A Comissão Europeia anunciou recentemente que a sua muito aguardada aplicação de verificação de idade se encontra tecnicamente pronta. Apresentada a 14 de Abril de 2026, a ferramenta tem como objectivo principal permitir aos utilizadores provar a sua idade no acesso a plataformas online, sem a necessidade de partilhar dados pessoais sensíveis. A iniciativa surge numa altura em que crescem as preocupações com a exposição de crianças a conteúdos nocivos, ao ciberbullying e a designs de plataformas que fomentam a dependência.
Numa declaração conjunta, a presidente da Comissão, Ursula von der Leyen, e a vice-presidente executiva, Henna Virkkunen, sublinharam a urgência do tema. As responsáveis referem que a situação relativa à segurança das crianças na Internet é extremamente preocupante.
O sistema foi desenhado para ser simples. Os utilizadores descarregam a aplicação, confirmam a sua identidade através de um passaporte ou cartão de cidadão e, em seguida, utilizam a ferramenta para validar se cumprem os requisitos de idade em sites ou aplicações. As plataformas recebem apenas uma confirmação positiva ou negativa, sem acesso à data de nascimento ou à identidade real do indivíduo. A Comissão Europeia indica que a solução é completamente anónima e que os utilizadores não podem ser rastreados. A aplicação, de código aberto, funciona em diversos equipamentos, a incluir telemóveis, tablets e computadores.
Vulnerabilidades descobertas em tempo recorde
Apesar das promessas de privacidade e segurança, a nova aplicação europeia foi comprometida pouco tempo após o seu lançamento. Paul Moore, consultor de segurança sediado no Reino Unido, demonstrou ser possível contornar totalmente a autenticação em menos de dois minutos.
Durante a configuração inicial, a aplicação pede a criação de um PIN. Este código é encriptado e guardado num ficheiro de configuração local, denominado `shared_prefs`, no dispositivo do utilizador. No entanto, os investigadores identificaram falhas arquitectónicas graves. O PIN encriptado é armazenado localmente, mas não está ligado de forma criptográfica ao cofre de identidade que guarda as credenciais reais de verificação. Além disso, a própria encriptação não oferece qualquer segurança real, uma vez que pode ser editada.
Um atacante com acesso físico ao dispositivo consegue explorar esta falha ao apagar simplesmente os valores `PinEnc` e `PinIV` do ficheiro `shared_prefs`. Após reiniciar a aplicação, basta introduzir um novo PIN à sua escolha. A ferramenta passa a mostrar as credenciais do perfil de identidade original como válidas sob o novo código do atacante, o que permite o roubo de credenciais de verificação de idade sem accionar qualquer alerta.
Duas fraquezas adicionais no sistema
Para além da vulnerabilidade associada ao PIN, os especialistas em segurança descobriram duas fraquezas adicionais armazenadas no mesmo ficheiro de configuração editável.
A primeira prende-se com o contorno da limitação de tentativas. A protecção contra ataques de força bruta está implementada como um simples contador incremental no ficheiro `shared_prefs`. Um atacante consegue repor este valor a zero, o que permite adivinhar o PIN de forma ilimitada, sem que o sistema bloqueie o acesso.
A segunda falha envolve o contorno da autenticação biométrica. Existe um indicador lógico, rotulado como `UseBiometricAuth`, que controla a exigência de verificação biométrica. Ao alterar este valor para falso, o atacante consegue saltar completamente o passo biométrico, a remover uma camada inteira de autenticação.
Os especialistas sublinham que não se trata de um problema menor, mas sim de uma falha fundamental de design. A aplicação foi construída como um protótipo para a futura Carteira Europeia de Identidade Digital, o que torna estas vulnerabilidades particularmente graves para infraestruturas nacionais críticas. A juntar a isto, os críticos recordam uma outra falha arquitectónica descoberta em Março de 2026, na qual o sistema se mostra incapaz de verificar se a validação do passaporte ocorreu efectivamente no dispositivo do utilizador.
Pressão sobre as plataformas e o contexto global
O lançamento desta ferramenta coloca uma pressão acrescida sobre as empresas tecnológicas. Muitas destas entidades argumentavam que a verificação de idade era difícil de implementar ou levantava problemas de privacidade. Ursula von der Leyen e Henna Virkkunen rejeitam estas justificações, e dizem que as plataformas online podem agora confiar facilmente na aplicação europeia, a deixar de haver desculpas.
A Comissão Europeia está a ligar a utilização desta aplicação à aplicação das suas regras digitais existentes, a incluir o Regulamento dos Serviços Digitais, que exige às plataformas uma melhor protecção dos menores sob pena de sanções.
Este debate ganhou força a nível global. Vários países ponderam regras mais rígidas para o acesso de crianças às redes sociais, a explorar limites mínimos de idade entre os 13 e os 16 anos. A título de exemplo, a Austrália introduziu recentemente uma proibição do uso de redes sociais para menores de 16 anos, o que levou a que o uso de redes privadas virtuais disparasse no país. No mesmo sentido, plataformas de comunicação também começaram a agir, com novas medidas de verificação a chegar ao Discord para barrar o acesso a crianças e adolescentes.
Apesar de as autoridades europeias afirmarem que o sistema integra fortes protecções de privacidade, reconhecem que não é infalível. Um alto funcionário da União Europeia, citado pela agência Reuters, notou que a aplicação pode ser contornada com recurso a ferramentas como VPN, mas enfatizou que o seu propósito não é uma aplicação estrita da lei, mas sim actuar como uma barreira para evitar a exposição acidental de crianças.
Actualmente, seis estados-membros da União Europeia, incluindo a França, Espanha, Irlanda e Dinamarca, encontram-se fazer testes piloto da aplicação. Contudo, Paul Moore dirigiu-se publicamente à presidente da Comissão Europeia para avisar que este produto será o catalisador para uma enorme quebra de segurança, a considerar que é apenas uma questão de tempo.
Até ao dia 17 de Abril de 2026, a Comissão Europeia ainda não tinha disponibilizado uma correcção oficial nem emitido uma resposta pública às vulnerabilidades divulgadas. Enquanto a aplicação se encontra pronta para distribuição, legislação mais abrangente continua a ser discutida. Um painel especial da União Europeia sobre segurança infantil online deverá apresentar recomendações ainda este ano, o que poderá moldar regras futuras e potenciais limites de idade em todo o bloco europeu.
