Artigo 8 de fevereiro de 2023

Assinatura eletrônica não é sinônimo de assinatura digital

Muitos artigos publicados no Brasil – até mesmo os assinados por empresas que pertencem a indústria brasileira de identificação digital – apresentam termos inseridos de forma incorreta.

E é fortemente recomendável que as empresas façam a curadoria do conteúdo para evitar distorções semânticas que acabam por confundir os leitores e até mesmo leva-los a utilizar um tipo de assinatura inadequada.

A terminologia que adotamos no Brasil segue a utilizada internacionalmente como a dos Estados Unidos – o Utah Digital Signature Act. Em relação a nossa legislação seguimos como base a eIDAS – REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO.

Vamos aqui simplificar a explicação e mais adiante publicamos as definições da eIDAS e o respectivo link onde estão publicadas as definições originais, assim como as definições brasileiras.

Assinatura eletrônica são todos os tipos de assinaturas feitas no meio eletrônico. Independentemente do tipo de tecnologia utilizada ou do seu valor comprobatório, legal e também, independentemente do ente emissor.

A assinatura eletrônica pode ser produzida, por exemplo, com a utilização de biometria digital ou por voz, ou ainda uma marca eletrônica feita no documento eletrônico e, até mesmo, por um conjunto de evidências que utiliza tecnologias diversas. Mesmo assim, as assinaturas eletrônicas podem ter valor legal, mas não irrefutável. O valor da irrefutabilidade é conferido apenas as assinaturas digitais qualificadas e essa distinção é feita no Brasil e em todos os países que trabalham com base na regulação europeia.

Assinatura digital é produzida a partir de certificados digitais. Independentemente da hierarquia. Hierarquia de prestadores de serviços de confiança num sistema de PKI – Public Key Infrastructure em português, Infraestrutura de Chaves Públicas ou mesmo uma hierarquia privada.

As assinaturas digitais no Brasil denominam as assinaturas qualificadas e avançadas produzidas com os certificados digitais

As assinaturas (digitais) qualificadas são exclusivamente emitidas por prestadores de Serviço de Confiança Qualificado – no caso do Brasil as Autoridades Certificadoras da ICP-Brasil – já as assinaturas (digitais) avançadas são emitidas por outras hierarquias, mas observe que as assinaturas digitais avançadas também utilizam o certificado digital X.509.[i]

Pela lei brasileira – Medida Provisória 2.200-02 /2001 – artigo 10 §2[ii], a assinatura eletrônica só tem reconhecimento jurídico se as partes firmarem um acordo anterior ao ato da assinatura eletrônica reconhecendo a determinada assinatura eletrônica e até mesmo a assinatura digital avançada – não qualificada – como a eleita para formalizar o ato eletrônico.

Definições da eIDAS

eIDAS – REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO

«Assinatura eletrônica»: os dados em formato eletrônico que se ligam ou estão logicamente associados a outros dados em formato eletrônico e que sejam utilizados pelo signatário para assinar;

«Assinatura eletrônica avançada»: uma assinatura eletrônica que obedeça aos requisitos estabelecidos no artigo 26.o;

Requisitos para as assinaturas eletrônicas avançadas

A assinatura eletrônica avançada obedece aos seguintes requisitos: Estar associada de modo único ao signatário;

Permitir identificar o signatário;

Ser criada utilizando dados para a criação de uma assinatura eletrônica que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e

Estar ligada aos dados por ela assinados de tal modo que seja detetavel qualquer alteração posterior dos dados.

«Serviço de confiança»: um serviço eletrônico geralmente prestado mediante remuneração, que consiste:

– Na criação, verificação e validação de assinaturas eletrônicas, selos eletrônicos ou selos temporais, – serviços de envio registado eletrônico e certificados relacionados com estes serviços; ou

– Na criação, verificação e validação de certificados para a autenticação de sites web; ou

– Na preservação das assinaturas, selos[iii] ou certificados eletrônicos relacionados com esses serviços;

«Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;

«Assinatura eletrônica qualificada»: uma assinatura eletrônica avançada criada por um dispositivo qualificado de criação de assinaturas eletrônicas e que se baseie num certificado qualificado de assinatura eletrônica;

«Dados para a criação de uma assinatura eletrônica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrônica;

«Certificado de assinatura eletrônica»: um atestado eletrônico que associa os dados de validação da assinatura eletrônica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;

«Certificado qualificado de assinatura eletrônica»: um certificado de assinatura eletrônica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

Veja outras Definições da eIDEAS publicadas em português de Portugal

Os prestadores qualificados de serviços de confiança – todos os entes da ICP-Brasil – são auditados, pelo menos de 24 em 24 meses, por um organismo de avaliação da conformidade. Ao contrário dos outros emissores de assinaturas eletrônicas que necessariamente não passam por nenhum processo de auditoria.

