O que são “atestados electrónicos de atributos” (EAA)?

Os factos mais importantes em resumo

• Definição: As CEA são provas digitais juridicamente seguras de caraterísticas (por exemplo, idade, qualificação profissional, carta de condução) autenticadas por fontes fidedignas.
  
• Vantagem estratégica: Permitem a verificação de factos específicos sem ter de revelar toda a identidade (divulgação selectiva – por exemplo, “maior de idade” em vez da data exacta de nascimento).
  
• Integração da carteira EUDI: As CEA são o conteúdo central da futura carteira digital europeia.

• Interoperabilidade: As CEA funcionam a nível transfronteiriço em toda a UE, tanto para as autoridades públicas como para as empresas privadas.

_______________________________________________________________

Com a introdução do Regulamento eIDAS 2.0 e da carteira EUDI (carteira europeia de identidade digital), a forma como provamos a nossa identidade está a mudar. Anteriormente, a questão principal era: “Quem és tu?”. No futuro, o foco será: “O que estás autorizado a fazer?”, “Que qualificações tens?” ou “O que te distingue?”.

As certidões electrónicas de atributos (CEA) são a resposta digital a estas questões. São a tradução dos nossos certificados analógicos – das cartas de condução aos diplomas – para o mundo digital.

O que é um atributo?

Antes de falarmos sobre a tecnologia, vamos esclarecer o termo: um atributo é uma propriedade ou caraterística que descreve uma pessoa ou uma organização (entidade). Podes pensar nele como uma peça de um puzzle que dá uma imagem global de uma identidade.

Os atributos englobam uma enorme variedade de informações:

• Dados de identificação pessoal (IDP): Por exemplo, o teu nome, local de nascimento ou nacionalidade.
  
• Caraterísticas profissionais: Títulos académicos, títulos profissionais ou licenças oficiais.
  
• Direitos e autorizações: Autorizações específicas, como o poder de assinar numa empresa ou uma carta de condução.

O salto para o mundo digital

No contexto da identidade digital, os atributos são utilizados para provar caraterísticas em linha sem qualquer dúvida, sem estar fisicamente presente. Distingue duas categorias:

1. Atributos estáticos: Informação que (quase) nunca muda, como a tua data de nascimento.
   
2. Atributos dinâmicos: Caraterísticas que estão em fluxo, como o teu endereço de registo atual, a tua situação profissional atual ou a tua idade.

Para que estes atributos sejam considerados fiáveis em linha, devem provir de uma fonte segura – por exemplo, de registos governamentais, instituições de ensino ou autoridades certificadas. Só esta confirmação digital transforma um simples atributo numa prova inviolável (EAA) que podes utilizar para te identificares junto dos serviços em linha.

O que são atestados electrónicos de atributos?

Uma CEA é, portanto, um registo de dados digitais que confirma um ou mais atributos de uma pessoa e que foi assinado ou selado eletronicamente por um prestador de serviços de confiança (TSP) qualificado ou não qualificado.

A principal diferença: enquanto uma identificação eletrónica clássica transfere frequentemente todo o registo de dados, uma EAA fornece informações específicas. Uma declaração eletrónica de atributos qualificada (QEAA) tem o maior valor probatório, uma vez que é emitida por fornecedores supervisionados pelo Estado.

Os 3 tipos de atestados de acordo com o eIDAS 2.0

Nem todos os certificados digitais têm a mesma força jurídica. Para garantir a interoperabilidade em toda a Europa, a UE define três categorias específicas de certificados de atributos. Estas diferem principalmente em termos de emissor e validade legal:

1. Atributos emitidos pelo próprio (auto-afirmados): Informação que tu próprio introduzes (por exemplo, um endereço de entrega). São práticas para os formulários, mas não têm valor probatório oficial.
   
2. Atestados electrónicos (EAA): são emitidos por fontes verificadas. São assinados digitalmente e muito mais seguros do que os documentos convencionais. (Os EAA incluem o EAA e o PuB-EAA).
   
