Neste episódio comentamos sobre os desafios e as soluções técnicas para a aferição de idade na internet, um tema que ganhou forte destaque com as novas regras do ECA Digital. Você irá descobrir como funcionam os protocolos de conhecimento zero, também conhecidos como Zero-Knowledge Protocol ou ZKP, e de que forma eles permitem comprovar a maioridade de um usuário sem expor dados pessoais sensíveis. Você entenderá a diferença entre ferramentas invasivas, como a biometria facial, e métodos técnicos que respeitam a privacidade e a proteção de dados, utilizando criptografia aplicada e padrões internacionais de segurança da informação. Além disso, você vai aprender sobre os impactos práticos da regulamentação da ANPD no controle de acesso a conteúdos restritos e como evitar o rastreamento excessivo por grandes empresas de tecnologia. O debate também aborda táticas de engenharia social, destacando uma série educativa sobre phishing baseada na psicologia da fraude, que é um conhecimento essencial para evitar golpes online e vazamento de dados. Ao longo da discussão, você verá que é possível equilibrar a proteção no ambiente digital com a garantia da intimidade, sem adotar modelos de vigilância em massa durante a autenticação de sistemas.

Para não perder nenhuma discussão sobre tecnologia, direito e sociedade, assine o podcast na sua plataforma de áudio favorita e siga nossos perfis no YouTube, Mastodon, Blue Sky, Instagram e TikTok. Aproveite para avaliar o programa e compartilhar o conteúdo com outras pessoas interessadas no assunto. Você também pode apoiar o projeto acessando a plataforma de financiamento coletivo indicada no áudio ou enviando suas dúvidas e sugestões diretamente para o nosso e-mail oficial.

Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana

 Visite nossa campanha de financiamento coletivo e nos apoie!

 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

ShowNotes

📝 Transcrição do Episódio

Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem?

Olá, Guilherme, tudo bem? Olá aos nossos ouvintes.

Sempre lembrando que para nós é fundamental a participação de todos. Aproveite perguntas, críticas e sugestões de tema. Para isso, você já sabe. Você pode mandar uma mensagem para [email protected]. Na verdade, se você já sabe, eu não precisaria dizer. Mas enfim, [risadas] é o que está escrito aqui na nossa abertura.

Então, no YouTube, você pode nos assistir também no YouTube, lá no Mastodon, no Blue Sky, no Instagram e também no TikTok. Esse com alguns cortes. Interessante até para… Aliás, Vinícius, fala um pouquinho sobre a tua sériezinha que você está fazendo.

Que eu achei super interessante pelo seguinte, isso não estava na pauta, mas enfim.

Porque esses dias o pessoal lá da faculdade começou a falar sobre phishing e eu mandei aquele teu vídeo para eles, eles adoraram, assim, esclarecedor e tal. Fala um pouquinho sobre esse projeto aqui.

Não é? É do livro. Agora a gente pegou, só que eu não estou com o livro aqui na minha frente, está no outro lugar.

Mas eu tenho o livro que fala sobre a psicologia da fraude, da fraude. De esquema e tudo mais. Vai falando aí.

Que a autora é a Martina Dove, a autora do livro. E esse livro a gente já tem ele há uns bons anos, inclusive vai sair a versão nova. Eu comprei na pré-venda agora. Ela atualizou o livro, acho que sai em setembro, se eu não estou enganado. Mas é um livro que a gente já tem há alguns anos. Foi logo que ele saiu.

Eu ouvi uma entrevista que ela deu num podcast e assim, nossa, a gente precisa desse livro. Aí eu comprei o livro e esse livro é muito interessante. Inclusive agora vamos fazer o merchan da Brown Pipe nos nossos testes de phishing. Porque o que você vê normalmente aí no mercado em termos de phishing, você vai num site, compra tantos envios e créditos lá e faz os envios para todo mundo e tal.

