Serpro desenvolve ID autossoberana e cria solução que chama atenção de comunidade internacional

O Serpro, que desde 2017 colabora com o desenvolvimento de soluções em blockchain junto a diversas instituições de governo, como a Receita Federal e Banco do Brasil, acredita que em dois a três anos poderá ter uma identidade digital (ID) autossoberana pronta para ser usada. É o prazo em que se espera que essa aplicação estará no auge da implantação no mundo.

Os estudos dessa ID se iniciaram em outubro passado e estão em linha com novidades que o país está experimentando e que darão poder ao cidadão sobre o uso de seus próprios dados. Isso inclui a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor na semana passada, e o open banking, que começa a ser implantado em novembro.

Na entrevista a seguir, Guilherme Funchal da Silva, desenvolvedor do Serpro especializado na tecnologia, e Marco Túlio da Silva Lima, gerente de produto da instituição de TI do governo, dão detalhes do desenvolvimento de uma ID autossoberana brasileira que já chamou a atenção no exterior.

Identidade descentralizada no Brasil

Lima – Há mais de 20 anos o governo busca ter uma base de dados de identidade única. O movimento começou no Ministério da Justiça e passou depois para o Tribunal Superior Eleitoral (TSE), que é quem tem uma das maiores bases biométricas do país. Mas não havia tecnologia e ambiente para avanços. O que se vê é um movimento de centralização de dados (em órgãos federais e estaduais). Com a ID autossoberana, o cidadão tem poder sobre seus dados e o governo consegue vencer os silos de dados. É possível integrar informações sem ter de criar uma nova base. Esperamos que em dois a três anos, quando a adoção de identidade digital soberana estiver no auge, estejamos preparados para isso.

Movimento em outros países

Funchal – O Canadá é pioneiro porque a província de British Columbia informatizou uma série de serviços públicos, usando ID autossoberana e reduzindo a burocracia (a União Europeia é pioneira em identidade digital não descentralizados e trabalha numa identidade soberana). Todos os protocolos desse tipo de ID em blockchain estão em 60 RFCs (Request for Comment) nas comunidades internacionais que estudam o assunto, algumas desenhadas, outras em definição. (Reino Unido, China, Índia e Coréia do Sul são outros exemplos de países que estudam o tema)

Como começou no Serpro

Funchal – Em outubro passado recebi a missão de prospectar tecnologias para identidade digital autossoberana. Foi uma demanda do Serpro, não pedida por nenhum cliente. Encontrei o Ian Constanzo (arquiteto de soluções) que tinha uma comunidade aberta com uma versão de identidade soberada que usava Hyperledger Indy. Testei, mas o funcionamento tinha limitações, com tanto o dono da ID e uma instituição tendo de solicitar mutuamente acesso a dados, uma espécie de aperto de mãos. Isso demanda ter alguém na frente da máquina para aprovar a demanda pessoa por pessoa. Isso é muito difícil. O ideal é o acesso ser feito de forma automática.

Lima – É um momento interessante para trazer essa discussão, porque estamos debatendo um novo documento, o DNI (Documento Nacional de Identificação), uma base centralizada do cidadão e novos modelos de assinatura digital. O que deve acontecer ao longo do tempo é uma convivência de diferentes modelos.

Estágio dos estudos

Lima – Hoje desenvolvemos soluções para diversos entes de governos, mas cada equipe tem uma visão, base e sistemas diferentes. Esse projeto da ID autossoberana é um projeto de iniciativa do Serpro. Estamos tentando ser mais pró-ativos com os clientes e fazendo o trabalho dentro de casa para entender as tecnologias. O Brasil tem a Estratégia de Governo Digital 2020-2022 que não fala explicitamente em ID autossoberrana. mas fala em identidade digital para até 40 milhoes de pessoas. Se pegar o certificado digital, que tem quase 20 anos, no modelo atual dificilmente vamos conseguir. Nosso projeto poderá vir a atender às iniciativas do objetivo 12 da estratégia do governo. A estratégia fala também em rede blockchain nacional com nove bases e novos modelos de assinaturas digitais.

Benefícios da ID autossoberana

Lima – Com uma solução autossoberana, poderíamos ter uma blockchain com cada estado sendo um nó da rede, cruzando dados de quem tirou identidade num local e aumentando o controle das informações, por exemplo (hoje é possível tirar ID em diferentes estados, mas os dados das carteiras não são padronizados e nada garante que sejam fornecidos os mesmos para todos os documentos). Com o auxílio emergencial (dado pelo governo federal por conta da pandemia), ficou claro que não há controle total de quem está vivo, por exemplo. Há quem não está em nenhuma base do governo.

