Fazendo uma Identidade Digital na Itália. Por professor Jean Martina
14 de fevereiro de 2020Dando sequência ao artigo publicado anteriormente, queria descrever aqui minha experiência na emissão de uma SPID
Por Professor Jean Martina
Professor Jean Martina
A SPID é o sistema de autenticação que permite que cidadãos e empresas acessem serviços online da administração pública e de entidades privadas com uma identidade digital única.
A identidade SPID é composta de credenciais (nome de usuário e senha) que são liberadas para o usuário e permitem acesso a todos os serviços da administração pública italiana de forma online.
Após escolher um dos vários provedores que fazem o SPID, optei por um que faz validação de identidade por webcam, a fim de aferir este processo que pode ser de muita valia para o nosso sistema de identificação digital no Brasil.
O meu critério de escolha, foi o mais óbvio de todos, que foi o menor preço que neste caso foi gratuito por se tratar de um provedor novo.
Então não posso garantir que todos funcionem da mesma, forma, mas que este, que é o mais barato funciona deste jeito, que já é muito bom por sinal.
Ao acessar o sistema de cadastro a primeira informação que você deve entrar é seu código fiscal italiano (equivalente ao CPF Brasileiro), depois um email.
O código fiscal italiano tem uma composição feita através de dados anagráficos do titular, então acredito que sua integridade seja verificada através destes dados informados posteriormente.
O e-mail é validado enviando um PIN numérico que vale por no máximo 5 minutos.
Esse PIN deve ser digitado para ir pra próxima tela. Nesta próxima tela inserimos o telefone, o qual deve receber um SMS e ser carregado no site para validação. Interessantemente, coloquei meu número brasileiro e funcionou perfeitamente.
Na sequência você deve carregar fotos da frente e do verso de um documento de identidade válido e do comprovante do código fiscal, que normalmente é uma carteirinha plástica, também em frente e verso.
Após a carga dos documento, você deve preencher seus dados incluindo os números dos documentos e os parâmetros que eu acredito sejam usados para verificar o seu código fiscal.
Na sequência seguinte você recebe o dia e a hora da que vai acontecer a validação presencial via webcam.
Normalmente ou é no mesmo dia, ou no máximo um dia pra frente. Você também pode escolher entre Skype, Facebook Messenger, hangouts ou cisco webex.
Ao final temos uma tela onde todos os dados são confirmados. Até aqui este é um processo ágil e muito simples e fácil de seguir. Os documentos podem ser escaneados ou simplesmente fotografados com a câmera do seu equipamento.
Após este processo inicial você recebe um e-mail confirmado seu dia e horário de chamada e dizendo que você tem que ter com você, durante a chamada os documento que você informou no passo anterior em mãos a fim de mostrar para o operador que vai validar a sua identidade através destes documentos.
Você também recebe os dados de contato do operador que vai te chamar e alguns lembretes por e-mail e SMS da data e horário.
Na data e horário combinado você deve chamar o operador que te aguarda para uma ligação em obrigatoriamente em vídeo.
Essa validação deve ser, preferencialmente, feita usando um celular visto que facilita a apresentação dos documentos no processo através do uso das duas câmeras. Dá pra usar o hangouts, skype, facebook messenger, webexe e às vezes uma aplicação própria do provedor de identidade.
A validação inicia com o operador lendo um texto padrão de apresentação e perguntando pra vocês confirmar alguns dados que foram informados anteriormente. Ele comunica que a ligação é gravada e guardada de acordo com a GDPR (equivalente a nossa LGPD) por pelo menos 20 anos e mesmo depois da deleção da conta.
Uma vez que a apresentação e o proforma é feito o operador pede pra ver você e o documento na mesma imagem usando a câmera frontal.
Ele eventualmente pede pra você ficar parado, pois acredito que ele está marcando algumas evidências de que você realmente está fazendo o que deve. Essas evidências parecem ser screenshots inclusive do lado do operador.
Após ver você e os documentos ele pede pra trocar de câmera no celular e apontar pros documentos. Primeiro o documento inteiro depois ele pede pra focar sempre em partes específicas para conferir marcas de validação e os dados.
No meu caso ele me pediu ainda para ver com diferentes iluminações pois havia algum reflexo no documento que eu utilizei (o passaporte). Achei o processo extremamente cuidadoso e meticuloso.
No caso do passaporte ele pediu pra mostrar os detalhes da furação do número do passaporte nas páginas, além de outras páginas do passaporte que não só a de identificação. Estranhamente ele pediu pra ver a frente e o verso, os quais apresentam diagramações padrão ou nada como o caso da capa traseira.
