O governo enfrenta questionamentos sobre se o sistema no cerne de seus planos para identificação digital pode ser confiável para manter os dados pessoais das pessoas seguros.
Getty Images
O governo enfrenta questionamentos sobre se o sistema no cerne de seus planos para identificação digital pode ser confiável para manter os dados pessoais das pessoas seguros.
A identidade digital estará disponível para todos os cidadãos e residentes legais do Reino Unido, mas só será obrigatória para emprego, de acordo com as propostas do governo.
Os detalhes completos de como o sistema funcionará ainda não foram anunciados, mas o primeiro-ministro Sir Keir Starmer insistiu que ele "terá a segurança como seu cerne".
Ele será baseado em dois sistemas construídos pelo governo - Gov.uk One Login e Gov.uk Wallet.
One Login é uma conta única para acessar serviços públicos online, que o governo diz que mais de 12 milhões de pessoas já se inscreveram.
Até o próximo ano, esse número pode chegar a 20 milhões, pois as pessoas que se registrarem como diretores de empresas terão que verificar sua identidade por meio do One Login a partir de 18 de novembro.
Gov.UK Wallet ainda não foi lançado, mas pode,eventualmente, permitir que os cidadãos armazenem sua identidade digital - incluindo nome, data de nascimento, nacionalidade e status de residência e uma foto - em seus smartphones.
Os usuários precisarão de um Gov.UK One Login para acessar a carteira.
No mês passado, o governo lançou um cartão de identidade digital para veteranos militares para testar o conceito.
O governo espera evitar problemas de segurança, mantendo os dados pessoais a serem acessados por meio do One Login em departamentos governamentais individuais, em vez de em um único banco de dados centralizado.
Mas o veterano ativista de liberdades civis e parlamentar conservador David Davis levantou preocupações sobre possíveis falhas no projeto e na implementação do One Login que, segundo ele, podem deixá-lo - e o novo esquema de identidade digital - vulnerável a hackers.
Falando em um debate em Westminster Hall no início deste mês, ele disse: "O que acontecerá quando esse sistema entrar em vigor é que todos os dados de toda a população estarão abertos a atores mal-intencionados - nações estrangeiras, criminosos de ransomware, hackers mal-intencionados e até seus próprios inimigos pessoais ou políticos.
"Como resultado, isso será pior do que o escândalo [Post Office] Horizon."
Davis escreveu ao órgão de fiscalização de gastos, o National Audit Office, pedindo uma investigação "urgente" sobre o custo do One Login, que, segundo ele, certamente subirá acima dos £305 milhões já reservados para ele.
Em sua carta, o parlamentar destaca um incidente de 2022, no qual foi descoberto que o sistema One Login estava sendo desenvolvido em estações de trabalho não seguras por contratados sem a autorização de segurança necessária na Romênia.
Davis também aponta que o One Login não atende aos próprios requisitos do governo para ser classificado como um fornecedor de identidade seguro e confiável.
O governo culpou um fornecedor por permitir que sua certificação do Digital Identity and Attributes Trust Framework expirasse no início deste ano e diz que está trabalhando para que ela seja restaurada, o que acontecerá "iminente".
Separadamente, o porta-voz de tecnologia do Partido Liberal Democrata, Lord Clement-Jones, questionou se o One Login atende aos padrões do National Cyber Security Centre.
O colega diz que conversou com um denunciante, que alega que o governo perdeu o prazo de 2025 estabelecido em sua estratégia nacional de segurança cibernética para fortalecer sistemas "críticos" contra ataques cibernéticos.
Os ministros negam isso, mas o colega do Lib Dem disse que um funcionário lhe disse que o One Login não passaria nos testes de segurança exigidos até março de 2026.
O denunciante também destacou um incidente de março deste ano, quando uma chamada "equipe vermelha" encarregada de simular um ataque cibernético da vida real teria conseguido obter acesso privilegiado aos sistemas One Login.
O Departamento de Ciência, Inovação e Tecnologia (DSIT) diz que não pode fornecer detalhes sobre o exercício da equipe vermelha por motivos de segurança, mas diz que as alegações de que seus sistemas foram penetrados sem detecção são falsas.
As autoridades do DSIT também garantiram a Lord Clement-Jones que os subcontratados na Romênia eram "um punhado de pessoas", nenhuma das quais tinha acesso à produção "e todo o código foi verificado".
O departamento diz que todos os membros da equipe que trabalham no One Login usam dispositivos "gerenciados corporativamente" que são monitorados por uma equipe de segurança para detectar qualquer atividade maliciosa.
Mas Lord Clement-Jones disse à BBC que não estava convencido pelas garantias do departamento.
Ele disse que o histórico dos governos sucessivos de execução do One Login e outros sistemas "não deveria nos dar nenhuma confiança de que a nova identidade digital obrigatória, que será baseada neles, garantirá que nossos dados pessoais estejam seguros e atendam aos mais altos padrões de segurança cibernética".
Na semana passada, o primeiro-ministro entregou o controle geral do esquema de identidade digital ao Gabinete, que é chefiado por um de seus ministros mais confiáveis e seniores, Darren Jones, refletindo sua importância para o governo.
Mas o Government Digital Service, que faz parte do DSIT, manterá a responsabilidade pelo projeto.
Um porta-voz do DSIT disse: "Gov.UK One Login continua entregando para os cidadãos em todo o Reino Unido.
"O One Login agora abriga mais de 100 serviços e foi usado por mais de 12 milhões de pessoas - representando quase um sexto da população do Reino Unido.
"One Login segue os mais altos padrões de segurança usados em todo o governo e no setor privado e está totalmente em conformidade com as leis de proteção de dados e privacidade do Reino Unido.
"O sistema passa por revisões e testes de segurança regulares, inclusive por terceiros independentes, para garantir que a segurança permaneça forte e atualizada."
