O roubo de identidade, a personalidade virtual e o gerenciamento da identidade digital

DOM, 02 DE OUTUBRO DE 2011 19:11

Apesar de todos os benefícios que tem trazido à sociedade, a Internet está por trás de uma tendência nada positiva: o crescimento dos crimes de roubo de identidade.

Nos EUA, a Comissão Federal de Comércio (“Federal Trade Commission” - FTC) registrou em suas estatísticas relativas a 2010 mais de 250 mil notificações de roubo de identidade, representando 19 por cento de todas as queixas de consumidores à FTC, tornando o roubo de identidade não apenas o motivo mais freqüente de reclamações, mas também o que mais preocupa os consumidores americanos. A bem da verdade, o roubo de identidade via Internet, em especial, é uma ameaça global, e é apontado como um dos crimes emergentes de maior alcance da atualidade.

Como bem descreve o relatório da McAfee intitulado “Fraude financeira e operações bancárias pela Internet: ameaças e contramedidas” (2009), por François Paget, a identidade de uma pessoa constitui a base de sua personalidade jurídica. Enquanto que no mundo real, essa identidade é definida por seu registro civil, sendo protegida por lei, no mundo virtual, a identidade de uma pessoa tem um alcance bem maior e é menos claramente definida. Alguns dados digitais relacionados à identidade de uma pessoa (como nomes de conta, nomes de usuário e senhas) proporcionam acesso a dados privados. Todos esses identificadores digitais, que, embora possam fazer parte do que se chama de identidade digital, não são considerados elementos da personalidade jurídica de uma pessoa, e são cada vez mais cobiçados por fraudadores que buscam se fazer passar por suas vítimas.

Parece premente a necessidade de se fundamentar um entendimento mais amplo sobre não apenas o fenômeno em si da virtualização da identidade e da personalidade, mas também sobre as técnicas, as metodologias e as ferramentas para se atingir a interoperabilidade entre diferentes soluções de gerenciamento de identidade de modo a fomentar sua adoção ampla e sadia por parte de indivíduos e organizações.

O reconhecimento da pessoa perante a lei se deve em função dos direitos e deveres a ela atribuída, independentemente de se tratar de uma pessoa humana. Em princípio, a pessoa é o sujeito ou a substância legal do qual direitos e deveres são atributos. Certos construtos sociais, tais como as chamadas pessoas jurídicas, são consideradas personalidades legais com estatura para processar e ser processado juridicamente. Conforme a Wikipedia, isso é o que se chama de personalidade corporativa. Porém, pode-se indagar que critérios seriam usados para se determinar a personalidade de entes artificiais “inteligentes”, tais como robôs e avatares.

Desde a “Declaração dos Direitos dos Avatares” emitida por Ralph Koster em 2000, algumas iniciativas têm procurado fomentar a discussão em torno da natureza do sujeito de direito virtual no ambiente dos videogames (tais como Second Life e World of Warcraft), entre elas o seminário “Virtual Liberties: Do Avatars Dream of Civil Rights?”, em 28/01/2008, parte da Série “Philanthropy and Virtual Worlds” apoiada pela MacArthur Foundation.

Por outro lado, os conceitos de personalidade virtual e identidade digital estão intrisecamente ligados a direitos humanos. Conforme estudo de 2007 da OECD intitulado “At a Crossroads: Personhood and Digital Identity in the Information Society” (STI Working Paper 2007/7), é cada vez maior a sensação no ambiente online de que uma sociedade livre e aberta pode não estar tão garantida como se supunha inicialmente com o advento da Web. A falta de controles de identidade no ciberespaço pode deixar a sociedade da informação suscetível a roubo de identidade, um dos crimes mais comuns hoje nos países desenvolvidos, assim como a ataques anônimos de negação de serviço que têm acontecido com uma freqüência cada dia maior. À medida em que tecnologias emergentes trazem a sociedade da informação para território nunca dantes explorado, até mesmo aqueles que enxergam a proteção de dados como o caminho para garantir os bons propósitos estão questionando a adequação das salvaguardas concebidas alguns anos atrás. Justo quando a sociedade se encaminha para um ambiente de informações ubíquas, surge naturalmente a preocupação com o reforço aos princípios que devem nortear as leis e as normas concernentes à proteção de dados pessoais. Mais especificamente, serão os princípios vigentes capazes de proteger os dados mesmo quando essas informações estão fora do controle do indivíduo às quais esses dados dizem respeito? Segundo o documento da OECD, em termos do gerenciamento da identidade, a menos que a lei e a tecnologia sejam concebidos de forma a respeitar certas “Propriedades da Identidade”, não existe proteção de dados; e se não há proteção de dados, não há responsabilização; e se não existe responsabilização, não há confiança.

Buscando avaliar a situação no contexto global, a OECD circulou, em Novembro de 2009, um questionário entre as delegações do Grupo de Trabalho em Segurança da Informação e Privacidade (“Working Party on Information Security and Privacy” - WPISP) com o objetivo de coletar informações sobre as estratégias e políticas nacionais no que diz respeito ao gerenciamento da identidade digital (em inglês, “Identity Management”, IdM). Entre os principais objetivos estava a ilustração e a suplementação do relatório elaborado em 2008-2009 sobre “The Role of Digital Identity Management in the Internet Economy: A Primer for Policymakers “. Era preciso analisar o que havia de comum assim como o que havia de diferente entre as estratégias nacionais para IdM.

