Com a digitalização dos serviços públicos e a necessidade de documentos assinados à distância, várias formas de autenticação foram disponibilizadas, como as do portal Gov.br, plataforma digital de relacionamento do cidadão com o governo federal. A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada.
Durante evento virtual realizado pela Associação das Autoridades de Registro do Brasil (AARB) no dia 21 de março, especialistas em segurança da informação lembraram que esta iniciativa traz riscos à segurança, tanto dos dados do cidadão, como para os sistemas governamentais.
Segundo o professor Jean Everson Martina, pesquisador do Laboratório de Segurança em Computação (LabSEC) da Universidade Federal de Santa Catarina, o movimento de ter vários modelos de assinaturas é algo comum, mas ponderou: “Existem algumas simplificações que, na ânsia de popularizar, acabam atropelando alguns conceitos fundamentais. Depois da Lei 14.063, nós temos três níveis diferentes de assinaturas que tem suas determinadas aplicabilidades, pré-condições e seus riscos. Temos uma assinatura de grau inferior do ponto de vista técnico, que são as avançadas, que se caracterizam por uma força menor na qualificação, que usam uma base de dados do governo, e temos as assinaturas simples, que tem um grau ainda menor de identificação da pessoa”, explicou.
Segundo Martina, as questões principais das assinaturas qualificadas, avançadas e simples estão na qualidade de identificação do usuário. “Eu acredito que cada uma tem a sua aplicação. Mas não existem garantias tão fortes de relacionamento entre a pessoa e a chave privada quanto a ICP-Brasil. A assinatura qualificada cumpre requisitos internacionalmente reconhecidos da qualificação da identidade e garante uma associação inequívoca entre o consumidor e sua chave. São assinaturas digitais com capacidade criptográfica que significam que o documento não pode ser modificado, que é autônomo”, completou.
Para o advogado Bernardo Brasil Campinho, doutor em Direito pela Universidade do Estado do Rio de Janeiro (UERJ), é preciso atentar para três importantes bases: confidencialidade, confiabilidade e autenticidade. “Quando você lida com dados sensíveis, uma maior supervisão e fiscalização sobre o uso destas chaves é essencial. O problema não é multiplicidade delas, mas sim quando se perde a capacidade de ter um nível mínimo de credenciamento de centralização que permita você ter autenticidade e integridade e aí você perde o essencial, que é a confiança. Isso pode ser um risco muito grande”, alertou.
“Precisamos entender que trocas econômicas têm um maior grau de liberdade entre as pessoas que demandam soluções mais flexíveis, mas outros dados sensíveis como saúde e outras questões de foro íntimo, por exemplo, com esta multiplicidade de chaves sem uma regulação adequada, pode gerar violação de direito como vazamento de dados e apropriação indevida de informações pessoais”, completou Campinho.
Já o diretor-presidente substituto do Instituto Nacional de Tecnologia da Informação (ITI), Maurício Augusto Coelho, lembrou que o cidadão comum não tem o certificado ICP-Brasil, e com a massificação e a transformação de serviços públicos analógicos em digitais, houve a necessidade de se ter meios de prover uma solução para que a população pudesse usufruir desses serviços.
Segundo ele, na pandemia surgiram e cresceram outras formas de assinaturas eletrônicas, como a simples, avançadas e uma infinidade de outros serviços.
“Tudo tem valor jurídico, mas evidentemente o sistema ICP-Brasil traz vantagens não só tecnológicas, mas de processos. Isto é uma característica das assinaturas qualificadas. Você tem credenciamento, auditorias, fiscalizações, dispositivos onde se geram as chaves criptográficas, que armazenam certificados, homologados e certificados. É o que chamamos de fechar ponta a ponta as garantias de segurança do processo e isso só as qualificadas trazem. A Lei 14.063/2020 diz que a assinatura qualificada está em nível superior de todas as outras”, explicou.
“As assinaturas avançadas não têm os mesmos requisitos processuais do sistema ICP-Brasil, então não existe credenciamento, auditorias de fiscalizações, não existe obrigatoriedade de ambientes seguros e nem existe a obrigatoriedade de os HSMs serem certificados”, completou o diretor do ITI.
Fonte: Associação das Autoridades de Registro do Brasil