O apagão do comércio eletrônico no Brasil

1. Foi publicada na data de 29 de junho a Medida Provisória nº 2.200, instituindo a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.

A finalidade da ICP-Brasil vem descrita no art. 1º daquela MP: “garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras”.

Logo, a MP não trata apenas de documentos internos da própria administração federal: todos os documentos emitidos de forma eletrônica passam a estar sujeitos às suas disposições.
Em reforço a essa afirmação, transcreva-se o art. 12 da mesma MP, que afirma: “consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória”.

2. Documento eletrônico é, em termos singelos, aquele gerado por meio eletrônico, e que por esse mesmo meio pode ser arquivado, recuperado ou transmitido. Ele vem substituir o papel nas contratações realizadas por via eletrônica.
A grande preocupação inerente ao documento não está em sua “validade jurídica”, ou seja, se uma contratação eletrônica terá ou não valor jurídico. O ato jurídico, salvo exceções previstas em lei, como a compra e venda de um imóvel, que requer escritura pública, independe de maiores formalidades. Uma contratação pode ser inclusive verbal (arts 82 e 129 do Código Civil).

A questão jurídica controvertida que o documento eletrônico tem nos apresentado está no seu valor probante, ou seja, se será ou não admitido como prova do ato praticado, quando apresentado em juízo. Qualquer documento, para servir como prova, deve permitir o conhecimento de sua autoria, bem como a apuração de eventual fraude. Um impresso apócrifo, por exemplo, dificilmente bastará como prova judicial, exatamente pela dificuldade em se conhecer seu autor. Da mesma maneira, o documento eletrônico precisa ter sua autoria demonstrada. Além disso, o documento eletrônico, uma seqüência de bits facilmente alterável, deve ser assinado por sistema que permita apurar se sofreu modificação após a assinatura ter sido emitida.

Ambos os requisitos, autenticidade e integridade, são supridos pelo uso da criptografia de chave pública, que consiste basicamente em codificar documentos a partir de uma chave de conhecimento restrito ao seu titular (chave privada), sendo possível decodificá-lo a partir de uma chave correspondente, mas de conhecimento público (chave pública). O sistema é simples, barato e eficiente. O conhecimento para implementar tais operações é de domínio público. E há softwares gratuitos que podem ser obtidos na Internet, como, por exemplo - o mais famoso deles - o PGP, gratuito para uso não comercial; ou o GnuPG, software livre compatível com o primeiro; ou, ainda, o OpenSSL, outro software livre que opera com o padrão comumente utilizado pelas certificadoras que já existem no mercado.

O resultado da criptografia de documentos utilizando a chave privada é denominado assinatura digital; sendo possível decodificar com o uso de determinada chave pública, isto quer dizer que a assinatura foi necessariamente codificada a partir da chave privada correspondente. Sabendo-se quem é o titular desta chave pública, será conhecido o titular da chave privada, ou seja, quem codificou o documento. Por outro lado, qualquer alteração que um documento assinado venha a sofrer será acusada quando se pretender conferir a assinatura. O próprio sistema de criptografia de chave pública acusa a adulteração, dando como má a assinatura eletrônica.

3. Por outro lado, os sistemas de criptografia de chave pública permitem que uma terceira pessoa certifique a titularidade destas chaves, ou seja, afirme quem é o titular da chave pública. Isto é feito assinando digitalmente a própria chave pública a ser certificada. Mutatis mutandis, é como o reconhecimento de uma firma por cartório, ou o abono de assinatura por um banco. Isto não é obrigatório no documento em papel, e não pode ser também no documento eletrônico privado. Deveria ser uma opção das partes - de quem assina digitalmente um documento e de quem o recebe - estabelecer se querem ou não que as chaves públicas sejam certificadas.

Do ângulo técnico, a certificação não agrega segurança alguma ao documento eletrônico. Esta segurança está ligada exclusivamente ao fato de ter sido assinado pelo sistema de criptografia de chave pública. Chaves não certificadas, ou auto-certificadas, funcionam do mesmo modo. A certificação se relaciona apenas com a confiança que pode ser depositada acerca da verdadeira titularidade daquela chave pública. Não é, pois, um pressuposto do funcionamento do sistema.

Do ângulo jurídico, a eficácia da certificação dependerá dos termos da lei, ou do contrato. Isto porque a certificação não exige unicamente o uso de tecnologia: envolve, principalmente, um procedimento (para afirmar-se que a chave pública é de titularidade de alguém, é necessário conhecer-se essa pessoa, identificá-la ou, até mesmo, produzir provas físicas de que esta pessoa reconhece a chave como sua) e um conteúdo (há certificações que apenas declaram que não existe outra chave relacionada à mesma pessoa e mesmo endereço eletrônico, sem que se garanta que a chave pertença mesmo a esta pessoa).
    Mais ainda: pressupõe definição de responsabilidades pela emissão de um certificado. Qual a responsabilidade de uma empresa ao certificar a chave pública de alguém? A lei deveria dizê-lo.