Funchal – Há fragilidades no nosso sistema de identificação civil. Essa identidade pode ser aplicada também para empresas. Há um caso no exterior de ID autossoberana para veículos.

Inovação brasileira em Aries

Funchal – Mudamos para Hyperledger Aries quando saiu a notícia de que estava sendo lançado o toolkit dessa solução e começamos a trabalhar nisso com a comunidade internacional (o Aries foi lançado em março após uma divisão do Indy, também de identidade digital. Não é uma rede blockchain, mas dá a infraestrutura para se criar aplicativos de identidade). Trouxemos nossas necessidades e traduzimos material para o português. Uma das funcionalidades que a solução permite e que funciona para o Serpro é a revogação de acesso a dados, ou seja, como evitar que uma instituição acesse minhas informações, mesmo que temporariamente, depois que eu já dei autorização para acessá-los. Exemplo: mudei de casa e por um tempo não quero receber correspondência. Na ferramenta havia uma RFC e incluí a funcionalidade, um requisito do Marco Tulio. Agora, fui convidado para fazer a apresentação dessa função no encontro mensal da comunidade internacional.

Como funciona a ID autossoberana

Funchal – As informações de uma pessoa numa instituição, como um banco, vão para o cidadão em forma de credencial por rede blockchain e são armazenados na sua carteira digital, que não está na blockchain. Quando um outro órgão, como a Receita Federal, solicitar o dado, esse pedido vai para o cidadão que decide se libera a informação. É um sistema de mensageria. E uma facilidade para o cidadão é, por exemplo, atualizar um dado seu uma só vez e as outras instituições acessam essa informação pela carteira, sem a pessoa ter de contatar cada uma delas.

Sem dados na rede blockchain

Funchal – Os dados do usuário não ficam em blockchain, mas na carteira digital. Por isso, o tráfego tem menor risco de ser lento, uma vez que o que se faz em blockchain é a mensageria com tudo criptografado, o que confere maior segurança. Quem trabalha com redes maiores, não tem visto problemas. Vamos fazer testes de stress para verificar a capacidade da rede. Já os dados da carteira estão criptografados na nuvem ou em dispositivo móvel, com acesso apenas pelo seu dono e por criptografia. A blockchain confirma se os dados estão corretos e se ainda existem. Se for mudado algum dado, quando uma instituição pedi-lo, vai receber uma informação de erro na hora em que a outra ponta fizer a validação. Esse é o teste que foi feito no caso da revogação de autorização de acesso.

Busca de padrões globais

Funchal – O ideal é ter uma padronização global de IDs autossoberanas. A W3C (World Wide Web Consortium, que faz os padrões de internet) está trabalhando nisso para que seja muito parecido com o que são as URLs da internet. A identificação é o que a internet tem de mais frágil, ou seja, a certeza de que uma transação que estou fazendo é com quem eu acho que é e nãoa com uma página falsa.

Porque tudo em Hyperledger no Serpro

Lima – Desde o início tínhamos requisitos para os quais o Hyperledger nos pareceu mais adequado. Somos fornecedores de TI e a estrutura do Hyperledger já nasceu com foco em indústria, empresa e com cases variados. R3 não era tão variado, agora é mais, e com o Quorum (antes do JP Morgan e agora da Consensys) teríamos mais dificuldade de suporte. Hyperledger é da Fundação Linux, é open source, podemos trabalhar com diferentes empresas. Mas não descartamos outras tecnologias.

LGPD e Open Banking

Lima – Com a LGPD, o cidadão decide o que informar para as diferentes instituições públicas e privadas e poderá pedir informações sobre como seus dados estão sendo tratados (esse ponto ainda necessita de regulação). Como isso será feito, ainda não está definido. A ID autossoberana é uma das formas de uma empresa dar ao cidadão essas informações, enviando tudo para sua carteira digital e com mais mais segurança. Com o open banking, haverá a portabilidade de dados de um banco para outro, o que também será controlado pelo cliente, e isso evitará a necessidade de se fazer novos cadastros.

O que o Serpro tem feito em blockchain

Lima – Começamos a trabalhar com blockchain em 2017 e o primeiro caso foi parecido com o da ID autossoberana. Simulamos um cadastro de usuários para o Tesouro Direto para cadastro de corretoras, para portabilidade, com Hyperledger Fabric. Depois fizemos um projeto com o Banco do Brasil e para as aduanas com a Receita Federal. O bConnect, da Receita, é para compartilhar dados de operadores econômicos autorizados do Mercosul. As empresas que fazem parte desse cadastro podem fazer o trâmite aduaneiro mais rápido. Mas hoje não há um sistema para controlar isso e o Brasil fez essa proposta para os outros países do bloco. Temos outros projetos com foco em agilizar e rastrear processos.