O CPQD vai desenvolver um sistema de credencial verificável multifacetado baseado em blockchain com recurso do Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações), do Ministério das Comunicações, e gestão da Finep. A ideia é que o token seja usado por pessoas, empresas, instituições e governo e funcione para verificação de credenciais, conforme o padrão W3C, para acesso a sites (como Gov.br), bancos ou aplicações específicas para telecomunicações com o intuito de combater fraudes no serviço de telefonia.
O projeto começou a ser desenvolvido em dezembro de 2025 e, em quatro meses, já tem um protótipo de bancada sendo testado. Mas o projeto, com previsão de investimento de R$ 16,82 milhões, deve durar três anos, ou seja, deve ser validado e entrar comercialmente no mesmo período em que o Origem Verificada, das operadoras com supervisão da Anatel, deve se tornar obrigatório para as operadoras.
Em conversa com Mobile Time, Gustavo Correa Lima, diretor de Tecnologia e Inovação do CPQD, explicou as diferenças com o Origem Verificada, projeto desenvolvido pelas operadoras e que a Anatel tornou obrigatório a partir de 2028.
Diferente dos sistemas atuais que dependem da infraestrutura das operadoras, essa tecnologia propõe uma validação ponta a ponta que autentica a identidade do originador de chamadas ou o acesso a aplicativos. O sistema pretende combater fraudes telefônicas e digitais ao permitir que empresas e cidadãos comprovem sua autenticidade de forma descentralizada e segura por meio do blockchain. Além de chamadas telefônicas, a solução é multifacetada, podendo ser aplicada em serviços de governo, bancos e na proteção da privacidade de dados pessoais.
Batizada de Tecnologias Descentralizadas para Confiança na Internet, a iniciativa é fruto do desdobramento de um estudo anterior do instituto — encerrado no fim de 2025 — que já investigava mecanismos de segurança de identidades para o governo. Nesta nova fase, o objetivo é escalar as soluções utilizando diretrizes emergentes da Web3 e credenciais padronizadas pelo W3C.
Embora o projeto esteja apenas no quarto mês, a equipe técnica já conta com um protótipo de bancada em operação. Para que o ecossistema atinja seu potencial máximo, a etapa seguinte envolverá testes-piloto para integrar essa malha de validação a sistemas de bancos, operadoras e aplicativos estatais. Para isso, Lima convocou empresas – como operadoras e bancos – a participarem do projeto.
Gustavo Lima, diretor de tecnologia e inovação do CPQD. Crédito: divulgação
De acordo com o executivo do CPQD, neste novo ecossistema, todos precisam estar integrados ao blockchain – usuários, bancos, governo, empresas, operadoras etc.
“Funciona como uma carteira digital que conversa com a rede blockchain. Se um banco quer ligar para um cliente, a aplicação dele vai atestar, usando a sua credencial, informações como o CNPJ da instituição. À medida que empresas e operadoras percebem o valor de não terem seus clientes lesados e não precisarem arcar com os custos burocráticos de um ressarcimento por fraude, ocorre o efeito de rede e elas vão aderindo ao sistema”, explica.
Diferenças entre proposta do CPQD e Origem Verificada
As principais diferenças entre a solução em desenvolvimento pelo CPQD e o protocolo Stir/Shaken, atual Origem Verificada, envolvem a infraestrutura tecnológica utilizada, a capacidade de abrangência das chamadas e a dependência de atualizações nos aparelhos:
Infraestrutura e nível de operação: O Stir/Shaken opera no nível da rede de telecomunicações, ou seja, é totalmente dependente da infraestrutura das operadoras. Por outro lado, o sistema do CPQD funciona como uma nova camada de segurança ponta a ponta, baseada em uma rede auxiliar descentralizada em blockchain, o que significa que a validação de autenticidade ocorre de forma independente da rede telefônica.
Capacidade de verificar chamadas em apps OTT (como WhatsApp): Por estar atrelado à rede tradicional das operadoras, o Stir/Shaken não consegue autenticar chamadas feitas por aplicativos over-the-top (OTT), como é o caso do WhatsApp. O projeto em desenvolvimento do CPQD pretende autenticar essas ligações, pois o sistema verifica diretamente o certificado digital da pessoa ou da empresa que está ligando, permitindo validar a autenticidade da chamada independentemente do canal ou da rede de origem. O token de autenticação está no blockchain e não nas redes das operadoras.
Redes legadas e alterações de hardware: O Origem Verificada apresenta vulnerabilidades quando as chamadas trafegam por redes 2G e 3G, além de exigir mudanças no firmware dos celulares para atestar a origem verificada, criando obstáculos em aparelhos mais antigos ou de determinados fabricantes, como a Apple. A credencial do CPQD contorna esse gargalo, pois pode ser embutida e checada diretamente nos aplicativos (como o app de um banco), sem depender de alterações no sistema operacional do aparelho por parte das fabricantes.
Centralização vs. Descentralização: Enquanto soluções atuais de mercado muitas vezes dependem de consultas a bases de dados centralizadas, o projeto do CPQD utiliza uma abordagem descentralizada (blockchain), devolvendo ao titular da informação o controle sobre o fornecimento e a validação de seus dados pessoais.
Apesar de todas essas diferenças estruturais e práticas, a tecnologia do CPQD não tem o objetivo de substituir a solução desenvolvida pelas operadoras com o aval da Anatel. Muito pelo contrário. A ideia é que essas soluções funcionem como uma camada adicional de segurança para o ecossistema de comunicações.
“O Stir/Shaken (Origem Verificada) trabalha em nível de rede, ou seja, depende da infraestrutura das operadoras e da origem verificada atrelada a ajustes no firmware dos celulares. Ele traz ganhos, mas ainda deixa algumas vulnerabilidades que podem ser exploradas, especialmente quando as chamadas passam por redes legadas. Já o nosso projeto atua com credenciais verificáveis descentralizadas baseadas em tecnologia blockchain. A verificação de autenticidade não depende da rede de telecomunicações, mas de uma rede auxiliar descentralizada”, resume Lima.
“De forma alguma almejamos nos posicionar como um substituto do Stir/Shaken [Origem Verificada]. Quanto mais opções, melhor”, acrescentou.
Outro desafio do Origem Verificada é com relação aos dispositivos Apple, que ainda possuem limitações por conta do sistema operacional iOS e, muitas vezes, exibem o selo de número validado apenas no histórico de chamadas, e não na tela inicial enquanto o telefone está tocando. De acordo com Lima, a solução pensada pelo CPQD não necessariamente dependerá da fabricante do dispositivo para inserir o firmware. A solução pode estar no app a ser usado.
“Se eu tenho o app de um banco na App Store, quem tem que ‘imputar’ a checagem de credencial pode ser o próprio banco. Não depende da mudança do firmware da Apple”, diz.
Desafios do CPQD
“O projeto ainda está muito no início, a gente ainda está muito na prospecção tecnológica, mas certamente teremos que superar esse tipo de desafio para que se torne uma solução de mercado bem disseminada. Temos que nos engajar com todo o ecossistema, entre eles os fabricantes”, avalia.
Além de engajar os fabricantes para a aplicação da solução, entre os desafios está também a baixa latência, necessária para a rede blockchain operar para fazer uma validação de uma chamada. “É esse tipo de desafio tecnológico que o projeto se propõe superar. E, para isso, as operadoras estão convidadas a fazer esse acompanhamento e a participarem do projeto e fazerem o piloto conosco”, convoca o executivo do CPQD.
