Por que precisamos expandir o debate sobre credenciais verificáveis

Debate sobre credenciais verificáveis deve incluir urgentemente os equipamentos IoT e os agentes de inteligência artificial

Após refletir sobre o excelente saldo do 2º Workshop de Credenciais Verificáveis, identifico uma lacuna crítica nas discussões atuais. A arquitetura de confiança digital precisa ir além dos indivíduos e alcançar a identidade criptográfica de dispositivos conectados e sistemas autônomos.

Credenciais verificáveis: quando empresas, equipamentos IoT e agentes de IA também precisam provar quem são

Por Regina Tupinambá

O debate sobre credenciais verificáveis ainda gira em torno de pessoas. Mesmo quando o mercado começa a discutir as Identidades Não Humanas, ou NHI (Non-Human Identities), o foco permanece restrito à identidade em si e não em como essas entidades não humanas geram provas e atributos independentes.

É hora de expandirmos esse tema para abranger todo o ecossistema de credenciais verificáveis que conectam o mundo físico e o digital.

Para nivelarmos esse entendimento, vale estabelecer três aprendizados fundamentais: Identidade digital: É o conjunto de características únicas e atributos matemáticos que distinguem de forma exclusiva uma entidade, seja ela humana ou não humana, em um ambiente digital; Identificação digital: Refere-se ao ato de apresentar essa identidade ou reivindicar uma individualidade perante um sistema para dar início a um processo de reconhecimento; Credenciais Verificáveis: São declarações assinadas por meio de criptografia que permitem a qualquer entidade provar sua identidade e seus limites de autorização sem o uso de senhas ou intermediários.

O debate sobre credenciais verificáveis precisa alcançar empresas, equipamentos IoT e agentes de inteligência artificial uma vez que eles também precisam provar quem são e da mesma forma que humanos, nem sempre precisam apresentar todas as informações sobre aquele titular da identidade.

A confiança digital começa na fonte da verdade

O 2º Workshop de Credenciais Verificáveis, realizado em Brasília em junho de 2026, deixou uma provocação no ar: se a confiança digital começa na fonte da verdade, como apontou o professor Jean Martina, da Universidade Federal de Santa Catarina, então precisamos perguntar qual é a fonte da verdade de uma empresa, de um equipamento industrial conectado ou de um agente de inteligência artificial. Para algumas dessas entidades, hoje, a resposta ainda é: não existe.

A arquitetura de confiança digital precisa funcionar para quatro categorias de entidades que raramente aparecem juntas no mesmo debate: pessoas, empresas, equipamentos e agentes de inteligência artificial.

Pessoas: o debate que o Brasil já iniciou

Para pessoas físicas, as credenciais verificáveis já têm casos de uso em produção no Brasil. O Workshop recente em Brasília mostrou aplicações em crédito rural, educação, verificação etária e serviços financeiros, com plataformas de dezenas de milhões de usuários e sistemas públicos operando em escala.

O princípio é o da revelação seletiva: a credencial não precisa revelar tudo, apenas o atributo necessário para aquela interação. Provar maioridade sem entregar CPF, nome e data de nascimento. Privacidade por design, com validade criptográfica. A especificação W3C Verifiable Credentials Data Model 2.0, publicada em 2025, e os perfis OpenID4VP da OpenID Foundation são as referências técnicas que sustentam esse modelo.

Empresas: a credencial própria da pessoa jurídica

Para pessoas jurídicas, a ICP-Brasil está em transição formal. A Resolução CG ICP-Brasil nº 211, de outubro de 2024, iniciou a descontinuação dos certificados e-CNPJ A1 e A3 e abriu espaço para o Selo Eletrônico, que garante origem e integridade sem exigir a intermediação de uma pessoa física responsável a cada uso. A empresa passa a ter uma credencial própria, vinculada ao seu CNPJ, com validade criptográfica independente de qual funcionário a opera. A pessoa jurídica, finalmente, torna-se titular de sua própria identidade digital.

Equipamentos IoT: onde está a urgência

Este é o ponto que o Crypto ID quer colocar em evidência, porque é onde a urgência é real e o debate ainda não chegou ao patamar que o problema exige.

