Desafio

Como podemos conduzir um serviço de identificação digital que possa ser utilizado no setor público e privado, e que reforce a segurança dos códigos únicos enviados por SMS.

Problemas atuais

O uso dos chamados sistemas de autenticação de dois fatores (algo que você conhece e algo que você tem) que enviam códigos de uso único via SMS é difundido no setor privado (bancos, mídias sociais etc.) e também no setor público. (idCAT Mobile. Cl @ ve PIN).

Os cidadãos valorizam muito positivamente os serviços de identificação digital baseados em dispositivos móveis, como é o caso do idCAT. Isso é confirmado pelos mais de 400.000 cidadãos que já o utilizam, mais de um milhão de ações realizadas e os excelentes resultados das pesquisas de satisfação quanto ao seu uso.

No entanto, a utilização destes serviços apresenta alguns problemas:

  1. O SMS não é considerado um canal suficientemente seguro de acordo com as recomendações do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (órgão público líder mundial em questões de segurança) e as recomendações da Comissão Europeia para o setor financeiro. Essas organizações recomendam procurar alternativas ao SMS que sejam mais robustas e seguras.
  2. 80% dos cidadãos são utilizadores regulares da Internet mas apenas 35% das ações com a administração são feitas por meios eletrónicos devido à falta de uma identidade digital fácil, segura, utilizável e útil que possa ser utilizada globalmente no setor público e privado
  3. Para a administração, isso é um sério inconveniente, pois os cidadãos fazem apenas 3 procedimentos por ano com todas as administrações e não têm o hábito ou necessidade de ter uma identidade digital pública. Em vez disso, os cidadãos realizam dezenas de ações todos os dias com o setor privado.
  4. Em média, um usuário possui 70 identidades digitais com diferentes provedores públicos ou privados. Para o setor privado, isso é um problema sério porque é muito caro gerenciar e garantir a segurança de tantas identidades.

Solução proposta

Promova um piloto com a solução de identificação digital Mobile Connect, desenvolvida pela GSMA (associação das principais operadoras de telecomunicações do mundo) e com o apoio da Mobile World Capital.

Este serviço, conforme descrito no Sessão Mobile Connect em governos locais da Catalunha, do Mobile World Congress 2018, levantou as seguintes vantagens:

  1. Substitui mensagens SMS por notificações push em aplicativos armazenados em SIMs móveis, que são criptografados e mais seguros.
  2. Conta com o apoio das principais operadoras de telecomunicações para implantação no setor privado. Movistar, Vodafone e Orange estão promovendo na Espanha.
  3. Propõe sinergias na identificação digital nos setores privado e público, que são muito interessantes para a Administração.
  4. Cada notificação push tem um custo reduzido.

Desenvolvimento de um piloto com conselhos

Em setembro de 2017 iniciamos um projeto piloto de identificação digital com a solução Mobile Connect, desenvolvida nos municípios de Manlleu, Esparraguera e Castellar del Vallès. Os resultados de segurança, usabilidade e satisfação para os cidadãos têm sido positivos. Seu uso é atualmente baixo porque atualmente não agrega valor substancial às mensagens SMS e porque o Mobile Connect é pouco utilizado no setor privado: apenas pelas próprias operadoras.

Por outro lado, as duras recomendações iniciais do NIST e a Comissão Europeia na procura de alternativas às mensagens SMS, abrandaram-se e não há tanta urgência em procurar outras soluções.

Na Europa, há a experiência da França que está funcionando muito bem. É chamado Mobile Connect e eu, e é alimentado por Orange. Pode ser utilizado em muitos serviços públicos e também em serviços privados.

A continuidade do projeto na Catalunha está sendo considerada devido à baixa implementação no setor privado, o que significa que o serviço não agrega valor diferencial às mensagens SMS atuais. Por outro lado, as operadoras não concluíram seu plano de melhoria e a solução atual apresenta deficiências que não recomendam sua implantação em toda a Catalunha.

Status do projeto

interrompido A GSMA nos informa que decidiram descontinuar a plataforma de integração que nos permitiu fornecer este serviço e, portanto, somos obrigados a descontinuá-lo. De acordo com as informações fornecidas, o serviço Mobile Connect não atendeu às expectativas de implantação no setor privado. Consequentemente, estamos desativando a opção de identificação digital com a solução Mobile Connect do serviço VALID para os conselhos que colaboram no piloto.

Inovar envolve riscos e nem todas as iniciativas são bem-sucedidas. No entanto, acreditamos que aprender com a experiência tem sido enriquecedor para futuras iniciativas de colaboração empresarial.