O “app” europeu de “verificação de idade” obriga todos a usar Android ou iOS
(github.com/eu-digital-identity-wallet)- Quando a discussão foi aberta, o README da especificação técnica mencionava verificação de app e dispositivo usando Google Play Integrity API e Apple App Attestation. Surgiram objeções de que, se isso fosse usado como pré-requisito para a verificação de idade, haveria dependência de plataformas dos EUA e de sistemas operacionais móveis específicos.
- Exigir atestação de fornecedores específicos excluiria dispositivos sem software do Google ou da Apple, distribuições alternativas de Android e usuários sem smartphone, além de entrar em conflito com os princípios de acessibilidade e interoperabilidade: estar disponível a todos, sob controle do usuário, e integrado a múltiplos sistemas operacionais e carteiras.
- Alternativas como Yivi, atestação de hardware Android padrão, apps web baseados na Digital Credentials API, um método em que provedores nacionais de identidade assinam desafios de uso único, e Unified Attestation foram citadas. Mas também houve contrapontos de que Yivi e Unified Attestation concentram confiança, respectivamente, em um emissor central/serviço biométrico externo ou em outro provedor de atestação.
- Vários problemas ligados ao Play Integrity na carteira digital italiana, bem como a dependência de conta Google e ROM oficial, foram apresentados como exemplos. Críticos também apontaram baixa efetividade: atacantes podem contornar a atestação ou pedir que outra pessoa escaneie um QR code por eles, de modo que ela só restringiria usuários legítimos.
- O ponto central é a exigência de que serviços governamentais sejam baseados em padrões abertos que qualquer um possa implementar, e não em tecnologias de empresas específicas. Na discussão fornecida, não há decisão oficial nem resolução final sobre a integração com atestação do Google ou da Apple.
Verificação proposta de app e dispositivo e principais objeções
- Quando a discussão foi aberta, o README listava como próxima etapa a “verificação de app e dispositivo baseada na Google Play Integrity API e na Apple App Attestation”.
- A preocupação inicial era que vincular a verificação de idade a esses serviços aumentaria a dependência da UE em relação a empresas de tecnologia dos EUA e ampliaria o poder dos EUA sobre a internet.
- Houve a opinião de que, em nome da soberania digital, a própria dependência de serviços externos de terceiros deveria ser evitada, e que cada nova dependência também cria um ecossistema de potenciais problemas de segurança.
- Depois, um participante respondeu que essa frase já não estava mais no README, mas o texto fornecido não informa o histórico da mudança nem uma decisão oficial.
- Essa discussão foi convertida em Discussion em 31 de julho de 2025 a partir da issue #18, e o texto não apresenta um resultado final de adoção ou retirada.
Acessibilidade, controle do usuário e interoperabilidade
- A verificação de idade presa a um sistema operacional e a fornecedores específicos foi criticada por entrar em conflito com os seguintes princípios declarados pela organização:
- estar disponível a qualquer pessoa que queira usá-la
- estar sob controle do usuário
- Foi apontado que o princípio de interoperabilidade da especificação técnica exige integração fluida entre vários sistemas operacionais de dispositivos, apps de carteira e serviços online, o que não combina com um desenho dependente de atestações específicas dos fornecedores de Android e iOS.
- Usuários que não usam software do Google ou da Apple, pessoas em regiões do sul da Europa onde há muitos celulares sem Google, usuários de ROMs alternativas ou microG, e pessoas sem smartphone poderiam ficar impedidos de usar o serviço.
- Seguiram-se perguntas sobre se alguém que usa apenas um Nokia 3310 ou um notebook também teria acesso, e se um smartphone, uma conta Google e um dispositivo carregado poderiam ser tratados como requisitos para acessar serviços ao cidadão.
- Também houve a crítica de que, mesmo com o código publicado como open source, se todos os participantes exigirem atestação, forks modificados não serão reconhecidos em serviços reais, eliminando a possibilidade prática de fork.
Implementações existentes e casos com Play Integrity
- O app neerlandês de identidade Yivi, que pode ser usado para verificação de idade governamental sem dependência do Google, foi citado como alternativa.
- Seu nome anterior era IRMA, e ele também é disponibilizado em lojas de apps open source como a F-Droid.
