A app de verificação de idade da UE (União Europeia) foi comprometida por um consultor de segurança britânico menos de 24 horas após o seu lançamento oficial, expondo falhas arquiteturais que colocam em causa todo o modelo de proteção de menores promovido pela Comissão Europeia.
App de verificação de Idade da UE: o que é e como funciona
A Comissão Europeia apresentou a aplicação Digital Age Verification no dia 15 de abril de 2026 como uma ferramenta gratuita e de fácil utilização para verificar a maioridade de utilizadores sem expor dados pessoais a plataformas digitais. O sistema funciona por prova de conhecimento zero: o utilizador verifica a identidade através de um passaporte ou cartão de cidadão e a aplicação emite uma credencial que confirma apenas se o utilizador tem mais ou menos de 18 anos, sem revelar data de nascimento ou outros dados identificativos.
A presidente da Comissão Europeia, Ursula von der Leyen, descreveu a app de verificação de idade da UE como a solução como detentora dos “mais elevados padrões de privacidade do mundo” e sublinhou que o código é totalmente aberto. Seis Estados-membros, incluindo França, Espanha e Dinamarca, participam atualmente na fase de piloto. Ao abrigo do Regulamento dos Serviços Digitais (DSA), as plataformas não são obrigadas a adotar a aplicação, mas têm de demonstrar que os seus métodos alternativos de verificação de idade são igualmente eficazes, sob pena de sanções.
Comprometida em menos de dois minutos
A 16 de abril de 2026, o consultor de segurança britânico Paul Moore publicou um vídeo na rede X a demonstrar um bypass completo à autenticação da aplicação em menos de dois minutos, sem recurso a equipamento especializado. Durante a configuração da aplicação, o utilizador cria um PIN que é encriptado e guardado num ficheiro de configuração local denominado shared_prefs. Moore demonstrou que, ao eliminar dois valores nesse ficheiro e reiniciar a aplicação, é possível definir um novo PIN e aceder às credenciais de verificação de idade já emitidas, conforme detalhado pela Cybersecurity News.
As vulnerabilidades identificadas não se ficam pelo PIN. O mecanismo de rate limiting, que limita tentativas de acesso incorretas, é um simples contador incremental no mesmo ficheiro de configuração – basta repô-lo a zero para eliminar qualquer bloqueio. O valor UseBiometricAuth é um booleano no mesmo ficheiro: alterado para false, a verificação biométrica é desativada por completo. Moore foi mais longe e recriou a lógica de geração de credenciais da aplicação numa extensão de browser, produzindo respostas de verificação falsas que as plataformas aceitam como válidas, o que significa que o bypass não exige sequer acesso físico ao dispositivo de outra pessoa.
O investigador alertou Von der Leyen publicamente, afirmando que “este produto será o catalisador para uma violação enorme em algum momento – é apenas uma questão de tempo“. O criptógrafo francês Olivier Blazy confirmou as conclusões e resumiu a situação de forma direta: “O meu sobrinho pode pegar no meu telemóvel, desbloquear a aplicação e usá-la para provar que tem mais de 18 anos.“
A falha mais profunda: o emissor não verifica o que aconteceu
Uma análise de segurança realizada em março de 2026 ao código aberto da app de verificação de idade da UE identificou um problema arquitetural mais grave, conforme explicado pelo blog mean.ceo. . O componente emissor da aplicação, responsável por criar e assinar as credenciais de idade, não tem qualquer forma de confirmar que a verificação do passaporte ocorreu efetivamente no dispositivo do utilizador. Emite uma credencial assinada com base numa declaração, não com base em evidência verificada. Corrigir esta falha exigiria enviar dados criptográficos do passaporte para um servidor externo, o que comprometeria precisamente as garantias de privacidade que a aplicação promete assegurar.
A aplicação está a ser desenvolvida como infraestrutura para a Carteira de Identidade Digital Europeia (EUDIW), prevista para implementação nos 27 Estados-membros até ao final de 2026, abrangendo cerca de 450 milhões de cidadãos. Uma falha estrutural nesta escala representa uma categoria de risco qualitativamente diferente da de uma vulnerabilidade isolada num produto comercial.
Especialistas em cibersegurança já tinham avisado
Em março de 2026, 438 investigadores de segurança e privacidade de 32 países assinaram uma carta aberta a avisar que os sistemas de verificação de idade obrigatória são “tecnicamente impossíveis de implementar corretamente, fáceis de contornar, uma ameaça séria à privacidade e segurança, e suscetíveis de causar mais danos do que benefícios”. A carta citava um precedente concreto: 70.000 utilizadores tiveram fotografias dos seus documentos de identidade expostas após recorrerem do processo de verificação de idade da plataforma Discord.
A Comissão Europeia não emitiu qualquer patch nem resposta pública às vulnerabilidades até à data de publicação deste artigo. Segundo o Biometric Update, uma nova versão da aplicação estaria iminente, tendo um responsável confirmado a situação ao Politico após a divulgação pública das falhas.
FAQ
A minha identidade fica exposta se a aplicação for comprometida?
As vulnerabilidades identificadas não expõem diretamente dados pessoais do utilizador. Permitem, sim, que terceiros utilizem as credenciais de verificação de idade de outra pessoa para aceder a conteúdos com restrição de idade.
As plataformas são obrigadas a usar esta aplicação da UE?
Não. Ao abrigo do DSA, as plataformas podem usar métodos alternativos de verificação de idade, desde que comprovem eficácia equivalente.
Já existe uma correção disponível?
Até à data de publicação deste artigo, a Comissão Europeia não divulgou qualquer patch formal, embora tenha confirmado que uma nova versão da aplicação estaria a ser preparada.
Outros artigos interessantes:
