Consultor Jurídico

Artigos

Você leu 1 de 5 notícias liberadas no mês.
Faça seu CADASTRO GRATUITO e tenha acesso ilimitado.

Certificado digital

ICP-Brasil oferece segurança e redução de custos

Por 

Em artigo sobre o certificado digital publicado pela ConJur, o magistrado federal Sérgio Tejada defendeu que o processo eletrônico se transformou sim em um movimento sem volta, mas que o certificado digital ICP-Brasil não, não é uma tábua de salvação para todos os males da segurança da informação. Sustenta, entre outros, que o desacerto da tese do certificado digital seria evidente, pois a própria MP 2.200-2/2001 (e não 2000, por um pequeno equívoco do autor) admite, no parágrafo 2º do artigo 10, outras formas de comprovação da autoria e integridade dos documentos eletrônicos que não o certificado digital ICP-Br. Assim, conclui: “Ora, se outros formatos de assinatura digital fossem inseguros, a norma legal não os autorizaria”.

Discordo, é claro. A Infraestrutura de Chaves Públicas Brasileira, ou ICP-Brasil, é o sistema nacional de certificação digital, instituído pela Medida Provisória 2.200-2/01, com vigência diferida pela EC 32/02, constituindo-se em infraestrutura administrativa integrada por uma Autoridade Gestora de Políticas (Comitê Gestor da ICP-Brasil), uma Autoridade Certificadora Raiz (Instituto Nacional de Tecnologia da Informação — ITI), as Autoridades Certificadoras (emissoras dos certificados) e as Autoridades de Registro (identificam presencialmente o usuário, vedada qualquer espécie de procuração na aquisição do certificado, fato esse que o aproxima da aquisição da identidade tradicional). Todo esse aparato técnico existe apenas para garantir a autenticidade, integridade e validade jurídica do documento emitido em forma originariamente eletrônica (MP 2.200-2/01, art. 1º).

Atente-se, ainda, que tal Medida Provisória é uma norma nacional e não apenas federal, com aplicabilidade perante toda a organização político-administrativa da República Federativa do Brasil, compreendida nessa a União, os estados, os municípios e o Distrito Federal (CF/88, art. 18, caput), diferentemente se se tratasse de norma federal, cujo âmbito material de aplicabilidade encontrar-se-ia restrito à União. Significa falar da unicidade territorial de tal modelo, não facultado a qualquer ente político (estados ou municípios, p. ex) criar infraestruturas de certificação próprias, ainda que sigam, por simetria, o modelo imposto na Medida Provisória (nesse sentido: TRF 4ª RNC 2007.72.00.002903-9).

Assim, apenas o certificado ICP-Brasil, e nenhum outro, gera a certeza da validade jurídica do documento eletrônico, pois se sabe, com garantia legal, quem assinou (autenticidade) e que o documento não sofreu qualquer modificação entre o emissor e seu destinatário (integridade). Não significa dizer, porém, que não possam existir outros certificados. Não só podem como possuem expressa previsão nessa mesma Medida Provisória 2.200-2/01 (a partir de sua segunda edição), que assim dispõe:

“Art. 10.
(...)
§ 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

Ou seja, o destinatário de um documento eletrônico pode aceitar como válido qualquer certificado digital, ainda que não emitido pela ICP-Brasil. Porém, é justamente pela insegurança propiciada por esses outros certificados — que não possuem qualquer infraestrutura pública como o certificado ICP possui — que se condicionou a sua validade (rectius: eficácia) à aceitação dos partícipes. Cuidam, portanto, de interesse privados, e não públicos, como o certificado ICP-Brasil cuida. Significa, então, que se migra de um modelo de imposição legislativa (vez que o certificado digital ICP-Brasil tem a sua validade obrigatoriamente reconhecida) para um modelo potestativo, de acreditamento, frágil por definição. Apesar de nesse passo a legislação brasileira ter seguido a Diretiva Europeia 1.999/93, tal sistema de certificados digitais potestativos não é aconselhável. Ora, o interessado em utilizá-los fica a depender da aceitação do outro contratante e, uma vez dada, ainda pode ser impugnada judicialmente, sob a alegação, p. ex., de qualquer vício de consentimento (coação, erro). A justificativa para a existência do certificado, que é justamente dar segurança aos seus usuários, acaba por desaparecer, podendo ser transformada em um longo e desgastante processo judicial.

