A humanidade já descobriu como criar dinheiro digital descentralizado — e funciona. Mas, ultimamente, mais e mais atenção se volta para outro domínio profundamente centralizado: a identidade.
Parece que os dias de carregar um documento em papel com sua foto estão chegando ao fim. Chega a próxima onda: World ID, Humanity Protocol, Proof of Humanity, BrightID — todos prometendo uma revolução digital. Obtenha seu ID baseado em blockchain e diga adeus aos passaportes e à papelada do governo.
- A Forbes está publicando editoriais sobre os problemas que o ID descentralizado pode resolver.
- O Cryptonomist está destacando o Blockchain ID Layer — um novo aplicativo com o objetivo de revolucionar a identidade como a conhecemos.
- A República Democrática do Congo está lançando um sistema nacional de identidade baseado em blockchain.
Mas quanto mais profundamente analiso como esses sistemas realmente funcionam, mais me deparo com a mesma pergunta:
Um ID digital realmente prova algo mais do que o fato de que alguém — qualquer pessoa — atualmente tem acesso a uma chave privada ou a um dispositivo?
Como funciona no mundo real
Com um passaporte de papel, as coisas são bem diretas. Você mostra seu documento, a pessoa que o verifica compara a foto — “sim, parece você”. Se outra pessoa aparecer com o mesmo passaporte, o engano se desfará rapidamente. Mesmo que você deixe um amigo pegar seu passaporte emprestado, ele não passará na verificação facial quando tentar usá-lo. É isso que um ID real significa: “Eu sou exatamente quem eu alego ser.”
O “protocolo” por trás de um passaporte de papel simplesmente impede que qualquer outra pessoa o use. É por isso que acho que as pessoas costumam se preocupar demais em compartilhar os detalhes de seus passaportes. Mesmo uma cópia perfeita de um passaporte é inútil se você não for a pessoa para quem ele foi emitido — a foto o trairá!
Dito isto, este “protocolo” muitas vezes é ignorado na prática. Às vezes, as pessoas não se preocupam em verificar a foto. Outras vezes, eles aceitam um passaporte — ou apenas seus dados — sem que o proprietário esteja presente. Então, eu respeito aqueles que preferem não compartilhar seus detalhes de ID. Especialmente porque muitos de nossos clientes em rabbit.io se sentem assim. Eles vêm até nós para trocar cripto porque as bolsas tradicionais exigem registro verificado por passaporte, enquanto no rabbit.io você pode fazer uma troca sem ele.
Quais alternativas aos passaportes a indústria cripto oferece?
Ultimamente, continuo vendo manchetes como “Uma pessoa — um ID!” e “Seus dados, seu controle!”
Parece legal. Você escaneia seu olho uma vez — e bum, você está registrado como um ser humano verificado no mundo digital. Você obtém um token soulbound ou algum tipo de credencial, e agora você pode votar em comunidades descentralizadas, receber airdrops ou provar sua singularidade em qualquer aplicativo online.
- Pegue o World (ex-Worldcoin), por exemplo. Eles construíram um dispositivo que escaneia sua íris e armazena um hash exclusivo dela no blockchain — não a imagem em si, apenas uma impressão digital matemática.
- Há também o Humanity Protocol, que faz o mesmo, mas com impressões palmares.
- E o Proof of Humanity, que depende de gravações de vídeo e aprovação social.
- O BrightID mapeia suas conexões com outras pessoas e verifica se você não é apenas outra conta de bot.
- O Idena faz com que as pessoas resolvam CAPTCHAs em tempo real para provar que são humanos — e únicos.
Cada um desses sistemas tenta responder à mesma pergunta: como podemos garantir que cada pessoa tenha apenas uma identidade digital e que essa identidade não esteja vinculada a nenhum governo ou login de e-mail?
E aqui é onde as coisas ficam interessantes
Todos esses sistemas se concentram em garantir que uma pessoa obtenha apenas um ID. Mas o que eles raramente abordam é a próxima pergunta, muito mais complicada: Como podemos garantir que apenas a mesma pessoa continue a usar esse ID depois?
Porque pense bem — com um passaporte tradicional, alguém pode roubá-lo, mas não chegará muito longe. Eles aparecerão, e a pessoa que o verificar olhará para a foto e perceberá: “Espere, este não é você.”
Mas no mundo dos IDs cripto, essa segunda camada de verificação — aquela que acontece quando você usa o ID — muitas vezes simplesmente não existe. Em muitos sistemas, uma vez que seu ID é emitido, tudo o que importa é se você ainda é o único que controla a chave privada ou o dispositivo em que ele está armazenado.
E isso significa que o sistema não identifica mais você. Ele apenas identifica quem está segurando a chave agora.
A vinculação do dispositivo não é uma solução real
Eu costumo ouvir coisas como: “Mas a chave está armazenada apenas no seu dispositivo — ninguém mais pode usá-la!” Essa é uma concepção errada.
Os dispositivos são perdidos, invadidos, entregues para reparos ou emprestados a outra pessoa. Qualquer pessoa que obtenha acesso total ao seu telefone também obtém automaticamente acesso total a todas as suas credenciais. Não há barreiras reais em seu caminho.
E se o proprietário intencionalmente deixar outra pessoa usar seu ID — digamos, para enganar o sistema de propósito — então vincular o ID a um dispositivo em vez de à biometria apenas torna o engano mais fácil.
A biometria salvará o dia?
Em resposta às críticas sobre as chaves privadas serem facilmente transferíveis, muitos projetos começaram a adicionar biometria — Face ID, impressões digitais, escaneamentos de palma. Com o World ID, depois de escanear sua íris no Orb, você é solicitado a habilitar o Face Auth, então, supostamente, apenas "seu" rosto pode desbloquear o aplicativo. Parece reconfortante, certo? Mas aqui vem o primeiro grande buraco no sistema — aquele sobre o qual as pessoas geralmente não falam.
