PLS 146/2007 pode significar o retrocesso nos processos eletrônicos brasileiros

O Brasil possui uma legislação específica desde 2001 que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, § 1º, da Medida Provisória 2.200-2, de 24 de agosto de 2001. No entanto, em dezembro de 2016, o Projeto de Lei do Senado 146/2007 foi desarquivado e votado com emendas que interferem diretamente na regulação de autenticação dos documentos eletrônicos aplicada atualmente no Brasil.

O PROJETO DE LEI DO SENADO Nº 146, DE 2007

Altera e revoga dispositivos das Leis nº 12.682, de 9 de julho de 2012, que dispõe sobre a elaboração e o arquivamento de documentos em meios eletromagnéticos; nº 12.865, de 9 de outubro de 2013; nº 13.105, de 16 de março de 2015, que dispõe sobre o Código de Processo Civil; da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil; e nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências.

O que se pretende mudar com o substitutivo ao PLS 146/ 2007?

Este projeto de lei do Senado trata de digitalização de documentos, no entanto foi incorporada ao texto uma modificação que pretende dar a mesma validade jurídica da MP 2200-2/2001 para quaisquer sistemas de autenticação, inclusive login e senha.

Como a equiparação do certificado digital ao sistema de "login e senha" é uma questão técnica, esse artigo abordará, principalmente, a diferença entres as duas formas de autenticação, e traz a palavra de alguns profissionais envolvidos no universo de autenticação, sigilo de dados e assinatura digital no mercado para contextualizarmos a real questão no momento que envolve esse substitutivo:

Como um assunto dessa natureza, em que os senadores, obviamente, precisariam de subsídios técnicos, foi votado sem passar pela Comissão de Ciência e Tecnologia?

Algumas desvantagens do substitutivo ao PLS 146/2007

• Possibilita um alto volume de fraudes;
• Perda de confiança nos documentos eletrônicos;
• Não permite rastreabilidade de autoria dos atos praticados no meio eletrônico;
• Não gera evidências técnicas para eficácia probatória;
• Não apresenta padrão e normas para geração ou gerenciamentos de login e senha;
• Retorno da utilização do papel na troca de documentos;
• Perda de interoperabilidade do sistema brasileiro e internacional

Segundo o advogado Fabiano Menke, "Muito embora seja louvável a intenção do PLS 146/2007, uma vez que se pretende avançar ainda mais rumo à digitalização e à eliminação do papel, não é recomendável a sua aprovação.

Várias razões poderiam ser aqui mencionadas, mas nos ateremos a apenas duas: a questão do valor jurídico do documento digitalizado com o descarte dos originais e a presunção de autoria e integridade dos documentos eletrônicos assinados no âmbito da Administração Pública mediante uso de usuário e senha.

Quanto à primeira: O PLS 146/2007 dispõe que o documento digitalizado a partir de um procedimento de digitalização que será disciplinado em regulamento tenha o mesmo "valor legal do documento não digital que lhe deu origem para todos os fins de direito" (nova redação que o projeto confere ao Art. 2º-A da Lei nº 12.682/2012).

Esta proposta de regra segue a lógica de que a partir do controle do procedimento de digitalização, que seria realizado apenas por interessados credenciados perante o Ministério da Justiça, estaria garantida a equiparação dos efeitos jurídicos dos documentos digitalizados aos documentos originais que os embasam.

O erro do Projeto está em que esta presunção não pode ser atribuída por Lei, pelo simples motivo de que o controle do procedimento de digitalização não afasta eventuais fraudes praticadas anteriormente ao procedimento de digitalização. Há uma "vida pregressa" do documento que escapa ao controle de qualquer procedimento de digitalização. Em suma, com a nova regra seria possível que a própria digitalização "oficial" viesse a tornar autêntico e íntegro um documento que tenha sido produzido mediante fraude.

Uma vez destruído o original, teria se esvaído a possibilidade de comprovar a fraude anteriormente praticada.

O perigo da regra é evidente, e, salvo melhor juízo, não se conhece país do mundo que tenha feito esta equiparação do documento digitalizado ao documento original, com possibilidade de descarte.

