O Brasil possui uma legislação específica desde 2001 que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, § 1º, da Medida Provisória 2.200-2, de 24 de agosto de 2001. No entanto, em dezembro de 2016, o Projeto de Lei do Senado 146/2007 foi desarquivado e votado com emendas que interferem diretamente na regulação de autenticação dos documentos eletrônicos aplicada atualmente no Brasil.
O PROJETO DE LEI DO SENADO Nº 146, DE 2007
Altera e revoga dispositivos das Leis nº 12.682, de 9 de julho de 2012, que dispõe sobre a elaboração e o arquivamento de documentos em meios eletromagnéticos; nº 12.865, de 9 de outubro de 2013; nº 13.105, de 16 de março de 2015, que dispõe sobre o Código de Processo Civil; da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que institui a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil; e nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências.
O que se pretende mudar com o substitutivo ao PLS 146/ 2007?
Este projeto de lei do Senado trata de digitalização de documentos, no entanto foi incorporada ao texto uma modificação que pretende dar a mesma validade jurídica da MP 2200-2/2001 para quaisquer sistemas de autenticação, inclusive login e senha.
Como a equiparação do certificado digital ao sistema de “login e senha” é uma questão técnica, esse artigo abordará, principalmente, a diferença entres as duas formas de autenticação, e traz a palavra de alguns profissionais envolvidos no universo de autenticação, sigilo de dados e assinatura digital no mercado para contextualizarmos a real questão no momento que envolve esse substitutivo:
Como um assunto dessa natureza, em que os senadores, obviamente, precisariam de subsídios técnicos, foi votado sem passar pela Comissão de Ciência e Tecnologia?
Algumas desvantagens do substitutivo ao PLS 146/2007
- Possibilita um alto volume de fraudes;
- Perda de confiança nos documentos eletrônicos;
- Não permite rastreabilidade de autoria dos atos praticados no meio eletrônico;
- Não gera evidências técnicas para eficácia probatória;
- Não apresenta padrão e normas para geração ou gerenciamentos de login e senha;
- Retorno da utilização do papel na troca de documentos;
- Perda de interoperabilidade do sistema brasileiro e internacional
Segundo o advogado Fabiano Menke,“Muito embora seja louvável a intenção do PLS 146/2007, uma vez que se pretende avançar ainda mais rumo à digitalização e à eliminação do papel, não é recomendável a sua aprovação.
Várias razões poderiam ser aqui mencionadas, mas nos ateremos a apenas duas: a questão do valor jurídico do documento digitalizado com o descarte dos originais e a presunção de autoria e integridade dos documentos eletrônicos assinados no âmbito da Administração Pública mediante uso de usuário e senha.
Quanto à primeira: O PLS 146/2007 dispõe que o documento digitalizado a partir de um procedimento de digitalização que será disciplinado em regulamento tenha o mesmo “valor legal do documento não digital que lhe deu origem para todos os fins de direito” (nova redação que o projeto confere ao Art. 2º-A da Lei nº 12.682/2012).
Esta proposta de regra segue a lógica de que a partir do controle do procedimento de digitalização, que seria realizado apenas por interessados credenciados perante o Ministério da Justiça, estaria garantida a equiparação dos efeitos jurídicos dos documentos digitalizados aos documentos originais que os embasam.
O erro do Projeto está em que esta presunção não pode ser atribuída por Lei, pelo simples motivo de que o controle do procedimento de digitalização não afasta eventuais fraudes praticadas anteriormente ao procedimento de digitalização. Há uma “vida pregressa” do documento que escapa ao controle de qualquer procedimento de digitalização. Em suma, com a nova regra seria possível que a própria digitalização “oficial” viesse a tornar autêntico e íntegro um documento que tenha sido produzido mediante fraude.
Uma vez destruído o original, teria se esvaído a possibilidade de comprovar a fraude anteriormente praticada.
O perigo da regra é evidente, e, salvo melhor juízo, não se conhece país do mundo que tenha feito esta equiparação do documento digitalizado ao documento original, com possibilidade de descarte.
