4. ASSINATURAS DIGITAIS
Em toda a história da humanidade, mesmo nos já tão conhecidos papéis e pessoas, conferiu-se à questão da autenticidade papel de relevo, dadas as dúvidas que sempre acompanharam a questão. [88] Como os atos e documentos geram responsabilidades, é certo que deve haver essa preocupação.
Segundo o dicionário de De Plácido e Silva, a autenticidade, oriunda do latim authenticus – que expressa autoridade, validade e aprovação – indica que o documento ou ato é verdadeiro, exato e conforme a lei. [89] Aguiar Dias, por sua vez, considera autêntico documento "que faz autoridade de prova ou de solenidade, por expressar, só por si, a observância das formalidades a que estava sujeito. A autoridade é a qualidade do documento autêntico". [90]
Ressalte-se adicionalmente o entendimento de Moacyr Amaral Santos, para quem autenticidade é "a certeza de que o documento provém do autor nele indicado". Autor, por sua vez, seria aquela pessoa a quem se atribui a paternidade do documento. [91]
Quanto ao documento tradicional, a tarefa de atribuir-lhe segurança jurídica foi assumida pela assinatura de próprio punho, acompanhada de selos, carimbos e papéis especiais. Na lição de Carnelutti, a função dessa manifestação manuscrita é essencialmente a de indicar, declarar e provar. [92] Não em sentido diverso fluem os termos do art. 368 do Código de Processo Civil, segundo os quais a autoria em regra se comprova pela assinatura do autor.
Cabe indagar, então, sobre a natureza da assinatura digital, que pretende garantir a autoria e a integridade de um documento constituído por uma seqüência de bites, ao qual a assinatura tradicional não pode ser aposta.
A propósito, desde 1995 já há leis em âmbito mundial tratando do tema. No Estado norte-americano de Utah, entrou em vigor naquele ano a primeira lei a regulamentar o uso de assinaturas eletrônicas. Nos dias atuais, em quase todos os Estados Unidos há lei ou projeto de lei tratando do assunto, que viria a ser abordado na Europa em 1997, pioneiramente na Alemanha e posteriormente na Itália. [93]
Historicamente, a primeira menção legislativa às assinaturas digitais no Brasil data de 1996, como sinaliza Marcacini:
No Brasil, a primeira disposição a tratar do tema foi a Instrução Normativa nº 17, de 11 de dezembro de 1996, editada pelo Ministério da Administração Federal e Reforma do Estado, que determinou que "no prazo de 360 (trezentos e sessenta) dias serão implementadas aplicações que tratem da utilização de documentos eletrônicos e do uso de assinatura digital" (art. 4º, § 6º) no âmbito das atividades governamentais. Apenas após quase quatro anos viria a ser baixado regulamento mais específico sobre o tema, o Decreto nº 3.587, de 5 de setembro de 2000, que institui a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal (ICP-Gov). Referido Decreto estabelece normas básicas para a implantação do uso de criptografia de chave pública pela Administração Pública Federal, com o intuito de conferir segurança às comunicações eletrônicas entre os entes administrativos, prevendo ainda uma futura e progressiva substituição dos documentos físicos por meios eletrônicos. [94]
Inicialmente, explique-se, por cautela, que a assinatura digital não remete à figura de uma imagem transportada para o computador da assinatura autógrafa convencional, também denominada assinatura digitalizada. Tal procedimento não ofereceria segurança alguma, permitindo que qualquer um copiasse e reproduzisse o gráfico correspondente. E, apesar da utilidade de senhas de acesso para proteção da assinatura digital, esta não se confunde com aquelas.
A assinatura digital seria, para Cabral, "um código que identifica o remetente e pode ser anexado a uma mensagem transmitida eletronicamente". [95]
Já Marcacini compreende a assinatura digital como "o resultado de uma complexa operação matemática, que utiliza uma função digestora e um algoritmo de criptografia assimétrica, e tem, como variáveis, a mensagem a ser assinada e a chave privada do usuário (ambas vistas pelo computador como números)". [96]
A assinatura digital obtida por meios criptográficos difere substancialmente daquela tradicional – manuscrita em papel – sob variados aspectos. De início, consigne-se que o que determina a autenticidade de uma assinatura feita à mão é exatamente a similitude dela com o padrão do assinante, que se repete em todas as vezes nas quais sua marca pessoal é reproduzida. A assinatura digital, diferentemente, é única para cada documento, não podendo ser reconhecida por comparação com aquela aposta em outro arquivo ou com um padrão arquivado.