Falar, ainda, que existem inúmeras “...transações eletrônicas no Brasil, com elevado nível de segurança, e que não usam certificado digital”, daí a sua possível prescindibilidade, também não seduz. Ora, as transações bancárias, citadas pelo autor, não utilizam certificado digital por dois principais motivos: eventual dificuldade em seu manuseio e custo para a aquisição. Os bancos, porém, estão a perceber que essa é uma economia tola, vez que essas transações não possuem elevado nível de segurança, e apenas no primeiro semestre de 2010, segundo dados da Folha de São Paulo (31/08/2010), as fraudes bancárias alcançaram a vultuosa quantia de R$ 450.000.000,00 (quatrocentos e cinquenta milhões de reais). Prejuízo esse que seria zero (!) acaso a certificação digital fosse implementada em todos os aplicativos bancários. Não seria demais ressaltar, ainda, que bancos como o do Brasil já facultam a utilização dos certificados digitais emitidos apenas no âmbito da ICP-Brasil.

A garantia dada pelo certificado ICP-Br permite o acesso a informações que antes exigiam o comparecimento físico do interessado, facilitando, assim, a vida do cidadão. Cito, como exemplo, o Centro Virtual de Atendimento ao Contribuinte da Secretaria da Receita Federal (e-CAC), com objetivo de propiciar o atendimento aos contribuintes de forma interativa, por intermédio da internet, desde que o certificado digital seja emitido por Autoridade Certificadora credenciada no âmbito da ICP-Brasil. Assim, se o governo não exige o certificado digital em todas as suas aplicações, pelos mesmos argumentos — superlativizados, inclusive, dada a dimensão continental de nosso território — dos bancos, impõe a sua obrigatoriedade quando é possível, caminhando, cada vez mais, para a sua difusão. Inclusive, o novo Registro de Identidade Civil (RIC), regulamentado pelo Decreto 7.166/10, já virá com o certificado digital ICP-Br embarcado, conforme decisão de seu Comitê Gestor. Logo, a nova identidade de todos os brasileiros também servirá para identificá-los no mundo virtual.

Dentre inúmeros outros exemplos, também cabe lembrar do Sistema Público de Escritura Digital (Sped), instituído pelo Decreto 6.022/2007, que trata da substituição da escrituração em papel, de determinadas sociedades empresárias, pela escrituração contábil digital, mediante a utilização do certificado digital ICP-Brasil. Principalmente, cito, ainda, o Infojud, serviço criado mediante convênio do Conselho Nacional de Justiça (CNJ) e da Secretaria da Receita Federal do Brasil (RFB), oferecido unicamente aos magistrados (e serventuários) previamente cadastrados que utilizem certificado digital emitido por Autoridade Certificadora integrante da ICP-Brasil, com vistas a atender às solicitações do Judiciário (mormente no que se refere à localização de bens dos devedores). Se antes essas requisições demoravam, aproximadamente, 90 (noventa) dias, hoje são atendidas em menos de 1 (um) minuto. Se é certo que hoje se vive em uma sociedade da informação, não menos certo é afirmar que se deve cuidar para que todos tenham acesso seguro a essas informações. Por que, então, não exigir a utilização do certificado digital pelos advogados, se o que se busca é justamente dar garantia ao desempenho de suas funções constitucionalmente protegidas?

A Lei 11.419/06 (Lei do Processo Eletrônico) no inciso III de seu artigo 1º faculta o uso de duas formas de assinatura eletrônica: a assinatura digital ICP-Brasil e o cadastro do usuário perante o Poder Judiciário. Esse cadastro é o famoso login e senha, um sistema falho por natureza, pois traz a ideia do segredo compartilhado: a senha, teoricamente sigilosa, é armazenada em um servidor do depositário — assim, não apenas o seu proprietário a conhece — mas, também, quando se faz a autenticação, a senha trafega na rede, estando suscetível a violações. Ora, nada mais frágil sob a ótica da segurança da informação. O certificado digital ICP-Brasil pressupõe a criptografia assimétrica (chaves públicas), que significa a utilização de duas chaves: a privada, que é de posse exclusiva — repise-se: exclusiva, do titular (o documento a ser assinado é que vai ao encontro da chave, e não o inverso, pois a chave fica armazenada) e a pública, essa sim, que trafega e é de conhecimento geral. Além desse engenhoso sistema, existe toda a infraestrutura administrativa citada linhas atrás, chancelada pelo governo brasileiro, que garante a correição das regras seguidas a fim de conferir validade jurídica aos documentos eletrônicos assinados digitalmente com tais certificados.

Discordo, ainda, quando o ilustre articulista defende que a regulamentação, pelos tribunais, da utilização dos certificados digitais seria espécie de delegação da fé pública dos atos judiciais. Entendo que a fé pública continua com o próprio Poder Judiciário, como inconstitucional seria se assim não fosse (CF/88, art. 2º). O que o Judiciário faz, apenas, é dar cumprimento ao disposto na MP 2.200-2/01, pois reconhece a autenticidade e a integridade do documento emitido em forma eletrônica. Nada mais. Significa dizer que aquele conjunto de bits que chega ao seu protocolo, se assinado digitalmente com o certificado ICP-Brasil, terá presunção relativa de validade jurídica, mas os efeitos posteriores, que são dados a partir dessa constatação, sempre foram e continuam a ser dados pelo próprio poder Judiciário.

Trocando em miúdos: a utilização do certificado digital garante que o documento é válido. É, assim, um prius, um antecedente lógico-necessário para que o processo judicial se inicie. Mas se esse documento merecerá eficácia jurídica, isso quem dirá é o Judiciário. E apenas ele. Por esforço de argumentação, falar da delegabilidade da fé pública seria o mesmo que dizer que os tribunais delegam-na também à OAB, vez que identifica os advogados que participam do processo.

Não quero crer, ainda, que o certificado digital dos advogados necessariamente “... deverá ser um certificado fornecido pela OAB e não qualquer outro.” Não, não. A AC OAB é uma autoridade certificadora de segundo nível, vinculada à AC Certisign, e seus certificados digitais são tão certificados digitais quanto quaisquer outros, emitidos em qualquer cadeia. Pelo menos enquanto não se regulamentar a questão dos certificados de atributos, uma outra discussão. Todos os certificados digitais ICP-Br são interoperáveis, ou seja, o certificado digital adquirido em uma autoridade certificadora, pública ou privada, poderá ser utilizado normalmente para quaisquer aplicações. A ferramenta fornecida pela AC OAB é a mesma ferramenta fornecida por qualquer outra AC. Tanto assim que, segundo dados da Seção de Sistemas de Processamento Judiciário do Supremo Tribunal Federal, em 2009, apenas metade dos advogados tinha como autoridade certificadora o Conselho Federal da Ordem dos Advogados do Brasil.

Significa, então, que todos podemos peticionar nos autos, já que basta adquirir um certificado digital de qualquer cadeia? Claro que não. Por isso a Lei 11.419/09 estatuiu que a assinatura eletrônica pode ser feita por certificado digital, mas, após o interessado adquirir tal insumo (em qualquer autoridade certificadora), deve haver o credenciamento prévio perante o Poder Judiciário (art. 2º), justamente para que se comprove a qualificação jurídica de advogado. Tamanha é a confiança no padrão ICP-Brasil que o Supremo Tribunal Federal permite que esse credenciamento prévio seja feito virtualmente (Res. STF 417/09, art. 4º §1º), pelo simples fato de se ter certeza acerca da autoria dessa declaração (objetivo e fim último de qualquer identificação, seja virtual ou presencial).

Mas é claro que, conforme bem lembrado pelo Dr. Tejada, muitas vezes a tecnologia pode consistir em um verdadeiro empecilho aos advogados, como no caso de incompatibilidade entre os sistemas operacionais dos cartões e os diversos assinadores, ou entre esses e os diversos sistemas dos Tribunais. Ora, tais deficiências, que estão em muito minoradas — mas ainda existem, é certo — devem servir para um amadurecimento e homogeneização de todos os sistemas processuais eletrônicos, nunca para abandonar a sua principal tese, que é justamente a segurança inconteste fornecida pelo certificado digital ICP-Brasil e seus inúmeros benefícios: agilidade, redução de custos, diminuição do impacto ambiental. Como diz Norbert Wiener, citado por Heidegger, viver ativamente significa viver com a informação apropriada.

 é procurado-chefe da Procuradoria Federal Especializada do Instituto Nacional de Tecnologia da Informação (ITI).

Revista Consultor Jurídico, 21 de janeiro de 2011, 14h56

Comentários de leitores

2 comentários

A intolerância é inevitável quando surge o vácuo do saber!

Manuel Matos (Consultor)

Parabéns, Dr. André Garcia!
Jovem, brilhante e talentoso procurador geral do ITI.
Evitar as discussões superficiais, aprofundando-se na doutrina jurídica associada à pesquisa científica avançada na área da tecnologia do documento eletrônico tem sido uma das suas características nos intensos debates do Comitê Gestor da ICP-Brasil.
A Câmara Brasileira de Comércio Eletrônico, entidade multisetorial que reúne as empresas líderes da economia digital no Brasil, reconhece a importância da ICP-Brasil como principal infraestrutura de segurança jurídica do ciclo de vida do documento eletrônico no nosso país.
ICPs ou PKIs existem em quase todos países e a nossa é fruto da obstinação, conhecimento técnico, saber jurídico, vontade política e, principalmente, elevado espírito público como o Senhor tem demonstrado.
A adesão e apoio dos mais diversos segmentos da sociedade, representados pelas AC OAB, AC NOTARIAL, AC SERPRO, AC CAIXA, AC SERASA, AC CERTISIGN, AC SINCOR, AC FENACON, AC CMB, AC FENACOR, AC RFB, AC JUS, AC IMESP, AC RS, AC BR, e AC PRODEMGE, demonstram que longe de qualquer tendência monopolista significam o amplo apoio e consenso da sociedade brasileira.
No âmbito da competitividade das Nações o Brasil desponta, nessa área, como modelo a ser seguido, com resultados concretos, como a implantação do MERCOSUL Digital e os acordos de interoperabilidade com Portugal e Espanha, ora em execução.
Manuel Matos
Câmara Brasileira de Comércio Eletrônico
Presidente

O máximo da complexidade é a simplicidade

Jose Antonio Schitini (Advogado Autônomo - Civil)

Pelo que entendi há, ou haverá, certificadora digital general, major, capitão, tenente, sargento, cabo e soldado raso. A ojeriza a burocratização hierárquica do modo eficiênte dá icterícia. A ICP Brasil é o pináculo(merchandising). O processo eletrônico mal começou e o suprassumo(Doc holliday) do Oeste já apareceu. E pensar que os processos andaram até agora na costura, grampeagem, carimbos, numerações, datilografias, riscados e renumerações. Tudo que se quer é utilizar a informática e interações instantâneas no processo, como é(FOI) possível ao virar a página de um processo com as umbigadas no balcão. No caso suprime-se as filas e pegadas na prateleira que não serão necessárias, apesar do backup ser inevitável. No entanto, estar-se-ão sujeitos as demoras de links na internet no processo eletronicamente utilizado. Até com simulação do dobrar das folhas virtuais. Ora precisa certificação digital para isso, sobre domínio de uma Certificadora General, como transparece no artigo com intenções monopolizadoras. A OAB é competente e pode se qualificar no máximo em tecnologia para assegurar segurança ao processo com subsídios eletrônicos, já que disciplina os criadores do processo(advogados), através de chaves seguras e simples embarcadas na cédula de identidade do profissional para que o mesmo acesse os autos processuais. Para o cadastro geral dos processos basta as captchas(Completely Automated Public Turing test to tell Computers and Humans Apart), como feito até agora para evitar o ataque cracker. Funciona há anos, e nunca deu xabú, porque vai dar no futuro. Ninguém é contra o processo através de meios digitais, mas se burocratizá-lo será burocracia exponencialmente alavancada pela informática, cria se um monstro o Hal 9000 de Stanley Kubrick.

Comentários encerrados em 29/01/2011.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.