Como resolver identidade digital sem ferrar mais ainda o cidadão

Em um dos meus artigos aqui para o UOL TAB escrevi sobre o jeito desastrado com o qual os governos brasileiros têm lidado com a transicão do registro de identidade analógico para o digital. Em geral, problemas associados à publicação de diversos números pessoais, como CPF, RG ou até o NIS atingem principalmente quem é mais pobre e sabe menos como lidar com a burocracia digital. Fraudes, especialmente aquelas em que o criminoso se passa pela pessoa utilizando números pessoais para clonar cartões de banco, ou aqueles golpes pelo telefone, quando o criminoso se passa por autoridade dizendo estar em posse dos dados do cidadão, tornaram-se muito comuns para quem recebe aposentadoria do INSS ou Bolsa Família, por exemplo. Pra piorar, o CPF foi transformado, por decreto presidencial, no número identificador do cidadão no Brasil.

Não é só no Brasil que governos se debruçam sobre soluções de identidade digital que garantam ao mesmo tempo a privacidade e a segurança dos cidadãos. No entanto, tivemos recentemente por aqui a clonagem de celulares de políticos (atividade muito bem explicada nesta reportagem), na qual criminosos se utilizam da facilidade de obter o número de telefone de alguém para clonar contas e extorquir dinheiro, passando-se por outra pessoa. Com um pouco de engenharia social, com um número de CPF e uma identidade falsa é possível até abrir um crediário com um nome falso. Com a digitização, que acaba expondo números em escala, fraudes e golpes como esse estão se tornando muito mais comuns do que jamais se imaginou. Enquanto na Índia uma consulta à base de dados dos cidadãos é vendida por US$ 8 em grupos de WhatsApp, no Brasil temos gangues se passando por agentes do governo para dar o golpe em quem recebe o Bolsa Família, por exemplo. O negócio é que os dados vão vazando e encharcando o mercado paralelo de um jeito que chega uma hora que não servem mais para verificar nada, conforme esse artigo da revista The Business of Federal Technology (voltada para funcionários federais dos EUA). A revista explica que tantas pessoas têm acesso aos dados que é inútil tentar confirmar um ou outro dado para verificar a identidade de uma pessoa. É como se alguém distribuísse a senha do perfil do Facebook no "Domingão do Faustão". Imediatamente, a senha deixa de ser um jeito de provar que a pessoa que está acessando é mesmo dona do perfil, já que todo mundo sabe como confirmar a identidade para autorizar o acesso. Também se sabe que somente tentar evitar vazamentos é enxugar gelo.

Então, a pergunta é: existe solução digital ou voltamos para as identidades de papel?

Há exemplos de implementações recentes em larga escala, como o projeto indiano Aadhaar, para o qual podemos olhar para aprender com os erros. Também temos os erros antigos ou alguns persistentes, como os cadastros de operadoras de telefonia, ou o do INSS, que são inseguros e vão ter que ser modificados para obedecer à Lei de Proteção de Dados recentemente aprovada. Nikhil Pahwa, um ativista indiano que tem relatado as principais falhas do Aadhaar, propõe em seu artigo "Como não ferrar sua identidade digital", algumas medidas que poderiam ser adotadas também no Brasil. Aqui vou comentar algumas de suas sugestões, adicionando mais algumas, adaptando pro cenário do Brasil. (Recomendo a leitura do post em inglês "How not to screw up your National ID").

A primeira coisa a ser feita no Brasil é revogar o decreto que determina o CPF como identificação das pessoas que nasceram recentemente no Brasil. O número foi criado para ser utilizado pela Receita Federal e deveria ser mantido sob os seus cuidados, para fins de verificação do pagamento das obrigações para com o Estado. Não faz sentido nenhum pegar o número que identifica todas as transações financeiras que você faz e tornar esse número a sua identidade nacional. A identidade nacional tem que ter foto, por exemplo, além de informações que são irrelevantes para a Receita. O CPF, de preferência, nem o seu nome completo precisaria expor para o agente da Receita, uma vez que ele só precisa ter seu endereço e conta do banco para enviar as cobranças. O mesmo se aplica a outros números de identificação. Por exemplo, seu registro no SUS jamais deveria ser compartilhado com outras agências de Governo. Para receber benefícios de outras agências, um token poderia ser gerado, não demandando necessariamente a transferência dos dados.

Uma discussão sobre a identidade digital nacional passa também justamente pela escolha do cidadão — se quer ou não ter identidade nacional digital. É o direito de escolha do cidadão e direito nenhum lhe deve ser negado. Tem certidão de nascimento do Brasil? Já pode receber benefícios e pagar impostos. Nem todo mundo, por exemplo, quer ter uma carteira de motorista. Todo cidadão economicamente ativo precisa de um CPF, mas os bebês também precisam? (Sim, no Brasil é obrigatório fazer CPF pra recém nascido, como se isso fosse evitar do Michel transferir apartamentos para o Michelzinho…). Até porque a identidade digital de quem é mais rico sempre vai correr menos risco do que a ID de quem é mais pobre. Nos EUA, já existem serviços de proteção contra roubo de identidade. Apesar de não ser identidade digital, as bases do SSN (o RG dos americanos, chamado de "social security number") vazam vez ou outra.

Atenção aqui para a diferença entre os conceitos de identidade, acesso e autorização. Em artigo de 2008, Steve Riley explica a diferença entre esses três conceitos. Para que o cidadão tenha acesso ao serviço, ele precisa ser autorizado, mas não necessariamente precisa revelar sua identidade em um serviço digital. A identidade nunca deve ser a autenticação, então fica a dica pra rever a biometria como meio de acesso a contas do banco ou benefícios sociais, por exemplo. Além disso, se houver uma fraude com uma determinada biometria, a pessoa não pode substituir os dedos para obter novo acesso com base na impressão digital.

Uma vantagem do Brasil é que já temos um sistema de identidades bem descentralizado, com funções diferentes que não ficam comprometidas no caso de perda ou roubo. Um exemplo é a carteira de identidade funcional, emitida por entidades de classe (de engenheiros, advogados, etc), que pode ser utilizada no caso de perda da identidade emitida pelo Governo. O ITS fez um mapa bacana desse sistema distribuído que já opera no Brasil. O lance é não centralizar tudo numa coisa só, mas utilizar padrões internacionais de segurança e interoperabilidade, fazendo com que a comunicação entre os silos seja sigilosa e fique longe da interferência de agentes interceptadores que possam roubar e publicar os dados. Essa idéia de que centralizar tudo numa identidade única vai desatar o nó da ineficiência do serviço público no Brasil é uma adaptação ruim de coisas que foram feitas no passado em países pequenos. O Brasil precisa pensar em descentralização pelo seu tamanho, e tirar proveitos dos conceitos de federação.

Cada agência precisa tratar da sua base de dados. Sem centralizar ou agregar mais bases sem necessidade explícita, para que o serviço se torne sustentável. O gasto com a manutenção de cadastros tem que entrar na conta. Também é importante que se dê BAIXA nos documentos em algum momento. Estou falando de deletar as bases de dados de pessoas que já morreram, e inutilizar aquelas identidades. Hoje, muitos dados de pessoas mortas são utilizados como caminho para viabilizar laranjas para recebimento de dinheiro e outras atividades ilícitas. E isso é só um exemplo. Inutilizar o registro de quem já morreu e deletar os detalhes não significa a perda da memória daquela pessoa, uma vez que pode ser fornecido ao parente um registro, em papel ou digital, daquela pessoa. Porém, administrativamente, esses registros precisam ser inutilizados.

Outra medida pra melhorar a implementação da identidade digital é a pseudo-anonimizacão, ou outras técnicas parecidas, para esconder o número real em transações do público geral, deixando apenas quem tem permissão ter acesso. No Brasil o caso é tão sério que precisaria ser editada uma norma para que as entidades do Governo parem de publicar os números identificatórios dos cidadãos antes disso.

Naturalmente, isso tudo passa por uma discussão com a população. Empurrar goela abaixo do povo uma nova identidade para defender a modernização do Estado nunca vai dar certo. Ao contrário, tende a engessar digitalmente os serviços, além de dar muito poder a uma agência só (a que centraliza os dados) e aumentar os custos da administração indevidamente.

Inovar não é só sair transformando tudo em pdf. É preciso cautela e conhecimento. Antes de sair colocando os dados dos cidadãos na Internet, o Governo precisa entendê-la.