As Autoridades de Registro credenciadas na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) têm missão clara e explícita de acordo com a legislação vigente. É o que diz a Medida Provisória 2.200-2, de 24 de agosto de 200, e a Lei 14.063, de 23 de setembro de 2020:
Art. 7º Compete às AR, entidades operacionalmente vinculadas a determinada AC, identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.
Quando a Lei das Assinaturas Eletrônicas (14.063/20) foi sancionada, ela trouxe importante alteração quanto à obrigatoriedade da presença física do proponente ao certificado digital, possibilitando que outras formas distintas fossem utilizadas.
Vejamos:
Parágrafo único. A identificação a que se refere o caput deste artigo será feita presencialmente, mediante comparecimento pessoal do usuário, ou por outra forma que garanta nível de segurança equivalente, observadas as normas técnicas da ICP-Brasil.
O que observamos desta inovação foi o emprego de excelente técnica legislativa, já que a lei não condicionou a “outra forma que garanta nível de segurança equivalente” a qualquer tecnologia em uso. Consagrou-se a videoconferência como esta “outra forma”, mas o texto legal cria caminhos para que mais meios de confirmação das identidades de pessoas físicas e jurídicas sejam utilizados.
Todavia, quer na MP ou na Lei, não houve qualquer mudança quanto à obrigatoriedade de que apenas dados dos titulares constassem no cadastro enviado às Autoridades Certificadoras. A expressão “dados” deve ser interpretada como informações exclusivamente do titular do certificado.
Muitos questionamentos são feitos quanto a utilização dos endereços de correio eletrônico, os e-mails. Bastaria a vontade do titular para que qualquer endereço de email fosse incluído em seus dados que constarão no certificado digital?
Para o escritório Moreira Lima & Pollo Advogados, a questão é bastante clara e está devidamente publicizada em normas complementares. Segundo explicam os advogados, a Instrução Normativa 5, de 22 de fevereiro de 2021, editada pelo Instituto Nacional de Tecnologia da Informação regula, dentre outros assuntos, o procedimento para identificação do requerente de um certificado digital.
“O normal legal supracitada (item 2.1.2) é expressa ao fixar que, para fins de confirmação da identificação do requerente de um certificado digital no formato ICP-Brasil, é indispensável a (i) apresentação de documentação pessoal do requerente e, ainda, (ii) a coleta e verificação de dados biométricos daquele, a partir do registro da sua face e das suas impressões digitais. Tal regramento deixa entrever que o certificado digital é, efetivamente, de uso exclusivo do seu titular (requerente), haja vista que as suas informações biométricas – itens personalíssimos e únicos em cada indivíduo – foram armazenadas para fins de identificação”, comentam.
Outro ponto levantado pelos especialistas é de que há entendimento do próprio Superior Tribunal de Justiça (STJ) quanto ao tema.
“AGRAVO REGIMENTAL NO AGRAVO (ARTIGO 544 DO CPC) – AÇÃO ANULATÓRIA DE TÍTULO C/C PEDIDO DE SUSTAÇÃO DE PROTESTO – DECISÃO MONOCRÁTICA NEGANDO PROVIMENTO AO RECLAMO. INSURGÊNCIA RECURSAL DA AUTORA.
(…)
2. A certificação digital é ato pessoal e intransferível, portanto a assinatura digital constante da petição do recurso deve corresponder a advogado com procuração nos autos, sob pena de incidência do enunciado n. 115 da Súmula do STJ.
(…)
4. Agravo regimental não conhecido.” (g.n.)
(AgRg no AREsp n. 255.697/RS, relator Ministro Marco Buzzi, Quarta Turma, julgado em 19/10/2017, DJe de 25/10/2017.)
Nas palavras do Ministro Marco Buzzi, o certificado digital é “pessoal e intransferível”.
A prática adotada por alguns titulares que informam endereços de email dos quais não são os proprietários e, por conseguinte, não têm qualquer governança sobre o acesso a suas caixas de mensagens, é ilegal.
“Por esse motivo, repudia-se veementemente a prática adotada por alguns requerentes de indicar, quando do procedimento de identificação do titular de um certificado digital no formato ICP-Brasil, a utilização de endereço eletrônico (e-mail) de terceiros para fins de instalação do certificado digital como se titulares fossem, na medida em que viola, frontalmente, todo o regramento legal e os princípios que orientam o uso do certificado digital no País – e que, certamente, pode importar em consequências diversas e desagradáveis para o titular do certificado digital.”
Por fim, importa mencionar que o Instituto Nacional de Tecnologia da Informação (ITI) tem realizado diligências para coibir a prática. Isso tem significado duras fiscalizações e imposições de advertências e suspensões cautelares à Autoridades de Registro, uma vez que a vigilância pelo cumprimento das normas referentes a confirmação das identidades de pessoas físicas e jurídicas é mister dessas entidades.
Associação das Autoridades de Registro do Brasil (AARB)