Roubo de Identidade, Gerenciamento da Identidade Digital e Direitos na Internet
1. O Roubo de Identidade, A Personalidade Virtual e O Gerenciamento da
Identidade Digital
Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE
Apesar de todos os benefícios que tem trazido à sociedade, a Internet está por trás de uma tendência
nada positiva: o crescimento dos crimes de roubo de identidade.
Nos EUA, a Comissão Federal de Comércio (“Federal Trade Commission” - FTC) registrou em suas
estatísticas relativas a 2010 mais de 250 mil notificações de roubo de identidade, representando 19 por
cento de todas as queixas de consumidores à FTC, tornando o roubo de identidade não apenas o motivo
mais freqüente de reclamações, mas também o que mais preocupa os consumidores americanos. A bem
da verdade, o roubo de identidade via Internet, em especial, é uma ameaça global, e é apontado como
um dos crimes emergentes de maior alcance da atualidade.
Como bem descreve o relatório da McAfee intitulado “Fraude financeira e operações bancárias pela
Internet: ameaças e contramedidas” (2009), por François Paget, a identidade de uma pessoa constitui a
base de sua personalidade jurídica. Enquanto que no mundo real, essa identidade é definida por seu
registro civil, sendo protegida por lei, no mundo virtual, a identidade de uma pessoa tem um alcance
bem maior e é menos claramente definida. Alguns dados digitais relacionados à identidade de uma
pessoa (como nomes de conta, nomes de usuário e senhas) proporcionam acesso a dados privados.
Todos esses identificadores digitais, que, embora possam fazer parte do que se chama de identidade
digital, não são considerados elementos da personalidade jurídica de uma pessoa, e são cada vez mais
cobiçados por fraudadores que buscam se fazer passar por suas vítimas.
Parece premente a necessidade de se fundamentar um entendimento mais amplo sobre não apenas o
fenômeno em si da virtualização da identidade e da personalidade, mas também sobre as técnicas, as
metodologias e as ferramentas para se atingir a interoperabilidade entre diferentes soluções de
gerenciamento de identidade de modo a fomentar sua adoção ampla e sadia por parte de indivíduos e
organizações.
O reconhecimento da pessoa perante a lei se deve em função dos direitos e deveres a ela atribuída,
independentemente de se tratar de uma pessoa humana. Em princípio, a pessoa é o sujeito ou a
substância legal do qual direitos e deveres são atributos. Certos construtos sociais, tais como as
chamadas pessoas jurídicas, são consideradas personalidades legais com estatura para processar e ser
processado juridicamente. Conforme a Wikipedia, isso é o que se chama de personalidade corporativa.
Porém, pode-se indagar que critérios seriam usados para se determinar a personalidade de entes
artificiais “inteligentes”, tais como robôs e avatares. Desde a “Declaração dos Direitos dos Avatares”
emitida por Ralph Koster em 2000, algumas iniciativas têm procurado fomentar a discussão em torno da
natureza do sujeito de direito virtual no ambiente dos videogames (tais como Second Life e World of
Warcraft), entre elas o seminário “Virtual Liberties: Do Avatars Dream of Civil Rights?”, em 28/01/2008,
parte da Série “Philanthropy and Virtual Worlds” apoiada pela MacArthur Foundation.
2. Por outro lado, os conceitos de personalidade virtual e identidade digital estão intrisecamente ligados a
direitos humanos. Conforme estudo de 2007 da OECD intitulado “At a Crossroads: Personhood and
Digital Identity in the Information Society” (STI Working Paper 2007/7), é cada vez maior a sensação no
ambiente online de que uma sociedade livre e aberta pode não estar tão garantida como se supunha
inicialmente com o advento da Web. A falta de controles de identidade no ciberespaço pode deixar a
sociedade da informação suscetível a roubo de identidade, um dos crimes mais comuns hoje nos países
desenvolvidos, assim como a ataques anônimos de negação de serviço que têm acontecido com uma
freqüência cada dia maior. À medida em que tecnologias emergentes trazem a sociedade da informação
para território nunca dantes explorado, até mesmo aqueles que enxergam a proteção de dados como o
caminho para garantir os bons propósitos estão questionando a adequação das salvaguardas concebidas
alguns anos atrás. Justo quando a sociedade se encaminha para um ambiente de informações ubíquas,
surge naturalmente a preocupação com o reforço aos princípios que devem nortear as leis e as normas
concernentes à proteção de dados pessoais. Mais especificamente, serão os princípios vigentes capazes
de proteger os dados mesmo quando essas informações estão fora do controle do indivíduo às quais
esses dados dizem respeito? Segundo o documento da OECD, em termos do gerenciamento da
identidade, a menos que a lei e a tecnologia sejam concebidos de forma a respeitar certas
“Propriedades da Identidade”, não existe proteção de dados; e se não há proteção de dados, não há
responsabilização; e se não existe responsabilização, não há confiança.
Buscando avaliar a situação no contexto global, a OECD circulou, em Novembro de 2009, um
questionário entre as delegações do Grupo de Trabalho em Segurança da Informação e Privacidade
(“Working Party on Information Security and Privacy” - WPISP) com o objetivo de coletar informações
sobre as estratégias e políticas nacionais no que diz respeito ao gerenciamento da identidade digital (em
inglês, “Identity Management”, IdM). Entre os principais objetivos estava a ilustração e a suplementação
do relatório elaborado em 2008-2009 sobre “The Role of Digital Identity Management in the Internet
Economy: A Primer for Policymakers “. Era preciso analisar o que havia de comum assim como o que
havia de diferente entre as estratégias nacionais para IdM.