Qualquer autenticação biométrica em um telefone — seja Face ID ou uma impressão digital — é simplesmente uma maneira de desbloquear o dispositivo. Na verdade, não prova que você é quem está usando. Você pode ir nas configurações do seu telefone e adicionar a impressão digital do seu amigo ou parente, e agora eles terão exatamente o mesmo acesso ao seu aplicativo que você. Pior, alguém que tem controle físico sobre você — digamos, enquanto você está dormindo, inconsciente ou sob pressão — pode adicionar seus próprios dados biométricos e começar a usar seu ID.
O sistema não consegue dizer de quem é a impressão digital ou rosto que está vendo. Tudo o que sabe é que “um dos perfis biométricos aprovados” autenticou a ação. Então, todas aquelas promessas de que "apenas o usuário original pode acessar seu World ID" são, francamente, ilusão.
Alguns projetos tornam mais difícil falsificar. O Humanity Protocol escaneia sua palma e exige a mesma palma para acesso futuro. O Proof of Humanity requer um vídeo do seu rosto, e você não pode simplesmente carregar o de outra pessoa mais tarde. Mas mesmo esses não resolvem o problema mais profundo: você não pode ter certeza com quem está lidando realmente. É a pessoa que escaneou sua própria mão ou rosto? Ou outra pessoa apontando um scanner para a mão do usuário original — ou uma câmera para o rosto de outra pessoa?
Protocolos sociais e a ideia de “Unicidade”
Projetos como BrightID e Proof of Humanity seguem uma rota diferente: sem biometria, apenas prova de singularidade por meio de conexões sociais ou endossos mútuos — às vezes com uma selfie ou um vídeo curto. Um "humano único" neste contexto significa simplesmente não um bot, não uma conta duplicada. Isso é a única coisa que esses IDs digitais são projetados para confirmar. Eles não pretendem provar que a pessoa que usa o ID é o mesmo indivíduo que o criou originalmente.
Essa abordagem é ótima para prevenção de bots e adiciona uma camada de integridade aos sistemas de votação online ou airdrop. Mas se você entregar o acesso à sua conta para outra pessoa, ela continuará a "ser você" no que diz respeito ao sistema — não há nenhuma verificação para verificar quem está realmente segurando o telefone em um determinado momento.
Vinculando a um documento governamental (passaporte, carteira de motorista)
Alguns projetos oferecem incluir um "elemento de prova" — por exemplo, ler dados de um passaporte biométrico real via NFC para adicionar cidadania ou idade verificada ao seu ID descentralizado.
Mas aqui está o problema. A maioria dessas soluções não compara realmente seu rosto com a foto no passaporte. Eles apenas verificam a assinatura digital e confirmam se os campos correspondem. Então, se você tiver o passaporte de outra pessoa, poderá vinculá-lo facilmente ao seu ID — e o sistema não detectará a substituição.
Apenas os serviços centralizados — bancos, provedores KYC, etc. — normalmente exigem uma selfie ao vivo ou comparação de vídeo. Soluções descentralizadas, estilo Web3, geralmente evitam tais compromissos de privacidade.
Selfie ao vivo na Web3
Muitas pessoas dizem: “No futuro, teremos sistemas ZK e SSI perfeitos — tudo será armazenado apenas no dispositivo do usuário, selfies serão usados para verificação e a privacidade será totalmente preservada!” Mas aqui está a questão: se todos os dados biométricos forem armazenados apenas do lado do usuário, então com o que exatamente a parte verificadora comparará a selfie ao vivo?
Exatamente — o usuário terá que enviar sua foto ou modelo biométrico para um serviço externo (geralmente uma IA baseada em nuvem) e, em seguida, apenas esperar que o serviço exclua os dados logo após a verificação. Não há garantias.
Então, qual é a conclusão?
Os IDs digitais descentralizados atualmente em desenvolvimento na indústria de cripto realmente representam progresso — especialmente quando se trata de dar aos usuários controle sobre seus próprios dados.
Eles oferecem proteção sólida contra falsificação em massa, multi-contas e farm de bots. Eles preservam o anonimato — ninguém sabe seu nome a menos que você escolha revelá-lo. Eles tornam fácil provar “Eu sou uma pessoa real” sem fazer upload do seu passaporte ou preencher dados pessoais em cada novo site.
Mas aqui está o que eles não oferecem: uma forte garantia de que a pessoa que usa o ID é a mesma que o recebeu originalmente.
O que esses sistemas realmente protegem é o fato de que alguém controla uma chave privada — ou um dispositivo. Não um link um-para-um com um ser humano específico.
Biometria, gráficos sociais, tokens de verificação — eles são ótimos para parar bots. Mas eles não protegem contra um cenário muito humano: quando o usuário original voluntariamente (ou sob pressão) dá a outra pessoa acesso ao seu dispositivo ou chaves.
Então, pegue qualquer alegação como "apenas o proprietário pode usar seu ID digital" com uma dose saudável de ceticismo. O que você realmente está obtendo é apenas um token — e uma chave para acessá-lo. Uma chave que pode ser esquecida, perdida, compartilhada ou tomada.
Se você quiser garantias mais fortes, fique atento e não caia em contos de fadas sobre a mágica do blockchain. Blockchain é ótimo para armazenar e transferir valor — não para identidade. E sem a boa e velha "foto em um passaporte", ainda estamos perdendo uma peça fundamental. Assim como ainda precisamos de verificações presenciais para comparar essa foto com o rosto real da pessoa que está segurando o documento.