E quando a gente faz phishing, a gente cria as campanhas. Nós criamos as campanhas para cada situação. E a gente sempre fez com base na nossa experiência do tipo de coisa que as pessoas caem, o que a gente conhece, o que se tem de golpe comum e tal. E esse livro, quando ele saiu, foi para nós um upgrade assim nas campanhas de phishing, porque ele dá… a Martina Dove, ela fez uma pesquisa, não é achismo e tal, então ela fez uma pesquisa e ela te traz quais são os elementos que fazem com que funcione um scam. É muito interessante. E aí nós decidimos, Guilherme, fazer essa série, digamos assim, eu e a Camila.

Porque no Instagram a coisa é mais rápida, são vídeos mais curtos. Então, a gente achou interessante contribuir de alguma maneira com algo que seja útil ali. Não adianta a gente falar dos nossos serviços no Instagram. Não faz sentido, ninguém vai querer ver ali.

É. E aí a gente resolveu assim, o que a gente pode fazer de útil que marque a presença do Segurança Legal e da Brown Pipe no Instagram? E essa é uma das coisas que a gente encontrou assim, tem um monte de gente caindo em golpe, todo mundo falando de golpe, golpe do advogado. A OAB Rio Grande do Sul. Eles estão, a OAB Rio Grande do Sul está fazendo uma campanha no estado inteiro com material, bem forte para combater o tal do golpe do advogado, que é um scam feito com pessoas que têm processos. Os dados dos processos são públicos e os caras olham os dados dos processos, ligam dizendo que tem alguma notícia, algum dinheiro que tem para sair e pedem grana. Então assim, é um troço horroroso que está acontecendo.

Então teve um evento da OAB daqui de Três de Maio, que me convidaram para ir lá falar sobre isso também, junto com o delegado da Polícia Civil daqui da cidade e mais o delegado das prerrogativas dos advogados aqui da cidade e a presidente também, a Laura Redel, que é a presidente da OAB aqui em Três de Maio. E se discutiu esse assunto. Foi no auditório, foi bem legal assim, bastante gente. E eu já estava… coincidentemente eu fui convidado para isso depois de ter planejado a série junto com a Camila.

E a gente entendeu que seria extremamente útil fazer essa série para instruir as pessoas. Então, se você for lá no Instagram, vocês vão ver que são vídeos curtos, um minuto aproximadamente, e cada um deles vai progredindo, vai seguindo o que a Martina Dove explicou na pesquisa dela. E é só coisa útil, não tem enrolação ali.

Também está lá no YouTube Shorts. Então você, se não gosta do Instagram, vai lá no YouTube Shorts. O nome do livro é The Psychology of Persuasion Techniques. Martina Dove, aliás, dove em italiano quer dizer onde, e dove em inglês é pomba. [risadas]

E inglês é pomba.

Pomba. É verdade. E então uma nota mental para a gente aqui. Quando terminar a série, Vinícius, vamos transformar num episódio. Tem inclusive vídeo no YouTube, daí é um pouco mais longo. O vídeo no YouTube, além dos shorts, no YouTube nós temos os vídeos com… a gente fez um vídeo com as dicas condensadas dos primeiros três vídeos do Instagram.

Pega aí o link depois. Isso tudo foi a abertura, gente. Saiu um pouquinho do planejado. [risadas]

Tem o blog, o episódio vai ser curto.

Tem o e-mail semanal e tem a nossa campanha de financiamento coletivo lá no apoia.se/segurancalegal, que a gente sempre conclama que você, se puder, faça. Essa ajuda é importante para a gente. Nos ajuda a manter aqui toda a nossa infraestrutura, microfones.

Se não quiser e quiser apoiar de outra forma, divulga o podcast, apresenta ele para outras pessoas. Para nós é muito importante.

Isso. E isso a gente sempre fala, a gente tem muita sorte porque a gente conseguiu reunir em torno desse projeto pessoas muito legais. É uma exceção na internet assim. Mas enfim, apoia.se/segurancalegal. Bom, a gente volta aqui hoje depois do nosso episódio que a gente gravou sem ser as notícias, o café, que a gente falou sobre algumas notícias antes, a gravação com Paulo Rená no 413, e a gente tinha prometido lá que a gente voltaria para falar fazendo uma abordagem um pouco mais técnica sobre as questões de aferição de idade. Isso na esteira do que o ECA Digital tem colocado, que é a grande preocupação. Ou seja, como é que eu vou fazer de fato esse processo um pouco maior de aferição de idade? O decreto que regulamenta o ECA Digital, decreto 12.880, fala em aferição de idade como um termo geral, e aí verificação de idade, que é um procedimento específico.

Enfim, e aí logo vem à tona a questão do ZKP. E eu acho que a gente pode começar, Vinícius, você explicando, claro, pensando sempre como a gente sempre faz, que a audiência não é só de pessoas técnicas. Então a gente pode ter advogados, até gente da área técnica que não tem muita intimidade ou familiaridade com esses conceitos. Então, acho que você começa falando o que é, para que a gente vá se encaminhando pouco a pouco para a discussão um pouco mais técnica. A ideia é que você possa explicar o ZKP, Zero-Knowledge Protocol.

É que tem protocol e tem proof.

O que é a prova de conhecimento zero?

Quando a gente fala de prova de conhecimento zero, a ideia é você conseguir provar um determinado atributo ou uma determinada informação que você conhece ou que você tem, ela pode ser sobre você ou não, sem mostrar, sem revelar a informação. Então assim, como analogia, imagina que você vai comprar bebida alcoólica em algum lugar e certamente vão te pedir a carteira de identidade, certo? Vamos fazer de conta que vão pedir a sua carteira de identidade.

Para mim é meio autoevidente que eu tenho mais. [risadas]

É meio autoevidente. Então, o que acontece? Se você tiver que mostrar a sua carteira de identidade para provar que você é maior de idade, você não vai provar apenas que você é maior de idade. Você vai estar mostrando a sua data de nascimento, que é a primeira informação que o cara vai ter que ver para saber que você é maior de idade, olhando a sua carteira. Mas ele vai ver seu nome, ele vai ver seu CPF, vai ver o número do seu RG que vai estar junto ali. CNH, a mesma coisa, tem todos os seus dados ali. Mas você queria mostrar somente, você queria, na verdade, provar que você é maior de idade. É isso que você queria provar. Você não queria nem mostrar a sua data de nascimento, certo?

Então assim, a ideia do Zero-Knowledge é justamente impedir a seguinte situação: eu tenho que provar para um site que eu sou maior de idade, certo?

Sim.

Então você já pode fazer isso se quiser fazer isso com o Gov.br. Não faça, mas você pode fazer. Qual é o problema de você usar o Gov.br hoje dentro de um site para provar que você é maior de idade, revelar a sua identidade lá para ele? É justamente que o site vai saber não só que você é maior de idade, mas ele vai saber o seu nome, ele vai saber quem você é. Ainda que o site, vamos supor, agisse de uma maneira extremamente ética e não olhasse nenhuma outra informação a não ser a sua data de nascimento, o Gov.br vai saber que o site tal está verificando a sua identidade.

Então isso dá aquilo que a gente já discutiu mais de uma vez nos episódios passados, que é a possibilidade, por exemplo, no caso do Gov.br, do governo saber o que você anda acessando. Em país nenhum ninguém quer isso. Acho que não vai ser no Brasil que a gente vai querer uma coisa dessa. Então é ruim o governo saber todo e qualquer site em que você está entrando.

Então a gente não quer isso e, ao mesmo tempo, o site no qual estou entrando, se ele só precisa saber se eu sou maior de idade e não precisa de nenhuma outra informação para prestar o serviço para mim, eu estou dando informação demais para ele se ele sabe, por exemplo, o meu nome, meu CPF, meu RG e até mesmo a minha data de nascimento. Então eu preciso de uma forma, um protocolo, uma forma de provar que eu sou maior de idade sem deixar que o governo saiba para quem que eu estou provando e sem que a entidade para a qual eu estou provando que eu sou maior de idade saiba qualquer outra coisa a meu respeito que não seja que eu sou maior de idade.

E isso resolve, tenta resolver um problema até anterior, Vinícius.