A razão para que a assinatura digital de uma dada pessoa seja única para cada documento é que este é uma variável da fórmula. Trata-se, como preleciona Marcacini, de uma relação lógico-matemática entre a assinatura e o documento, ao passo que a ligação de uma assinatura autógrafa é física, pois deverá constar da mesma folha de papel documental. [97]
Brasil enumera outros diferenciais da assinatura eletrônica em relação ao conceito tradicional de firma. Em primeiro lugar, enquanto a assinatura manuscrita é pessoal, indelevelmente relacionada a manifestações corpóreas do indivíduo – podendo ser periciada grafologicamente –, a similar digital é um sinal fornecido por outrem consistente em um conjunto de algarismos ininteligível. Além disso, a firma digital é em tese transferível, uma vez que, não acompanhando o corpo do titular, poderia ser hipoteticamente cedida. [98]
Apesar das citadas diferenças, a expressão "assinatura" contida no art. 371 da carta processual civil não afasta a sua representação digital, na opinião de Marcacini. E a razão para tanto é que a assinatura eletrônica cumpriria as mesmas funções daquela convencional, permitindo a identificação da autoria de um documento com elevada probabilidade de certeza, sendo igualmente um sinal distintivo, único e exclusivo de uma dada pessoa. Assim, ampliar o conceito de assinatura para além de traços personalizados feitos de próprio punho não afrontaria as tradições jurídicas, tampouco a língua portuguesa. [99]
Sabendo-se o que é uma assinatura digital, resta analisar de que maneira ela se vale da criptografia assimétrica para ser produzida. Nessa linha, é didática a explicação de Marcacini:
...a assinatura digital é produzida cifrando a mensagem com a (...) chave privada, o que só poderá ser decifrado com a chave pública. Ou seja, se for possível decifrar a mensagem com o uso da chave pública, é sinal de que ela só pode ter sido codificada com a chave privada correspondente e, portanto, somente aquele que detém esta chave privada poderia tê-lo feito. Note-se, com isso, que a "conferência" da assinatura é tarefa que qualquer um pode realizar, dado que a chave pública, como diz o seu nome, pode e deve ser amplamente divulgada e distribuída. [100]
Para evitar a necessidade de codificar a mensagem por inteiro, o que demandaria elevado trabalho de processamento e resultaria em arquivos demasiado grandes, a assinatura digital não é produzida sobre a mensagem, mas sim sobre um resumo dela, [101] obtido por meio da aplicação de uma função digestora [102] sobre seu conteúdo. Essa função se fundamenta em operações matemáticas sem retorno, do mesmo modo como as operações que resultam em dígitos verificadores quaisquer. Isso quer dizer que com base unicamente nesse resumo não é possível desvendar o conteúdo do documento, ou mesmo ajustar um resumo a um documento diferente daquele que o originou. Tome-se por exemplo um determinado número de CPF. Se qualquer dos nove algarismos desse cadastro for modificado, os dígitos verificadores acusarão a irregularidade. Por outro lado, apenas com base nos dígitos controladores, não é possível descobrir-se os nove números principais. A função digestora trabalha de maneira semelhante, com a diferença de se valer de códigos incomparavelmente maiores, a ponto de o resumo de uma determinada mensagem ser estatisticamente único. [103] É como se os dígitos verificadores do CPF fossem exclusivos a ponto de permitirem, por si sós, a identificação da pessoa. [104] Qualquer alteração no documento assinado, por mínima que seja (como a inserção de um espaço adicional entre palavras), modifica totalmente o resultado do resumo. Conclui-se, portanto, que é suficientemente segura a aplicação da chave privada do subscritor tão somente sobre esse resumo. [105]
Na conferência da assinatura, o computador calcula o resumo da mensagem recebida e o compara ao contido de modo codificado na assinatura, verificando assim a integridade do documento enviado, isto é, se o conteúdo do documento assinado é o mesmo daquele recebido. Se ele houver sido interceptado e modificado, os resumos diferirão. Noutra ponta, sendo o documento decifrável com a chave pública do suposto subscritor, somente a chave privada deste pode ter sido aplicada na geração da assinatura, pelo que se confirma a autenticidade do documento. [106]
A assinatura digital poderá ser integrada ao documento – que continuará igualmente legível – ou salva como um arquivo em separado, vinculado inexoravelmente ao conteúdo do documento quando da elaboração da assinatura. Múltiplas e diversas assinaturas são possíveis, tanto em um caso como no outro. Contudo, sempre que alterado o conteúdo do documento, a firma é invalidada.
