A ampliação de transações pela internet, as novas conexões entre usuários e objetos com a advento da IoT, diversos serviços disponíveis em aplicativos são cenários que aumentam o risco do uso indevido de informações de pessoas e empresas e até a possibilidade de sequestro desses dados. Para se resguardar no ambiente digital, podemos contar com as assinaturas eletrônicas.
Assinar um documento significa garantir sua veracidade e identificar a sua autoria, o que, em breve, não dependerá mais de usar uma caneta para imprimir sua tinta sob o papel de um documento ou contrato. Para alguns, inclusive, isso já é coisa do passado.
Para quem utiliza a certificação digital no padrão da ICP-Brasil em suas transações eletrônicas já eliminou o papel, a caneta e a insegurança. A tecnologia garante confiança, validade jurídica, autenticidade, confidencialidade, integridade, não repúdio, permitindo facilidades de uso, interoperabilidade entre sistemas e redução de custos para organizações.
A assinatura digital nos padrões ICP-Brasil comprova de forma inequívoca que quem assinou determinado documento digital é quem diz ser e que ela concorda com o seu teor. Ela é diferente das demais opções de assinatura eletrônicas, pois seus requisitos a colocam no patamar de presunção de validade jurídica.
Assim, cabe esclarecer que existem aplicações e necessidades no mercado de assinaturas que não precisam de todos os requisitos técnicos e padrões de qualidade da assinatura digital ICP-Brasil. Muitos ainda confundem os diferentes tipos de assinaturas disponíveis em meio eletrônico. Assinaturas eletrônicas simples, avançadas e qualificadas (no caso, a assinatura digital ICP-Brasil) têm especificações diferentes.
Primeiro, cito o conceito de assinatura eletrônica: conjunto de dados sob forma eletrônica, ligados ou logicamente associados a outros dados eletrônicos, utilizado como método de comprovação da autoria. A assinatura eletrônica é, assim, um gênero que se vale de qualquer mecanismo de autenticação automatizado. Explico também que a assinatura digitalizada é uma outra coisa. Não passa de uma mera imagem, uma reprodução digital da assinatura manuscrita que não possui validade jurídica.
Já as assinaturas eletrônicas simples podem ser utilizadas como substitutas de assinaturas manuscritas. Podem ser um símbolo, um som adotado por uma pessoa com a intenção de assinar o registro. Esse formato se utiliza de métodos comuns para verificação da identidade como o e-mail, a identificação corporativa ou a senha por telefone, porém sua validade depende do consentimento entre as partes. Seus atributos legais e de segurança, no entanto, não garantem presunção de validade jurídica. No caso de um repúdio, há necessidade de periciar.
A assinatura eletrônica também apresenta uma sequência de caracteres, de dados calculados por elementos criptográficos, baseados em procedimentos e algoritmos matemáticos que associam com integridade as informações de um ativo digital à vontade de uma pessoa ou entidade. É muito mais segura que a denominada simples, porém ainda não possui todos os requisitos necessários de gestão de ciclo de vida da criptografia, tampouco mecanismos de emissões das chaves criptográficas regulamentadas e fiscalizadas.
No caso das assinaturas qualificadas, países como Rússia, Indonésia, Peru, Singapura, África do Sul, Suíça, Turquia, México, Israel, China, Filipinas as reconhecem e as aceitam, assim como em todos os estados-membros da União Europeia. No bloco europeu, elas têm o mesmo efeito legal de assinaturas manuscritas e são regulamentadas pela eIDAS (Eletronic Identification Authentication and Trust Services), que simplifica e padroniza as IDs e as assinaturas digitais.
No Brasil, as chamamos de assinaturas digitais no padrão da Infraestrutura de Chaves Públicas Brasileira ICP-Brasil, já que são regulamentadas por uma legislação própria que a distingue das demais, garantindo presunção legal de veracidade com os mesmos efeitos das assinaturas manuscritas reconhecidas em cartório.
A assinatura digital ICP-Brasil somente pode ser realizada a partir de um certificado digital emitido por uma das autoridades certificadoras credenciadas pela Infraestrutura nacional, as Autoridades de Registro e Autoridades Certificadoras. Essas empresas emissoras compõem uma cadeia de confiança e são auditadas de forma independente a partir de critérios previstos em regulações com procedimentos rigorosos e princípios orientados por um Código de Ética, de forma a garantir que todo o processo seja seguro e inquestionável. O sistema contempla mais de 1600 Autoridades de Registro e 100 Autoridades Certificadoras.
Atualmente, são mais de 9 milhões de certificados digitais ICP-Brasil ativos, atendendo a pessoas físicas, jurídicas e profissionais liberais. Existem diferentes tipos e formas de armazenamento (token, smartcard ou nuvem), conforme o perfil de uso, o que também influencia no prazo de validade do par de chaves criptográficas.
A renovação do certificado digital significa a emissão de um novo par de chaves criptográficas. O que, em outras palavras, significa um novo certificado digital com as mesmas informações biográficas e biométricas. Esse processo já pode ser realizado a distância desde a partir de um certificado ainda válido.
As assinaturas digitais ICP-Brasil cumprem exigências legais e regulatórias. São criadas e protegidas por criptografia assimétrica, biometria e possuem todas as credenciais para comprovar a identidade do signatário e a autenticidade da assinatura. São únicas em padrão e controle de segurança.
Diante de um cenário de rápida digitalização, é de suma importância que tenhamos bem definidos os diferentes conceitos, usos, níveis de segurança e validade jurídica de cada uma das assinaturas eletrônicas. Muitas transações exigirão a assinatura qualificada provida pela ICP-Brasil enquanto que para outras uma assinatura mais simples, menos robusta tecnologicamente é suficiente, desde que mediante consentimento das partes.
Portanto, entender isto é crucial para que se tenha segurança no mundo digital.
Marcelo Buz, diretor-presidente do Instituto Nacional de Tecnologia da Informação – ITI, secretário-executivo do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e membro do Comitê Interministerial para a Transformação Digital – CITDigital e do Comitê Central de Governança de Dados.