Um equipamento IoT (Internet of Things — Internet das Coisas), seja um medidor industrial, um equipamento médico, ou um sensor em infraestrutura crítica, precisa provar sua identidade antes de se comunicar com outros sistemas. Porque sem isso, qualquer dispositivo pode se passar por ele.

Segundo levantamento publicado no arXiv – um dos mais importantes repositórios digitais do mundo de pré-publicações científicas mantido pela Universidade Cornell -, 70% dos dispositivos IoT não utilizam criptografia. O modelo de ameaça é simples e devastador: sem criptografia, um dispositivo não autorizado apresenta as credenciais de um dispositivo legítimo e é autenticado pelo sistema. A partir daí, pode observar, falsificar, injetar e alterar dados em tempo real. Esse ataque tem nome: spoofing de identidade de dispositivo.

Não é teórico. Em início de 2025, o botnet Eleven11 – uma rede de computadores e dispositivos conectados sequestrada por cibercriminosos, também associada ao malware RapperBot -, comprometeu 86 mil dispositivos e chegou a gerar ataques de negação de serviço de 6,5 Tbps, um dos maiores registrados por grupo não estatal. O relatório da Forescout – empresa globalde cibersegurança automatizada – de abril de 2025 descreve o R4IoT. Trata-se de um ataque de prova de conceito que demonstra como uma invasão começa por uma simples câmera IP, migra lateralmente para a rede corporativa de TI e desabilita controladores lógicos em ambientes industriais críticos. O Verizon Data Breach Investigations Report de 2024 já confirmava: uma em cada três violações de dados já envolve um dispositivo IoT.

A raiz do problema está no OWASP IoT Top 10, documento de conscientização da OWASP (Open Web Application Security Project — Projeto Aberto de Segurança em Aplicações Web), organização global sem fins lucrativos que mapeia os riscos mais críticos em tecnologia. Entre os principais pontos vulneráveis estão senhas fracas ou embutidas em hardware, ausência de atualização segura de firmware e falta de autenticação mútua entre dispositivos.

A resposta técnica está formalizada no padrão IEEE 802.1AR, que define como equipamentos recebem identidade criptograficamente verificável, vinculada ao hardware na fabricação e válida por toda a vida útil do dispositivo.

O IEEE 802.1AR é um padrão técnico global desenvolvido pelo IEEE (Institute of Electrical and Electronics Engineers) que define o conceito de Identidade Segura de Dispositivo, conhecida pela sigla DevID (Secure Device Identifier). Na prática, ele funciona como uma espécie de “RG criptográfico de fábrica” para equipamentos físicos. O padrão estabelece regras para que o fabricante insira uma chave privada e um certificado digital (chamado IDevID — Initial Device Identifier) diretamente em um módulo seguro do hardware durante o processo de fabricação

Essa necessidade de proteção estende-se de forma urgente a outros setores de transportes e logística. O Crypto ID já alertou sobre esse cenário no artigo que traz ensinamentos de inúmeras ocorrências de vulnerabilidade em operações críticas em mostrando como o ecossistema de cada equipamento moderno tornou-se uma central de dados que exige controle rígido de chaves e identidades digitais para evitar o sequestro remoto.

O que poucos sabem é que o Brasil chegou antes de boa parte do mundo nessa frente

Em setembro de 2019, o Inmetro e o ITI assinaram Protocolo de Intenções para definir usos de certificação digital em objetos metrológicos e dispositivos IoT. Em março de 2021, a Portaria Inmetro nº 103 criou o certificado digital OM-BR, destinado a equipamentos regulados pelo Inmetro. Naquele mesmo ano, o Inmetro tornou-se Autoridade Certificadora de primeiro nível da ICP-Brasil. Em dezembro de 2022, a primeira Autoridade Certificadora de segundo nível foi credenciada para emitir os certificados OM-BR, com aplicação inicial nas bombas medidoras de combustível. O consumidor pode confirmar pelo celular que está levando exatamente o volume pelo qual pagou. Isso é uma credencial verificável em um equipamento físico, funcionando em produção.

Além disso, empresas brasileiras de tecnologia já possuem sistema operacional criptográfico para módulos seguros em dispositivos IoT homologado pelo ITI dentro da ICP-Brasil, abrindo caminho para certificados digitais embarcados diretamente em hardware nacional.