Que é a preocupação que a gente ponderou lá com o Rená, que é o seguinte: eu tenho formas de fazer isso, eu diria mais simplificadas, mas que, no entanto, vão agredir demais a privacidade. Biometria, por exemplo. Biometria facial, tirar uma foto mandando seu documento ou ainda aquelas simulações de cobrança… Não é simulação, não, você põe o seu cartão de crédito. E aí você ainda coloca um terceiro cara, um quarto cara ali que é a operadora de cartão de crédito que vai saber que você autenticou com o site XYZ.

Isso. Todas essas coisas, esses problemas, vejam que estão acontecendo agora, bastante gente reclamando por aí de soluções muito facilitadas e às vezes ineficientes, como reconhecimento facial. É isso que o Zero-Knowledge vem resolver, não é?

Sim, exatamente. Então o Zero-Knowledge me permite fazer esse jogo. O próprio Zero-Knowledge vai permitir que eu prove para o site que eu tenho um dado atributo sem que o site saiba os demais atributos e, ao mesmo tempo, o governo não vai saber para onde eu estou provando, certo?

Então, óbvio, ele utiliza um protocolo criptográfico, a essência é criptografia. Que permite que eu possa ir junto ao Gov.br, gerar uma identidade válida e depois pegar essa identidade ou pegar uma prova que foi gerada, assinada pelo Gov.br, e eu posso entregar isso para o site ou a entidade que for. Ele pode verificar a assinatura e verificar: isso aqui é um documento válido gerado pelo Gov.br e de fato esse cara aqui nasceu em tal data. Então é maior de idade, pode usar o meu serviço.

A essência é essa. Claro que tem uma série de requisitos para isso funcionar. Ou seja, não deve ser possível alguém provar algo que não é verdade. [risadas] Porque senão a gente tem um problema bem sério no protocolo.

Claro.

Esses protocolos não são novos. Isso se discute desde as décadas de 70 e 80. Eu lembro muito bem de ler no livro do Bruce Schneier, que é Applied Cryptography, um livro de capa vermelha. Quem estudou criptografia conhece esse livro. E lá, uma das coisas que tem são justamente esses protocolos de conhecimento zero. É muito interessante que você prove para alguém que você tem um determinado atributo sem dar todo o resto dos seus dados. Bom.

E aí ainda atende o princípio da necessidade da LGPD. Ou seja, você vai recolher o mínimo de dados possível para poder…

O ZKP puro não faz exatamente isso. Ele é a base de tudo. A gente tem que somar com um outro cara que nós vamos falar agora na sequência, que é o BBS Plus.

Mas assim, antes de chegarmos no BBS Plus, a gente tem que citar que existe um padrão para o esquema de credencial verificável, inclusive o nome é Verifiable Credentials do W3C (World Wide Web Consortium), que é o que regula as outras normas da web, HTML, essas coisas todas. Então, existe um padrão, existe uma definição de como você implementa um protocolo desses para uso na web. E a própria União Europeia, ela tem o regulamento, eles já têm uma versão deles do Verifiable Credentials. A Austrália tem uma também. E por que isso é importante? Porque tem várias maneiras de você implementar um ZKP.

Isso é um conceito, não é uma coisa pronta que você sai usando, e você precisa de um padrão para as coisas serem interoperáveis. Porque como é que eu vou fazer para acessar um site de uma empresa que está me fornecendo um serviço e ela não está baseada no Brasil e não implementa o padrão brasileiro? E, ao mesmo tempo, imagina, todo site ter que implementar 300 padrões de cada país. Então, é necessário que se faça essa definição de um padrão e que esse padrão torne as aplicações compatíveis. O interessante agora é o seguinte: o ZKP é um conceito, uma ideia. OK? Tem vários protocolos que fazem ZKP para várias coisas diferentes. Nesse caso específico, que a gente está falando do ECA e provar algum atributo e tal, nós temos dois protocolos que, somados, entregam aquilo que a gente precisa no ECA, por exemplo.