Recentemente, num relatório intitulado “National Strategies and Policies for Digital Identity
Management in OECD Countries” (OECD Digital Economy Papers, No. 177, 2011) a OECD revela que para
a maioria dos países o objetivo primordial para o desenvolvimento de uma estratégia nacional para o
gerenciamento da identidade é a implementação do governo eletrônico, ainda que para alguns deles o
que mais importa seja estimular a inovação na economia baseada na Internet, tanto de forma explícita
como implicitamente. De modo geral, inovação, governo eletrônico e cibersegurança são preocupações
fundamentais dos países membros da OECD que responderam ao questionário.
Com vistas a levar os setores público e privado a colaborar no sentido de elevar o nível de confiança
associada a identidades de indivíduos, organizações, redes, serviços, e dispositivos envolvidos em
transações online, o governo americano, através do staff da Casa Branca, publicou o documento
“National Strategy for Trusted Identities in Cyberspace - Enhancing Online Choice, Efficiency, Security,
and Privacy” (Abril 2011). Em face das adversidades enfrentadas, por um lado, por indivíduos no sentido
3. de manter uma enorme quantidade de diferentes nomes de usuário e senhas, levando ao sempre
perigoso reuso de senhas, e, por outro lado, por empresas no enfrentamento da escalada da
complexidade dos esquemas de gerenciamento de dados sigilosos de seus clientes, bem como do
aumento das responsabilidades legais e financeiras decorrentes da fraude online, o documento chama a
atenção para o fato de que, se há a carência de métodos para autenticar indivíduos de forma confiável,
há também muitas transações na Internet nas quais não há necessidade de identificação e autenticação,
ou mesmo a informação necessária é limitada. Ainda assim, é vital manter a capacidade de prover
anonimidade e pseudonimidade em determinadas transações de forma a preservar a privacidade de
indivíduos e garantir os direitos civis. Ao fim ao cabo, a visão da proposta é a de que indivíduos e
organizações possam utilizar soluções de identidade seguras, eficientes, fáceis de usar, e interoperáveis
para acessar serviços online, de um modo que promova a confiança, a privacidade, a escolha, e a
inovação. Os desafios são muitos, naturalmente.
Segundo Bertino & Takahashi em seu livro “Identity Management: Concepts, Technologies, and
Systems” (Artech House, Dezembro 2010), a “identidade digital” pode ser definida como a
representação das informações conhecidas sobre um indivíduo ou uma organização específica.
Tecnologia de gerenciamento da identidade digital é uma função essencial na personalização e na
melhoria da experiência do usuário da rede, propiciando proteção à privacidade, dando suporte à
responsabilização em transações e interações, e garantindo o cumprimento dos controles regulatórios.
Conforme a descrição do “The Seventh ACM Workshop on Digital Identity Management” (DIM 2011), há
questões cruciais a serem resolvidas para a construção de tecnologias interoperáveis de gerenciamento
de identidade digital. Com a crescente multiplicidade de dispositivos de cliente habilitados por
identidade – de cartões eletrônicos de identificação, a smartphones, a aparelhos de TV, a tablets e a
PC’s, e até serviços de computação em nuvem – o gerenciamento de identidade tem um papel crítico
para a segurança e a privacidade como um todo, assim como para o sucesso dos paradigmas
emergentes. Gerenciamento de identidade é, na realidade, um esforço interdisciplinar para lidar com a
manutenção de identidades durantes seus ciclos de vida, de modo a torná-las disponíveis a serviços de
uma maneira segura e com proteção à privacidade. Identidades digitais desempenham papéis cada vez
mais importantes à medida em que a sociedade depende mais e mais de serviços na Internet. Por
exemplo, práticas sólidas de gerenciamento de identidade são essenciais para a implementação de
serviços de assistência social (e.g., saúde e governo eletrônico), para a viabilização de serviços seguros
(e.g., computação em nuvem e software-como-serviço), para a personalização das experiências dos
usuários (e.g., e-comércio e entretenimento), e para a interconexão das pessoas através de redes (e.g.,
redes sociais e comunicações móveis).
Soluções abrangentes para o gerenciamento de identidade digital vão exigir o enfrentamento de
grandes e múltiplos desafios para se encontrar a melhor combinação de usabilidade, segurança, e
privacidade. Adicionalmente, interoperabilidade é crucial pois um número cada vez maior de soluções
de identidade está sendo proposto, usando abordagens diferentes e, muitas vezes, com objetivos bem
distintos. Além do mais, as soluções existentes não são necessariamente interoperáveis ou
complementares, e, em alguns casos, se sobrepõem. Como se isso não fosse o bastante, algumas dessas
4. soluções podem não se compatibilizar bem com os sistemas já existentes que constituem a grande
maioria do estado da arte.
Como diz David Birch, organizador do volume “Digital Identity Management” (Ashgate Publishing, 2007),
para praticamente toda organização no mundo atual e mais ainda no futuro, seja do setor privado ou do
setor público, o gerenciamento de identidade apresenta oportunidades e riscos significativos. Bem
gerenciada, a identidade digital permitirá que todos tenham acesso a produtos e serviços que são
personalizados conforme suas necessidades e preferências. Porém o bom gerenciamento também
significa que as organizações deverão suplantar os significativos obstáculos de segurança, de garantia
dos direitos humanos individuais, e da preocupação social com o vigilantismo que poderia inviabilizar o
processo.