Quem Controla o Seu Login?

Cada vez que um colaborador clica «Iniciar sessão com o Google» ou «Iniciar sessão com a Microsoft», algo pequeno mas significativo acontece: uma empresa norte-americana fica a saber quando, onde e a que serviço essa pessoa se autenticou. O fornecedor de identidade — o sistema que confirma «sim, esta pessoa é quem diz ser» — está no centro de toda interação digital. Vê tudo.

Na Europa, a infraestrutura de identidade é esmagadoramente americana. Okta — o maior fornecedor dedicado de identidade — reportou $2,61 mil milhões em receita para o ano fiscal de 2025.

A controvérsia DigiD: Soberania na prática

DigiD é o sistema de identidade digital do governo neerlandês — com 16,5 milhões de utilizadores registados e mais de 500 milhões de logins anualmente. A infraestrutura do DigiD era operada pela Solvinity, uma empresa neerlandesa de hosting. Em 2024, a Kyndryl — a antiga divisão de serviços de infraestrutura da IBM, agora uma empresa cotada nos EUA — adquiriu a Solvinity. Da noite para o dia, a empresa que operava a infraestrutura de identidade do governo neerlandês ficou sob controlo empresarial norte-americano.

eIDAS 2.0: A resposta da Europa

O eIDAS 2.0 (UE 2024/1183) foi adotado em abril de 2024. A sua peça central é a Carteira Europeia de Identidade Digital (EUDIW) — uma carteira digital emitida pelo governo que cada Estado-membro da UE deve oferecer aos seus cidadãos até 2026.

FranceConnect: A história de sucesso

A FranceConnect — a federação nacional de identidade da França — tem estado operacional desde 2016 e tem mais de 43 milhões de utilizadores, conectada a mais de 1.400 serviços.

Keycloak e Authentik: Identidade soberana para organizações

O Keycloak é o peso pesado. Projeto incubador da CNCF, suporta SSO via SAML 2.0, OpenID Connect e OAuth 2.0.

O Authentik é a alternativa mais recente — mais fácil de configurar, com uma interface mais limpa.

FIDO2 e Passkeys

O FIDO2/WebAuthn substitui passwords por criptografia de chave pública. Chaves FIDO2 de hardware (YubiKey, SoloKeys, Nitrokey) — a chave privada nunca sai do dispositivo físico. Zero dependência de empresas norte-americanas para autenticação.

O que se segue

Este mês: Audite a sua cadeia de fornecimento de identidade. Saiba onde vivem os seus dados de identidade.

Este trimestre: Implemente FIDO2 para utilizadores de alta segurança. Uma YubiKey custa 50€; uma violação de credenciais custa ordens de magnitude mais.

Este ano: Avalie Keycloak ou Authentik para aplicações internas.

Antes de 2027: Prepare-se para o eIDAS 2.0.

Fontes

• Receita FY2025 e quota de mercado da Okta (relações com investidores)
• Estatísticas de utilização do DigiD (Logius, governo neerlandês)
• Estatísticas FranceConnect (DINUM)
• Regulamento eIDAS 2.0 (EUR-Lex)
• Keycloak junta-se à CNCF (blog CNCF, 2023)
• Estatísticas de adoção de passkeys (FIDO Alliance, 2025)

Visão geral temática: Identidade & Autenticação