O primeiro deles é o BBS Plus. Esse BBS Plus tem uma funcionalidade que é: você pode ter uma identidade gerada pelo Gov.br na sua máquina. Então você gerou isso uma vez, tem a identidade na sua máquina e você pode, ao mostrar a sua identidade para um site, ocultar os campos que você não quer mostrar. Mantendo o documento válido, mantendo a assinatura válida do Gov.br, por exemplo. Gente, eu estou falando em Gov.br, mas poderia ser qualquer outra entidade. O Gov.br é meio óbvio porque ele tem o CPF de todo mundo, os dados de todo mundo, está tudo lá.

Mas pode ser uma outra entidade, pode ser o banco. Vocês podem se logar no Gov.br usando o banco, por exemplo. Também faria uma situação semelhante aí.

Então, com o BBS Plus, você consegue ter a identidade com você numa carteira digital, no seu computador, no seu celular, e você pode provar para um site qual é a sua data de nascimento. O BBS Plus não vai ocultar a informação. Ele não vai derivar a informação. Ele só vai dizer que você tem aquele atributo e vai esconder os demais que você não quer mostrar. Ele é muito bom em termos de consumo de recursos, é muito rápido, é questão de milissegundos. Então isso significa que em dispositivos portáteis, como celular, você tem um consumo baixo de recursos, o que é o ideal. Mas ele tem um problema que é dispor a informação diretamente. Então, no caso da idade, ele não consegue provar dizendo apenas “é maior de idade”. Ele tem que entregar a data de nascimento.

Que é dado pessoal.

Que é dado pessoal. Mas a gente tem um outro protocolo, Guilherme, que pode ser somado a isso, que é o ZK-SNARKs. É um outro cara que pode ser somado à solução, que, diferente do BBS Plus, consegue fazer o seguinte: você tem a sua identidade digital emitida pelo Gov.br e aí você chega num site, tem que provar que é maior de idade. Com esse protocolo, você consegue derivar uma informação a partir da sua identidade e provar que aquela informação derivada é válida.

Então eu preciso provar que sou maior de idade. Eu faço um cálculo ali na minha máquina, no meu computador, no meu celular, que vai pegar a minha data de nascimento e vai validar que de fato eu tenho mais de X anos. E essa nova informação gerada é válida, você inclusive consegue checar isso com o Gov.br na hora de apresentar. Então o site que recebe essa minha apresentação de “sou maior de idade” não sabe a minha data de nascimento, ele sabe que eu sou maior de idade e consegue verificar a validade dessa afirmação. É isso que o protocolo permite fazer. E por que é muito interessante? Porque eu não revelo a informação diretamente.

Qual é o problema desse cara? É que esse cálculo é na ordem de alguns segundos em um dispositivo como um celular. E aí a gente não pode esquecer de pensar que os celulares de muitas pessoas são antigos ou com baixa capacidade de processamento. Levar alguns segundos para provar uma coisa dessas não é o ideal.

E para a sustentabilidade, é insustentável.

Uma solução que seria meio uma volta que a gente dá seria você gerar a cada aniversário uma nova identidade no Gov.br. E essa identidade já viria com um campo dizendo “maior de idade”.

Sim.

E aí, se você usar só o BBS Plus, você simplesmente revela aquele campo que diz que você é maior de idade e acabou, não precisa fazer cálculo nenhum. O documento já vem com isso e o BBS Plus é extremamente leve. Seria um workaround. Na verdade, eu falei a cada ano, mas não, é só quando você se torna maior de idade. Você renova sua identidade no Gov.br, já vem com a flag marcada dizendo que você é maior de idade e, a partir dali, esse documento vai servir sempre.

Você tem ainda certificados digitais, em que você ainda poderia ter um certo atributo ali também. E claro que daí a solução que vai te identificar teria ainda acesso…

Não dá. É aí que está. Certificado digital não é ZKP. Você tem uso de chaves assimétricas, tem a questão da assinatura digital, mas você não tem a ideia do certificado digital no ZKP porque o certificado vincula uma chave pública com a sua identidade, mostrando claramente o seu nome e seu CPF.

Tem vários tipos de certificados diferentes, com funções diferentes também, mas ainda assim você teria um requisito de identificação do cara.