O objetivo das auditorias é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento.

Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora – no caso do Brasil ao ITI – Instituto Nacional de Tecnologia da Informação.

Definições que constam nos normativos brasileiros

Para quem está ingressando no mercado de identificação digital, vale conhecer dois dos maiores especialistas brasileiros em assinatura eletrônica e assinatura digital. Eles dominam toda a estrutura técnica e jurídica em torno dessa tecnologia no âmbito nacional e internacional. Desta forma então separei parte de algumas das publicações de Dra Viviane Bertol e Dr Fabiano Menke para ilustrar esse artigo. “Assinatura eletrônica é gênero e assinatura digital é espécie”, Fabiano Menke.

Segundo Dra Viviane Bertol que é uma das maiores especialistas brasileiras em assinaturas eletrônicas e certificação digital.

“Para definirmos o que é assinatura digital, precisamos primeiro compreender o que é uma assinatura eletrônica. Segundo o documento Visão Geral sobre Assinaturas Digitais na ICP-Brasil (DOC-ICP-15):

Uma assinatura eletrônica representa um conjunto de dados, no formato eletrônico, que é anexado ou logicamente associado a um outro conjunto de dados, também no formato eletrônico, para conferir-lhe autenticidade ou autoria.

A assinatura eletrônica, portanto, pode ser obtida por meio de diversos dispositivos ou sistemas, como login/senha, biometria, impostação de Personal Identification Number (PIN) etc.

Um dos tipos de assinatura eletrônica é a assinatura digital, que utiliza um par de chaves criptográficas associado a um certificado digital. Uma das chaves – a chave privada – é usada durante o processo de geração de assinatura e a outra – chave pública, contida no certificado digital – é usada durante a verificação da assinatura.”

A Assinatura Digital é, portanto, um tipo específico de assinatura eletrônica que possui grande robustez. Por esse motivo, a MP 2.200-2 dá presunção de legitimidade a esse tipo de assinatura:

Art. 10º Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 – Código Civil.

Viviane Bertol participou da elaboração de diversos normativos da ICP-Brasil.

Leia o artigo completo escrito por Viviane Bertol em 17 de fevereiro de 2015: Assinatura Digital: Utilização dos Certificados Digitais

Viviane Bertol é Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília; Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.; Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.; Participou da elaboração de diversos normativos da ICP-Brasil é Colunista e membro do conselho editorial do Instituto CryptoID. Leia outros artigos escritos pela Colunista Viviane Bertol

“Assinatura eletrônica é gênero e assinatura digital é espécie”, Fabiano Menke.

Esta é uma definição feita pelo Dr Fabiano Menk e em seu livro A assinatura eletrônica e a assinatura digital.

Nessa obra Dr. Fabiano Menke analisa os instrumentos para contornar a insegurança do ambiente virtual, especialmente a assinatura eletrônica e a assinatura digital, seus efeitos jurídicos no Brasil, assim como a ICP-Brasil infraestrutura de chaves públicas brasileiras. Trata também de questões científicas como criptografia simétrica, criptografia assimétrica e assinatura digital e sobre as iniciativas legislativas internacionais: Estados Unidos – o Utah Digital Signature Act e as leis alemãs de assinatura digital e o modelo pioneiro na Europa que é a Diretiva Europeia de assinatura eletrônicas.

No artigo – A MP 983 e a classificação das assinaturas eletrônicas: comparação com a MP 2.200-2 – publicado no Crypto ID, Dr Fabiano Menke trata da Medida Provisória nº 983 (MP 983), que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde, e trata sobre as licenças de softwares desenvolvidos por entes públicos.