3. A MP 2.200 pretende tratar da “validade jurídica de documentos em forma eletrônica”. A redação deste artigo 1º, um tanto quanto ambígua, parece ter a intenção de que tal medida provisória não trate apenas da prova por documento eletrônico, mas da validade do próprio ato jurídico praticado em meio eletrônico. As expressões utilizadas, realmente, não são as melhores.

E, no artigo 12, fica estabelecido que o documento deverá estar ajustado à ICP-Brasil, ou seja, que tenha sido assinado com chaves certificadas por uma certificadora credenciada. Assim sendo, a exigência de certificação das chaves utilizadas para gerar uma assinatura digital passaria a ser da essência do ato praticado (art. 130 do Código Civil).

Isto, do ângulo técnico, cria uma distorção, pois, como já dito, a certificação da chave não é essencial à segurança do documento eletrônico, nem é requisito de funcionamento do sistema.

Sob o aspecto econômico, a obrigação da certificação é inaceitável: burocratiza o comércio eletrônico, além de agregar-lhe os custos da certificação. Sem contar a provável formação de monopólio das entidades certificadoras credenciadas.

Do ângulo jurídico, isto se constitui em verdadeira aberração: nosso Código Civil, em vigor desde 1917, permite contratações verbais! Mas a nova medida provisória aponta para a exigência de forma especial, caso a contratação - mesmo a compra de um mero CD - se faça por meio eletrônico. Isto porque, reitere-se, confunde valor de prova com “validade jurídica”.

Mas mesmo que o texto queira se referir apenas ao valor do documento eletrônico como prova, o certificado não deveria ser essencial, e assim têm sido entendido por praticamente todas as legislações estrangeiras recentes. A Diretiva da Comunidade Européia determina que “não se negue eficácia jurídica, nem admissibilidade como prova em processos judiciais, à assinatura eletrônica pelo mero fato de que: (...) não se baseie em um certificado reconhecido, ou não se baseie em um certificado expedido por um provedor de serviços de certificação credenciado (...)” (art. 5º, item 2). O nosso Código de Processo Civil admite qualquer meio de prova, ainda que não especificado na lei (art. 332), desde que idôneo e moralmente legítimo. O projeto OAB, que tramita na Câmara sob nº 1589/99, estabelecia que qualquer meio de prova é hábil a provar a titularidade das chaves públicas, exceto a prova exclusivamente testemunhal.

A imposição de certificação, portanto, não faz o menor sentido, quando se trata de relações privadas e comerciais, representando um entrave aos negócios e um retrocesso na nossa legislação civil, comercial e processual.

4. Ainda mais grave, porém, é que, ao mesmo tempo em que a MP institui um novo requisito formal de validade de um documento, inclusive de natureza privada, ela simplesmente não traz nenhum elemento desse requisito: não diz como serão os certificados, qual o procedimento para certificação, que requisitos deverá preencher quem quiser atuar como entidade certificadora, ou qual a responsabilidade destas entidades.

Simplesmente nomeia um Comitê Gestor da ICP-Brasil, formado majoritariamente pelo Poder Executivo Federal, a quem competirá expedir toda a regulamentação dos mais variados aspectos, destacando-se (art. 5º): adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil (inc. I); estabelecer a política, os critérios e as normas para licenciamento ds AC, das AR e dos demais prestadores de serviços de suporte à ICP-Brasil (inc. II); estabelecer a política de certificação e as regras operacionais da AC Raiz (inc. III); estabelecer diretrizes e normas para a formulação de políticas de certificados (inc. V); aprovar políticas de certificados e regras operacionais, licenciar e autorizar o funcionamento das AC e das AR (inc. VI); atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança (inc. VIII).

Não se trata, como se pode perceber, de conferir ao dito Comitê tão somente a atribuição de regulamentar aspectos técnicos. Os poderes atribuídos pela medida provisória implicam em delegar ao Comitê função tipicamente legislativa, estabelecendo os elementos formais de validação do ato jurídico. É de se duvidar, por isso, da constitucionalidade da referida MP 2.200. A propósito do Comitê, aliás, merece destaque o fato de que o mesmo “será assessorado e receberá apoio técnico” do CEPESC, órgão ligado à Abin, sucessora do SNI. Será que uma compra de CD na internet é tão importante para a segurança nacional do país, que precisa ser regulado por órgão assessorado e apoiado tecnicamente pelo CEPESC? E quais as verdadeiras implicações disto, em face da segurança privada dos cidadãos e das empresas? Tal fato não encontra paralelo em regimes verdadeiramente democráticos, colocando o país ao lado da Rússia, onde o uso da criptografia depende de autorização prévia da FAPSI, sucessora da KGB, da China, onde os nacionais não podem utilizar criptografia, ou ainda Irã, Iraque, Mongólia, Paquistão, Vietnã, países onde não se pode dizer que os direitos fundamentais sejam exemplarmente respeitados (fonte: Relatório "Criptografia e Liberdade 2000", Electronic Privacy Information Center (disponível em: http://www2.epic.org/reports/crypto2000/countries.html).

