O Unified Attestation é uma alternativa livre e open-source ao Google Play Integrity, lançada por um consórcio industrial europeu liderado pela Volla Systeme GmbH, com parceiros como Murena e Iodé. Ele visa permitir que apps bancários, governamentais e de carteira digital funcionem em ROMs Android customizadas e em dispositivos sem serviços Google. A arquitetura entrega tokens de integridade de curta duração (60 segundos TTL) assinados por um backend único, verificados offline por servidores de aplicação, e é distribuída sob licença Apache 2.0 com código no GitHub e SDKs para Android, JavaScript e Python.
E daí?
Esta iniciativa expõe o Google Play Integrity como um ponto de estrangulamento estrutural no ecossistema Android, atuando como um 'gatekeeper' que exclui dispositivos não certificados pelo Google. Isso afeta não apenas entusiastas de ROMs customizadas, mas também impede que centenas de milhares de cidadãos europeus acessem serviços essenciais como a Carteira de Identidade Digital da UE (EUDI Wallet), que atualmente exige Play Integrity. O debate ativo nos repositórios do EUDI Wallet e o Digital Markets Act (DMA) da UE indicam que a verificação de integridade é um gargalo regulatório.
O que muda?
O Unified Attestation pode quebrar o monopólio de facto do Google sobre a definição de 'dispositivo confiável' em Android, criando um precedente para uma verificação de integridade aberta e federada. O modelo de certificação mútua por pares entre fabricantes de ROMs pode gerar um ecossistema paralelo de confiança descentralizada, análoga a uma 'web of trust'. Além disso, oferece aos governos europeus uma via técnica para cumprir o DMA sem depender de infraestrutura americana, permitindo exigir suporte a atestações alternativas para apps governamentais.
Se sinal crescer
Se o sinal escalar, os desdobramentos seriam sistêmicos: (a) bancos e fintechs europeus, pressionados pelo DMA e pela demanda dos reguladores, começariam a aceitar tokens do Unified Attestation como equivalentes ao Play Integrity, criando um mercado de atestação plural; (b) o EUDI Wallet poderia adotar o padrão como alternativa obrigatória ao Play Integrity, tornando o suporte a ROMs alternativos um requisito legal para carteiras de identidade digital em toda a UE; (c) o modelo poderia ser replicado por governos do Sul Global que buscam soberania digital e independência de infraestrutura americana (a lógica é análoga ao caso da fábrica de tratores Brasil-China: substituir dependência tecnológica por capacidade local); (d) fabricantes de dispositivos Android fora do ecossistema Google (como os smartphones africanos baseados em KaiOS ou AOSP puro) ganhariam acesso a apps financeiros, ampliando inclusão digital em mercados emergentes; (e) Google seria forçado a abrir ou modularizar o Play Integrity, transformando-o de gatekeeper proprietário em um entre vários provedores de atestação — uma mudança estrutural comparável ao que o PSD2 fez com os dados bancários na Europa.
Imagens

