Em 2020, um expatriado foi preso em Dubai por supostamente usar o Emirates ID de outra pessoa para receber cheques num esquema de fraude no valor de 350.000 dirhams, envolvendo cúmplices e múltiplas transações. Este caso sublinhou como os documentos de identificação podem ser utilizados se as pessoas não seguirem os protocolos de acesso e verificação.
Fontes de risco de vazamento de dados
O risco de fraude nem sempre começa com esquemas criminosos organizados. Na maioria das vezes, ele surge em situações rotineiras, quando aos residentes é oferecido que enviem ou partilhem cópias do Emirates ID em lojas, pontos de entrega ou centros de serviço. No entanto, tais pedidos aparentemente padrão podem levar ao vazamento de dados pessoais confidenciais se forem copiados, guardados ou divulgados sem proteção adequada.
Os cartões Emirates ID contêm vastas informações biométricas e pessoais, incluindo número de residência, dados do passaporte, impressões digitais e digitalizações da íris. Se manuseados incorretamente, armazenados de forma insegura ou divulgados descontroladamente, podem ser usados para falsificação de identidade, fraude ou sequestro de contas.
Recomendações das autoridades dos EAU
Especialistas que conversaram com o Khaleej Times observaram que o problema não reside na existência do cartão em si, mas sim na duplicação incontrolada dos seus dados em operações quotidianas, que frequentemente ocorrem fora de sistemas regulamentados. As autoridades dos EAU aconselharam os residentes a evitar o envio de informações sensíveis e a saber distinguir os requisitos legais de verificação dos pedidos desnecessários de recolha de dados. Nem todas as organizações têm o direito legal de guardar uma cópia do Emirates ID.
Regras do ICP e legislação dos EAU
A Autoridade Federal de Identidade, Cidadania, Alfândega e Segurança Portuária (ICP) alertou que os cartões Emirates ID não devem ser usados para incentivos comerciais, como descontos ou bónus, nem fornecidos como garantia para serviços. A autoridade também salientou que as empresas privadas não podem guardar documentos de identificação, a menos que seja permitido por lei, e proíbe a sua retenção sem autorização judicial ou oficial.
De acordo com o Decreto-Lei Federal n.º 45 de 2021 sobre a proteção de dados pessoais, qualquer estrutura que recolha, armazene, copie ou utilize dados do Emirates ID está a processar dados pessoais. Tal processamento deve ser lícito, justo, transparente e limitado a um propósito específico, com medidas de segurança robustas contra acesso não autorizado, abuso ou divulgação.
Quando um pedido de Emirates ID é legal
Um especialista jurídico considera que a questão não é se os pedidos de Emirates ID são válidos em princípio, mas se são proporcionais e devidamente controlados. Nikhat Sardar Khan, advogada em litígios e DIFC, afirmou: «A questão não é que o Emirates ID nunca possa ser solicitado». Ela esclareceu que algumas organizações podem ter base legal para tal pedido — por exemplo, para KYC, conformidade bancária, registo de telecomunicações ou abertura de conta de cliente. No entanto, o pedido deve ser proporcional. Copiar ou armazenar dados do Emirates ID sem um propósito legal não é justificável, e a organização deve garantir que não serão usados indevidamente.
Ela acrescentou que as pessoas têm meios legais de defesa em caso de uso indevido. Os titulares dos dados podem apresentar queixas contra organizações que violam a lei no tratamento dos seus dados, bem como exigir a correção, eliminação, limitação ou acesso às suas informações. Em casos mais graves relacionados com violações, as organizações também têm obrigações de notificação e relatório.
Exemplo de fraude em Dubai
Nikhat também apresentou um exemplo de um caso judicial em Dubai para demonstrar como o uso indevido de documentos de identificação pode levar a grandes fraudes. O tribunal de Dubai estava a julgar uma disputa relacionada com um funcionário que supostamente usou o Emirates ID do seu empregador para abrir uma conta corporativa e apresentar-se como signatário autorizado. Antes da partida do empregador, o funcionário supostamente recebeu um cheque de pequeno valor e depois alterou o seu valor na ausência dele. Ele também desativou os alertas SMS bancários do empregador através do canal de telecomunicações, reduzindo a visibilidade das transações. A situação agravou-se quando uma nova conta corporativa foi aberta e o funcionário tornou-se signatário autorizado, presumivelmente porque os prestadores de serviços não verificaram tudo adequadamente. O valor do cheque aumentou de cerca de 96 dirhams para 1.000.000 de dirhams, permitindo o levantamento de cerca de 350.000 dirhams. Parte dos fundos foi devolvida. Nikhat observou: «O caso foi apenas parcialmente bem-sucedido, pois o Tribunal estabeleceu que o empregador também foi negligente ao deixar o Emirates ID acessível no escritório».
Como os cibercriminosos utilizam os dados
O especialista em cibersegurança Rayad Kamal Ayub, da Rayad Group, afirmou que a fraude relacionada com o Emirates ID geralmente segue esquemas conhecidos, e não são incidentes isolados. Ele listou cenários comuns de fraude: fraude de troca de SIM, falsificação de KYC, engenharia social relacionada com o UAE PASS e «costura» de identidade. A fraude de troca de SIM envolve o uso de dados pessoais para tomar controlo de contas de telecomunicações e interceptar OTP bancários. A falsificação de KYC cria contas mule ou perfis financeiros fraudulentos. A «costura» de identidade combina fragmentos de vazamentos de dados, como informações de contacto, para criar perfis de identidade completos com fins fraudulentos.
Rayad também apontou para uma vulnerabilidade operacional constante associada à troca informal de documentos. Ele observou: «Uma das fraquezas mais persistentes continua a ser a troca informal de documentos. Os residentes são frequentemente solicitados a enviar cópias do Emirates ID através do WhatsApp, e-mail ou outros canais não seguros para serviços como verificação de entrega, controlo de acesso ou processamento administrativo. Após a troca, as pessoas muitas vezes perdem o controlo sobre onde os dados estão armazenados, quem tem acesso a eles e por quanto tempo são mantidos».
Segurança do sistema Emirates ID
O sistema Emirates ID foi concebido para garantir uma identificação segura. O chip do cartão contém dados encriptados, acessíveis apenas por sistemas autorizados. Além disso, o cartão possui vários recursos de segurança física, e a base de dados principal armazena registos de identificação para verificações oficiais. Rayad explicou: «A maioria dos riscos não provém do próprio sistema. Algo simples, como digitalizar, fotografar, enviar por e-mail ou reenviar uma cópia do Emirates ID, é considerado 'processamento' de dados pessoais de acordo com a Lei de Proteção de Dados. Isso implica obrigações legais para as organizações aplicarem os princípios de minimização de dados, limitação de finalidade e armazenamento seguro».
Medidas de proteção de dados do Emirates ID
Reguladores e especialistas em cibersegurança concordam num conjunto simples de passos que tanto indivíduos como organizações devem seguir. As principais recomendações incluem: partilhar dados do Emirates ID apenas quando estritamente necessário e para um propósito definido; preferir a verificação através do UAE PASS sempre que possível em vez de trocar documentos; adicionar marcas d'água, datas e metadados a quaisquer cópias fornecidas; evitar o envio de imagens do Emirates ID através do WhatsApp ou canais não seguros; nunca fornecer cópias do Emirates ID juntamente com credenciais bancárias ou OTP; verificar a legitimidade dos pedidos, especialmente em situações informais ou espontâneas; e armazenar de forma segura quaisquer cópias recolhidas utilizando encriptação e controlo de acesso.