eIDAS 2.0
Desde o seu lançamento em 2016, o eIDAS tem aumentado gradualmente o nível de confiança nas transacções electrónicas e, consequentemente, a segurança das transacções em linha. No entanto, a interoperabilidade desejada não foi alcançada.
Se há algumas semanas atrás analisámos as 6 questões-chave para a compreensão do eIDAS, hoje vamos mais longe para compreender o que faltava no eIDAS e como pretende compensá-lo com o eIDAS 2.0.
O que é eIDAS 2.0?
Em suma, o eIDAS é um quadro regulamentar para a identificação digital e serviços de confiança na Europa.
O eIDAS 2.0 é a adaptação do eIDAS ao contexto actual de descentralização e ao paradigma do ISS. Evidentemente, também tem em conta as áreas de melhoria identificadas, principalmente relacionadas com a eID (outros serviços de confiança relacionados com a eID são também acrescentados).
Além disso, introduz o conceito de carteira de identidade digital, que visa reunir os documentos de identidade dos cidadãos europeus e torná-los válidos em qualquer Estado Membro.
É importante esclarecer que o eIDAS 2.0 não substitui o eIDAS tal como o conhecemos, mas é uma normalização da regulamentação para estabelecer um quadro único para a identidade digital na Europa.
O eIDAS 2.0 deverá estar operacional até 2025. Para tal, a UE fornecerá aos Estados-Membros todas as ferramentas necessárias para a emissão, utilização, verificação, etc. de credenciais.
O objectivo final é que até 2030, a maioria dos cidadãos europeus terá um sistema de identificação chamado “e-ID”, uma forma simples e segura de partilhar informações de identificação em vários contextos, desde cartas de condução a diplomas profissionais e certificados médicos. O sistema funcionará com carteiras digitais europeias, disponíveis em telemóveis.
As principais novidades do eIDAS 2.0: QTSP e carteira
Contexto dos serviços de confiança
O artigo 3(16) do Regulamento eIDAS define os serviços fiduciários como “serviços electrónicos prestados mediante remuneração, que consistem em :
- (a) a criação, verificação e validação de assinaturas electrónicas, selos electrónicos ou carimbos horários, serviços de entrega electrónica certificados e certificados relacionados com esses serviços; ou
- (b) a criação, verificação e validação de certificados para a autenticação de websites; ou
- (c) A retenção de assinaturas electrónicas, selos ou certificados relacionados com esses serviços.
Os Serviços de Confiança (TS) garantem a segurança das transacções electrónicas.
O resultado da assinatura electrónica de um documento é um conjunto de bits e bytes. Nenhum documento físico é obtido. Os serviços de confiança nasceram para ultrapassar estas deficiências, operando através de fornecedores oficiais (fornecedores de serviços de confiança ou fornecedores de serviços de confiança qualificados) de acordo com as normas da UE.
Como o eIDAS 2.0 introduz um nível de segurança mais elevado, a utilização de um Fornecedor de Serviços de Confiança Qualificado (QTSP) deve ser envolvida para a sua paz de espírito. Definimo-lo abaixo.
O que é um Serviço de Fideicomisso Qualificado (QTSP)?
O acrónimo QTSP significa Qualified Trust Service Provider (Provedor de Serviços de Confiança Qualificado). Em inglês, significa um prestador de serviços de confiança qualificado.
Em geral, um QTP é uma entidade (também pode ser uma pessoa singular) que fornece serviços fiduciários qualificados. Para poder prestar estes serviços, os PQT são colocados sob o controlo e supervisão de um organismo nacional.
O QTSP é um rótulo de qualidade que cumpre requisitos de segurança muito rigorosos reconhecidos pela eIDAS.
A marca de confiança da UE é reservada a certos fornecedores e serviços, que têm de ser submetidos a auditorias extensivas a fim de obterem o estatuto de fornecedor qualificado. Isto significa que são fornecedores e serviços de confiança em que pode confiar para realizar as suas transacções online em segurança.
Características do QWPS
- Os PSQT e os serviços que prestam são regidos por rigorosos requisitos de qualidade e segurança. Por conseguinte, são muito seguros.
- Com um PSQT, é muito difícil falsificar ou manipular o sistema, já que quaisquer alterações à configuração são feitas por dois indivíduos de confiança, localizados em instalações fisicamente seguras.