Ao fim dos processo o atendente me pediu novamente para confirmar que eu li e concordei com todos os documentos que me mandaram por email anteriormente, listando um por um dos documento e esperando que eu declare que li e concordo. Eu não abordei isso antes, mas no email de confirmação 5 documentos anexados em PDF que diziam claramente que deveria ser lidos e concordados pelo usuário. Entre eles havia um que falava sobre a forma de processamento de dados pessoais de acordo com a GDPR, o manual do serviço, o contrato entre o provedor e o usuário e manuais da aplicação web e mobile que podem ser usadas.
No final do processo ele explica que você vai recebe um novo e-mail para concluir a ativação. Eles recomendam que você baixe o aplicativo móvel do provedor para poder configurar a autenticação de segundo nível. Nesse caso, você clica no link e o sistema abre para que você troque a senha provisória mandada por e-mail.
Com a senha trocada você tem acesso a um painel que te permite associar dispositivos e listar um catálogo de todos os sites que você pode utilizar sua SPID. Ali você tem controle de quais dados são compartilhados entre seu provedor SPID e cada agente que a consome. Algo bem no estilo OAuth (que eu acredito está por baixo de tudo) e com uma boa granularidade. Dependendo de como você adiciona novos atributos ao sistema eles ficam disponíveis e você controla a liberação.
Eu cadastrei o segundo fator com o aplicativo. É um processo simples, muito parecido com o GoogleAuth, onde você lê um QR-code e importar uma semente que fica gerando TOTP no seu dispositivo. O app do meu provedor permite que você possa protegê-lo pela impressão digital através do meu dispositivo móvel. Quando eu tentei um acesso que exigiu o segundo nível, ele gerou um código de 4 letras em tela, deu um push-notification pro meu celular e eu autentiquei com a impressão digital localmente. A partir daí ele pergunta se o site está mostrando aquelas 4 letras. Se você confirma a autenticação é feita com sucesso.
O SPID de forma geral não tem custo de manutenção, ou então tem o custo atrelado a caixa PEC que você pode ter para encaminhar correio eletrônico registrado para a administração pública.
O custo da SPID existe para a validação presencial. Ele custa normalmente 15 Euros pela Webcam e um pouco mais ou pouco menos pro presencial, ou através de outros documentos já com capacidade criptográfica como a Carteira de Saúde ou a Carteira de Identidade Eletrônica chega a sair até de graça. O mecanismo de validação presencial é muito interessante e positivo ao meu ver. Gastei 10 minutos pra fazer tudo direto da minha mesa no meu escritório.
De uma forma geral eu achei o serviço do SPID muito parecido com o protal GOV.BR. Acho que as diferenças é que eles não optaram por uma base centralizada e estatizada e foram para um modelo mais liberal onde o padrão é ditado pelo governo, mas a execução é privada. Também usam menos dados agregados que o GOV.BR.
Pelo fato de as leis de privacidade serem muito mais fortes por aqui, não cruzam seus dados com outras bases sem o seu consentimento, o que sabemos que acontece no Brasil. Também a permissão através do oauth de integrar com qualquer site faça um cadastro mínimo permite que até mesmo empresas aceitem o SPID como forma de autenticação junto com o google, facebook e outros.
Acho que o GOV.BR pode sim emprestar algumas ideias do SPID. Talvez trocar o modelo seja inviável, mas quem sabe utilizarmos a infraestrutura de ARs da ICP-Brasil para fazer validação presencial via Webcam seja viável. Assim como produzir um aplicativo próprio para dar um segundo fator para aplicações mais críticas é algo que os nossos PSCs já fazem.
Ainda no caminho de ser um grande provedor de identidades para a sociedade brasileira o GOV. BR poderia permitir a integração com sites da iniciativa privada e permitir o uso de um terceiro fator de autenticação através de dispositivos físicos como certificados ICP-Brasil em hardware.
Para finalizar, a experiência em fazer a SPID me mostrou que sim é possível fazer uma verificação presencial remota com um grau de fidelidade que deixa o usuário de confortável e com um nível de segurança aceitável.
Devo na sequência fazer minha FEQ (Assinatura Qualificada) utilizando o mesmo mecanismo de autenticação via webcam pra ver se temos diferenças e talvez até com mais facilidade porque já conto com um SPID de segundo nível. A integração dos mecanismos de gestão de identidade estatal aqui já são uma realidade.
Jean Martina – Atualmente Professor adjunto da UFSC e Pesquisador do LabSEC (Laboratório de Segurança de Computadores) – Universidade Federal de Santa Catarina. Está fazendo pós doutorado na universidade de Parma na Itália.
Identidade Digital na Europa. Prof. Jean Martina
Comitê Gestor normatiza emissão de certificado digital pelos Conselhos Profissionais Federais
O Mercado da ICP-Brasil e sua função social
Equipe do Professor Jean Martina implanta Diploma Eletrônico na UFSC
Entenda como o portal do governo brasileiro pode ser um aliado nas empresas
Navegue mais em nosso portal, você com certeza vai gostar!