Ademais, como todo arquivo digital pode receber uma assinatura eletrônica, vislumbra-se a possibilidade – anteriormente inexistente – de se assinar vídeos e sons. Ao invés de assinar a transcrição do depoimento prestado em audiência, assina-se digitalmente o próprio arquivo contendo o desenrolar desta em áudio e vídeo.
Contra a assinatura digital, pesam a falta de penetração na consciência coletiva de que o método é seguro, assim como a possibilidade de que a certificação em outros países não seja merecedora de confiança, o que deverá se repercutir no comércio internacional ainda por algum tempo com a confirmação dos negócios por meios tradicionais. [107]
Outro ponto de disparidade em relação à rubrica autógrafa a se sublinhar é a noção de falsificação de assinatura digital. O tema é abordado por Marcacini, com a ressalva de que os procedimentos sejam fundamentados em criptografia forte e confiável:
...quanto a um documento assinado eletronicamente pelo uso de criptografia assimétrica, a argüição de falsidade só poderá ser baseada em "falsidade de assinatura". (...) Dentro deste prisma, é de se dizer que o documento eletrônico assim assinado é dotado de um maior grau de confiabilidade que o próprio documento tradicional. Modificado um único bit, o próprio software de criptografia, ao conferir a assinatura, acusará que o documento adulterado não corresponde a ela. Já o documento cartáceo necessita de um exame pericial para constatar-se eventual alteração; e, com o evoluir da técnica, certamente surgem meios mais e mais poderosos para alterar documentos físicos.
Por "falsificação da assinatura digital", por sua vez, deve ser entendida a criação de um par de chaves falso, atribuído ao suposto signatário. A verdadeira assinatura digital, legitimamente gerada pelo seu titular, não tem como ser falseada. No fundo, inexiste falsidade a ser apurada no próprio documento eletrônico; o problema em análise se resume exclusivamente na verificação da autenticidade da chave pública. [108]
Ao se pensar em falsidade, pensa-se também em segurança, do mesmo modo como sempre foram enfrentadas as assinaturas tradicionais. Um problema novo que pode ocorrer em uma infra-estrutura de chaves públicas é a possibilidade – aparentemente, a fraude é a mais perigosa – de violação do sigilo de uma chave privada, com a sua conseqüente utilização para assinar documentos indevidamente. O titular da chave, por continuar tendo acesso a ela, dificilmente saberá se algum terceiro dela se apropriou antes de ser comunicado sobre fraude perpetrada em seu nome.
