Uma ação coletiva contra a Coinbase levantou preocupações sobre práticas de coleta e armazenamento de dados biométricos por empresas de tecnologia. Nanak Nihal Khalsa argumenta que depender de identificadores biométricos imutáveis apresenta riscos permanentes, pois não podem ser redefinidos uma vez comprometidos.
Mosaico de Regulamentações de Privacidade em Nível Estadual
Uma ação coletiva recentemente movida contra a exchange de criptomoedas Coinbase voltou a destacar a coleta e o uso de dados biométricos por empresas de tecnologia. Embora a ação seja baseada na suposta falha ou recusa da Coinbase em cumprir a Lei de Privacidade de Informação Biométrica do Estado de Illinois, a ação coletiva, no entanto, destaca os desafios enfrentados pelas empresas de tecnologia que atendem clientes ou usuários em mais de uma jurisdição.
As empresas Web3 e de tecnologia costumam estar confiantes de que sua coleta ou uso de dados biométricos obtidos de clientes está em conformidade com a lei. No entanto, instâncias passadas em que até mesmo gigantes corporativos como o Google foram forçados a desembolsar mais de 1,3 bilhões de dólares para resolver violações da lei de privacidade de dados parecem apoiar a ideia de ter uma lei federal de privacidade abrangente, em vez do mosaico de regulamentos estaduais.
No entanto, para clientes ou usuários cujos dados biométricos sensíveis são capturados pelas principais empresas Web3, incluindo exchanges de criptomoedas, os riscos são ainda maiores. Os crescentes incidentes em que usuários de criptomoedas com ativos substanciais são alvos de gangues armadas parecem sugerir que cibercriminosos podem estar na posse de informações sensíveis de usuários, incluindo dados biométricos.
Como o recente caso de ciberataque à Coinbase demonstra, permitir que funcionários não essenciais tenham acesso aos dados dos usuários pode resultar em custos financeiros significativos. No entanto, como Michael Arrington, co-fundador da Arrington Capital, recentemente colocou, o custo humano disso provavelmente será muito maior do que os 400 milhões de dólares roubados. Essa afirmação é aparentemente respaldada pelos constantes incidentes em que influenciadores de criptomoedas ou detentores de grandes quantidades de ativos de criptomoedas são alvos de criminosos armados.
Em um incidente recente, Festo Ivaibi, o fundador de uma plataforma de educação em criptomoedas e blockchain baseada em Uganda, foi sequestrado por criminosos que se passavam por membros das forças de segurança do país. Durante o ordeal, Ivaibi foi agredido pelos criminosos que pareciam estar cientes de que ele tinha uma substancial quantia em criptomoedas guardada em sua carteira da Binance. O fundador acabou perdendo 500.000 dólares, mas sobreviveu para contar a história. Tanto o ciberataque à Coinbase quanto o encontro do fundador africano demonstram como os dados sensíveis dos usuários são armazenados e quem tem acesso a eles é importante.
‘Privacidade por Arquitetura, Não Privacidade por Esperança’
Enquanto isso, o apelo de Arrington por punições, incluindo tempo de prisão para executivos de empresas que falham em lidar adequadamente com os dados dos usuários, demonstra as dificuldades enfrentadas por empresas Web3 e de tecnologia que coletam e armazenam informações sensíveis de clientes. O dilema que empresas como a Coinbase e outras enfrentam também mostra o quão limitadas são as proteções para as empresas Web3 atualmente. Então, como as empresas podem garantir a segurança dos sistemas de identidade Web3?
De acordo com alguns especialistas, a solução reside em uma arquitetura de privacidade modular que prioriza a flexibilidade e o controle do usuário, em vez de modelos rígidos e pesados em biometria. Em vez de forçar os usuários a um sistema onde seus dados biométricos são capturados e armazenados centralmente, essa arquitetura permite configurações de privacidade mais adaptáveis e direcionadas pelo usuário. Isso significa que os usuários podem escolher como e quando verificar aspectos de sua identidade sem necessariamente revelar os dados brutos e sensíveis subjacentes.
Nanak Nihal Khalsa, o co-fundador do projeto Web3 Holonym, é um defensor dessa abordagem. Ele disse ao Bitcoin.com News que KYC sem design que preserve a privacidade, especialmente provas de conhecimento zero, é uma bomba-relógio. Ele acrescentou que, enquanto as exchanges e plataformas armazenarem dados sensíveis de usuários em bancos de dados centralizados, elas criam alvos que inevitavelmente atraem atacantes. Ele explicou por que uma abordagem modular é revolucionária.
“Uma abordagem modular para a arquitetura de privacidade muda a equação. Provas de conhecimento zero e outros credenciais verificáveis permitem que as plataformas atendam aos requisitos de conformidade sem nunca armazenar ou sequer ver as informações mais sensíveis dos usuários. A identidade se torna uma prova, não um arquivo.”
O co-fundador insiste que tais soluções são cada vez mais importantes porque os dados coletados pelas empresas Web3 estão se tornando cada vez mais pessoais. Ele argumenta que depender de biometria como impressões digitais ou DNA para identificação apresenta um risco permanente: uma vez comprometidos, ao contrário das IDs governamentais, esses identificadores pessoais únicos não podem ser redefinidos.
A Holonym de Khalsa oferece uma solução de identidade digital modular que usa ZKPs para privacidade e conformidade, em vez de biometria. Seu protocolo Human ID permitiu até agora que mais de 125.000 usuários pseudônimos em 180 países verificassem sua identidade sem revelar sua identidade. Com um design que prioriza a privacidade e é descentralizado, a Holonym visa “trazer direitos digitais para o mundo”, incentivando sites e até mesmo governos a adotarem seu protocolo para verificação de identidade. Essa abordagem modular, de acordo com a Holonym, ajuda a mitigar riscos de segurança e constrói confiança na identidade digital.
Enquanto isso, Khalsa reconheceu que incidentes como a recente violação da Coinbase ressaltam um problema mais profundo na infraestrutura de criptomoedas e sublinham como os sistemas de identidade falhos construídos em arquiteturas centralizadas e monolíticas são.
“O futuro da conformidade não se trata de coletar mais dados. Trata-se de provar mais com menos. Privacidade por arquitetura, não privacidade por esperança”, disse o co-fundador.