Em segundo lugar, não se recomenda a alteração da MP 2.200-2 proposta pelo PLS 146/2007, para atribuir, no âmbito da Administração Pública, ao nome de usuário e senha, a presunção de autoria e integridade das declarações.
Com efeito, independentemente de onde se produzir o documento, a insegurança está em atribuir presunção de autoria a um mecanismo que não é o mais confiável para o meio eletrônico, como o nome de usuário e senha. Não cabe aqui a comparação com o processo judicial eletrônico, pois neste, o nome de usuário e senha são atribuídos a um universo restrito de participantes, quais sejam advogados públicos e privados, inscrito em entidades de classe, e juízes, enquanto que no processo administrativo o número de usuários seria ilimitado, com grande potencial de fraude sistêmica, finaliza Menke.
Na última semana Luiz Carlos Zancanella, presidente da Safeweb, uma das Autoridades Certificadoras no âmbito da ICP Brasil, visitou alguns senadores para apresentar o requerimento que será votado nesta terça-feira, em plenário. O documento apresentado pede a retirada do PLS 146/2007 da pauta de votação, sugere o seu encaminhamento para reexame na Comissão de Ciência e Tecnologia (CCT). A convite de Zancanella participaram das reuniões os representantes do ITI – Instituto Nacional de Tecnologia da Informação, Renato Martini e Maurício Coelho.
Na sequência, Zancanella esteve no gabinete do Senador Lasier Martins, atual Presidente da CCT. Zancanella detalhou a demanda solicitando que seja aberto o debate pela Comissão de Ciência e Tecnologia.
“Nosso esforço vai na direção de evitar que o Congresso Nacional aprove um projeto, que modifica de forma negativa e insegura, a lei que dá validade jurídica aos documentos eletrônicos.
A atual redação nos deixa reféns de um substitutivo mal construído, traz graves equívocos de ordem técnica, o que pode resultar em um retrocesso para o nosso país em termos de segurança da informação, já que o cenário de acesso a dados ficará vulnerável a todo e qualquer tipo de falsificação”, declara Luiz Carlos Zancanella.
Segundo Renato Martini, diretor presidente do ITI, “O ITI é favorável ao PLS 146 no que refere à digitalização de documentos e desmaterialização de processos, o que colabora para a modernização da Administração Pública.
No entanto, somos terminantemente contrários ao enxerto artificial proposto para alterar a Medida Provisória 2.200 por se tentar dar equivalência jurídica a coisas que não possuem equivalência técnica, como processos de “login e senha” e a assinatura digital.
Vale destacar que as recentes reportagens veiculadas na grande mídia sobre vazamentos de login e senha dão a certeza de que, além de não corresponder a uma forma de assinatura digital, este mecanismo frágil de autenticação (login e senha) não atende às exigências das tecnologias atuais”.
Para o engenheiro Marcelo Luiz Brocardo, “Autenticação baseada em login e senha está entre os mecanismos mais utilizados para garantir o acesso restrito a diferentes sistemas. Contudo, vários incidentes de segurança que ocorreram, recentemente, realçam a fragilidade da autenticação baseada em login e senha. Existem vários mecanismos utilizados pelos hackers para ter acesso as senhas de forma não autorizada. O ataque conhecido como “homem do meio” é um exemplo.
Outra forma de obter senhas é explorar as vulnerabilidades nos sistemas. Alguns exemplos destes tipos de ataques foram o acesso as senhas de 68 milhões de usuários do Dropbox e o ataque ao Linkedin que expôs as senhas mais populares entre os usuários. Além disso, falhas na programação pode tornar os aplicativos mais vulneráveis a ataques. Como exemplo temos a vulnerabilidade existente no Trend Micro e em aplicativos da Google Play Store que expôs senhas dos usuários.
Outro problema é a falha no gerenciamento das senhas. O recente vazamento das senhas das redes sociais do Palácio do Planalto é um claro exemplo de como muitas pessoas, instituições e empresas gerenciam incorretamente as suas senhas. Devido a todas estas fragilidades é que surgiu o certificado digital como uma alternativa ao uso do login e senha, não apenas como um mecanismo de autenticação, mas também como um mecanismo que garante a integridade, autoria e autenticidade em documentos assinados digitalmente.