Visando aumentar a proteção do sistema digital, Kaminski e Volpi recomendam procedimento para dificultar ao máximo fraudes em assinaturas digitais. Baseia-se na conjunção de três preceitos, quais seriam, o "ter", o "ser" e o "saber". O primeiro diria respeito a algum elemento portátil pelo usuário, como um cartão magnético contendo a chave privada. O "ser", por sua vez, referir-se-ia a características do corpo do assinante, como a leitura da íris dos olhos, enquanto que o último seria um conhecimento exclusivo do usuário, como uma senha. Quanto mais elementos destes presentes, maior será a probabilidade de ser autêntica a expressão de vontade. [109]
Como exemplo desse procedimento, fala-se na utilização de um cartão eletrônico conhecido por smart card para a elaboração de assinaturas digitais. Um leitor apropriado, conectado ao computador, faria a leitura das informações contidas no cartão e então o usuário estaria apto a assinar documentos digitalmente. O uso de senhas e de técnicas de biometria – como a leitura da impressão digital – para validar o uso do cartão [110] seriam medidas de segurança adicionais. [111]
Por fim, outro aspecto de relevância diz respeito às atribuições dos notários e registradores. Entende Brasil que o reconhecimento de firmas por parte dos notários, bem como o arquivamento de assinaturas realizado em cartório, ambos nos termos da Lei de Registros Públicos e do art. 236 da Constituição Federal, dá-se somente sobre a assinatura gráfica manual, com características pessoais e aposta em um documento de papel. Apesar da semelhança de propósitos e de nomenclatura, seria a assinatura digital sinal identificador de natureza jurídica diversa, pelo que não afrontaria a Constituição Federal eventual atribuição das atividades cartorárias cibernéticas a outrem que não os tabeliães. [112]
5. CERTIFICAÇÃO DIGITAL
A certificação digital veio para o Brasil em 1996, estando hoje presente desde celulares GSM às páginas dos bancos na internet. Com base nela, fala-se, para o futuro, em documentos de identidade digitais em microdispositivos portáteis, dada a segurança do sistema, que se não é infalível é extremamente alta. Além disso, o preço dos certificados deverá cair vertiginosamente nos próximos anos. [113] Para tornar a certificação acessível ao cidadão, destaquem-se ainda o potencial dos órgãos representantes de classes – tais como sindicatos – ou empresas públicas como os Correios e a Caixa Econômica Federal.
A grande utilidade dos certificados digitais decorre, como alerta Marcacini, de uma diferença entre as assinaturas criptográficas e as manuais. Enquanto estas têm um vínculo com o corpo da pessoa do titular, identificável por meio das características de seus traços, não há, no caso da assinatura digital, relação direta entre as chaves criptográficas e o corpo do signatário. Assim, para garantir autenticidade à chave pública com a qual conferir-se-á uma assinatura, os certificados eletrônicos de autenticidade revelam-se uma alternativa. [114] Buscando definir o certificado digital, explica Marcacini que
...o certificado nada mais é do que a assinatura eletrônica de uma pessoa, lançada sobre a chave pública de outra. Ou seja, uma primeira pessoa, com o uso de sua chave privada, assina a chave pública de uma segunda pessoa. Conhecendo a chave pública daquela primeira pessoa, posso conferir a assinatura dada em certificação da chave pública da segunda. Por fim, confiando na primeira pessoa, acreditarei que a chave pública da segunda pessoa é verdadeira. [115]
(...)
Do ponto de vista jurídico, esses certificados teriam, a princípio, o significado de uma declaração, dada pelo agente certificante, de que a chave pública em questão realmente pertence ao titular indicado. [116]
Especialistas em informática e profissionais do direito vêm entendendo que a certificação digital é o meio mais seguro para a prática de atos judiciais em meio eletrônico. [117]
De fato, em decisão sobre o tema, inclinou-se o Supremo Tribunal Federal pela certificação digital como caminho para a aceitação de assinatura eletrônica. Veja-se:
Ato processual: recurso: chancela eletrônica: exigência de regulamentação do seu uso para resguardo da segurança jurídica.
1. Assente o entendimento do Supremo Tribunal de que apenas a petição em que o advogado tenha firmado originalmente sua assinatura tem validade reconhecida. Precedentes. 2. No caso dos autos, não se trata de certificado digital ou versão impressa de documento digital protegido por certificado digital; trata-se de mera chancela eletrônica sem qualquer regulamentaçãoe cuja originalidade não é possível afirmar sem o auxílio de perícia técnica. 3. A necessidade de regulamentação para a utilização da assinatura digitalizada não é mero formalismo processual, mas exigência razoável que visa impedir a prática de atos cuja responsabilização não seria possível.
(STF, AI 564765/RJ, Relator Ministro Sepúlveda Pertence, Primeira Turma, publicado em 17/03/2006)
O certificado, como visto, é uma opção a ser aposta sobre a chave pública, dando segurança a quem dela se valer para conferir uma assinatura. É que a autoridade certificadora, por meio de sua chave privada, assina a chave pública de alguém, atestando sua autenticidade.
Sob outro aspecto, saliente-se que nos certificados eletrônicos existe a possibilidade de inclusão de variadas informações de relevo, consistindo um diferencial em relação à assinatura manuscrita. Como exemplo, cita Marcacini a menção no certificado à representação legal exercida pelo assinante. [118]
Necessariamente deve ser especificada nos certificados a sua validade, mas de todo modo poderão ser revogados, hipótese em que deverão constar de publicação acessível por todos. Outras informações que se fazem necessárias no certificado são o nome do titular, a chave pública da autoridade emissora e um número de série exclusivo.
