problema é que essa política praticamente bloqueia o desenvolvimento de novos sistemas operacionais para celular. Se não for possível fazer autenticação com carteira online, quem vai querer criar um novo SO móvel?

    • Acho que a realidade já é essa. Apps de banco ou de eID do governo só funcionam em dispositivos Google ou Apple.

    • Essa política passa muito a sensação de “PC é coisa ultrapassada e não importa”.

    • Acho que este caso não é de uma política mal executada, e sim de um exemplo em que se entendeu mal o que os proponentes realmente querem. Na prática, o objetivo deles é bloquear esse conteúdo em si; a restrição para adultos é só a embalagem. Em outras palavras, o objetivo é impedir o acesso.

    • Na prática, a resposta correta acaba sendo: “para usar este app de desktop, você precisa de um smartphone”.

    • Não adianta esperar uma volta dos “aplicativos de desktop”; por exigência legal, até eles vão acabar precisando se vincular a um smartphone.

  • Quero enfatizar mais uma vez que este projeto não é THE digital wallet, e sim um protótipo inicial. A infraestrutura quer adotar double blind ZKP (Zero-Knowledge Proof), e não attestation. Esse método oferece mais privacidade do que sistemas tradicionais de chave pública e também pode ser compatível entre plataformas. Se você não conhece bem, nesse sistema a autoridade certificadora não sabe nada além da afirmação sobre um atributo, como idade ou habilitação, e a UE também não saberia quando um atributo foi verificado nem quem tentou fazer isso.

    • Pode parecer que “as pessoas estão entendendo o projeto errado”, mas, na prática, estão apenas explorando uma forma em que não seja possível distinguir o emissor; no momento, porém, está sendo aplicada uma solução vinculável baseada em criptografia padrão. Assim, se a entidade de autenticação (governo do Estado-membro) e o solicitante da autenticação (site) colaborarem, é fácil quebrar o anonimato do usuário. O SD-JWT e a assinatura são ambos compartilhados, então emissor e solicitante conseguem ver identificadores. No fim, este projeto é uma vitrine para mostrar que verificação de idade é tecnicamente possível. Tecnologias de privacidade podem ser adotadas depois, mas muitas vezes a solução temporária vira a solução permanente. Como o desenho atual torna a identificação do emissor extremamente fácil, as proteções de privacidade podem acabar piorando. Link de referência

    • Gostaria de saber se há alguma documentação sobre ZKP (Zero-Knowledge-Proof).

    • Fico confuso com o que quer dizer a frase “este projeto não é THE digital wallet, mas the wallet”.

  • Para explicar a essência do hardware attestation, é realmente uma espada de dois gumes muito afiada. O maior problema é que o hardware de autenticação e o app cliente estão no mesmo dispositivo do mesmo fabricante. O fabricante vai priorizar sua própria receita acima da privacidade do cliente. Como o cenário atual é tão fortemente pró-attestation, eu queria valorizar este momento de “abertura” que ainda temos.

    • Entendo a metáfora de “espada de dois gumes” como algo com prós e contras, mas não consigo ver qual seria a vantagem de eu não poder usar o hardware que tenho do jeito que eu quiser.

    • O mais absurdo é que eu não consigo entender por que a UE tornaria o hardware attestation, controlado por duas empresas privadas dos EUA, um pré-requisito obrigatório para acessar serviços. O próprio espírito das normas da UE gira em torno de proteção ao consumidor, combate a monopólios e direitos fundamentais dos cidadãos. Recentemente, até soberania digital vem sendo enfatizada. Mas isso contradiz frontalmente todos esses princípios. Prejudica o cliente, na prática é o oposto do GDPR, só beneficia grandes monopolistas e leva a uma situação em que empresas americanas decidem se o cidadão está qualificado para acessar informação. Parece totalmente contrário ao espírito da UE.

    • Tenho uma esperança, ainda que otimista, de que essa situação possa acabar criando oportunidades para um novo tipo de hardware.

    • Gostaria de entender como o Private Access Token (PAT) prejudica a privacidade em nome da monetização.