Em segundo lugar, não se recomenda a alteração da MP 2.200-2 proposta pelo PLS 146/2007, para atribuir, no âmbito da Administração Pública, ao nome de usuário e senha, a presunção de autoria e integridade das declarações.

Com efeito, independentemente de onde se produzir o documento, a insegurança está em atribuir presunção de autoria a um mecanismo que não é o mais confiável para o meio eletrônico, como o nome de usuário e senha. Não cabe aqui a comparação com o processo judicial eletrônico, pois neste, o nome de usuário e senha são atribuídos a um universo restrito de participantes, quais sejam advogados públicos e privados, inscrito em entidades de classe, e juízes, enquanto que no processo administrativo o número de usuários seria ilimitado, com grande potencial de fraude sistêmica, finaliza Menke.

Na última semana Luiz Carlos Zancanella, presidente da Safeweb, uma das Autoridades Certificadoras no âmbito da ICP Brasil, visitou alguns senadores para apresentar o requerimento que será votado nesta terça-feira, em plenário. O documento apresentado pede a retirada do PLS 146/2007 da pauta de votação, sugere o seu encaminhamento para reexame na Comissão de Ciência e Tecnologia (CCT). A convite de Zancanella participaram das reuniões os representantes do ITI - Instituto Nacional de Tecnologia da Informação, Renato Martini e Maurício Coelho.

Na sequência, Zancanella esteve no gabinete do Senador Lasier Martins, atual Presidente da CCT. Zancanella detalhou a demanda solicitando que seja aberto o debate pela Comissão de Ciência e Tecnologia.

"Nosso esforço vai na direção de evitar que o Congresso Nacional aprove um projeto, que modifica de forma negativa e insegura, a lei que dá validade jurídica aos documentos eletrônicos.

A atual redação nos deixa reféns de um substitutivo mal construído, traz graves equívocos de ordem técnica, o que pode resultar em um retrocesso para o nosso país em termos de segurança da informação, já que o cenário de acesso a dados ficará vulnerável a todo e qualquer tipo de falsificação", declara Luiz Carlos Zancanella.

Segundo Renato Martini, diretor presidente do ITI, "O ITI é favorável ao PLS 146 no que refere à digitalização de documentos e desmaterialização de processos, o que colabora para a modernização da Administração Pública.

No entanto, somos terminantemente contrários ao enxerto artificial proposto para alterar a Medida Provisória 2.200 por se tentar dar equivalência jurídica a coisas que não possuem equivalência técnica, como processos de "login e senha" e a assinatura digital.

Vale destacar que as recentes reportagens veiculadas na grande mídia sobre vazamentos de login e senha dão a certeza de que, além de não corresponder a uma forma de assinatura digital, este mecanismo frágil de autenticação (login e senha) não atende às exigências das tecnologias atuais".

Para o engenheiro Marcelo Luiz Brocardo, "Autenticação baseada em login e senha está entre os mecanismos mais utilizados para garantir o acesso restrito a diferentes sistemas. Contudo, vários incidentes de segurança que ocorreram, recentemente, realçam a fragilidade da autenticação baseada em login e senha. Existem vários mecanismos utilizados pelos hackers para ter acesso as senhas de forma não autorizada. O ataque conhecido como "homem do meio" é um exemplo.

Outra forma de obter senhas é explorar as vulnerabilidades nos sistemas. Alguns exemplos destes tipos de ataques foram o acesso as senhas de 68 milhões de usuários do Dropbox e o ataque ao Linkedin que expôs as senhas mais populares entre os usuários. Além disso, falhas na programação pode tornar os aplicativos mais vulneráveis a ataques. Como exemplo temos a vulnerabilidade existente no Trend Micro e em aplicativos da Google Play Store que expôs senhas dos usuários.

Outro problema é a falha no gerenciamento das senhas. O recente vazamento das senhas das redes sociais do Palácio do Planalto é um claro exemplo de como muitas pessoas, instituições e empresas gerenciam incorretamente as suas senhas. Devido a todas estas fragilidades é que surgiu o certificado digital como uma alternativa ao uso do login e senha, não apenas como um mecanismo de autenticação, mas também como um mecanismo que garante a integridade, autoria e autenticidade em documentos assinados digitalmente.