3. Atestados electrónicos qualificados (QEAA): O nível mais elevado. São emitidos por prestadores de serviços de confiança qualificados e supervisionados pelo Estado (QTSPs). Um QEAA é juridicamente equivalente a um documento em papel com um selo oficial e é reconhecido em toda a UE.

Tipo	Foco e Editora	Nível de confiança e valor probatório	Fonte de dados	Exemplo prático
Q-EAA (Qualificado)	Certificados pelo Estado: Emitido por serviços fiduciários qualificados (QTSPs).	Máximo: obrigação de reconhecimento em toda a UE e valor probatório máximo em tribunal.	Documentos oficiais ou dados soberanos.	Diplomas académicos, licenças médicas ou actos notariais.
EAA (não qualificado)	Setor privado: Emitido por empresas ou organizações.	Flexível: A aceitação legal depende do contexto (por exemplo, termos e condições gerais).	Qualquer fonte (dependendo das necessidades da empresa).	Identificações digitais de empregados, cartões de clientes ou bilhetes para eventos.
PuB-EAA (Público)	Oficial: Diretamente dos organismos públicos.	Muito elevado: baseia-se na integridade dos registos estatais; reconhecido em toda a UE.	Registos oficiais do Estado (por exemplo, registos de população).	Certidões de nascimento, comprovativos de residência ou cartas de condução.

Verificação do mercado: Qual será o alcance destas provas?

É importante compreender que nem todos os tipos de CEA inundarão o mercado ao mesmo tempo. Com base no roteiro do eIDAS 2.0, a distribuição nas carteiras pode ser estimada da seguinte forma:

• Q-EAA e PuB-EAA (muito elevado): Estes atributos constituirão a base da carteira EUDI. Como os Estados-Membros são obrigados a fornecer documentos oficiais (como bilhetes de identidade e cartas de condução) em formato digital, todos os utilizadores da carteira terão automaticamente estes atributos de elevada segurança.

• EAA (médio a crescente): Neste caso, a bola está do lado do sector privado. A expansão depende da rapidez com que as empresas (como companhias aéreas, cadeias de ginástica ou empregadores) reconhecem o valor acrescentado e emitem os seus próprios certificados digitais.

Importância estratégica para as empresas e as autoridades

A integração das CEA é muito mais do que um mero artifício técnico – é uma enorme alavanca para os processos empresariais. Dependendo do caso de utilização e da força jurídica necessária, são utilizados diferentes tipos de CEA:

1. Integração e KYC sem problemas (Q-EAA)
   Os sectores fortemente regulamentados, como os bancos ou as companhias de seguros, podem verificar os dados de identidade e as provas (por exemplo, rendimentos ou qualificações profissionais) em tempo real. Em vez de rever os documentos manualmente, o sistema valida o Q-EAA imediatamente, o que reduz enormemente as taxas de cancelamento durante a integração.
   
2. Gestão de autorizações digitais (EAA & Q-EAA)
   Na logística ou na indústria, as licenças, as filiações em empresas ou as instruções de segurança podem ser verificadas diretamente na EUDI Wallet.
   Exemplo: um ginásio concede descontos com uma simples EAA (identificação do empregado), enquanto um condutor de mercadorias perigosas apresenta uma Q-EAA para a sua carta de condução.
   
3. Automatização da autoridade (PuB-EAA)
   Graças ao princípio da “declaração única”, as autoridades em linha aceitam diretamente os PuB-EAA de outros registos estatais. O comprovativo de residência ou de pensão já não tem de ser obtido em papel, o que minimiza a burocracia para os cidadãos e para as autoridades.
   
4. Proteção de dados através da “divulgação selectiva”
   As CEA permitem divulgar apenas o que é absolutamente necessário.
   O princípio: um sistema confirma apenas “mais de 18 anos” para comprovar a idade, sem ter de transmitir a data exacta de nascimento ou o nome.
   
5. Interoperabilidade sem fronteiras
   Graças à norma europeia, um atributo emitido na Alemanha (por exemplo, um certificado de mestre-artesão) é imediatamente reconhecido digitalmente em Espanha ou na Polónia. Isto facilita muito a mobilidade transfronteiriça de mão de obra e serviços qualificados.

Importante para os utilizadores privados

• Rastreio zero: Ao contrário dos logins das grandes tecnologias, os emissores não sabem onde ou quando utilizas o teu atributo. O teu rasto digital permanece invisível.

• Voluntário: A utilização da carteira e das EAA é totalmente voluntária. Tu decides quais os dados que armazenas digitalmente e a quem os mostras.

Conclusão: Porque é que as CEA são o futuro da identidade

As CEA são muito mais do que simples cópias digitais de documentos em papel. São a chave para uma sociedade eficiente em termos de dados. Graças a funções como a divulgação selectiva, os utilizadores mantêm a plena soberania sobre os seus dados, enquanto as empresas beneficiam de processos automatizados e invioláveis.

Vantagem estratégica para a tua empresa: As empresas que se posicionam como partes confiantes ou emissores numa fase inicial reduzem enormemente os seus esforços de verificação manual e aumentam a segurança jurídica nos canais digitais.

FAQs sobre o tema

• Uma EAA é o mesmo que uma assinatura digital? Não. Uma assinatura confirma a declaração de intenção de um documento. Uma EAA confirma uma caraterística ou propriedade de uma pessoa.
  
• Quando é que os EAA vão ser introduzidos a nível geral? Com o lançamento das carteiras EUDI nacionais (a partir de 2027/2028), as EAA tornar-se-ão a norma para as provas digitais na UE.
  
• As empresas podem emitir elas próprias EAAs? Sim, as empresas podem atuar como “emissores” para determinadas caraterísticas profissionais ou empresariais.
  
• Um certificado EAA é mais seguro do que um certificado PDF?
  Podes crer. Um PDF é fácil de falsificar. Um EAA é criptograficamente selado. Qualquer alteração posterior invalida imediatamente a prova. Além disso, a validade (por exemplo, no caso de licenças revogadas) pode ser verificada em tempo real.

• Qual é a diferença entre EAA e QEAA?
  Um EAA é uma confirmação eletrónica de um atributo (por exemplo, idade, habilitações literárias ou autorização) assinada por um emitente. Um QEAA (Qualified Electronic Attestation of Attributes – atestado eletrónico qualificado de atributos) é uma forma especial de atestado emitido por um prestador de serviços de confiança qualificado em conformidade com o Regulamento eIDAS. As QEAA cumprem requisitos legais e técnicos mais rigorosos e são, por conseguinte, mais vinculativas e reconhecidas em toda a Europa.
  
• O emitente pode ver onde estou a apresentar o meu atributo?
  Não. Os sistemas modernos de CEA estão concebidos de forma a que o emissor não possa localizar onde ou quando apresentas o teu atributo. A verificação é feita diretamente entre ti e o destinatário. Isto significa que a tua privacidade permanece protegida e que não existe um rastreio centralizado da tua utilização.
  
• Posso revogar um EAA?
  Sim, as CEA podem ser revogadas pelo emissor, por exemplo, se um atributo for alterado ou se tornar inválido. Os destinatários podem verificar o estado de revogação durante a verificação para se certificarem de que o atributo ainda é válido.
  
• As AEA vão substituir a clássica auditoria KYC?
  As EAA podem simplificar significativamente ou substituir parcialmente a verificação KYC, especialmente se tiverem origem em emissores fiáveis ou qualificados. Em muitos casos, os atributos verificados podem ser utilizados diretamente sem ter de passar novamente por todo o processo KYC. No entanto, se as CEAs substituem completamente o KYC depende dos requisitos regulamentares e do respetivo caso de utilização.

• Os meus dados serão armazenados de forma centralizada?
  Não. O controlo é teu. As EAA são encriptadas de forma segura na tua carteira pessoal EUDI no teu smartphone, e não numa base de dados centralizada do governo na nuvem.