Bancos brasileiros estudam a utilização do Certificado Digital em escala em seus processos de autenticação e assinatura digital
Conversamos com Geraldo Gama Andrade Nunes, superintendente nacional de Segurança Empresarial da CAIXA, que é a única Autoridade Certificadora no âmbito da ICP Brasil do setor financeiro. Falamos sobre os estudos que estão sendo conduzidos pelo Grupo de Trabalho – GT Certificado Digital da FEBRABAN – Federação Brasileira de Bancos.
A FEBRABAN é a principal entidade representativa do setor bancário. É uma associação que reúne os principais bancos brasileiros.
O ponto central do estudo em andamento tem o foco na proposta que será submetida ao Comitê Gestor da ICP-Brasil quanto a validação e verificação de identidade dos titulares que antecedem a emissão dos certificados digitais no âmbito da ICP-Brasil. A proposta é que passem a utilizar, nestes processos, os requisitos de segurança que os bancos já possuem para os seus produtos.
Os bancos só emitirão certificados digitais para seus clientes que realizaram abertura de contas presenciais. Como todo produto bancário, o certificado digital só será emitido para o cliente que passar pelos critérios de aceitação de risco.
Crypto ID: A proposta do grupo de estudo da FEBRABAN que discute a validação/verificação de certificados digitais pelos Bancos prevê a eliminação da validação presencial no processo de emissão de certificados digitais com base no conhecimento de identidade dos clientes, a partir de evidências colhidas para abertura de contas. Vocês acreditam que isso eliminará a barreira existente para a utilização de certificados digitais? E, afinal a tecnologia será incorporada aos fatores de autenticação e assinatura pelo mercado financeiro?
Andrade: A proposta prevê que a abertura de contas seja o processo de validação, e as múltiplas autenticações que já existem nos produtos oferecidos pelos bancos sejam o processo de verificação. A presença do Titular do certificado digital, exigida na MP 2.200/2 continua preservada nesse primeiro momento uma vez que a intensão é focar em contas abertas exclusivamente com validação presencial. Com esse novo modelo, os bancos passarão a criar suas APP com a certificação digital para autenticação de seus clientes e assinatura digital dos contratos e das transações.
Crypto ID: Qual seria o ganho para as instituições financeiras em ter o certificado digital no âmbito da ICP-Brasil validado pelos Bancos?
Andrade: A ICP-Brasil possui legislação que permite que o certificado digital gerado para um cliente de banco também seja utilizado em sistemas governamentais, como é o caso da Receita Federal do Brasil e o Conectividade Social. A ideia é que esse novo modelo também solucione os custos de balcão dos sistemas dos governos federais e estaduais que passarão a criar suas aplicações para pessoas físicas com certificados digitais de baixo custo.
Crypto ID: Os certificados digitais emitidos pelos Bancos serão pagos ou gratuitos?
Andrade: Vai depender da aplicação a que se destina e da modalidade de negócios de cada Banco, os certificados digitais poderão ser pagos ou gratuitos. Cada banco definirá sua política nesse quesito. Não é a intenção dos bancos apenas ganhar tarifa com certificado digital, mas também autenticar seus clientes no mundo digital e garantir validade jurídica nos documentos e nas transações assinadas digitalmente.
Crypto ID: O certificado digital utilizado pelos bancos será um certificado tipo A – Assinatura? Para pessoas Físicas e Jurídicas?
Andrade: O certificado digital será do Tipo A – Assinatura, com validade de até 3 anos. Nesse momento, os bancos pretendem apenas emitir certificados digitais para pessoas físicas.
Crypto ID: Os certificados seriam incorporados nas mídias de armazenamento portadas pelos titulares ou armazenados em nuvem?
Andrade: Esse requisito técnico encontra-se em discussão. Há possibilidade que cada Banco decida qual tecnologia irá utilizar, segundo o modelo de negócios adotado. Algumas teses indicam que a chave privada de um certificado digital gerada e armazenada em HSM em nuvem está mais segura do que se estivesse armazenada em smartphone. É grande o número de perda e roubo de aparelhos celulares. Ainda temos que pensar no cliente que compra um novo modelo de celular. A geração e armazenamento em HSM em nuvem soluciona todas essas questões.
Crypto ID: Será criada uma AC normativa como a da Receita para emissão dos certificados ou vocês utilizarão a AC CAIXA que é a única AC que pertence a uma instituição financeira? As Autoridades Certificadoras privadas participam desse projeto?
Andrade: Cada banco criará sua estratégia particular em relação a Autoridade Certificadora que irá emitir o certificado digital nesse novo modelo. Para a CAIXA, os certificados digitais serão gerados pela Autoridade Certificadora CAIXA. Teremos uma nova AC CAIXA credenciada na ICP-Brasil com uma Política de Certificado (PC) exclusiva para essa finalidade.
Crypto ID: Terá um certificado de atributo de cada banco atrelado aos certificados digitais?
Andrade: Não tratamos de certificado de atributo nesse novo modelo. Entretanto, nada impede que os bancos utilizem o certificado de atributo para qualificar seus clientes.
Crypto ID: Como todos os certificados digitais emitidos na cadeia ICP-Brasil tem validade para todas as aplicações disponíveis em meio eletrônico com validade legal, os certificados digitais validados pelos Bancos serão utilizados para todos os atos praticados pelos titulares além de transações financeiras. Isso envolverá a questão de responsabilidade civil para os bancos fora do âmbito das transações financeiras. Essa questão foi avaliada pelos jurídicos?
Andrade: Essa é uma questão jurídica amplamente discutida entre os bancos. Existem bancos que limitarão o tipo de aplicação que se destina o certificado digital gerado nesse novo modelo. Seja qual for a decisão de cada banco, é possível limitar o propósito do uso da chave com os normativos que já se encontram em vigor (DOC-ICP-04 – Extended Key Usage).
Crypto ID: Se cogitou uma proposta dos Bancos de emenda à MP 2.200/2. Não bastaria passar pelo Comitê Gestor da ICP-Brasil?
Andrade: Não existe proposta de emenda da MP 2.200/2 para esse modelo de emissão de certificado digital dos bancos. Todas as alterações necessárias para a legalidade da proposta dos bancos poderão ser criadas por Resoluções aprovadas pelo Comitê Gestor.
Crypto ID: Existem outros detalhes sobre o projeto que não abordamos?
Andrade: Por fim, mesmo depois da emissão do certificado digital o cliente continua tendo relacionamento com o banco, o que permite a monitoração dos riscos previamente analisados, mesmo durante o tempo de validade do certificado digital
Crypto ID: Quem compõem o grupo que estuda este assunto?
Andrade: O GT Certificado Digital da FEBRABAN é a entidade que está conduzindo a proposta de emissão de certificado digital dos Bancos.
Crypto ID: O Comitê existe há quanto tempo?
Andrade: O GT Certificado Digital da FEBRABAN foi criado há mais de 15 anos.
Crypto ID: Existe um cronograma do projeto?
Andrade: Em primeiro lugar é preciso que a proposta seja aprovada pelo Comitê Gestor da ICP-Brasil. Uma vez aprovada, cada banco terá o seu próprio cronograma de projeto.
Crypto ID: Qual é a estimativa de prazo para ser levada para aprovação do Comitê Gestor da ICP-Brasil?
Andrade: Estimamos que este assunto seja apresentado em 21 de novembro de 2017.
O Crypto ID também entrou em contato com as respectivas assessorias de imprensa do Itaú, Bradesco e Banco do Brasil, mas eles não se pronunciaram sobre o assunto.