Se olharmos para a terminologia das palavras assinatura eletrônica e assinatura digital, elas parecem sinônimos, mas na verdade não são. O mercado corporativo tem tomado conhecimento de uma série de alternativas para a formalização eletrônica de documentos ou mais especificamente para a sua assinatura. Estas alternativas muitas vezes se confundem à primeira vista gerando dúvidas sobre as diferenças de cada uma. Qual a diferença que existe entre elas? Qual é a mais segura? Como compará-las entre si e decidir qual é a melhor opção para o seu caso?
Assinatura eletrônica é o gênero para designar todas as espécies de identificação de autoria de documentos ou outros instrumentos elaborados por meios eletrônicos, enquanto a assinatura digital é uma das espécies do gênero assinatura eletrônica¹. Como analogia, podemos considerar que a assinatura eletrônica diz respeito à floresta com os seus vários tipos de árvores, enquanto a assinatura digital diz respeito a uma das espécies de árvore desta floresta.
No contexto da formalização digital a característica mais importante que se deve identificar entre as espécies de assinatura é a força probante ou eficácia probatória que é a capacidade que se tem de provar que uma determinada assinatura foi feita pela pessoa que se diz ser. Esta característica é a base para entendermos melhor as diferenças de cada tipo de assinatura eletrônica, alguns exemplos:
. Senhas — Código secreto previamente acordado entre as partes como forma de reconhecimento.
. Assinatura digitalizada — É a reprodução da assinatura de próprio punho como imagem (grafia) obtida por um equipamento tipo escâner.
. Aceite digital — É um acordo em forma digital. Pode ser um "clique no botão, De Acordo, Confirmar, etc.", o que significa uma concordância aos termos de um documento.
. Assinatura digital — Resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica (padrão x509 v3) que permite aferir com segurança a autoria e não repúdio da assinatura e a integridade do documento.
A espécie senha é largamente utilizada pela maioria das pessoas para operações bancárias e acessos a diversas fontes de informação, aplicativos e outros. Devido a maior facilidade de memorização, elas normalmente não são complexas, são repetidas para vários acessos, o que as tornam mais suscetíveis à fraude. Ainda assim, comparativamente, a senha tem maior eficácia probatória do que a espécie assinatura digitalizada, uma vez que esta última é meramente uma representação gráfica de uma assinatura de próprio punho e, portanto, de fácil reprodução.
A espécie aceite digital, largamente utilizado no meio eletrônico, é decorrente da ação de "clicar em um botão de aceitar, OK ou similar", onde se concorda com os termos e condições de um serviço ou produto proposto. Um exemplo são os aplicativos em dispositivos móveis que condicionam o download à concordância de utilização de seus dados e outros recursos do dispositivo.
Na medida em que se obtêm evidências técnicas do momento e local do ato do aceite digital, como a temporalidade, IP e outras informações que criam evidências de autoria também, aumenta-se a eficácia probatória. Contudo, estas espécies possuem menor nível de comprovação de autoria (eficácia probatória) se comparadas à assinatura digital.
A assinatura digital (padrão x509 v3) utiliza o conceito de criptografia assimétrica que é composto por um par de chaves criptográficas (pública e privada) que se complementam entre si. A chave privada, que é de posse e responsabilidade exclusiva de seu proprietário, é utilizada para assinar digitalmente um documento eletrônico e a chave pública é utilizada por qualquer pessoa para comprovar a autoria da assinatura.
Podemos afirmar que entre todas as espécies de assinatura eletrônica, as legislações mundo afora escolheram apenas a assinatura digital (Infraestrutura de Chaves Públicas²) como substituto legal da assinatura de próprio punho.
O Brasil possui uma legislação específica desde 2001 que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, § 1º, da Medida Provisória 2.200-2 de 24 de agosto de 2001³).
As características inerentes à assinatura digital são: autoria, não repúdio e integridade.
A autoria é garantida pelo uso da certificação digital: "Certificação digital é o ato de autenticar e comprovar não só a autoria de um documento digital, mas também o seu teor. Esse ato se concretiza por meio de um programa informático que funciona como uma espécie de chave eletrônica codificada (criptografada), que é fornecida para os usuários por entidades credenciadas (Autoridades Certificadoras) que no Brasil compõem a ICP-Brasil (Infraestrutura Brasileira de Chaves Públicas)".
Não repúdio: No âmbito da ICP-Brasil, a assinatura digital possui autenticidade, integridade, confiabilidade e não repúdio – seu autor não poderá, por forças tecnológicas e legais, negar que seja o responsável por seu conteúdo.
Integridade: O documento eletrônico é submetido à chave criptográfica do certificado digital criando assim uma vinculação entre o documento e o signatário (proprietário do certificado digital). Dessa forma, caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma "imutabilidade lógica" de seu conteúdo, pois qualquer alteração do documento como, por exemplo, a inserção de mais um espaço entre duas palavras, invalida a assinatura.
Estas características somadas à legislação e políticas da Infraestrutura de Chaves Públicas Brasileira, torna a assinatura digital realizada com o certificado padrão ICP- Brasil a mais segura forma de assinar documentos eletrônicos no Brasil.
Diante dos diferentes graus de eficácia probatória entre as diversas espécies de assinatura eletrônica, cabe a cada um avaliar os riscos e escolher a melhor solução para cada caso.
Notas:
1 = A nomenclatura assinatura eletrônica foi escolhida pelo fato da mesma caracterizar uma expressão lato sensu, ou seja, mais ampla em comparação à assinatura digital. "A expressão assinatura eletrônica seria tecnologicamente neutra por deixar em aberto às técnicas a serem adotadas, enquanto que a expressão assinatura digital, espécie do gênero assinatura eletrônica, estaria de antemão elegendo a criptografia assimétrica". (Assinatura Eletrônica no Direito Brasileiro, Fabiano Menke)
2 = Infraestrutura de Chaves Públicas. Estrutura de entidades que controlam a emissão de certificados digitais e dão confiabilidade e legitimidade ao processo.
3 = As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da lei nº 3071, de 1/1/1916 – Código Civil.
*Ricardo Theil é gestor de projetos da QualiSoft.