O CPQD vai desenvolver um sistema de credencial verificável multifacetado baseado em blockchain com recurso do Funttel (Fundo para o Desenvolvimento Tecnológico das Telecomunicações), do Ministério das Comunicações, e gestão da Finep. A ideia é que o token seja usado por pessoas, empresas, instituições e governo e funcione para verificação de credenciais, conforme o padrão W3C, para acesso a sites (como Gov.br), bancos ou aplicações específicas para telecomunicações com o intuito de combater fraudes no serviço de telefonia.
O projeto começou a ser desenvolvido em dezembro de 2025 e, em quatro meses, já tem um protótipo de bancada sendo testado. Mas o projeto, com previsão de investimento de R$ 16,82 milhões, deve durar três anos, ou seja, deve ser validado e entrar comercialmente no mesmo período em que o Origem Verificada, das operadoras com supervisão da Anatel, deve se tornar obrigatório para as operadoras.
Em conversa com Mobile Time, Gustavo Correa Lima, diretor de Tecnologia e Inovação do CPQD, explicou as diferenças com o Origem Verificada, projeto desenvolvido pelas operadoras e que a Anatel tornou obrigatório a partir de 2028.
Diferente dos sistemas atuais que dependem da infraestrutura das operadoras, essa tecnologia propõe uma validação ponta a ponta que autentica a identidade do originador de chamadas ou acessos a aplicativos. O sistema pretende combater fraudes telefônicas e digitais ao permitir que empresas e cidadãos comprovem sua autenticidade de forma descentralizada e segura por meio do blockchain. Além de chamadas telefônicas, a solução é multifacetada, podendo ser aplicada em serviços de governo, bancos e na proteção da privacidade de dados pessoais.
Batizada de Tecnologias Descentralizadas para Confiança na Internet, a iniciativa é fruto do desdobramento de um estudo anterior do instituto — encerrado no fim de 2025 — que já investigava mecanismos de segurança de identidades para o governo. Nesta nova fase, o objetivo é escalar as soluções utilizando diretrizes emergentes da Web3 e credenciais padronizadas pelo W3C.
Embora o projeto esteja apenas no quarto mês, a equipe técnica já conta com um protótipo de bancada em operação. Para que o ecossistema atinja seu potencial máximo, a etapa seguinte envolverá testes-pilotos para integrar essa malha de validação a sistemas de bancos, operadoras e aplicativos estatais. Para isso, Lima convocou empresas – como operadoras e bancos – a participarem do projeto.
Gustavo Lima, diretor de tecnologia e inovação do CPQD. Crédito: divulgação
De acordo com o executivo do CPQD, neste novo ecossistema, todos precisam estar integrados ao blockchain – usuários, bancos, governo, empresas, operadoras etc.
“Funciona como uma carteira digital que conversa com a rede blockchain. Se um banco quer ligar para um cliente, a aplicação dele vai atestar, usando a sua credencial, informações como o CNPJ da instituição. À medida que as empresas e operadoras percebem o valor de não terem seus clientes lesados e não precisarem arcar com os custos burocráticos de um ressarcimento por fraude, ocorre o efeito de rede e elas vão aderindo ao sistema”, explica.
Diferenças entre proposta do CPQD e Origem Verificada
As principais diferenças entre a solução em desenvolvimento pelo CPQD e o protocolo Stir/Shaken, atual Origem Verificada, envolvem a infraestrutura tecnológica utilizada, a capacidade de abrangência das chamadas e a dependência de atualizações nos aparelhos:
Infraestrutura e nível de operação: O Stir/Shaken opera no nível da rede de telecomunicações, ou seja, é totalmente dependente da infraestrutura das operadoras. Por outro lado, o sistema do CPQD funciona como uma nova camada de segurança ponta a ponta, baseada em uma rede auxiliar descentralizada em blockchain, o que significa que a validação de autenticidade ocorre de forma independente da rede telefônica.
Capacidade de verificar chamadas em apps OTT (como WhatsApp): Por estar atrelado à rede tradicional das operadoras, o Stir/Shaken não consegue autenticar chamadas feitas por aplicativos over-the-top (OTT), como é o caso do WhatsApp. O projeto em desenvolvimento do CPQD pretende autenticar essas ligações, pois o sistema verifica diretamente o certificado digital da pessoa ou da empresa que está ligando, permitindo validar a autenticidade da chamada independentemente do canal ou da rede de origem. O token de autenticação está no blockchain e não nas redes das operadoras.
Redes legadas e alterações de hardware: O Origem Verificada apresenta vulnerabilidades quando as chamadas trafegam por redes legadas (fora do padrão VoIP) e exige mudanças no firmware dos celulares para atestar a origem verificada, criando obstáculos em aparelhos mais antigos ou de determinados fabricantes, como a Apple. A credencial do CPQD contorna esse gargalo, pois pode ser embutida e checada diretamente nos aplicativos (como o app de um banco), sem depender de alterações no sistema operacional do aparelho por parte das fabricantes.
Centralização vs. Descentralização: Enquanto soluções atuais de mercado muitas vezes dependem de consultas a bases de dados centralizadas, o projeto do CPQD utiliza uma abordagem descentralizada (blockchain), devolvendo ao titular da informação o controle sobre o fornecimento e a validação de seus dados pessoais.
Apesar de todas essas diferenças estruturais e práticas, a tecnologia do CPQD não tem o objetivo de substituir a solução desenvolvida pelas operadoras com o aval da Anatel. Muito pelo contrário. A ideia é que essas soluções funcionem como uma camada adicional de segurança para o ecossistema de comunicações.
“O Stir/Shaken (Origem Verificada) trabalha em nível de rede, ou seja, depende da infraestrutura das operadoras e da origem verificada atrelada a ajustes no firmware dos celulares. Ele traz ganhos, mas ainda deixa algumas vulnerabilidades que podem ser exploradas, especialmente quando as chamadas passam por redes legadas. Já o nosso projeto atua com credenciais verificáveis descentralizadas baseadas em tecnologia blockchain. A verificação de autenticidade não depende da rede de telecomunicações, mas de uma rede auxiliar descentralizada”, resume Lima.
“De forma alguma almejamos nos posicionar como um substituto do Stir/Shaken [Origem Verificada]. Quanto mais opções, melhor”, comentou Lima.
Outro desafio do Origem Verificada é com relação aos dispositivos Apple, que ainda possuem limitações por conta do sistema operacional iOS e, muitas vezes, exibem o selo de número validado apenas no histórico de chamadas, e não na tela inicial enquanto o telefone está tocando. De acordo com Lima, a solução pensada pelo CPQD não necessariamente dependerá da fabricante do dispositivo para inserir o firmware. A solução pode estar no app a ser usado.
“Se eu tenho o app de um banco na App Store, quem tem que ‘imputar’ a checagem de credencial pode ser o próprio banco. Não depende da mudança do firmware da Apple”, diz.
Desafios do CPQD
“O projeto ainda está muito no início, a gente ainda está muito na prospecção tecnológica, mas certamente a gente vai ter que superar esse tipo de desafio para ele se tornar uma solução de mercado bem disseminada, temos que nos engajar com todo o ecossistema, entre eles os fabricantes.
Além de engajar os fabricantes para a aplicação da solução, entre os desafios está também a baixa latência, necessária para a rede blockchain operar para fazer uma validação de uma chamada. “É esse tipo de desafio tecnológico que o projeto se propõe superar. E, para isso, as operadoras estão convidadas a fazer esse acompanhamento e a participarem do projeto, a fazerem o piloto conosco”, chama o executivo do CPQD.