É. Então, a gente tem que tomar cuidado porque isso aqui não é panaceia. Ou seja, não é solução para tudo. Não é para você que está desenvolvendo uma solução aí pensar: “Nossa, eu vou usar Zero-Knowledge para autenticar todo mundo na aplicação”. Não. Isso aqui é para atender situações muito específicas, em que de fato a preocupação maior aqui é evitar que menores acessem determinados sites ou determinados serviços. Então, não é que foi criada agora essa matéria. Esses conceitos existem há mais de 40 anos. Mas a gente está discutindo isso aqui agora porque a gente tem o ECA Digital, tem toda a situação aí de ter que fazer controle de acesso por idade. Aí entra todo mundo em pânico, Guilherme, como se o mundo fosse acabar, porque vai ter que verificar a identidade na hora de entrar no site.

Sim, a gente alertou um tempo atrás, inclusive quando começou a acontecer antes na Inglaterra, nós comentamos aqui no podcast Segurança Legal. Que na Inglaterra estava sendo bastante discutido porque lá eles já têm uma regra que exige de site com conteúdo adulto a verificação se as pessoas são adultas de fato. E estavam discutindo como iam fazer isso, porque existe um problema real de monitoramento, de vigilância em massa, de uma série de situações que são perniciosas.

Que são essas soluções mais fáceis que a gente já colocou antes. Pede a biometria facial de todo mundo.

Ah, faz biometria, pelo amor de Deus. Então, pode ser a coisa mais imediata, mas existem problemas já pensados há mais tempo. A gente não estava usando de forma ampla como nós vamos ter que fazer agora. Então há que se pensar com calma para fechar todas as portas de mau uso desse negócio. É possível. Tem padrão da W3C. Tem um monte de gente pensando nisso, não é gente despreparada. São pesquisadores, universidades refletindo sobre esses problemas. O Bruce Schneier é o cara. Se você não conhece Bruce Schneier, você deveria saber quem ele é. Ou o Ross Anderson, o Ferguson, que são os caras de criptografia. O Menezes também, que tem um livro de capa dourada com um labirinto na capa.

Isso já é bem discutido. Para quem estudou segurança, isso aqui não é novidade. A gente tem solução para esse negócio. Não precisa sair usando biometria. Não precisa sair coletando dados de todo mundo. E não precisa entrar em pânico. [risadas] Essas soluções são possíveis e agora elas têm que ser construídas.

Então não é que entrou em vigor o ECA Digital, acabou, ninguém pode acessar mais nada. Não, agora é a pressão regulatória, a pressão legal que existe para que essas coisas aconteçam. Porque a gente sabe muito bem como é que é, Guilherme. Se vai acontecer, se vai ser necessário e todo mundo tem que se preparar, ninguém se prepara. Agora a lei está aprovada, então agora vai ter que mexer, vai ter que fazer, não vai ter o que fazer. E quando a gente pega, só para citar aqui, a gente tem o ECA Digital, que é a lei 15.211, a gente tem o decreto regulamentador que aborda algumas dessas questões técnicas. E lembrando que a ANPD, a Autoridade Nacional de Proteção de Dados, vai ser a entidade não somente a fiscalizar isso, mas também produzir e regular como que isso vai se dar.

Então a gente tem um aspecto técnico e a ANPD tem dois documentos muito interessantes, que é o documento de Mecanismos Confiáveis de Aferição de Idade e Orientações Preliminares, que é um documento agora de 2026, que tem entre os autores, é sempre bom ler os autores: Lucas Borges de Carvalho, Jeferson Dias Barbosa, Diego Carvalho Machado e o nosso querido amigo Davi Teófilo, que está na ANPD. Se ele estiver ouvindo, um grande beijo para ele.