Destaque-se que as legislações européias que criaram alguma entidade credenciadora central diferem diametralmente do texto desta MP, vez que, definindo na lei a forma de certificação, requisitos e responsabilidade da certificadora, atribuem a esta entidade central tão somente funções administrativas, fiscalizadoras, jamais funções normativas; ademais, o credenciamento é opcional, podendo a entidade certificadora particular atuar sem este “alvará”; e, mais importante, a própria certificação das chaves não é requisito obrigatório para a validade do ato jurídico praticado, ou da eficácia probatória do registro eletrônico com que o ato foi documentado.

Quanto a este aspecto da validade dos atos praticados por meio eletrônico, fica difícil prever o estrago que esta medida provisória mal formulada, entrando em vigor imediatamente, pode causar na sociedade. Será que as contratações eletrônicas que têm sido cotidianamente efetuadas terão validade a partir do dia 29 de junho, já que a ICP-Brasil, apesar de criada pela MP, ainda demorará até ser implantada? E na esfera pública? Terá validade jurídica a publicação de uma lei, encaminhada ao D.O. em formato eletrônico, se não preencher os requisitos ainda não estabelecidos pelo Comitê?

5. Ponto que merece ser questionado refere-se aos limites da intervenção do Estado na atividade econômica. Pelo que se vê nesta MP, a União está reservando para si o monopólio da certificação eletrônica (para não dizer o monopólio da verdade...), vez que somente certificados que “descendam” do certificado-raiz da autoridade federal estarão aptos a produzir efeitos jurídicos. Não consta que a Constituição Federal autorize tal monopólio.

A expedição e gerenciamento de certificados criptográficos, por si só, tem se configurado uma atividade econômica explorada por particulares; aliás, uma atividade bastante lucrativa. Além disso, o uso de certificados pode se relacionar a alguma outra atividade principal exercida pelo agente econômico no meio eletrônico.

Esta intervenção indevida pode significar um engessamento da atividade econômica praticada por via eletrônica, bem como um desnecessário aumento de custos.

E, a depender das regras que o Comitê vier a estabelecer - já que a MP lhe passa um cheque em branco - corre-se o risco da formação de cartéis da certificação, ou mesmo do monopólio de algumas poucas empresas, notadamente as que já têm atuado no mercado. Este meio já tem apresentado tendências monopolistas acentuadas, além de práticas atentatórias contra a livre concorrência (como a distribuição de alguns certificados-raiz juntamente com browsers ou sistemas operacionais) e a MP somente colabora para centralizar ainda mais esta atividade. E,  mais do que estabelecer o monopólio, ainda se cria uma “reserva de mercado”, na medida em que todos os documentos eletrônicos precisariam ser assinados por chaves certificadas, obrigando-se a população, pois, a utilizar estes serviços.

6. Destaque-se que existem três Projetos de Lei no Congresso Nacional pretendendo regular a mesma matéria objeto da MP 2200 (Os PLs 1483/99 e 1589/99 na Câmara, que já foram objeto de Substitutivo do Relator, e o PLS 672/99, do Senado Federal, já aprovado no Senado Federal e que se encontra na Câmara dos Deputados). Os três projeto vêm sendo objeto de intenso debate na sociedade. Numerosíssimos foram os seminários, palestras e congressos realizados para debatê-los. Diversas foram as audiências públicas no Congresso Nacional. A imprensa, desde sua propositura, vem divulgando quase que diariamente manifestações de todos os setores envolvidos. A velocidade com que os três projetos vêm tramitando é impressionante, se considerarmos todos os aspectos jurídicos, técnicos e econômicos envolvidos com o comércio eletrônico.

Todos esses esforços foram simplesmente desconsiderados por aquela MP, redigida em gabinetes fechados sem qualquer relação com o perfil daquelas três propostas, ou com os reclamos já manifestados por toda a sociedade brasileira.
 

7. Diga-se, mais uma vez, que do ponto de vista técnico, não há a menor necessidade de criação de uma ICP-Brasil para que documentos eletrônicos possam servir como prova. Uma infra-estrutura assim só faz sentido se implantada internamente à Administração Pública, como já se determinou, a partir de decreto presidencial que criou a ICP do Governo Federal. Extrapolar isso para esferas de poder diversas - estadual e municipal - já seria uma aberração. Obrigar o país todo a seguir este padrão centralizador - a ser ditado por burocratas do governo - é uma norma totalmente insana. Preparem-se: vai faltar energia também no comércio eletrônico da confiança do país!