- Como pode ser usado para verificação de idade governamental em algumas plataformas compatíveis, foi apresentado como evidência de que o Play Integrity não é indispensável.
- No entanto, o cadastro de passaporte por NFC do Yivi também não é uma arquitetura livre de dependências.
- Ele envia grupos de dados NFC brutos para um servidor emissor central.
- O MRZ completo do DG1 e a imagem facial do DG2 são obrigatórios, e o servidor faz o parsing de nome, número do documento, nacionalidade, data de nascimento e sexo.
- A correspondência facial usa uma API de terceiros da Regula.
- Mesmo que os dados sejam processados temporariamente e seja possível hospedar o emissor por conta própria, foi levantada a objeção de que isso concentra confiança central de outra forma, diferente da atestação de dispositivo.
- Na carteira digital italiana, foram vinculados vários problemas reais relacionados ao Play Integrity.
- Também foi vinculada uma discussão separada na carteira Android EUDI sobre remover a exigência do Google Play Integrity ou usar a API padrão de atestação de hardware do Android, que não força uma licença do Google Mobile Services.
Alternativas sem app
- Houve a opinião de que primeiro seria preciso avaliar se um app nativo separado é necessário e qual é o modelo de ameaça realista.
- Foi proposta uma implementação como app web moderno usando a Digital Credentials API, para evitar uma estrutura em que é preciso “instalar um app para cada serviço”.
- Também foi proposta de forma concreta uma abordagem baseada em navegador, na qual um provedor nacional de identidade assina um desafio aleatório de uso único:
- O usuário acessa um site com restrição de idade
- O site detecta que o visitante é da UE
- Um arquivo com uma string aleatória é baixado
- O usuário é encaminhado para o site governamental de verificação de idade
- O usuário faz login com o provedor nacional de identidade e envia o arquivo
- O serviço governamental assina o desafio e o devolve ao navegador
- O usuário envia o arquivo assinado ao site original
- O site verifica se a assinatura é de uma autoridade confiável
- A explicação acrescenta que, como o desafio é de uso único, não há necessidade de proteger o resultado assinado no longo prazo, e que a estrutura é semelhante à autenticação por SSH ou WebAuthn.
- Uma proposta separada #18, sobre usar credenciais nacionais em um site controlado pela UE, também foi citada como alternativa.
Unified Attestation e o problema da concentração de confiança
- A Unified Attestation, da alemã Volla Systeme GmbH, foi proposta como uma alternativa gratuita e open source ao Google Play Integrity.
- Um único backend emite tokens de integridade de curta duração.
- O servidor do app verifica os tokens offline.
- Um serviço autorizado do sistema Android solicita os tokens.
- Foi apresentada como compatível em paralelo com o Play Integrity e simples de integrar tanto no app quanto no servidor.
- A objeção foi que a Unified Attestation apenas transfere o mesmo poder do Google para outro grupo de empresas, sem resolver o problema fundamental de uma entidade central de atestação.
- Seguiu-se a exigência de que sistemas governamentais sejam baseados em padrões abertos que qualquer um possa implementar e integrar, em vez de substituir a tecnologia de uma empresa pela de outra.
Conflito entre atestação de hardware e open source
- O Play Integrity foi criticado por, na prática, exigir ROM oficial, Google Play Services e dispositivos aprovados pelo fornecedor, enfraquecendo o direito do usuário de controlar diretamente o hardware e o software que possui.
- Mesmo que o código-fonte do app seja liberado, se builds modificados não passarem na atestação, a utilidade prática de builds reproduzíveis e forks fica limitada.
- Foi compartilhado um item de trabalho relacionado, indicando que a implementação alemã parece não planejar oferecer builds reproduzíveis.
- Junto da opinião de que essa direção pode ter sido influenciada pelas diretrizes OWASP MASVS Resilience, também foi vinculada a discussão crítica em OWASP/masvs#757.
- Foi feita a comparação de que fixar serviços governamentais em uma tecnologia, sistema operacional ou loja de apps específicos pode criar uma dependência difícil de abandonar por muito tempo, semelhante ao antigo aprisionamento da Coreia do Sul ao IE6.
Efetividade de segurança e possibilidade de contorno
- Foi levantada a pergunta de se a ameaça que a atestação de hardware tenta bloquear é de fato realista.
- Mesmo mirando serviços automatizados de verificação de identidade ou atacantes, métodos para contornar a atestação podem reaparecer após correções, de modo que a medida poderia impor restrições apenas a usuários legítimos.
- Foi citado o exemplo de que, se um menor de idade tentar acessar um site restrito, pode pedir que outra pessoa escaneie o QR code por ele, e a atestação de dispositivo não resolveria isso.
- Também houve preocupação de que venda de contas verificadas ou autenticação por terceiros possam ocorrer independentemente da existência de atestação.
- Seguiu-se a opinião de que, se quem tem capacidade técnica vai contornar a medida enquanto usuários legais que não querem dispositivos do Google, da Apple ou smartphones serão bloqueados, é melhor não adotar essa medida de segurança.
Oposição à própria verificação de idade
- Alguns participantes consideraram que, além da escolha do Play Integrity, a própria verificação rígida de idade online não é útil.
- Foi vinculada uma discussão separada propondo incentivar pais a usar filtros do lado do cliente que já existem em smartphones.
- Também houve preocupação de que a verificação obrigatória de idade possa levar adolescentes a usar Tor ou outros meios de contorno.
- Foi apresentada a opinião de que, se a solução causa grandes danos à privacidade, à acessibilidade e ao controle da computação enquanto tenta resolver apenas um problema, ela simplesmente não deveria ser implementada.
- No escopo da discussão fornecida, não é possível confirmar uma conclusão oficial final sobre o app de verificação de idade, o método de atestação de dispositivo ou a integração com Google e Apple.
1 comentários
Comentários do Hacker News
Esta é uma questão central que acaba sendo ignorada no enorme debate da UE sobre soberania digital. As instituições da UE começaram enfim a aceitar a direção de que precisam migrar para fora das nuvens americanas, mas os custos são enormes e ainda há um clima de desejo de voltar ao que era antes.
Por outro lado, há pouquíssima atenção às plataformas móveis. Não existe uma alternativa como o Linux no desktop, não há financiamento para as alternativas existentes, e nem sequer há discussão sobre obrigar quem vende celulares Android na UE a abrir o firmware e permitir a instalação de sistemas operacionais alternativos. No backend, já se entende em alguma medida o que soberania significa, mas parece que ainda é preciso muito mais educação sobre a dependência digital criada pelos dispositivos de usuário final.
Ainda precisam competir com o lobby das empresas de IA, que dizem que IA soberana é mais importante do que sistemas operacionais móveis, mas o interesse está crescendo. Uma alternativa ao Android baseada em Linux talvez não seja tão difícil em si, mas é difícil convencer fabricantes de hardware a criar dispositivos dedicados. Parece que o governo deveria impulsionar isso primeiro como dispositivos públicos de segurança.
A carteira de identidade digital também faz com que os Estados-membros percam o controle da infraestrutura de identidade e a UE passe a dominá-la. Quase não restará soberania em nível nacional.
Não devemos cair na armadilha de tentar descobrir, tecnicamente, como impor verificação de idade a todos. A primeira pergunta deve ser por que isso está sendo imposto a todos; nem eu nem você jamais concordamos com isso.
Há um problema sério em uma estrutura de governança na qual políticos continuam mudando todo o mundo ao nosso redor sem que os cidadãos tenham voz. Essa medida é uma grande ameaça à internet e à sociedade, mas está sendo promovida sem debate real nem resistência. Uma democracia de verdade não deveria funcionar assim.
https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
Atualmente, o Labour e os Conservatives do Reino Unido também estão fora de controle nessas questões, mas ao menos, em teoria, sei como influenciar políticas.
Concordo plenamente com o argumento da issue no GitHub, mas não é preciso ver com ceticismo apenas o fato de existir um app de verificação de idade emitido pelo governo. O modo atual é muito pior.
Meu filho de 13 anos cria jogos no Roblox e, há alguns meses, precisa verificar a idade para compartilhar jogos com amigos. No Roblox, é preciso entregar um modelo 3D do rosto a uma empresa americana suspeita, que apenas promete apagá-lo depois. Não quero entregar a biometria ou o passaporte do meu filho a uma empresa de tecnologia americana que pode vendê-los arbitrariamente.
