É o momento em que as identidades e as assinaturas digitais se tornam imprescindíveis, o que gera uma busca quase desenfreada por esse tipo de tecnologias
Por Francimara T.G. Viotti
A pandemia da Covid-19 além dos desafios diretamente relacionados à vida social, à área da saúde e da economia, traz também o desafio do trabalho remoto e dos processos virtuais, pois os criminosos do meio cibernético se aproveitam para enviar ataques, com o roubo de identidades e fraudes documentais.
O Brasil já possui uma infraestrutura capaz de facilitar enormemente esses processos e trabalhos: a Infraestrutura de Chaves Pública Brasileiras: ICP-Brasil e os Certificados Digitais emitidos no seu âmbito.
A Medida Provisória 2.200-2, de agosto de 2001, que possui força de lei pela Emenda Constitucional Nº32, instituiu a ICP-Brasil e deu validade jurídica à Assinatura Digital realizada com Certificado Digital emitido no âmbito da ICP-Brasil.
A ICP-Brasil existe há mais de 18 anos, mas muitos ainda desconhecem ou têm ideias preconcebidas de que o Certificado Digital ICP-Brasil é burocrático, caro e de difícil acesso.
Na ânsia de resolver os problemas de forma imediata, vemos as pessoas e instituições buscarem todos os tipos de soluções, hipoteticamente mais fáceis e baratas, tentando facilitar a vida das pessoas.
Essas soluções têm sido apresentadas em várias propostas normativas e legais, principalmente nesses tempos de pandemia, como uma proposta de simplificação de processos, principalmente como substituto emergencial para o uso de Certificados Digitais ICP-Brasil.
A cada dia somos surpreendidos com novas normas e leis, buscando dar validade jurídica a outros tipos de assinaturas. Embora o esforço seja louvável, é preciso ter cuidado com essas soluções, pois muitas delas terminam por facilitar também a vida dos bandidos e fraudadores, o que pode gerar danos irreversíveis e nos levar a um sistema completamente caótico.
Alguns querem simplesmente digitalizar uma assinatura manuscrita e incluir em documentos eletrônicos, para dar-lhes garantia de autoria. Mas, não basta apenas incluir um código ao final de um documento eletrônico, seja esse código uma imagem, uma tecnologia biométrica ou similar, para garantir a integridade desses documentos.
Assim como os bandidos e fraudadores se aproveitam para incluir códigos maliciosos que roubam senhas e dados, podem perfeitamente interceptar esses documentos e incluir outras informações, sejam durante a sua transmissão, seja em seus locais de armazenamento. Tudo depende de quais tecnologias estão sendo usadas para proteger esses documentos.
Um caso de uso de imagem de assinatura manuscrita foi apresentado pelo Projeto de Lei para a Telemedicina, aprovado pelo Congresso e encaminhando à Presidência da República. Felizmente, o artigo que incluía essa possibilidade foi vetado, pois os casos de fraudes em receitas médicas, principalmente para as medicações controladas, poderiam levar a um aumento das facilidades para o crime organizado e pôr em risco, ainda mais, a saúde das pessoas, dentre outros problemas.
A proposta de uso de uma imagem da assinatura manuscrita, mostra nossa “inocência” sobre como são feitas assinaturas fraudulentas no mundo natural e o quanto que isso se torna mais fácil, quando essa assinatura é transportada para o mundo virtual. Atualmente a manipulação de imagens virou quase uma brincadeira e até mesmo pessoas com pouca experiência são capazes de realizá-las.
Ficam então algumas questões: como garantir que a imagem da assinatura naquele documento foi produzida por quem realmente é o autor daquela assinatura? Mesmo que a assinatura seja realmente do autor e que ele tenha realmente incluído a assinatura no documento, como garantir que aquele documento não foi alterado depois que aquela imagem foi incluída? O que pode garantir que o autor da assinatura não dirá simplesmente que não foi ele que incluiu aquela imagem no documento (não repúdio)?
Vamos, então, para uma outra solução que muitos tem defendido: a biometria! Uma biometria é uma característica única, de cada indivíduo, que não permite que alguém se passe pelo outro, mas quando vamos para o mundo virtual, as coisas não funcionam da mesma forma. No mundo virtual, uma característica biométrica ao ser capturada se transforma em um conjunto de dados (bits e bytes) que precisa ser adequadamente protegido, para não ser roubado ou adulterado.
Passamos, então, a ter problemas similares aos das imagens de assinaturas manuscritas.
Como garantir que aquela característica biométrica não foi interceptada ou adulterada e mesmo que isso não tenha ocorrido, como garantir a integridade do documento? Não existe nenhuma função inerente à tecnologia biométrica que possa “amarrar” o conteúdo do documento com a sua autoria.
Um modelo baseado em biometria facial já está em uso por algumas entidades, como é o caso da Junta Comercial do Estado do Rio de Janeiro. Nessa solução, falando em termos bem simplificados, é feita a captura e comparação da biometria facial com um cadastro pré-existente e, a partir daí, é gerado um certificado digital (token) temporário, para criptografar e assinar o documento. Nesse caso, o usuário paga por cada assinatura.
A solução utilizada, a nosso ver, embora seja muito eficiente para uso como prova de vida em ambiente virtual, não apresenta evidências de que agrega os mesmos atributos de segurança que um Certificado Digital emitido pela ICP-Brasil, principalmente para garantia de integridade e não repúdio de documentos de forma eletrônica.