Também, Vinícius, um documento anterior a esse que é o Radar Tecnológico: Mecanismos de Aferição de Idade. No qual eles explicam algumas dessas questões e também colocam uma série de experiências internacionais, trazendo os documentos da Austrália, do Reino Unido, da França, lá da CNIL. Trazendo algumas normas técnicas. Eu acredito assim que é uma coisa estranha de se falar e pensar. Ao mesmo tempo que a gente tem uma série de sites indo pelo caminho mais simplificado, que é pedir biometria facial, e portanto violando. [risadas] Furada, porque você pega um OBS ali, põe um vídeo… Nem fiz isso, mas imagino que vai funcionar. Que não seja algo tão sofisticado assim. E ao mesmo tempo a gente tem no Brasil, pela própria ANPD, coisas nesta linha já escritas, já acontecendo. Então tem material e tem caminhos para a realização.

Aí não dá clique, Guilherme. Aí não dá clique. Você dizer que a internet vai acabar, dá clique. [risadas] Agora, dizer que existe solução e que tem um jeito e tem conceitos e tem material e fonte e artigo, ah, aí a coisa complica um pouco.

Sim.

Não desperta muito interesse, talvez. Mas é uma coisa que quero destacar, Guilherme, é que isso aqui de novo não é panaceia. Você não vai substituir a forma de autenticação no seu sistema para usar ZKP, a não ser que seja aplicável. Senão você vai usar as formas tradicionais de autenticação, de preferência com segundo fator. Mas isso aqui não é para qualquer solução. São para situações muito específicas, essencialmente quando você quer poder provar que tem um dado atributo para uma parte sem que ela saiba outros atributos sobre você e muito menos que o emissor saiba com quem você está conversando. É um pouco o nosso RG. Nosso RG físico é um pouco de Zero-Knowledge. Quando eu chego num lugar e apresento o meu RG, tudo bem, eu estou entregando informação a mais ali, que não é o ideal. Mas não tem como quem emitiu o meu RG saber que eu fui até aquele estabelecimento. A não ser que o estabelecimento registre as informações e depois se identifique perante o governo e diga “O Vinícius esteve aqui”.

E é isso que a gente não quer na internet. De forma descontrolada na internet. Quando você acessa o site da Receita Federal, por exemplo, o e-CAC, para falar de Imposto de Renda. É um dos n serviços que se conectam com Gov.br, e ali eles têm todas as informações, eles sabem quem você é. O governo sabe que você está acessando o site do e-CAC. É uma situação em que todo mundo sabe quem é quem, em que horário as coisas estão acontecendo. É o que a gente não quer. E para que isso vai servir no final das contas? A gente poderia muito bem defender: ah, mas por que a gente não usa um OAuth da vida aí para se logar nos sites já com a conta do Google?

Ora, mas a gente não quer. O Google já sabe tudo o que a gente faz e mais um pouco, ainda mais se for no celular. Mas você não quer que o Google tenha mais essa informação, porque você tem sites que vão ser de acesso provável a crianças e adolescentes. E a primeira coisa que vem à mente são os sites pornográficos, que é uma atividade lícita. Você não quer que o governo saiba se você está acessando. E veja, essa é uma das facetas da intimidade para além da proteção de dados, que é a possibilidade que você tem de manter reservadas certas preferências. A crítica que se faz à lei é justamente essa: você tem uma lei que visa a proteção das crianças, mas ao mesmo tempo você cria uma vulnerabilidade para todas as outras pessoas, que pode inclusive ter o chilling effect. O cara não vai acessar mais certos conteúdos porque tem receio de que as pessoas possam saber. Claro que se você acessa um site de pornografia, o seu endereço IP vai ficar registrado e virtualmente já é possível saber.

Ou quando ele diz assim: ah, mas por que querem acessar isso? Vai ver se o teu e-mail não está lá no vazamento da Ashley Madison. [risadas]

Isso é referência de velho, porque o vazamento da Ashley Madison foi em 2015.

Acho que nem existe mais Ashley Madison. Não sei.

