O governo do Reino Unido enfrenta questionamentos sobre a confiabilidade do sistema central em seus planos para a identidade digital (Digital ID) e sua capacidade de proteger os dados pessoais dos cidadãos.
A proposta prevê que a identidade digital seja disponibilizada a todos os residentes legais, mas o uso será obrigatório apenas para fins de emprego.
Detalhes completos sobre o funcionamento do sistema ainda não foram divulgados, mas o primeiro-ministro Sir Keir Starmer garantiu que a segurança será prioridade absoluta.
O Digital ID será baseado em dois sistemas desenvolvidos pelo governo: o Gov.uk One Login e o Gov.uk Wallet.
O Gov.uk One Login já funciona como uma conta única para acesso a serviços públicos online, com mais de 12 milhões de usuários registrados.
Até o final do próximo ano, esse número pode chegar a 20 milhões, já que diretores de empresas terão que validar sua identidade por meio desse sistema a partir de 18 de novembro.
Já o Gov.uk Wallet, ainda não lançado, deverá permitir que os cidadãos armazenem suas identidades digitais — incluindo nome, data de nascimento, nacionalidade, status de residência e foto — diretamente em seus smartphones.
O acesso ao Wallet exigirá o uso do Gov.uk One Login.
No mês passado, o governo iniciou um projeto-piloto com um cartão de identidade digital destinado a veteranos militares para testar a iniciativa.
A intenção do governo é evitar problemas de segurança, mantendo os dados pessoais acessados pelo One Login distribuídos entre departamentos governamentais, em vez de concentrados em um único banco de dados centralizado.
No entanto, o veterano ativista de direitos civis e deputado conservador David Davis levantou preocupações sobre possíveis falhas no design e na implementação do One Login, que poderiam deixar tanto o sistema quanto a nova identidade digital vulneráveis a hackers.
Em um debate na Westminster Hall neste mês, Davis alertou que, com a entrada em vigor do sistema, “todos os dados pessoais da população estarão expostos a agentes mal-intencionados — desde nações estrangeiras, criminosos de ransomware e hackers maliciosos até inimigos pessoais ou políticos”.
Ele afirmou que esse cenário seria “pior do que o escândalo Horizon [dos Correios]”.
Davis também enviou uma carta ao National Audit Office, órgão fiscalizador dos gastos públicos, solicitando uma investigação urgente sobre os custos do One Login, que já ultrapassam as 305 milhões de libras previstas inicialmente.
Na correspondência, ele menciona um incidente ocorrido em 2022, quando foi identificado que o sistema estava sendo desenvolvido em estações de trabalho sem segurança, por contratados sem a devida liberação, na Romênia.
O parlamentar acrescenta que o One Login não atende aos próprios critérios do governo para ser classificado como um fornecedor de identidade seguro e confiável.
O governo atribui a responsabilidade a um fornecedor pela perda temporária da certificação Digital Identity and Attributes Trust Framework neste ano, assegurando que a certificação será restaurada “a qualquer momento”.
Paralelamente, o porta-voz de tecnologia do partido Liberal Democrata, Lord Clement-Jones, questionou se o One Login cumpre os padrões do National Cyber Security Centre.
Ele declarou ter contato com um whistleblower que acusa o governo de ter perdido o prazo de 2025, previsto na estratégia nacional de cibersegurança, para fortalecer sistemas “críticos” contra ataques cibernéticos.
Ministros negam essas alegações, mas o parlamentar liberal-democrata afirmou ter sido informado por um funcionário de que o One Login só deverá passar nos testes de segurança exigidos em março de 2026.
O whistleblower também mencionou um episódio de março deste ano, quando uma “red team” — grupo responsável por simular ataques reais — teria conseguido acesso privilegiado aos sistemas do One Login.
O Departamento de Ciência, Inovação e Tecnologia (DSIT) evitou detalhar o exercício da “red team”, citando motivos de segurança, mas negou que seus sistemas tenham sido penetrados sem detecção.
O DSIT garantiu a Lord Clement-Jones que os contratados na Romênia eram poucos, não tinham acesso ao ambiente de produção e que todo o código produzido foi revisado.
Segundo o departamento, todos os integrantes da equipe que trabalham no One Login utilizam dispositivos corporativos gerenciados e monitorados por uma equipe de segurança para identificar qualquer atividade maliciosa.
Mesmo assim, Lord Clement-Jones afirmou à BBC que permanece cético quanto às garantias do governo.
“A experiência de governos sucessivos com o One Login e outros sistemas não nos dá qualquer confiança de que a nova identidade digital obrigatória, que será baseada neles, protegerá nossos dados pessoais e atenderá aos mais altos padrões de cibersegurança”, declarou.
Na semana passada, o primeiro-ministro transferiu o controle geral do programa de identidade digital para o Cabinet Office, liderado por Darren Jones, um de seus ministros mais próximos, demonstrando a prioridade dada pelo governo ao projeto.
No entanto, a responsabilidade pelo design do sistema continuará com a Government Digital Service, parte do DSIT.
Um porta-voz do DSIT afirmou: “O Gov.uk One Login continua entregando serviços para cidadãos em todo o Reino Unido.
Atualmente, o One Login abriga mais de 100 serviços e já foi utilizado por mais de 12 milhões de pessoas - quase um sexto da população do país.
Ele segue os mais altos padrões de segurança adotados pelo governo e pelo setor privado, cumprindo rigorosamente as leis britânicas de proteção de dados e privacidade”.
“O sistema está sujeito a revisões e testes regulares de segurança, incluindo avaliações independentes, para garantir que a proteção permaneça sólida e atualizada”, complementou o porta-voz.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...