Prefiro um app do governo que garanta proteção de privacidade, não tenha incentivo comercial para vender dados e permita verificar quais informações são repassadas a empresas como a Roblox. Isso só se sustenta se o governo for mais confiável que empresas de tecnologia americanas, mas considero que a UE e muitos de seus Estados-membros hoje são. Já existem também apps públicos com boa implementação de proteção de privacidade, como o app neerlandês de rastreamento da Covid.
Na Segunda Guerra Mundial, o registro populacional dos Países Baixos registrava meticulosamente a religião e contribuiu muito para que cerca de 75% dos judeus neerlandeses fossem assassinados, uma das taxas mais altas da Europa Ocidental ocupada. Em 1942, o U.S. Census Bureau, apesar das garantias de sigilo, forneceu informações por região sobre nipo-americanos, e pesquisas posteriores revelaram que até nomes e endereços foram compartilhados. Em Ruanda, a administração colonial belga registrou hutus e tutsis nos documentos de identidade na década de 1930, e, 60 anos depois, isso se tornou uma ferramenta central nos postos de controle do genocídio.
Mesmo que a Europa de hoje pareça segura, informações coletadas para um propósito específico podem ser usadas para fins completamente diferentes quando os tempos mudam. Não sabemos quais etnias, crenças, comportamentos ou histórias pessoais um governo futuro poderá mirar, e todos os dados que permitimos registrar irão parar nas mãos deles. Governos europeus fizeram coisas assim há apenas algumas décadas, e a era pacífica atual é historicamente excepcional e, para muitos, provavelmente temporária.
Não há necessidade de usar Roblox, que é cheio de dark patterns e ecossistema fechado.
Como material relacionado, há o post de 27 de julho de 2025, “App de verificação de idade da UE que bloqueia todos os sistemas Android não aprovados pelo Google”
https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
Também foi abordado, em 24 de setembro de 2025, o “App de verificação de idade da UE que não planeja suporte a desktop”
https://news.ycombinator.com/item?id=45359074
Não usem e nem sequer considerem usar. É preciso deixar claro por todos os meios possíveis que vocês não aceitarão esse sistema, e recomendar o mesmo aos amigos
Eles falam em soberania enquanto fazem exatamente o oposto. Mesmo apoiando plenamente a UE, se não for possível barrar a Commission pelo voto, é preciso demonstrar recusa por meio de ações
É curioso como a preocupação com a exclusão digital de idosos que não conseguem usar smartphones desapareceu nos últimos anos
Idosos que não têm celular, não sabem usá-lo e não têm ninguém para ajudar vão diminuir rapidamente. Pelo que vi, eles se sobrepõem principalmente à geração que se lembra da Segunda Guerra Mundial
Regulamentações que não são devidamente avaliadas podem gerar consequências inesperadas, sejam suas intenções boas ou ruins. Mesmo hoje, em todo site que visitamos, precisamos repetir consentimentos legais relacionados a cookies, a ponto de agora simplesmente clicarmos em qualquer botão sem prestar atenção
https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
Uso em vários dispositivos e no celular, e funciona muito bem; quase não vejo pop-ups de cookies
Empresas que ganham dinheiro com capitalismo de vigilância naturalmente escolhem o banner. Poderiam ter proibido completamente o rastreamento, mas não fizeram isso porque seria prejudicial aos negócios
Use Android ou iOS, não é certo ser forçado a usar uma plataforma específica para acessar praticamente todos os serviços de internet
Fica a dúvida de como esse método é compatível com leis que protegem pessoas com deficiência, idosos e certas crenças religiosas. Serviços governamentais sempre operaram em múltiplos formatos, obrigatoriamente oferecendo outros meios, incluindo representantes e papel; esta é uma abordagem severa demais
Estou cada vez mais inclinado a simplesmente deixar de usar serviços que sejam obrigados a implementar verificação de idade
Mais preocupante que redes sociais é o impacto dessa autenticação digital em serviços essenciais. A postura de simplesmente não usar não resolve o problema
As crianças nunca foram o objetivo; são usadas apenas como pretexto para desviar a atenção das pessoas