Comissão da OAB critica projeto de lei sobre certificadoras digitais

A Comissão de Informática do Conselho Federal da Ordem dos Advogados do Brasil apresentou diversas críticas ao Projeto de Lei nº 6825/2002 (veja a íntegra do Projeto), que visa instituir tributos, tarifas, multas e da obrigação de contratação de seguro pelas entidades certificadoras sujeitas a ICP-Brasil.

A situação aponta para a necessidade de uma análise criteriosa e consciente, dos quesitos segurança, confiabilidade e autonomia. Portanto, a discussão é oportuna, à medida que demanda a adaptação a um padrão sistêmico complexo.

Veja o teor das críticas:

“1. A ICP-Brasil é instrumento de certificação eletrônica do Poder Executivo, locada diretamente ao Gabinete da Presidência da República.

2. A certificação eletrônica se constitui em declaração, lavrada em formato eletrônico padrão X-509, que visa apenas a informar a terceiros a titularidade da chave pública em uma assinatura digital. Em palavras leigas, seria como alguém que desconfiasse da titularidade de uma assinatura eletrônica, passasse a confiar nela porque um terceiro de confiança – no caso, a certificadora – afiançasse que ela realmente pertence ao signatário.

O fato de órgãos do Poder Judiciário virem a ser certificados pela ICP-Brasil teria a significação de que, uma assinatura eletrônica de um magistrado, em qualquer instância ou tribunal, inclusive os tribunais superiores, ou de serventuários da Justiça, somente teriam validade jurídica, caso reconhecidos pelo Poder Executivo.

Não bastaria um ministro de uma corte superior, ou um desembargador de um tribunal de justiça, firmar eletronicamente um documento: seria necessário que o Poder Executivo afiançasse a assinatura – via certificação eletrônica da ICP-Brasil – , para que ela tivesse validade. O Poder Judiciário, assim como o Poder Legislativo, têm fé própria: não podem depender, para validade de seus atos, do Poder Executivo.

3. A tecnologia não impõe a solução de uma única chave oficial, do Poder Executivo Federal, para validar assinaturas digitais de todos os brasileiros, e especialmente, dos demais Poderes, ou dos Estados, Municípios e Distrito Federal. O argumento, tão comum, de que a interoperabilidade – reconhecimento da certificação pelos usuários – é extremamente difícil no caso de existência de diversas chaves raízes é derrubado pela constatação de que nenhum país em todo o mundo adotou a solução criada pelo Poder Executivo brasileiro, de uma única chave raiz oficial. Isto porque, a tecnologia deve ser instrumento de preservação dos valores democráticos – dentre os quais se sobressaem a independência dos Poderes, e a autonomia dos Estados, Municípios e do Distrito Federal, e não motivo de sua desconsideração ou eliminação.

4. O reconhecimento da autoria de uma assinatura digital, lavrada por uma autoridade, não depende sequer da certificação eletrônica, havendo diversas maneiras de realizá-la, ainda que aquele modelo seja mais cômodo. Nem existe, no próprio modelo de certificação eletrônica, apenas a solução dispendiosa assumida pela ICP-Brasil, para geração e controle da chaves criptográficas.

5. Por outro lado, as regras de certificação eletrônica da ICP-Brasil, que tem direto e imediato impacto sobre a validade dos certificados, são definidas por uma Comitê Gestor, no qual têm assento predominante os representantes do Governo Federal, incluindo da Casa Civil e do Gabinete de Segurança Institucional da Presidência da República. Não há participação alguma de representantes dos demais Poderes, nem dos Estados, Municípios ou Distrito Federal. Logo, o Poder Judiciário, ao ser certificado pela ICP-Brasil, não participará das definições normativas do instrumento que validará suas manifestações de vontade, realizadas por meio de assinaturas digitais.

6. Há ainda o aspecto da segurança tecnológica. A ICP-Brasil vem sendo implementada com discutíveis procedimentos de segurança. Nomeou o ITI para chave raiz, instituto locado em Campinas-SP. Mas, desconsiderando suas estruturas materiais e intelectuais, transferiu a sede do Instituto para Brasília e, por decreto presidencial, deu à Diretoria anterior (que não tem personalidade jurídica) do Instituto o nome de Centro de Referência Renato Archer, distanciando, na realidade, a chave raiz, do verdadeiro ITI, e levando-a para Brasília, onde não existe qualquer infra-estrutura. Depois, o ITI, ou o novo ITI, que era de se esperar tivesse o domínio da tecnologia de chaves públicas, já que por Medida Provisória foi designada chave raiz do Brasil, contratou a Serpro para exercer todas as suas funções.

Ainda mais: para outorgar credibilidade à ICP-Brasil, foram nomeados auditores para verificar se o ITI teria condições de assumir a condição de chave raiz. Esses auditores, após lavrarem parecer favorável, foram designados Diretores do próprio ITI, sendo que, inclusive, um deles, passou a ser Diretor Presidente do Instituto. Caso o Poder Judiciário aceite ser certificado pela ICP-Brasil, irá não apenas se sujeitar a todo esse modelo, como também validá-lo.

E, observe-se, dentro desse quadro, que basta um certificado ser revogado pela ICP-Brasil para que o respectivo magistrado, desembargador ou ministro, tenha suas assinaturas digitais invalidadas.

7. Por essas razões, entendo que o Poder Judiciário, assim como o Poder Legislativo, os Estados, Municípios e Distrito Federal, deverão constituir, individualmente, suas próprias Autoridades Certificadoras Raiz, sem ficarem na dependência de uma solução única no mundo, criada pelo Poder Executivo brasileiro, preservando sua independência e autonomia, e confiando na fé própria que devam merecer.

8. Ainda no mesmo contexto, chama atenção a notícia veiculada no site do STJ , onde se afirma que o Poder Executivo estaria participando de estudos de modificação da legislação processual para permitir a prática e comunicação de atos processuais por magistrados, já que em dezembro passado vetou a inclusão de parágrafo único ao artigo 154, que trazia exatamente essa permissão, sob pretexto de que seria inconveniente, em razão da ICP-Brasil, dando claras mostras de que pretende submeter o Poder Judiciário à sua solução, sem aceitar nenhuma outra.”