Vazamento 2015. 11 anos. Faz bastante tempo. O que eu quero dizer é o seguinte: você traz esse exemplo que é o mais óbvio, talvez. Mas você pode ter várias outras coisas sensíveis que as pessoas buscam, que para elas pode ser algo sensível. É aquela história, a gente já teve muito essa discussão, tem livro escrito sobre isso, de não ter nada para esconder, que é o Nothing to Hide do Daniel Solove. Então é uma discussão que a gente já ouviu várias vezes. A minha vida é um livro aberto. Mas é até ali. Quando você começa realmente a escarnecer, vai ver que não é tão aberto assim. E eu não estou criticando ninguém, estou dizendo: eu gosto da minha privacidade e respeito a sua e quero que todo mundo tenha direito à sua.

Então a gente precisa ter o pé bem no chão quando vai pensar nessas tecnologias que envolvem identificação ou verificação de atributo, como data de nascimento. Senão a gente pode criar outros problemas. Mas de novo, não é motivo para ninguém entrar em pânico. Bem pelo contrário, pezinho no chão, pensar tecnicamente e aí sim discutir a implementação para a gente não ter um Google, uma Meta, uma Microsoft se colocando ali justamente com a intenção de monetizar em cima disso e conseguir, além de monetizar diretamente, de forma indireta por meio do rastreamento.

E esse é um elemento que talvez coloque bem à prova a atuação da ANPD. Porque no âmbito político, e aqui me refiro a como as Big Techs têm influenciado até mesmo nas legislações dos países. Vide a dificuldade que a gente tem para legislar sobre IA no Brasil por conta do lobby das Big Techs. A prova que a ANPD vai ter é conseguir resistir a essa pressão. Quando a gente olha para o decreto, o artigo 24, que fala sobre os mecanismos de aferição, ele coloca requisitos: proporcionalidade entre o risco e a solução, acurácia, confiabilidade, vedação ao compartilhamento contínuo e irrestrito de dados pessoais, além de segurança, vedação à rastreabilidade da identidade e histórico de acessos, interoperabilidade, não discriminação, transparência. Então esses requisitos já estão postos. Agora a questão é se a ANPD vai conseguir, ao regular e aplicar eventuais sanções, resistir a isso, né, Vinícius?

Exatamente. Mas é isso, gente. Quem é mais técnico aí, recomendo que dê uma pesquisada mais profunda no assunto. A gente foi bem superficial aqui, para atender a todos os nossos ouvintes. É algo bem interessante. Quem curte criptografia, nossa, é diversão certa. [risadas] Vão ficar no show notes. Os dois documentos da ANPD são bem interessantes e, se você quiser se aprofundar, você consegue ver nas referências como outros países estão lidando com essa questão.

Guilherme, conseguimos. Diga.

E por último, para quem tem interesse nos livros que eu citei, a gente citou no episódio 34, de 16 de setembro de 2013. O episódio é Livros de Segurança da Informação. Tá aqui o livro… será que existe para vender? Ainda tem o link para a Amazon. Agora eu estou curioso. Cliquei no link para ver aqui. Criptografia Aplicada, que é esse do Schneier. É capaz de dar os três aqui. Tem para vender ainda, R$ 33. Isso aqui pra relíquia. Que é a Criptografia Aplicada do Bruce Schneier, se eu não estou enganado, a data dele é de 96. Primeiro de janeiro de 96. Tá lá no livro. Ross Anderson, que faleceu nesse meio tempo, em 2024.

É, que faleceu em 24.

É. Aí tem livro… a gente citou todos esses livros lá no episódio 34. Quem quiser saber mais dos livros de criptografia, dá uma olhada. Recomendo. É mais para referência histórica, tá, galera? Os fundamentos estão lá, sem dúvida nenhuma, mas é bom procurar bibliografia atualizada sobre criptografia, porque muita coisa mudou nos últimos 20, 30 anos, com certeza. Então é bem importante.

E nós conseguimos fazer um episódio sem falar de inteligência artificial. Acho que é uma vitória. [risadas]

É uma vitória. Você acabou de citar. Podia ter ficado sem citar.

Só na próxima. Eu até estava procurando aqui o History of Information Security para ver algumas questões sobre isso, mas enfim, fica para um próximo episódio essa verificação desse livro também. Tá bom, pessoal? Agradecemos então a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.

Até a próxima.