Sandbox de Blockchain Europeu: Lições Aprendidas

Construindo uma Solução de Identidade Web3

padding: 12px;

background: var(–button-shadow-color-normal);

border-radius: 8px;

">

TL;DR:

O Sandbox Europeu de Blockchain concluiu sua segunda coorte, apresentando a Solução de Conhecimento do Cliente Tokenizada da IOTA Foundation com IDnow, walt.id e Bloom Wallet. O Sandbox forneceu lições importantes sobre verificação de identidade compatível e que preserva a privacidade no Web3, incluindo o uso de verificação off-chain, tokens soulbound e práticas de carteira e nó alinhadas ao GDPR.

Concluímos a nossa participação no European Blockchain Sandbox, uma iniciativa de três anos da Comissão Europeia que oferece a projetos inovadores de livro-razão distribuído a oportunidade de testar suas soluções com reguladores em toda a Europa. A cada ano, 20 projetos são selecionados para participar, e a IOTA Foundation fez parte da segunda coorte, que decorreu de junho de 2024 a março de 2025.

A nossa contribuição focou na Solução Tokenizada de Conhecimento do Cliente (KYC), desenvolvida em conjunto com IDnow**,** walt.id**,** e Bloom Wallet. Esta solução de prova de conceito permite que os utilizadores verifiquem a sua identidade fora da cadeia e recebam uma prova tokenizada na sua carteira. Isso permite que dApps, exchanges e outros serviços confirmem os requisitos de elegibilidade (, como a verificação de idade), sem expor dados sensíveis na cadeia.

O encerramento do sandbox é marcado pelo Relatório de Melhores Práticas da Comissão Europeia para a segunda coorte. O relatório compartilha recomendações e melhores práticas do programa, oferecendo orientações valiosas para qualquer pessoa que desenvolva soluções de DLT e navegue nas suas implicações regulatórias.

Principais Conclusões do Sandbox: Compartilhando Dados de Clientes

Um foco importante no Sandbox foi como as regras de Combate à Lavagem de Dinheiro (AML) e KYC se aplicam na prática. Os reguladores enfatizaram que as exchanges de criptoativos e outros prestadores de serviços têm a obrigação legal de conhecer as identidades de seus usuários. É por isso que nossa Solução KYC Tokenizada permite que a entidade responsável pela realização de uma verificação KYC obtenha acesso a dados pessoais verificados do provedor de verificação de identidade (no nosso caso, IDnow). Da mesma forma, autoridades como a polícia podem solicitar dados pessoais vinculados a um token (soulbound) não transferível específico.

Para facilitar a integração de clientes, as empresas podem, por vezes, reutilizar dados KYC que outra entidade já coletou. Mas as regras para fazer isso variam por toda a Europa. Em alguns países, os dados só podem ser compartilhados entre entidades da mesma categoria, enquanto o compartilhamento mais amplo requer aprovação especial das autoridades nacionais. Felizmente, a próxima Regulamentação Anti-Lavagem de Dinheiro (AMLR) deve harmonizar essas regras relativas ao uso de informações de clientes coletadas por outras entidades.

Principais Conclusões do Sandbox: Tokens Soulbound

O Relatório também destacou aprendizados-chave sobre carteiras auto-hospedadas, KYC e como os dados são classificados em DLTs públicas e permissionless como a IOTA. Na nossa Solução de KYC Tokenizado, apenas tokens soulbound são registrados na blockchain. Esses tokens não contêm dados pessoais em si, mas provam que o processo de KYC foi concluído, com os dados subjacentes de KYC armazenados com segurança fora da blockchain. O Sandbox observou que tais tokens ainda podem ser tratados como dados pessoais pseudonimizados, o que significa que o GDPR se aplica. Como essa classificação pode evoluir com novas jurisprudências e diretrizes, ela requer revisão contínua. Para minimizar os riscos à proteção de dados, nossa solução segue uma abordagem de proteção de dados por design, limitando a quantidade e o tipo de dados compartilhados na blockchain. Isso segue o princípio da proteção de dados por design.

