A discussão do Projeto de Lei 7316/02, que regulamenta o uso de assinaturas digitais (com certificado digital) e das assinaturas eletrônicas (sem certificado digital) no Brasil foi retomada na Câmara dos Deputados, pela Comissão de Constituição e Justiça e de Cidadania (CCJC).
No dia 07 de agosto de 2019, o assunto foi tratado em audiência pública, que contou com a adesão dos parlamentares e de representantes do Serviço de Cerificação Digital do Serviço Federal de Processamento de Dados (Serpro), do Instituto Nacional de Tecnologia da Informação (ITI), da Associação Nacional de Certificação Digital (ANCD), da Receita Federal do Brasil, entre outras organizações convidadas. É consenso no mercado brasileiro a necessidade de uma legislação moderna e que dê segurança jurídica para quem utiliza a certificação digital.
Para analisar as perspectivas do Certificado Digital no Brasil, a equipe do Portal da ABES entrevistou Paulo Milliet Roque, vice-presidente da ABES e diretor da empresa de certificação digital DigiForte.
Nesta época de transformação de processos, simplificação e redução de procedimentos presenciais, o certificado é um mecanismo que tem sido utilizado, cada vez mais, para assegurar a identidade dos indivíduos na assinatura de documentos e acesso a serviços, a fim de proporcionar validade jurídica e garantir a segurança em transações online. Vamos acompanhar a entrevista?
Como avalia a volta do debate a respeito do Projeto de Lei 7316/02?
É muito importante. Concordo com a necessidade de uma certificação digital mais forte e da sua popularização. É fundamental termos um sistema de identificação digital para os brasileiros com alta segurança e tecnologia que permita a redução do risco de fraudes. Nós, hoje, temos conseguido isso com o sistema de certificação digital atual, mas sabemos que é possível melhorar. Os usuários reclamam do inconveniente do deslocamento até a unidade certificadora, entretanto esta etapa é fundamental para conferir a identidade do adquirente do certificado presencialmente, ou seja, para a etapa que chamo de fazer a checagem “cara-crachá”. A segunda reclamação é o custo de um certificado digital, que pode ficar entre R$ 120,00 e R$ 400,00, dependendo do tempo de validade, se é para pessoa física ou jurídica e do suporte – cartão magnético, token ou software. Já tivemos uma diminuição do preço médio em cerca de 20% no último ano e eu acredito em mais redução a curto prazo”.
Por que um certificado digital tem validade?
No Brasil, a validade dos certificados varia entre 1 a 5 anos por determinação legal, sempre com o objetivo de evitar fraudes. Como a criptografia avança periodicamente, não tem sentido manter no mercado certificados defasados tecnologicamente, o que cria riscos de ataques, especialmente com o avanço do poder de processamento dos computadores. É por isso que não se faz um certificado digital para a vida inteira. Além disso, tem o risco do mau uso, da má fé, como, por exemplo, quando uma pessoa falece e alguém que tem a senha continua usando o certificado. Assim, o prazo de validade confere mais proteção contra os avanços tecnológicos e contra as fraudes.
Existe algum substituto para o certificado digital?
No mesmo nível de segurança não existe. Existem empresas e entidades que defendem sistemas de confirmação da identidade em transações apenas baseados em login e senha, ou verificação por e-mail e número de celular, mas nós temos muitos exemplos de violações de segurança apenas com estes dois dados, em função das invasões de base de dados. Um caso muito conhecido mundialmente aconteceu com Yahoo, em 2012, quando roubaram quase meio milhão de nomes de usuários e senhas não criptografadas. Esse número só sobe. A Sky teve 32 milhões de contas vazadas, em 2018. O site https://haveibeenpwned.com registra 8 BILHÕES de logins e senhas roubados. Verifique neste local o seu e-mail. Com senha e e-mail, na prática, as pessoas não estão muito protegidas. Eles não são suficientes para proteger os dados em sistemas que precisam de alto nível de proteção e controle de acesso, como o do FGTS ou da Receita Federal. Quando eram apenas estes dois dados para autenticação do cidadão, a ocorrência de fraudes era bem maior. O principal problema no mundo digital e fora dele é: como evitar a fraude? Uma das formas de se proteger contra estas ocorrências seria a autenticação por dois fatores, que também é bastante recomendável, mesmo dando um pouco mais de trabalho na implementação.
Como vê o uso da assinatura eletrônica?
A assinatura eletrônica (sem certificado digital) também não garante 100% a identidade dos envolvidos nas transações. Ela é frágil para assinatura de contratos, por exemplo, pois toma como base o e-mail de uma pessoa. Hoje em dia, a gente sabe que é fácil criar um e-mail, comprar um chip e um celular descartável para forjar a identidade de um terceiro, qualquer um. Até é viável de ser usada para transações de baixo valor, mas que não recomendo para operações de maior valor ou que, no dia a dia, possam gerar litígios e sanções. Comparados com outros mercados, a realidade no Brasil é bastante avançada nas opções de checagem de identidade. O RG, a CNH, apesar de não ser um documento que todos os brasileiros possuem, e o CPF se estabeleceram como dados importantes de identificação das pessoas. Vamos evoluir ainda mais quando tivermos o Documento Nacional de Identificação (DNI). Estes documentos são os utilizados para a emissão do certificado digital e devem ser apresentados presencialmente.
O projeto de lei Lei 7316/02 estava parado no Congresso Nacional. O que já está sendo realizado para popularizar o uso do certificado digital e modernizar suas regras?
O ITI tem atuado para promover avanços na certificação digital e o seu diretor-presidente, Marcelo Buz, tem conduzido um trabalho importante para redução dos custos dos certificados para as pessoas físicas, com novas regras que devem entrar em vigor ainda este ano, na segunda quinzena de outubro. Ainda em agosto, iniciamos a discussão de como facilitar a emissão do certificado digital para pessoas jurídicas. Paulo Uebel, Secretário Especial de Desburocratização, Gestão e Governo Digital, do Ministério da Economia, e sua competente equipe, tem também contribuído neste esforço para a redução dos custos e maior facilidade de aquisição, sem abrir mão da segurança.
Quais são as novas regras para emissão do certificado digital para pessoa física?
Uma das novas regras promove a simplificação do atendimento, pois quando o comprador apresentar um documento digital, como a CNH digital instalada no seu celular, ou quando o documento físico puder ser verificado em uma base oficial de dados, a emissão da certificação digital poderá ser realizada apenas pelo agente de registro. A necessidade de conferência pelo agente de verificação será exigida apenas nos demais casos.
Além disso, foi autorizado que a guarda dos dossiês físicos dos documentos apresentados pelos compradores seja substituída pelo arquivamento digital. O envio para as Autoridades de Registro e destas para as Autoridades Certificadoras deverá ser feito semanalmente, e não mais mensalmente. Outras mudanças ocorreram no credenciamento das Autoridades de Registro, mas são aspectos técnicos que, entretanto, vão reduzir várias exigências para prestação deste serviço e, esperamos, vão ajudar na redução do valor do certificado digital cobrado do cliente.
Fonte: ABES