É necessário que se registre como se processa a garantia da integridade dos documentos e quem, ou qual órgão, se responsabiliza por atestar essa integridade para futuras verificações. Não se percebe uma definição e responsabilização de ente para tal. Além disso, a solução é vista como um certificado digital temporário, então como verificar se o documento se mantém íntegro ao longo do tempo?
A MP 2.200-2, de agosto de 2001, em seu art. 10 § 2º, permite que o método de assinatura usado possa ser acordado entre as partes, mas os processos de uma empresa não se resumem ao relacionamento entre empresa e Junta Comercial. Em caso de litígio, a quem cabe a responsabilidade sobre a integridade dos documentos, bem como os custos e prejuízos oriundos de ato fraudulento?
O processo de segurança da informação inclui a integridade desde o momento da geração da informação até o momento de seu descarte. Qual infraestrutura tecnológica e seus fundamentos que deverão ser implementados individualmente por cada um dos atores do processo eletrônico, para garantia dessa integridade?
Um dos tipos de fraudes eletrônicas muito conhecido é o chamado “man in the middle”,que consiste na interceptação da comunicação e inserção de dados falsos ou alterados no meio da transmissão de dados.
Será implementado algum mecanismo de criptografia para a comunicação entre as partes, de modo a impedir o acesso de terceiros durante a comunicação?
Os dados transitarão em claro para coleta da biometria e emissão do token? Todos esses aspectos necessitam de infraestrutura tecnológica, muitas vezes onerosas, para que se possa ter controle ou mitigação dos riscos.
O Brasil possui solução que já atende a todas essas questões, com suporte legal e jurídico, dispensando a necessidade de novos instrumentos de controle e altos investimentos: o Certificado Digital da ICP-Brasil.
Embora muito se diz que um Certificado Digital da ICP-Brasil é caro, na verdade um Certificado Digital de Pessoa Jurídica custa menos de R$0,70 (setenta centavos) por dia, sendo que podem ser feitas inúmeras assinaturas, em diversos serviços durante sua validade, que é de
pelo menos um ano, e substituir custos com autenticação e reconhecimento de firmas. Para as pessoas físicas esse valor é ainda menor.
Algumas soluções de “assinaturas” com uso de biometria estão anunciadas por volta de R$3,00. Embora possa parecer um preço baixo, essa assinatura só acontece uma vez e é temporária.
Já um Certificado Digital ICP-Brasil tem uma validade temporal determinada, onde inúmeras assinaturas podem ser geradas por um único certificado digital, em inúmeros outros sistemas, uma vez que a ICP-Brasil também determina a interoperabilidade dos Certificados Digitais da ICP-Brasil.
A ICP-Brasil, não é apenas uma fornecedora de solução tecnológica, é uma infraestrutura de Estado, que possui cadeia de confiança hierárquica e garantida, com normas técnicas e fundamentadas, que permitem a garantia da autenticidade, integridade, interoperabilidade e rastreabilidade das informações.
Essa Infraestrutura é gerida por um Comitê Gestor, que exerce a função de autoridade gestora de políticas de certificação digital, composto por órgãos de Governo e da Sociedade Civil.
O Comitê é secretariado pelo Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada à Casa Civil da Presidência da República, e que tem por missão manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, auditar e fiscalizar a ICP-Brasil.
A ICP-Brasil também pode ser vista como uma Parceria Público Privada (PPP) de sucesso, com quase 20 anos de existência: mais de 50 Autoridades Certificadoras, cerca de 1.150 Autoridades de Registro e com presença em todo o território nacional, através de mais de 30.000 Agentes de Registro, responsáveis pela autenticidade e integridade das informações, entre empresas públicas e privadas.
Muitos são os benefícios decorrentes da utilização da Certificação Digital ICP-Brasil, tais como a redução do índice de fraudes e de desvios de conduta, decorrentes da rastreabilidade aferida pelo uso do certificado digital, a proteção jurídica de cidadãos e agentes públicos contra acessos maliciosos a base de dados sensíveis.
A ICP-Brasil está sensível às dificuldades trazidas pela pandemia e, da necessidade de facilitar a emissão e uso de certificados digitais, através de novas regras e procedimentos, sem ferir os instrumentos legais existentes. Atualmente já é possível fazer a emissão e renovação de Certificados Digitais remotamente, sem a necessidade de deslocamentos ou presença física para tal.
O objetivo é facilitar o processo de identificação no objeto raiz, o Certificado Digital, preservando todas as suas qualidades, para manter seguros os demais processos, sem a necessidade de uma profusão de novas regras e leis, para atender a cada processo individualmente.
Entendemos que a utilização de soluções com biometria são meritórias e inovadoras para a validação de prova de vida dos usuários de sistemas eletrônicos, mas não é suficiente “para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras”, como disposto no artigo 1º da MP 2.200- 2/2001, de 24 de agosto de 2001.
É preciso estar atento, para que não nos precipitemos buscando soluções imediatistas, pois, ao fim da pandemia, teremos novos desafios e um novo mundo a ser erguido.
É preciso que os alicerces, as boas construções, o que tínhamos de bom antes da Covid-19, sejam preservadas, sem perdermos a oportunidade de nos reinventarmos e podermos fazer de tudo isso um grande aprendizado.
- Senado aprova uso da telemedicina durante pandemia de covid-19, mas erra na alteração do texto
- Verificação de Receitas Médicas Eletrônicas com assinatura digital ICP-Brasil
- Identidade Digital: sua busca pelo Sistema Bancário Brasileiro. Por Francimara Viotti
- Francimara Viotti fala do Certificado de Atributo
- Conheça a nova Associação ligada a ICP-Brasil: ATID