A relevância desse caso de uso prático levou essa tecnologia nacional a ser apresentada recentemente na Alemanha na Hannover Messe 2026 considerada a principal plataforma mundial para transformação industrial que reuniu mais de 3.500 expositores e cerca de 123 mil participantes. Durante esse evento o Brasil apresentou sua solução em resposta direta às fraudes em infraestruturas críticas globais.

No cenário internacional, o movimento ainda está chegando onde o Brasil já está

A União Europeia aprovou em outubro de 2024 o Cyber Resilience Act, com prazo de conformidade até dezembro de 2027. A partir de agosto de 2025, a Diretiva de Equipamentos de Rádio passou a exigir autenticação forte e criptografia em qualquer produto com módulo de rádio vendido na Europa.

O Reino Unido proibiu senhas universais padrão em dispositivos conectados com o Product Security and Telecommunications Infrastructure Act de 2024. Os Estados Unidos lançaram em janeiro de 2025 o Cyber Trust Mark, programa voluntário baseado nos critérios do NIST. Singapura opera esquema equivalente desde 2021.

O passo seguinte do Brasil é expandir o modelo metrológico para a infraestrutura crítica mais ampla, com governança de ciclo de vida, padrões de revogação e responsabilidade institucional pelo equipamento como titular de identidade.

Agentes de IA: o novo titular sem regulação

A quarta categoria é a menos regulada e a mais urgente no horizonte imediato. Agentes de inteligência artificial que operam de forma autônoma, acessam sistemas e interagem com outros agentes sem intervenção humana a cada etapa precisarão, em breve, provar sua identidade e seus limites de autorização da mesma forma que uma pessoa ou um equipamento. O Crypto ID já dedicou diversos artigos sobre Identidades Não Humanas, e o debate vem avançando.

O OWASP Top 10 para Aplicações Agênticas lista como risco principal o ASI01, sequestro de objetivo: um agente pode ser manipulado a agir fora do escopo para o qual foi autorizado. Sem uma credencial verificável que defina quem autorizou o agente, para quais ações e com quais limites, qualquer ecossistema de IA agêntica opera sem lastro de confiança. Esse debate está em construção no W3C, no IETF e na OpenID Foundation.

O denominador é matemático. O caminho é brasileiro.

O que conecta empresas, equipamentos e agentes de IA ao debate das credenciais verificáveis é a criptografia de chave pública: construção matemática que permite a qualquer entidade demonstrar a posse de uma chave privada sem revelá-la, vincular essa prova a uma identidade reconhecida e garantir que qualquer alteração posterior seja detectável.

Como Jean Martina lembrou no Workshop: a tecnologia não cria confiança sozinha. É preciso governança. E nesse ponto, o caminho que o Brasil abriu com a regulação metrológica é o mesmo que precisará ser percorrido para medidores de energia, equipamentos hospitalares e toda a infraestrutura conectada que ainda opera sem nome, sem chave e sem história.

O Brasil tem as peças. Estamos no caminho certo e vamos em frente.

GLOSSÁRIO

• Credenciais Verificáveis: Declarações assinadas criptograficamente que permitem a uma entidade provar sua identidade ou atributos sem senhas ou intermediários.
• arXiv: Repositório digital internacional de livre acesso mantido pela Universidade Cornell, especializado em pré-publicações científicas das áreas de computação, física e matemática.
• Forescout: Empresa global de cibersegurança especializada no monitoramento, conformidade e proteção automatizada de dispositivos conectados em redes corporativas e industriais.
• OWASP (Open Web Application Security Project): Organização global sem fins lucrativos focada na melhoria da segurança de softwares e aplicações, conhecida por publicar listagens dos principais riscos tecnológicos.
• Botnet: Rede de dispositivos conectados à internet que foram infectados e controlados remotamente por agentes maliciosos para a execução de ataques coordenados.
• Spoofing: Técnica de ataque cibernético na qual uma entidade se passa por outra para obter acesso não autorizado a um sistema.
• ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira, o sistema nacional que viabiliza a emissão de certificados digitais e assinaturas eletrônicas com validade jurídica.
• W3C (World Wide Web Consortium): Consórcio internacional que desenvolve padrões técnicos abertos para garantir o crescimento a longo prazo da internet.

Identidade é quem você é. Identificação digital é como você prova isso. O Crypto ID trata esses conceitos com distinção técnica desde 2014 e sobre esses temas, você lê aqui!

---