Para Cabral, o documento eletrônico assinado e certificado digitalmente subsumir-se-ia à órbita dos arts. 368 e 371 do Código de Processo Civil, aceitando-se a autoria do signatário e presumindo-se verdadeiras as declarações naquele constantes em relação a este, de modo igual ao que ocorre com os documentos particulares de papel. [119]
A segurança que o certificado busca proporcionar se baseia no risco de falsidade da chave pública. Afinal, é possível que uma chave desse tipo pertença de fato a outra pessoa que não àquela a quem é atribuída, uma vez que qualquer um pode gerar um par de chaves e atribuí-lo falsamente a outrem. Se o usuário se valer de chave pública inidônea para codificar um documento, não só este ficará inacessível ao verdadeiro destinatário como poderá ser aberto pelo falsário.
O problema da verdadeira identidade, lembra Marcacini, não é exclusivo das chaves públicas: a possível falsidade de dados apostos na chave criptográfica existe de igual maneira no documento de papel. A solução, aponta, é a confiança, não surpreendentemente a que fundamenta a aceitação do documento palpável, uma vez que sua elaboração pode ter sido embasada em fraude contra a autoridade de identificação. [120] A confiança que se tem na autoridade certificadora ou na própria pessoa – caso seja esta a lhe fornecer a chave diretamente – é que determinará o crédito a ser atribuído pelo usuário a uma dada chave.
O caminho da regulamentação de certificados digitais no Congresso Nacional iniciou-se com a Proposição nº 1.483/1999, da Câmara dos Deputados, a qual foi apensada, mais tarde, a de nº 1.589/1999, dada a convergência de abordagem. [121] O tema, porém, já é objeto de discussão há vários anos, como lembrado por Kaminski e Volpi, segundo quem "o processo de implantação dessa tecnologia vem se mostrando lento e dificultoso", devido aos trâmites necessários para que seja regulamentada. [122]
Mesmo com as dificuldades de regulamentação, já se visualizam aplicações de certificados digitais. O Superior Tribunal de Justiça disponibiliza em sua Revista Eletrônica de Jurisprudência decisões jurisprudenciais cujo conteúdo foi certificado eletronicamente para maior credibilidade. A Imprensa Oficial do Estado de São Paulo, por sua vez, lançou o diário oficial virtual, com informações assinadas por certificado digital e com valor de original. [123] De outra parte, também está prevista a implementação da certificação eletrônica no CNJ e no STF. Além disso, o número de certificados digitais emitidos conforme o padrão da ICP-Brasil – objeto de tópico posterior – já ultrapassou os quinhentos mil, conforme o ITI – Instituto Nacional de Tecnologia da Informação. Até 2010, essa quantia deverá chegar a vinte milhões, aponta a Câmara Brasileira de Comércio Eletrônico. [124] Vale menção também à área fiscal, na qual a Receita Federal lançou a nota fiscal eletrônica, já em uso no país. O "Sistema Público de Escrituração Digital" (SPED), projeto que lhe deu origem, consiste na "substituição da emissão de livros e documentos contábeis e fiscais em papel por documentos eletrônicos com certificação digital, garantindo assim a sua autoria, integridade e validade jurídica". [125]
Como contraponto às vantagens da implantação de estruturas certificatórias no Brasil, Greco enumera o grande investimento necessário, bem como a credibilidade – idealmente fundada em fiscalização e técnica rigorosas – que "nem o registro de pessoas naturais e o de imóveis conseguiram adquirir no Brasil" de modo satisfatório. [126] Como eventual amenizador caso esses aspectos se confirmem, é de se referir o Projeto de Lei nº 6.825/2002, que busca instituir a contratação de seguro sobre as atividades de certificação digital, o que por certo facilitaria a aceitação desse mecanismo pela sociedade. [127]
Saliente-se, por derradeiro, que ao contrário da tendência verificada no Brasil, em âmbito mundial tende-se a reconhecer as assinaturas digitais livres, não certificadas por entidades autorizadas. [128]