Caso a PLS 146/2007 venha a ser aprovada, como é que o sigilo e segurança da senha serão garantidos? Ou como ter certeza de que o conteúdo de um documento não foi alterado após aprovação? A PLS 146/2007 é um retrocesso porque implica em voltarmos a imprimir e assinar documentos em papel, pois só assim teríamos a certeza do que foi assinado”, conclui Brocardo.
O perito Ricardo Theil, deixa muito claro a diferença entre autenticação baseada em “login e senha” e certificados digitais no artigo Assinatura eletrônica e digital são a mesma coisa?, publicado no Crypto ID, em setembro de 2016.
“Se olharmos para a terminologia das palavras assinatura eletrônica e digital, elas parecem sinônimos, mas na verdade não são.
Estas alternativas muitas vezes se confundem à primeira vista gerando dúvidas sobre as diferenças de cada uma. Qual a diferença que existe entre elas? Qual é a mais segura? Como compará-las entre si e decidir qual é a melhor opção para o seu caso?
[toggles title=”Diferenças de cada tipo de assinatura eletrônica”]
Assinatura Eletrônica (1) é o gênero para designar todas as espécies de identificação de autoria de documentos ou outros instrumentos elaborados por meios eletrônicos, enquanto a assinatura digital é uma das espécies do gênero assinatura eletrônica.
No contexto da formalização digital, a característica mais importante que se deve identificar entre as espécies de assinatura é a força probante ou eficácia probatória que é a capacidade que se tem de provar que uma determinada assinatura foi feita pela pessoa que se diz ser.
Senhas – Código secreto previamente acordado entre as partes como forma de reconhecimento.
Assinatura digitalizada – É a reprodução da assinatura de próprio punho como imagem (grafia) obtida por um equipamento tipo escâner.
Aceite Digital – É um acordo em forma digital. Pode ser um “clique no botão, De Acordo, Confirmar, etc.”, o que significa uma concordância aos termos de um documento.
Assinatura Digital – Resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica (padrão x509 v3) que permite aferir com segurança a autoria e não repúdio da assinatura e a integridade do documento.
(1) A nomenclatura “assinatura eletrônica” foi escolhida pelo fato da mesma caracterizar uma expressão lato sensu, ou seja, mais ampla em comparação à assinatura digital. A expressão “assinatura eletrônica” seria tecnologicamente neutra por deixar em aberto as técnicas a serem adotadas, enquanto que a expressão “assinatura digital”, espécie do gênero assinatura eletrônica, estaria de antemão elegendo a criptografia assimétrica”. (Assinatura Eletrônica no Direito Brasileiro, Fabiano Menke) Infraestrutura de Chaves Públicas.
[/toggles]
Theil conclui em seu artigo que “podemos afirmar que entre todas as espécies de assinatura eletrônica, as legislações mundo afora escolheram, apenas, a assinatura digital (Infraestrutura de Chaves Públicas) (2), como substituto legal da assinatura de próprio punho.
Como são geradas as senhas?
O ponto mais vulnerável na utilização dos meios eletrônicos, comprovadamente, é a fragilidade de geração e guarda das senhas. As senhas criadas pelos usuários são fracas e compartilhadas. Além de gerar muito suporte porque as pessoas esquecem suas senhas.
Entre os fatores mais críticos está a incapacidade das empresas em criar os inventários de senhas, o que não permite controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.
Se você quiser conhecer artigos sobre a fragilidade da autenticação por senha e login, acesse esse link. Temos aqui no Crypto ID centenas de casos publicados envolvendo grandes empresas que foram hackeadas via acesso ao banco de senhas.
E como são emitidos os certificados Digitais?
A ICP-Brasil é representada por empresas públicas e privadas emissoras de certificados digitais e-CPF, e-CNPJ, NF-e e outros certificados emitidos para máquinas e aplicações.