  • No fim, acho que a única escolha que nos resta é não usar o serviço. Mas, na prática, as pessoas não gostam de aceitar inconveniências, então não parece provável que haja ação coletiva. Talvez fosse possível se todo mundo passasse a boicotar serviços que excluem usuários de desktop. A verdadeira solução é o consumidor “votar com os pés”. Porém, a maioria não se importa com como seus dados e direitos são usados e costuma simplesmente aceitar o desconforto. Tem que comprar um celular novo todo ano? OK. Entregar todos os dados de comunicação para as big techs? OK. Aceitar vigilância de empresas privadas em vez de órgãos estatais? Também OK. Muita gente perde o interesse no instante em que a conversa entra em problemas técnicos e sociais. O maior desafio é como fazer as pessoas comuns se interessarem por direitos digitais.

    • Essa discussão já parece uma guerra perdida há muito tempo. Espero que a liberdade na internet continue sendo corroída gradualmente, e, quando as pessoas despertarem, provavelmente já será tarde demais. Mesmo assim, de forma otimista, espero que serviços federados virem maioria e consigam conter esse cenário.

    • Vejo isso como a primeira etapa. A próxima é tornar obrigatória a autenticação de identidade para todos os serviços. Vai restar apenas aceitar ou não poder usar o serviço.

    • A maioria das pessoas só se importa quando vive na prática uma relação clara de causa e efeito, em que clicar em OK em algum formulário produz um impacto real e negativo na família, no trabalho ou no cotidiano. Sem isso, tudo acaba sendo visto apenas como uma preocupação abstrata.

  • Fui verificar o DSA (Digital Services Act) e só há três menções relacionadas à verificação de idade. O considerando 71 e o artigo 28 dizem que a privacidade e a segurança dos menores devem ser especialmente protegidas, mas processamento adicional de dados de identificação pessoal é proibido. Só o artigo 35 sugere que “grandes plataformas online” podem introduzir verificação de idade. O considerando 57 também deixa claro que pequenas e médias empresas não estão sujeitas à regra. Na situação atual, fora das grandes plataformas, a verificação de idade não é obrigatória. A Comissão está tentando empurrar esse clima, mas, juridicamente, ainda não é uma imposição. Veja também as diretrizes e este comentário

    • A carteira de identidade digital não faz parte do DSA; é um projeto de “levar a identidade para o celular”. Se o plano seguir como previsto, RG, carteira de motorista, diploma, passagem de trem e pagamentos poderão ser tratados por esse tipo de app. Como é uma autenticação por atributos, por exemplo, seria possível provar que você está habilitado a dirigir sem revelar seu número de registro civil. Mas, no momento em que essa infraestrutura for implementada, acho que os governos começarão a adicionar várias obrigações com justificativas como redução de custos, proteção infantil ou combate ao terrorismo. No fim, existe o risco de a autenticação obrigatória se espalhar para muito mais empresas. Link do projeto

  • Acho que o título “EU age verification app not planning desktop support” induz ao erro. Dá a entender que verificação de idade no desktop seria impossível, quando na verdade existem várias soluções possíveis. Este app é apenas um “exemplo” entre elas. Por isso, acho que “EU age verification example app not planning desktop support” seria um título mais apropriado. Não concordo com a implementação, mas as críticas precisam ser precisas.

  • Pode soar conspiratório, mas acho que é exatamente por isso que o Google está tentando matar o sideloading. Hoje, só o mobile é uma plataforma em que instalação obrigatória de software e autenticação remota podem ser implementadas de forma realista. Se o sideloading for bloqueado, no futuro o Google, ou a Apple no iOS, poderá forçar a aplicação de APIs governamentais de autenticação em todas as app stores e navegadores.

    • O motivo de o Google receber bem leis desse tipo é que elas combinam com seu modelo de negócios. Para vender publicidade, importa que o usuário seja uma pessoa real, então autenticação é relevante. Outras redes sociais, como o X, têm incentivos parecidos.

  • “Por causa dessas políticas, a web inteira se torna inutilizável para quem quer navegar de forma privada”; isso não é acidente, é a ‘intenção’ deles. Veja os casos de pessoas presas no Reino Unido e na Alemanha por publicações em redes sociais.

  • Essas políticas são absurdas e não fazem o menor sentido.

    • Na verdade, fazem bastante sentido. O objetivo é olhar com desprezo para usuários de sistemas operacionais que valorizam a liberdade, como Linux, e tratá-los como cidadãos de segunda classe. Veja este caso relacionado

    • Depende de para quem você pergunta. O Google quer controlar o que os usuários usam por meio de verificação de desenvolvedores e das barreiras ao sideloading no iOS. O desktop tem liberdade demais, então essas políticas acabam desestimulando o uso de desktop e reforçando a dependência de ecossistemas fechados.