Em 15 de abril de 2026, a Comissao Europeia declarou que seu novo aplicativo de verificacao de idade digital estava tecnicamente pronto para implantacao. A presidente da Comissao, Ursula von der Leyen, o apresentou pessoalmente, afirmando que atende aos "mais altos padroes de privacidade." A ferramenta foi projetada para proteger menores de conteudo prejudicial nas plataformas de redes sociais.
O design tecnico parecia solido: digitalizacao de passaporte ou carteira de identidade, verificacao biometrica por video-selfie, processamento totalmente no dispositivo do usuario sem transmissao de dados para servidores externos. Codigo-fonte aberto, compatibilidade com a futura carteira de identidade digital europeia (EUDI). A promessa: provar a maioridade sem revelar dados pessoais.
Contornado em menos de 2 minutos
Poucas horas apos o anuncio oficial, o consultor de seguranca britanico Paul Moore publicou uma demonstracao completa de como contornar a autenticacao. Tempo necessario: menos de dois minutos.
O metodo era assustadoramente simples. O contador de protecao contra forca bruta do PIN e armazenado como um inteiro simples em um arquivo de configuracao de texto puro - pode ser zerado manualmente. A verificacao biometrica e implementada como um sinalizador booleano no mesmo arquivo - configurando-o como false, toda a etapa e pulada. Excluir dois valores (PinEnc e PinIV) e reiniciar o aplicativo da acesso ao perfil de identidade de outro usuario.
Sem ferramentas especializadas, sem exploits de dia zero - apenas um editor de texto. Uma auditoria de seguranca de marco de 2026 ja havia detectado que o componente emissor do aplicativo nao consegue verificar se a verificacao do passaporte realmente ocorreu no dispositivo do usuario.
Durov: hackeavel por design
O fundador do Telegram, Pavel Durov, comentou a situacao em seu canal. Sua analise: o aplicativo era hackeavel por arquitetura, nao por acidente. Confiar cegamente no dispositivo local e armazenar parametros criticos de seguranca em arquivos de texto editaveis torna qualquer garantia de seguranca ilusoria.
Durov levantou uma preocupacao mais grave: o fracasso retumbante poderia dar as autoridades da UE um pretexto conveniente para redesenhar o aplicativo em torno da verificacao centralizada, criando uma infraestrutura onde cada visita a um site com restricao de idade seria registrada em servidores governamentais. O que comecou como uma ferramenta de protecao infantil pode silenciosamente se transformar em um mecanismo de vigilancia em massa da atividade online dos cidadaos.
Durov ja havia criticado os planos espanhois de verificacao obrigatoria de idade nas redes sociais, chamando-os de passo em direcao a um "estado de vigilancia," e se opoe repetidamente ao projeto Chat Control da UE.
O contexto mais amplo
O aplicativo de verificacao de idade faz parte da agenda digital mais ampla da UE. Sob o regulamento eIDAS 2.0, todos os Estados-membros devem implantar versoes nacionais da carteira de identidade digital europeia ate o final de 2026. O aplicativo foi projetado como o primeiro passo publico em direcao a um sistema de identidade digital unificado para os cidadaos europeus.
Criticos ha muito alertavam que qualquer sistema que exija confirmacao de identidade para acessar conteudo inevitavelmente cria infraestrutura de vigilancia, independentemente das intencoes dos desenvolvedores. O hack em dois minutos confirmou que a execucao tecnica esta muito aquem das ambicoes declaradas.
No momento da publicacao, a Comissao Europeia nao havia emitido nenhuma resposta oficial nem publicado nenhum patch de seguranca.
Vulnerabilidades adicionais e preocupacoes com o GDPR
Analises adicionais revelaram outros problemas. As fotos faciais dos documentos de identidade sao armazenadas no dispositivo como arquivos PNG nao criptografados. Os selfies de verificacao sao gravados no armazenamento externo e nunca sao excluidos. O pesquisador Moore tambem demonstrou que uma extensao de navegador pode gerar respostas de verificacao validas falsas, contornando completamente o aplicativo. Isso contradiz diretamente a declaracao oficial de que "nenhum dado pessoal e armazenado" e levanta serias questoes de conformidade com o GDPR em relacao a dados biometricos.
Um detalhe revelador: o repositorio oficial do GitHub do aplicativo contem um aviso de que se trata de software em "desenvolvimento inicial" com padroes de seguranca reduzidos e desaconselha o uso em producao. Esse aviso estava la durante o anuncio oficial de Ursula von der Leyen.
Fontes: Post de Durov no Telegram, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