Principais Conclusões do Sandbox: Provedores de Wallet e Operadores de Nó

Outro tópico importante no Sandbox foi como os provedores de carteiras e os operadores de nós são classificados sob o GDPR.

• O relatório conclui que fornecedores de carteiras auto-hospedadas não são considerados controladores ou processadores de dados se a carteira funcionar exclusivamente no dispositivo do usuário sem depender de um backend externo. Na nossa Solução de KYC Tokenizado, os dados de identidade verificados permanecem fora da cadeia com a IDnow, enquanto a carteira auto-hospedada do usuário mantém apenas uma atestação KYC vinculada à alma. Este design está alinhado com a orientação do GDPR: a responsabilidade pelos dados pessoais recai sobre as entidades que realmente acessam ou os utilizam – por exemplo, a IDnow para verificação e armazenamento de dados fora da cadeia e, quando aplicável, um serviço de integração como um dApp ou exchange quando solicita ou utiliza os dados de forma legal.
• A classificação do GDPR de operadores de nós requer uma nuance cuidadosa. Como comentamos recentemente sobre as diretrizes do Comitê Europeu de Proteção de Dados para dados pessoais em blockchains, os nós desempenham apenas funções técnicas; eles não determinam nem controlam os propósitos do processamento de dados. Tratar esses nós como controladores distorceria seu papel e imporia obrigações desproporcionais. Nossa Solução KYC Tokenizada reforça essa distinção. Os dados de identidade verificados permanecem fora da cadeia com a IDnow, enquanto a cadeia registra apenas uma atestação KYC não transferível sem atributos pessoais. Os nós simplesmente retransmitem ou validam essa atestação pseudonimizada e nunca acessam o conjunto de dados de identidade. Mesmo que tais atestações se qualifiquem como dados pessoais, o design minimiza a exposição na cadeia e garante que a responsabilidade recaia sobre as entidades que realmente processam informações de identidade. Isso fornece um caminho viável para atender aos requisitos de AML/KYC enquanto respeita os princípios de proteção de dados.

O Futuro do KYC Tokenizado?

Novas regulamentações como o Regulamento de Transferência de Fundos e o Regulamento de Combate à Lavagem de Dinheiro exigem que entidades como as bolsas de criptoativos mantenham dados sobre o usuário de uma carteira auto-hospedada e identifiquem o proprietário da carteira auto-hospedada. Ao mesmo tempo, dApps e operadores de DeFi estão cada vez mais à procura de maneiras de permitir verificações de identidade em conformidade sem comprometer a privacidade e a segurança. Há uma necessidade crescente de ferramentas de identificação on-chain para garantir interações suaves e em conformidade nos ecossistemas Web3

A nossa prova de conceito da Solução KYC Tokenizada junta todos os passos necessários numa ferramenta fácil de usar:

• Uma parte confiável testemunha um processo de identificação e o tokeniza como um token soulbound, permitindo que dApps e outras entidades tenham confiança no processo de identificação, sem revelar as informações pessoais identificáveis reais.
• O token soulbound pode ser utilizado para processos em cadeia, permitindo interações nativas do Web3.
• A parte confiável pode revelar as informações de identidade se solicitado por uma parte autorizada (, por exemplo, a polícia ).
• A parte confiável também pode revogar o token se uma invalidação for necessária (por exemplo, mudanças na lista de vigilância).

Após a conclusão deste projeto, a Mainnet IOTA reestruturada foi lançada com uma nova arquitetura baseada na Move Virtual Machine. Para apoiar casos de uso como a Solução de KYC Tokenizado, desenvolvemos o IOTA Trust Framework, um conjunto de componentes de infraestrutura componíveis, cada um desenvolvido com privacidade, conformidade e usabilidade em mente.

Queremos agradecer à IDnow**,** walt.id**,** e Bloom Wallet pela sua dedicação e trabalho árduo neste projeto! A solução demonstrou com sucesso uma solução fácil de usar, em conformidade e que preserva a privacidade para o espaço Web3.