Quanto à legislação e às regulamentações das Assinaturas Eletrônicas, desde 2020, o Brasil busca igualar-se a Europa. A lei 14.063/2020 espelha-se no padrão europeu eIDAs1 para classificar as espécies de Assinaturas Eletrônicas Simples, Avançadas e Qualificadas.
Por Marcelo Buz
Para cada uma especificação técnica existe um nível de exigência mínimo, um nível de segurança que seja apropriado.
No que tange às Assinaturas Qualificadas, observa-se que os requisitos técnicos mais elevados as oportunizam efeitos legais singulares, como a Inversão do Ônus da Prova, Não Repúdio e Presunção de Validade Jurídica.
Estes valiosos efeitos e diferenciais jurídicos derivam justamente dos requisitos técnicos, físicos, lógicos e procedimentais.
No mundo inteiro, um dos requisitos para uma chave criptográfica ser Qualificada é a exigência de ser gerada e armazenada em hardware criptográfico (dispositivos para guarda com alto grau de segurança). O Certificado Digital ICP-Brasil do tipo A1, gerado em software, é uma heresia quando se fala de infraestruturas de chaves públicas qualificadas.
O fato dele poder ser copiado, duplicado e armazenado em qualquer lugar fere os princípios elementares da custódia, gestão e governança das infraestruturas qualificadas. Mesmo que tecnicamente não se possa afirmar que esse modelo de certificado é qualificado, para o direito brasileiro é, e ponto.
As relações comerciais internacionais impõem ao ambiente de negócio mundial a geração de documentos nato-digitais que precisam ter validade para além das fronteiras nacionais.
O Brasil mesmo, por exemplo, é percursos e signatário de acordos internacionais de reconhecimento mútuo de assinaturas eletrônicas dos países signatários. Uma realidade nas relações internacionais no âmbito do Mercosul, Peru e logo para Europa. O reconhecimento internacional oficial de assinaturas em documentos eletrônicos transfronteiriços, se dá exclusivamente através das infraestruturas qualificadas, aqui a ICP-Brasil, uma vez que somente elas podem atestar padrões, métodos, rotinas consequencite segurança jurídica.
Entretando, em 2024 haverá um fato relevante na ICP-Brasil: uma nova Cadeia Criptográfica será lançada. Com vista de substituir a V5, comumente usada para emissão de mais de 90% dos Certificados Digitais, e que está se aproximando de seu ciclo de vida final, uma vez que, em 2029, ela expira, e a próxima cadeia criptográfica, provavelmente a V13, será publicada.
Esta é uma oportunidade única para aumentarmos os requisitos da nossa ICP qualificada e aumentarmos a competitividade da indústria brasileira. Antes disso acontecer, a continuidade de um certificado digital gerado e armazenado em arquivo, com a possibilidade de ser copiado, continuar fazendo parte das Assinaturas Qualificadas deve ser amplamente discutida e com altivez descartada.
A V13 tende a substituir o A1 pelo Selo Eletrônico. Tecnicamente, muito parecido com o Certificado Digital, porém desvinculado do CPF e sem a prerrogativa de assinatura. Apenas como um “carimbo da empresa”, suficiente para emissão de notas fiscais.
Este novo selo eletrônico para CNPJs deve ser inquestionavelmente um selo qualificado, gerado e armazenado em hardware criptográfico para que não haja nenhum descompasso do Brasil e assim podermos aproveitar, por exemplo, nossas notas fiscais eletrônicas para a exportação com burocracias nato digitais e validade jurídica transfronteiriças.
Será um grande avanço no ambiente de negócios brasileiro Comitê Gestor da ICP-Brasil oferecer ao Brasil uma infraestrutura de selos qualificados que tenham padrões de geração, armazenamento, custódia e controle do uso da chave seguindo boas práticas internacionais. Esses padrões reforçariam o Brasil como país reconhecido por sua notoriedade assinatura eletrônica, e o deixaria apto para relações internacionais por meio digital.
Pix vs. Drex: as diferenças entre eles, segundo uma das empresas responsáveis pela segurança do Pix
Nota do Crypto ID sobre eIDAS
- O eIDAS é um regulamento da União Europeia (UE) que estabelece um conjunto de normas para a identificação eletrônica e os serviços de confiança para transações eletrônicas no mercado único europeu. O eIDAS entrou em vigor em 2016 e substituiu a Diretiva de Assinatura Eletrônica (Diretiva 1999/93/EC).
O eIDAS define três tipos de identificação eletrônica:
Identificação eletrônica simples: É a forma mais básica de identificação eletrônica. Não requer nenhuma autenticação adicional e é usada para transações de baixo risco.
Identificação eletrônica avançada: É um nível mais alto de identificação eletrônica que requer algum tipo de autenticação, como uma senha ou um token de segurança. É usada para transações de médio risco.
Identificação eletrônica qualificada: É o nível mais alto de identificação eletrônica. Requer autenticação forte, como um certificado digital qualificado. É usada para transações de alto risco.
O eIDAS também define quatro tipos de serviços de confiança:
Assinatura eletrônica: É um processo que permite que um indivíduo ou entidade assine um documento eletrônico de forma segura e verificável.
Selo eletrônico: É um processo que permite que uma organização assine um documento eletrônico de forma segura e verificável.
Marcação de tempo: É um processo que registra a data e a hora de um documento eletrônico.
Serviços de validação: São serviços que permitem verificar a validade de uma assinatura eletrônica, um selo eletrônico ou uma marcação de tempo. ↩︎
Sobre a DINAMO Networks
A DINAMO Networks é referência em segurança digital, criptografia e identidade digital no Brasil, com mais de 20 anos de atuação no desenvolvimento de soluções para proteção de dados, identidades e transações críticas. Especialista em HSMs, gestão de chaves e autenticação segura, a empresa possui tecnologia própria, certificações internacionais como FIPS 140-2 e ISO 9001, e presença em projetos estratégicos do ecossistema financeiro, incluindo o PIX e o Sistema de Pagamentos Brasileiro (SPB). A DINAMO atua no núcleo da confiança digital, garantindo sigilo, integridade, autenticidade e soberania para organizações que operam ambientes de alta criticidade. Saiba mais em: www.dinamonetworks.com.br
Leia outros artigos sobre a Dinamo aqui!
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