A ICP-Brasil é apoiada por um robusto sistema que opera com tecnologia de ponta e procedimentos que fez com que nesses 16 anos de atividade nunca tivesse sido registrado um incidente de ataque hacker. As autoridades certificadoras são mantidas em salas cofres com estanqueidade de gás, água, fogo e possuem, pelo menos, 6 níveis de barreiras de acessos com total controle dos funcionários e visitantes.
Aspectos técnicos interferem diretamente nas questões normativas e regulatórias da ICP Brasil
Todos os que operam no âmbito da ICP-Brasil, seguem as normas determinadas por um comitê nomeado pelo Presidente da República com representantes dos principais segmentos públicos e econômicos do País. O Comitê Gestor da ICP-Brasil é apoiado por um Comitê Técnico (COTEC) para auxiliar com embasamentos científicos os membros do Comitê Gestor nas decisões normativas e regulatórias em que são estabelecidos os procedimentos que devem ser seguidos por autoridades certificadoras, autoridade de registro e usuários.
São regras rígidas que vem sendo aperfeiçoadas de acordo com o amadurecimento do mercado e desenvolvimento de novas tecnologias.
Para Paulo Millet Roque,“A ICP-Brasil é uma solução sólida de certificação digital. Um exemplo de parceria público privada. É disparado o maior case de sucesso no mundo, tanto em número de usuários, quanto de aplicativos. No substituto do PLS 146 que trata de digitalização de documentos, lamentavelmente, colocaram um “jabuti” para dar validade jurídica a quaisquer outros sistemas de autenticação. Será um caos e um retrocesso. Eu, estranho também, o fato de um projeto que dormia desde 2007 ter sido substituído em 7 de dezembro de 2016 e aprovado pelo senado em menos de 3 semanas durante o Natal e ano novo, sem passar pela Comissão de Ciência e Tecnologia.”.
Diversos segmentos já utilizam assinatura em seus processos e todos provam que esse recurso tecnológico traz agilidade, celeridade nas ações, governança corporativa, redução de custos e satisfação dos usuários e não temos conhecimento de nenhuma organização ou aplicação que depois da adoção da autenticação com certificados digitais tenha voltado para login e senha.
Se você quer colaborar com esse debate, deixe seus comentários abaixo ou envie para redacao@localhost.
Acompanhe o andamento do PLS 146/2007 neste link.
Luiz Carlos Zancanella é presidente Autoridades Certificadoras Safeweb.
Renato Martini é diretor presidente do ITI.
Fabiano Menke é Doutor em direito pela Universidade de Kassel, Alemanha, onde defendeu tese comparativa sobre Infraestrutura de Chaves Públicas com valor jurídico de documentos eletrônicos, foi o primeiro procurador geral do ITI e é considerado uma das maiores autoridades jurídicas em documentação eletrônica do cenário Nacional e Internacional.
Marcelo Luiz Brocardo é PhD pela Universidade de Victoria no Canadá, em segurança da informação com foco em autenticação contínua através de biometria comportamental, mestre e pesquisador sobre certificação digital pela LabSec da Universidade Federal de Santa Catarina.
Ricardo Theil é Perito em Certificação Digital e Criptografia, Segurança e Defesa Cibernética; Fraudes e Crimes praticados na Internet;Vice- Presidente da ASSESPRO-SP; Membro e Colaborador da Rede Nacional em Segurança da Informação e Criptografia (RENASIC); Membro e Colaborador da Comunidade de Segurança da Informação e Criptografia (ComSic); Membro do Grupo de Estudos de Justiça e Direito Eletrônicos – GEDEL; ITS (Instituto de Tecnologia Software – São Paulo) – Cibersegurança; Fundador e Conselheiro FIscal do Capitulo da ISOC-Brasil (Internet Society Brasil); Diretor QUALISIGN INFORMÁTICA S.A
Paulo Millet Roque é engenheiro, diretor e Co-fundador da AR Digiforte , diretor da AARB e vice presidente da ABES – Associação Brasileira das Empresas de Softwares.