- A STQP oferece o serviço mais flexível e adaptável. Por exemplo, ao fazer negócios em diferentes Estados Membros, cumprirá sempre os requisitos de todos os países.
- Apenas os QTSP aprovados estão incluídos na Lista de Confiança da UE.
Qual é a diferença entre um TSP e um RQTH?
A principal diferença entre um Fornecedor de Serviços de Confiança Genérico (TSP) e um Fornecedor de Serviços de Confiança Qualificado (QTSP) é a segurança.
O QTSP deve cumprir os requisitos estabelecidos no eIDAS e ser objecto de auditoria independente quanto à segurança, confiança e qualidade do serviço.
Os TSP e os QTSP devem cumprir o eIDAS e ser acreditados como Provedores de Serviços Confiáveis (TSP) pelos seus organismos nacionais competentes.
Que serviços de confiança são reconhecidos pela eIDAS?
Segundo o eIDAS, os serviços fiduciários são os seguintes:
- (1) Assinatura electrónica
- (2) Selos electrónicos
- (3) Carimbo electrónico de tempo
- (4) Serviço de entrega electrónica certificado
- (5) Autenticação do website
eIDAS 2.0 alarga os serviços de confiança acrescentando o mais alto nível de segurança, conhecido como serviços “qualificados”. Estes novos serviços incluem serviços de arquivo electrónico de documentos, atestado electrónico de atributos e livros-razão electrónicos. Como acima mencionado, os serviços fiduciários estão relacionados com a identificação electrónica.
O que é uma carteira digital?
A carteira cumpre o objectivo final de criar uma identidade digital europeia. Visa dar aos cidadãos e empresas europeias acesso aos seus dados pessoais através dos seus telemóveis.
Também lhe permite gerir todo o tipo de documentos oficiais e informações sensíveis, tais como cartas de condução, diplomas, contratos, prescrições médicas, etc.
A carteira é a digitalização da nossa carteira física. Com esta ferramenta virtual, os cidadãos da UE poderão armazenar os seus cartões virtualmente.
Quando falamos de uma carteira, estamos a falar de uma aplicação móvel instalada no nosso dispositivo que suporta todas as funções necessárias.
O objectivo da carteira é identificar indivíduos e facilitar transacções, tais como
- Inscrição e matrícula nos serviços
- Autenticação
- Pagamentos e acesso a serviços financeiros
- Assinaturas electrónicas
- Acreditação de informação sensível (idade, estado civil, educação, etc.)
Ao mesmo tempo, protege a privacidade dos utilizadores, uma vez que só eles têm acesso às suas informações.
A carteira dá ao utilizador final o controlo total sobre os seus dados. Eles decidem quais as informações a partilhar com um determinado serviço.
Como funciona a carteira?
A carteira digital funciona da mesma forma que a sua contraparte física.
Tal como temos o nosso bilhete de identidade, carta de condução, cartões de pagamento, etc. na nossa carteira física, podemos armazenar a mesma informação na carteira digital, mas esta é armazenada na nuvem.
Cada carteira será única e associada a um indivíduo ou a um representante de uma entidade jurídica. Por outras palavras, terá um número de identificação único no mundo, que o representará sem dar quaisquer dados pessoais.
A carteira permite-nos confirmar quem somos, que somos maiores de idade, que temos uma carta de condução B, que fomos vacinados contra Covid, que estudámos numa determinada escola, etc.
Assim, se um utilizador precisar de fornecer provas do seu certificado de recenseamento, por exemplo, pode aceder directamente ao registo civil e carregar a sua informação.
A carteira, juntamente com o eIDAS 2.0, promove a autogestão da identidade europeia a fim de devolver aos cidadãos europeus a propriedade dos seus dados e impedir a utilização descontrolada de informações pessoais. Está, evidentemente, equipada com as mais rigorosas medidas de segurança.
Porque é que a carteira é útil para o utilizador?
Porque simplifica a burocracia e devolve a propriedade dos dados pessoais aos seus proprietários.
A carteira armazena tudo. Tal como com uma carteira física, se o proprietário a perder, terá de cancelar todos os seus cartões e solicitar novamente a maioria dos documentos.
A carteira armazena com segurança todas as informações pessoais de um indivíduo, tais como
- Cartão de identidade
- Contas bancárias
- Assinaturas de serviços
- Acesso biométrico