A MP 983 publicada depois da publicação do artigo, foi convertida na Lei nº 14.063/2020, em 23 de setembro de 2020, data em que também passou a vigorar em todo o território nacional. Tanto a MP 983 quanto a lei originada a partir da sua conversão geram impactos diretos sobre as assinaturas eletrônicas.

As obras do Dr Fabiano Menke são muito completas e, assim como seus livros, os artigos que escreve com exclusividade para o Crypto ID são muitas vezes citados em pareceres jurídicos e em relatórios do Congresso Nacional.

Fabiano Menke é Advogado em Porto Alegre, Professor de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação da Universidade Federal do Rio Grande do Sul onde obteve o título de Mestre em direito a partir da defesa do trabalho “A assinatura eletrônica no direito brasileiro”. É Doutor em direito pela Universidade de Kassel, Alemanha, onde defendeu tese comparativa sobre Infraestrutura de Chaves Públicas e valor jurídico de documentos eletrônicos nos ordenamentos jurídicos brasileiro e alemão. Foi o primeiro Procurador-Chefe do ITI. Fabiano Menke tem outras obras sobre o tema além do livro A assinatura eletrônica e a assinatura digital.

São Elas: 20 Anos do Código Civil Brasileiro – 1ª Ed – 2023; Studien zum deutsch-brasilianischen Recht: Ein Beitrag zum Deutschland-Brasilien Jahr 2013 (German Edition); Tutela Jurídica do Corpo Eletrônico – 1ª Ed – 2022: Novos Desafios ao Direito Digital; PROTEÇÃO DE DADOS: TEMAS CONTROVERTIDOS – 1ª ED – 2021; LEI GERAL DE PROTEÇÃO DE DADOS – ASPECTOS RELEVANTES – 1ª ED – 2021; DIREITO DIGITAL E INTELIGÊNCIA ARTIFICIAL – 1ª ED – 2021 e Lei Geral de Proteção de Dados: Subsídios teóricos à aplicação prática

O uso correto dos termos sobre assinaturas produzidas no meio eletrônico é importante para que os usuários não se confundam e para que os documentos eletrônicos estejam em conformidade com os termos utilizados no Brasil e no exterior.

[i] O padrão X.509 da International Telecommunications Union (ITU) define o formato dos certificados baseados em PKI. Em geral, o termo certificado digital descreve todos os certificados X.509. É uma lista que incluem certificados SSL / TLS, certificados de assinatura de e-mail, certificados de assinatura de código e certificados de assinatura de documento.

[ii] Diz o artigo: “§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizam certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

O trecho grifado significa que o documento com assinaturas eletrônicas só tem validade caso existem provas registradas e reconhecidas juridicamente de que as partes acordaram previamente o tipo de assinatura eletrônica a ser utilizada.

[iii] Selos do GOV.BR

Selos de Identificação Eletrônicos utilizados pelo Portal GOV.BR

Não foi fornecido texto alternativo para esta imagem

Identidade Digital Bronze refere-se a cada pessoa cadastrada no GOV.BR Com este nível, já é possível fazer assinaturas simples, válidas em situações de baixo risco e que não envolvam informações sigilosas.

A Identidade Digital Prata refere-se àqueles que acessam o GOV.BR com a conta e senha dos bancos já integrados à plataforma.

E a Identidade Digital Ouro identifica quem tem certificado Digital ICP-Brasil e biometria facial registrada no aplicativo Meu Gov.br. Todas as pessoas com biometria facial feita pelo Tribunal Superior Eleitoral (TSE) registrada no aplicativo Meu Gov.br já têm o nível Ouro.

As Identidades Prata ou Ouro permitem ao usuário realizar a assinatura avançada, que exige maior garantia quanto à autoria, incluindo as interações eletrônicas com os entes públicos com informações protegidas por grau de sigilo.

Sobre Regina Tupinambá

Regina Tupinambá | Sócia Fundadora do Portal Crypto ID, CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Dirigiu diversas áreas da Autoridade Certificadora CertiSign entre elas: Marketing, Comercial, Produtos, Treinamentos, Suporte Técnico, Licitações e SAC. Desenvolveu o mercado de SSL no Brasil e criou o mais completo programa de cursos sobre Certificação Digital. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É também sócia fundadora da Insania Publicidade.