Recentemente, num relatório intitulado “National Strategies and Policies for Digital Identity Management in OECD Countries” (OECD Digital Economy Papers, No. 177, 2011) a OECD revela que para a maioria dos países o objetivo primordial para o desenvolvimento de uma estratégia nacional para o gerenciamento da identidade é a implementação do governo eletrônico, ainda que para alguns deles o que mais importa seja estimular a inovação na economia baseada na Internet, tanto de forma explícita como implicitamente. De modo geral, inovação, governo eletrônico e cibersegurança são preocupações fundamentais dos países membros da OECD que responderam ao questionário.

Com vistas a levar os setores público e privado a colaborar no sentido de elevar o nível de confiança associada a identidades de indivíduos, organizações, redes, serviços, e dispositivos envolvidos em transações online, o governo americano, através do staff da Casa Branca, publicou o documento “National Strategy for Trusted Identities in Cyberspace - Enhancing Online Choice, Efficiency, Security, and Privacy” (Abril 2011). Em face das adversidades enfrentadas, por um lado, por indivíduos no sentido de manter uma enorme quantidade de diferentes nomes de usuário e senhas, levando ao sempre perigoso reuso de senhas, e, por outro lado, por empresas no enfrentamento da escalada da complexidade dos esquemas de gerenciamento de dados sigilosos de seus clientes, bem como do aumento das responsabilidades legais e financeiras decorrentes da fraude online, o documento chama a atenção para o fato de que, se há a carência de métodos para autenticar indivíduos de forma confiável,  há também muitas transações na Internet nas quais não há necessidade de identificação e autenticação, ou mesmo a informação necessária é limitada. Ainda assim, é vital manter a capacidade de prover anonimidade e pseudonimidade em determinadas transações de forma a preservar a privacidade de indivíduos e garantir os direitos civis. Ao fim ao cabo, a visão da proposta é a de que indivíduos e organizações possam utilizar soluções de identidade seguras, eficientes, fáceis de usar, e interoperáveis para acessar serviços online, de um modo que promova a confiança, a privacidade, a escolha, e a inovação. Os desafios são muitos, naturalmente.

Segundo Bertino & Takahashi em seu livro “Identity Management: Concepts, Technologies, and Systems” (Artech House, Dezembro 2010), a “identidade digital” pode ser definida como a representação das informações conhecidas sobre um indivíduo ou uma organização específica. Tecnologia de gerenciamento da identidade digital é uma função essencial na personalização e na melhoria da experiência do usuário da rede, propiciando proteção à privacidade, dando suporte à responsabilização em transações e interações, e garantindo o cumprimento dos controles regulatórios.

Conforme a descrição do “The Seventh ACM Workshop on Digital Identity Management” (DIM 2011), há questões cruciais a serem resolvidas para a construção de tecnologias interoperáveis de gerenciamento de identidade digital. Com a crescente multiplicidade de dispositivos de cliente habilitados por identidade – de cartões eletrônicos de identificação, a smartphones, a aparelhos de TV, a tablets e a PC’s, e até serviços de computação em nuvem – o gerenciamento de identidade tem um papel crítico para a segurança e a privacidade como um todo, assim como para o sucesso dos paradigmas emergentes. Gerenciamento de identidade é, na realidade, um esforço interdisciplinar para lidar com a manutenção de identidades durantes seus ciclos de vida, de modo a torná-las disponíveis a serviços de uma maneira segura e com proteção à privacidade. Identidades digitais desempenham papéis cada vez mais importantes à medida em que a sociedade depende mais e mais de serviços na Internet.  Por exemplo, práticas sólidas de gerenciamento de identidade são essenciais para a implementação de serviços de assistência social (e.g., saúde e governo eletrônico), para a viabilização de serviços seguros (e.g., computação em nuvem e software-como-serviço), para a personalização das experiências dos usuários (e.g., e-comércio e entretenimento), e para a interconexão das pessoas através de redes (e.g., redes sociais e comunicações móveis).

Soluções abrangentes para o gerenciamento de identidade digital vão exigir o enfrentamento de grandes e múltiplos desafios para se encontrar a melhor combinação de usabilidade, segurança, e privacidade. Adicionalmente, interoperabilidade é crucial pois um número cada vez maior de soluções de identidade está sendo proposto, usando abordagens diferentes e, muitas vezes, com objetivos bem distintos.  Além do mais, as soluções existentes não são necessariamente interoperáveis ou complementares, e, em alguns casos, se sobrepõem.  Como se isso não fosse o bastante, algumas dessas soluções podem não se compatibilizar bem com os sistemas já existentes que constituem a grande maioria do estado da arte.

Como diz David Birch, organizador do volume “Digital Identity Management” (Ashgate Publishing, 2007), para praticamente toda organização no mundo atual e mais ainda no futuro, seja do setor privado ou do setor público, o gerenciamento de identidade apresenta oportunidades e riscos significativos. Bem gerenciada, a identidade digital permitirá que todos tenham acesso a produtos e serviços que são personalizados conforme suas necessidades e preferências. Porém o bom gerenciamento também significa que as organizações deverão suplantar os significativos obstáculos de segurança, de garantia dos direitos humanos individuais, e da preocupação social com o vigilantismo que poderia inviabilizar o processo.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE