#conteúdos

Categoria Negócios e Contratos

voltar
30/4/2023
Afinal, o que são Certificados Digitais e para que servem?

Em 2001 foi editada a Medida Provisória nº 2.200, de 27 de julho de 2001 (MP nº 2.200/2001), que institui a infraestrutura destinada a garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica - a denominada Infraestrutura de Chaves Públicas Brasileira (“ICP-Brasil”).
Nos termos da MP nº 2.200/2001, a organização da ICP-Brasil é composta pela autoridade gestora de políticas – o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (“CG ICP-Brasil”) – e pela cadeia de autoridades certificadoras.
O CG ICP-Brasil é um comitê misto vinculado a Casa Civil, composto por representantes da Administração Pública e representantes da sociedade civil, nos termos estabelecidos no Decreto nº 6.605/2008, responsável por coordenar o funcionamento da ICP-Brasil, bem como estabelecer políticas e normas técnicas sobre o seu funcionamento.
A cadeia de autoridades certificadoras, por sua vez, compreende a Autoridade Certificadora Raiz - AC Raiz, as Autoridades Certificadoras (AC) e as Autoridades de Registro (AR), cada qual atuando em uma etapa específica do processo de emissão do Certificado Digital.
No modelo de certificação adotado pelo Brasil, que institui a ICP-Brasil, o Instituto Nacional de Tecnologia da Informação (ITI) figura como AC Raiz, sendo as Autoridades Certificadoras a ela credenciada integrantes da ICP-Brasil, e denominadas Autoridades Certificadoras Públicas.
Não obstante tenha sido instituído um modelo de infraestrutura de chaves públicas, a MP nº 2.200/2001 admite a existência e reconhece outras infraestruturas de comprovação da autoria e integridade de documentos em forma eletrônica (art. 10, § 2º). Ou seja, é admitido que particulares criem infraestruturas de chaves públicas próprias, cujas autoridades certificadoras serão intituladas Autoridades Certificadoras Privadas. Nesse modelo Autoridade Certificadora Privada é responsável pela emissão de seu próprio certificado raiz e os certificados digitais por ela emitidos são confiáveis nos limites de sua própria comunidade.
Em síntese, a ICP-Brasil é a infraestrutura de chaves públicas instituída pelo governo brasileiro que representa uma cadeia hierárquica de confiança – elos de confiança –, que viabiliza a emissão de certificados digitais para identificação virtual do cidadão e de empresas, por meio das Autoridades Certificadoras Públicas.
Além dessa infraestrutura são admitidas infraestruturas de chaves públicas criadas por privados para esse mesmo fim, sendo as Autoridades Certificadoras dessa cadeia de confiança as Autoridades Certificadoras Privadas.

Autoridades Certificadoras Públicas
As Autoridades Certificadoras públicas são entidades que utilizam a ICP-Brasil e que estão autorizadas a emitir, revogar e renovar os certificados digitais – assinaturas digitais com validade jurídica – declarando a autenticidade da identidade do seu titular, podendo ser de primeiro nível (aptas a emitir certificados para outras Autoridades Certificadoras, consideradas de segundo nível) e as de segundo nível (que emitem o certificado ao usuário final, após validação da Autoridade de Registro).
Em resumo, as AC de primeiro nível estão autorizadas a emitir certificados digitais às AC de segundo nível, que, por sua vez, estão autorizadas a emitir Certificados Digitais aos usuários finais, após a validação e conferência da identidade e documentos do usuário final pela AR.
Ademais, as Autoridades Certificadoras estão incumbidas da segurança e fiscalização das operações e documentação, seguindo as definições da Declaração de Práticas de Certificação, dentre elas.
Atualmente, de acordo com a Árvore hierárquica da ICP-Brasil disponível no site oficial do Instituto Nacional de Tecnologia da Informação (ITI), há vinculadas a AC raiz do ITI 26 AC de 1º Nível e 117 AC de 2º Nível e 2519 AR.
São exemplos de empresas que figuram como AC de 1º nível credenciadas ao ITI, a Serasa Experian e a Certisign.

Autoridades Certificadoras Privadas
Como dito anteriormente, além das Autoridade Certificadoras Públicas, há a Autoridade Certificadora Privada que não integra a hierarquia da ICP-Brasil e possui sua própria infraestrutura de chaves públicas. Assim, as regras e boas práticas de uso dos documentos emitidos pela Autoridade Certificadora Privada são definidas por ela própria.
Assim, a validade jurídica do documento emitido é garantida pela própria Autoridade Certificadora Privada que gerou o respectivo certificado digital, nos termos de suas regras e boas práticas de uso dos documentos. Em outras palavras, a AC Privada define suas próprias regras e condições de autenticação do usuário do certificado digital, podendo, por exemplo, considerar a biometria facial, uma foto, uma assinatura manuscrita ou um documento pessoal original como formas de autenticação do usuário, ou, até mesmo, dispensar a apresentação de qualquer dado pessoal para autenticar o usuário.
Dessa forma, os atos praticados por meio de certificados digitais emitidos pela AC Privada têm sua validade garantida de acordo com as condições estabelecidas nas políticas e práticas de autenticação por ela definidas.
Diferentemente, para os certificados digitais emitidos por AC públicas – que utilizam a Infraestrutura de Chaves Públicas Brasileira ICP-Brasil – as regras e condições de autenticação do usuário não são definidas pela certificadora, mas pelo Instituto Nacional de Tecnologia da Informação – ITI.
A título de exemplo, imagine que determinada AC Privada estabeleceu como forma de autenticação do usuário a biometria facial e um documento original. O colaborador de uma empresa solicita o certificado digital de tal AC Privada e, após atender a tais critérios, obtém o certificado digital da AC Privada. O documento assinado eletronicamente pelo colaborador da empresa por meio do certificado digital é válido juridicamente perante terceiros nos termos e condições da infraestrutura estabelecida pela AC Privada, que tem por finalidade assegurar a autenticação da identidade do usuário do certificado.
Ou seja, uma entidade poderia emitir seu próprio certificado, definindo diretrizes de segurança e estabelecendo o uso específico do certificado, por exemplo, para validação interna de documentos na empresa. Uma vez que o certificado emitido por essa entidade seja utilizado para esse fim e haja confiança mútua entre as partes envolvidas, tem-se reconhecida a validade do documento.

Conforme aqui exposto, os certificados digitais são instrumentos de autenticação da identidade do seu titular, que servem como uma identidade virtual, cuja autenticidade é garantida pela Autoridade Certificadora que os emitem por meio de uma infraestrutura.
Nesse contexto, os atos praticados por meio de certificados digitais têm garantido sua autenticidade e validade jurídica nos termos das regras e boas práticas estabelecidas adotadas pela Autoridade Certificadora que os emitiu.
Esclarecidas as diferenças entre os certificados digitais emitidos pelas AC públicas e AC privadas e a validade jurídica dos atos praticados por meio deles, destaco que assinatura eletrônica não se confunde com assinatura digital, mas isso é tema de um próximo artigo.

1/5/2023
Assinatura Eletrônica e Assinatura Digital são a mesma coisa?

De antemão, esclareço que não.

A Medida Provisória nº 2.200, de 27 de julho de 2001 (MP nº 2.200/2001), que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil e criou a figura das Autoridades Certificadora (*) dispôs que “as declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1º de janeiro de 1916 - Código Civil.” (art. 10, § 1º) e que “o disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (art. 10, § 2º).
Em outras palavras: os documentos assinados eletronicamente são considerados documentos públicos ou particulares, para todos os fins legais, sendo que aqueles que forem assinados com certificado digital vinculados à ICP-Brasil, terão sua veracidade presumida (art. 10, § 1º), e os documentos que forem assinados com certificados não emitidos pela ICP-Brasil são igualmente válidos, quando admitidos pelas Partes para este fim (art. 10, § 2º).
Da leitura desses dispositivos normativos, depreende-se que há as assinaturas eletrônicas (gênero) e as assinaturas eletrônicas assinadas com certificado digital (espécie).

Após, em 2006, foi publicada a Lei nº 11.419/2006, que dispõe sobre a informatização do processo judicial, regulamentando a tramitação de processos judiciais, comunicação de atos e transmissão de peças processuais no meio eletrônico.
Para fins do quanto disposto na da referida lei, entende-se por assinatura eletrônica as formas de identificação inequívoca do signatário que podem ser (i) pela assinatura digital, a qual é baseada em certificado digital emitido por Autoridade Certificadora credenciada e (ii) pela assinatura eletrônica realizada mediante cadastro de usuário no Poder Judiciário, conforme as regras estabelecidas pelos respectivos pelos órgãos (vide art. 1º, § 2º, inciso III).
Ou seja, a Lei nº 11.419/2006 reafirmou a concepção de assinatura eletrônica enquanto gênero, da qual a assinatura digital é espécie, detalhando outra espécie assinatura eletrônica, para fins da prática de atos no âmbito do Poder Judiciário, qual seja: a assinatura eletrônica sem certificado, realizada mediante cadastro de usuário no Poder Judiciário.

Por fim, em meio ao cenário pandêmico, foi publicada a Lei nº 14.063, de 23 de setembro de 2020 (“Lei nº 14.063/2020”) que estabelece regras e procedimentos sobre o uso de assinaturas eletrônicas no âmbito (i) da interação interna de órgãos e entidades da administração direta, autárquica e fundacional dos Poderes e órgãos constitucionalmente autônomos dos entes federativos (para fins didáticos, ora “Administração Pública”), (ii) da interação entre pessoas naturais ou pessoas jurídicas de direito privado e a Administração Pública e (iii) da interação entre os entes da Administração Pública. De antemão, vale destacar que a própria Lei nº 14.063/2020 previu expressamente que o disposto no tocante a esse interação não se aplica aos processos judiciais; às interações entre pessoas naturais ou entre pessoas jurídicas de direito privado; às interações na qual seja permitido o anonimato; às interações na qual seja dispensada a identificação do particular; aos sistemas de ouvidoria de entes públicos; aos programas de assistência às vítimas e testemunhas ameaçadas, bem como às outras hipóteses nas quais deva ser dada garantia de preservação de sigilo da identidade do particular na atuação perante o ente público (vide art. 2º parágrafo único).
Não obstante, embora restrita ao âmbito de sua aplicabilidade, a Lei nº 14.063/2020 trouxe maiores detalhes sobre o conceito das espécies de assinatura eletrônica, já tratadas anteriormente na MP nº 2.200/2001 e na Lei nº 11.419/2006.

Conforme disposto em seu art. 4º, as assinaturas eletrônicas são classificadas em simples, avançadas e qualificadas.
São assinaturas eletrônicas simples aquelas que permitem identificar o seu signatário, bem como aquelas que anexam ou associam dados a outros dados em formato eletrônico do signatário.
As assinaturas eletrônicas avançadas, por sua vez, são as que utilizam certificados não emitidos pela ICP-Brasil. Também se caracterizam como assinaturas eletrônicas avançadas as que utilizam outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento, devendo contar com as seguintes características: a) estar associada ao signatário de maneira unívoca; b) utilizar dados para a criação de assinatura eletrônica cujo signatário pode, com elevado nível de confiança, operar sob o seu controle exclusivo; c) estar relacionada aos dados a ela associados de tal modo que qualquer modificação posterior é detectável.
Por último, as assinaturas eletrônicas qualificadas são as que utilizam certificado digital, nos termos do § 1º do art. 10 da MP nº 2.200/2001. Ou seja, as assinaturas que utilizam o processo de certificação disponibilizado pela ICP-Brasil.
O grau de confiabilidade de cada um desses três tipos de assinaturas eletrônicas é gradativo, sendo a assinatura eletrônica simples com menor nível de confiabilidade sobre a identidade e a manifestação de vontade de seu titular, e a assinatura eletrônica qualificada a com mais elevado nível de confiabilidade (vide art. 4º, §1º).

É dizer: a Lei nº 14.063/2020 regulamentou as regras de validade das assinaturas eletrônicas no âmbito de sua aplicabilidade, e, subsidiariamente, contribui para elucidar as espécies de assinatura eletrônica já tratadas anteriormente na MP nº 2.200/2001 e na Lei nº 11.419/2006.
Pode-se concluir, portanto, que as assinaturas eletrônicas são gênero, das quais são espécies, (i) as assinaturas eletrônicas simples, (ii) as assinaturas eletrônicas avançadas, que utilizam certificado digital (assinaturas digitais avançadas), (iii) as assinaturas eletrônicas avançadas que não utilizam certificado digital, e (iv) as assinaturas eletrônicas qualificadas, que utilizam certificado digital disponibilizado pela ICP-Brasil (assinaturas digitais qualificadas).

Resta saber: de que forma meu documento deve ser assinado para que seja válido?
A resposta é: depende.
Para respondê-la é preciso identificar em qual contexto e a quem o documento será oposto.

Isto é assunto para outro artigo.

(*) Para mais informações sobre certificados digitais, leia nosso artigo “Afinal, o que são Certificados Digitais e o que certificam?”