Caso a PLS 146/2007 venha a ser aprovada, como é que o sigilo e segurança da senha serão garantidos? Ou como ter certeza de que o conteúdo de um documento não foi alterado após aprovação? A PLS 146/2007 é um retrocesso porque implica em voltarmos a imprimir e assinar documentos em papel, pois só assim teríamos a certeza do que foi assinado", conclui Brocardo.

O perito Ricardo Theil, deixa muito claro a diferença entre autenticação baseada em "login e senha" e certificados digitais no artigo Assinatura eletrônica e digital são a mesma coisa?, publicado no Crypto ID, em setembro de 2016.

"Se olharmos para a terminologia das palavras assinatura eletrônica e digital, elas parecem sinônimos, mas na verdade não são.

Estas alternativas muitas vezes se confundem à primeira vista gerando dúvidas sobre as diferenças de cada uma. Qual a diferença que existe entre elas? Qual é a mais segura? Como compará-las entre si e decidir qual é a melhor opção para o seu caso?

Theil conclui em seu artigo que "podemos afirmar que entre todas as espécies de assinatura eletrônica, as legislações mundo afora escolheram, apenas, a assinatura digital (Infraestrutura de Chaves Públicas) (2), como substituto legal da assinatura de próprio punho.

Como são geradas as senhas?

O ponto mais vulnerável na utilização dos meios eletrônicos, comprovadamente, é a fragilidade de geração e guarda das senhas. As senhas criadas pelos usuários são fracas e compartilhadas. Além de gerar muito suporte porque as pessoas esquecem suas senhas.

Entre os fatores mais críticos está a incapacidade das empresas em criar os inventários de senhas, o que não permite controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.

Se você quiser conhecer artigos sobre a fragilidade da autenticação por senha e login, acesse esse link. Temos aqui no Crypto ID centenas de casos publicados envolvendo grandes empresas que foram hackeadas via acesso ao banco de senhas.

E como são emitidos os certificados Digitais?

A ICP-Brasil é representada por empresas públicas e privadas emissoras de certificados digitais e-CPF, e-CNPJ, NF-e e outros certificados emitidos para máquinas e aplicações.

A ICP-Brasil é apoiada por um robusto sistema que opera com tecnologia de ponta e procedimentos que fez com que nesses 16 anos de atividade nunca tivesse sido registrado um incidente de ataque hacker. As autoridades certificadoras são mantidas em salas cofres com estanqueidade de gás, água, fogo e possuem, pelo menos, 6 níveis de barreiras de acessos com total controle dos funcionários e visitantes.

Aspectos técnicos interferem diretamente nas questões normativas e regulatórias da ICP Brasil

Todos os que operam no âmbito da ICP-Brasil, seguem as normas determinadas por um comitê nomeado pelo Presidente da República com representantes dos principais segmentos públicos e econômicos do País. O Comitê Gestor da ICP-Brasil é apoiado por um Comitê Técnico (COTEC) para auxiliar com embasamentos científicos os membros do Comitê Gestor nas decisões normativas e regulatórias em que são estabelecidos os procedimentos que devem ser seguidos por autoridades certificadoras, autoridade de registro e usuários.

São regras rígidas que vem sendo aperfeiçoadas de acordo com o amadurecimento do mercado e desenvolvimento de novas tecnologias.

Para Paulo Millet Roque,"A ICP-Brasil é uma solução sólida de certificação digital. Um exemplo de parceria público privada. É disparado o maior case de sucesso no mundo, tanto em número de usuários, quanto de aplicativos. No substituto do PLS 146 que trata de digitalização de documentos, lamentavelmente, colocaram um "jabuti" para dar validade jurídica a quaisquer outros sistemas de autenticação. Será um caos e um retrocesso. Eu, estranho também, o fato de um projeto que dormia desde 2007 ter sido substituído em 7 de dezembro de 2016 e aprovado pelo senado em menos de 3 semanas durante o Natal e ano novo, sem passar pela Comissão de Ciência e Tecnologia.".