Notícias

O uso de e-mails para emissão de certificados digitais ICP-Brasil

Pixabay

As Autoridades de Registro credenciadas na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) têm missão clara e explícita de acordo com a legislação vigente. É o que diz a Medida Provisória 2.200-2, de 24 de agosto de 200, e a Lei 14.063, de 23 de setembro de 2020:

Art. 7º Compete às AR, entidades operacionalmente vinculadas a determinada AC, identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Quando a Lei das Assinaturas Eletrônicas (14.063/20) foi sancionada, ela trouxe importante alteração quanto à obrigatoriedade da presença física do proponente ao certificado digital, possibilitando que outras formas distintas fossem utilizadas.

Vejamos:

Parágrafo único. A identificação a que se refere o caput deste artigo será feita presencialmente, mediante comparecimento pessoal do usuário, ou por outra forma que garanta nível de segurança equivalente, observadas as normas técnicas da ICP-Brasil.

O que observamos desta inovação foi o emprego de excelente técnica legislativa, já que a lei não condicionou a “outra forma que garanta nível de segurança equivalente” a qualquer tecnologia em uso. Consagrou-se a videoconferência como esta “outra forma”, mas o texto legal cria caminhos para que mais meios de confirmação das identidades de pessoas físicas e jurídicas sejam utilizados.

Todavia, quer na MP ou na Lei, não houve qualquer mudança quanto à obrigatoriedade de que apenas dados dos titulares constassem no cadastro enviado às Autoridades Certificadoras. A expressão “dados” deve ser interpretada como informações exclusivamente do titular do certificado.

Muitos questionamentos são feitos quanto a utilização dos endereços de correio eletrônico, os e-mails. Bastaria a vontade do titular para que qualquer endereço de email fosse incluído em seus dados que constarão no certificado digital?

Para o escritório Moreira Lima & Pollo Advogados, a questão é bastante clara e está devidamente publicizada em normas complementares. Segundo explicam os advogados, a Instrução Normativa 5, de 22 de fevereiro de 2021, editada pelo Instituto Nacional de Tecnologia da Informação regula, dentre outros assuntos, o procedimento para identificação do requerente de um certificado digital.

“O normal legal supracitada (item 2.1.2) é expressa ao fixar que, para fins de confirmação da identificação do requerente de um certificado digital no formato ICP-Brasil, é indispensável a (i) apresentação de documentação pessoal do requerente e, ainda, (ii) a coleta e verificação de dados biométricos daquele, a partir do registro da sua face e das suas impressões digitais. Tal regramento deixa entrever que o certificado digital é, efetivamente, de uso exclusivo do seu titular (requerente), haja vista que as suas informações biométricas – itens personalíssimos e únicos em cada indivíduo – foram armazenadas para fins de identificação”, comentam.

Outro ponto levantado pelos especialistas é de que há entendimento do próprio Superior Tribunal de Justiça (STJ) quanto ao tema.

“AGRAVO REGIMENTAL NO AGRAVO (ARTIGO 544 DO CPC) – AÇÃO ANULATÓRIA DE TÍTULO C/C PEDIDO DE SUSTAÇÃO DE PROTESTO – DECISÃO MONOCRÁTICA NEGANDO PROVIMENTO AO RECLAMO. INSURGÊNCIA RECURSAL DA AUTORA.

(…)

2. A certificação digital é ato pessoal e intransferível, portanto a assinatura digital constante da petição do recurso deve corresponder a advogado com procuração nos autos, sob pena de incidência do enunciado n. 115 da Súmula do STJ.

(…)

4. Agravo regimental não conhecido.” (g.n.) 

(AgRg no AREsp n. 255.697/RS, relator Ministro Marco Buzzi, Quarta Turma, julgado em 19/10/2017, DJe de 25/10/2017.)

Nas palavras do Ministro Marco Buzzi, o certificado digital é “pessoal e intransferível”.

A prática adotada por alguns titulares que informam endereços de email dos quais não são os proprietários e, por conseguinte, não têm qualquer governança sobre o acesso a suas caixas de mensagens, é ilegal.

“Por esse motivo, repudia-se veementemente a prática adotada por alguns requerentes de indicar, quando do procedimento de identificação do titular de um certificado digital no formato ICP-Brasil, a utilização de endereço eletrônico (e-mail) de terceiros para fins de instalação do certificado digital como se titulares fossem, na medida em que viola, frontalmente, todo o regramento legal e os princípios que orientam o uso do certificado digital no País – e que, certamente, pode importar em consequências diversas e desagradáveis para o titular do certificado digital.”

Por fim, importa mencionar que o Instituto Nacional de Tecnologia da Informação (ITI) tem realizado diligências para coibir a prática. Isso tem significado duras fiscalizações e imposições de advertências e suspensões cautelares à Autoridades de Registro, uma vez que a vigilância pelo cumprimento das normas referentes a confirmação das identidades de pessoas físicas e jurídicas é mister dessas entidades.

Associação das Autoridades de Registro do Brasil (AARB)

Leia também

Mais notícias

Serviços

Consultas Processuais
Consulta Jurídica
Clipping do DOU

Convênios

eGAC
pki
Gemalto
CryptoID
Insania
Insania
GD Giesecke+Devrient
Serpro
YIA
Class One