A Medida Provisória 2.200-2/01 do Governo Federal, que instituiu a ICP-Brasil (Infra-estrutura de chaves Públicas do Brasil), conjunto de regras e procedimentos técnicos voltados ao desenvolvimento da certificação digital no Brasil, pode ser considerada "inconstitucional" .

"Do ponto de vista jurídico, a certificação digital corresponde a um ato notarial responsável por assegurar autenticidade ao documento por meio de uma assinatura. É como o reconhecimento de firma", alerta o advogado Airton Roberto Guelfi. Em seu estudo de mestrado apresentado na Escola Politécnica (Poli) da USP, o advogado fez uma análise jurídico-tecnológica da legislação que envolve a certificação digital no Brasil. "Quando a referida Medida Provisória exclui a certificação digital da competência dos cartórios, não observa regra expressa do artigo 236 da Constituição Federal", diz Guelfi.

Na pesquisa denominada Certificação Digital - uma Análise Jurídico-Tecnológica, o advogado alerta que o fato de uma medida provisória não respeitar um artigo da Constituição pode abrir precedentes para se questionar a validade jurídica de todo o sistema. Para evitar esse problema, Guelfi indica em seu estudo a participação dos cartórios no processo de certificação digital na internet. "Isso não demandaria nenhum tipo de custo adicional ou de tempo nas transações via internet", garante, lembrando também que há questões tecnológicas que devem ser cuidadosamente analisadas.

Aspecto tecnológico

"Dentre os vários elementos tecnológicos utilizados na assinatura digital para garantir a integridade do documento eletrônico temos os algoritmos de função hash", lembra o pesquisador. Segundo ele, até maio de 2006, a ICP-Brasil utilizou duas espécies de algoritmos de função hash: o MD5 e o SHA-1. Após essa data somente o SHA-1 passou a ser usado. "Em 2004 e 2005, cientistas conseguiram quebrar (perdeu confiabilidade) o MD5, o que levou a ICP-Brasil a abandona-lo no ano passado", conta o advogado.

Diante disso, Guelfi analisa em seu estudo a integridade dos documentos eletrônicos assinados digitalmente com a utilização do MD5 até maio de 2006. "Ocorrendo a perda de confiança de todos esses documentos, uma vez que podem ser alterados sem deixar vestígios, como ficaram as relações jurídicas fundamentadas diante de um documento eletrônicos assinado digitalmente com esse algoritmo, o MD5?", questiona, lembrando que a certificação digital e assinatura eletrônica não causam problemas somente em relação às regras de competência, mas também na ordem da segurança das relações jurídicas.

Certificação digital

A certificação digital é um documento eletrônico que assegura a autenticidade aos documentos eletrônicos, por meio da assinatura digital. Para que um usuário possua uma assinatura digital com a garantia da ICP-Brasil é necessário que ele tenha um "certificado digital" emitido por uma Autoridade Certificadora ligada à ICP-Brasil e um par de chaves criptográficas assimétricas.

Por meio de programas apropriados que usam métodos matemáticos (algoritmos de função hash), é produzido um resumo do documento - um código de bits ininteligível. "Se qualquer alteração for feita no documento, por menor que seja, seu resumo será diferente", explica Guelfi. O resumo é então recodificado por meio de um método criptográfico que usa a chave privada de conhecimento exclusivo do signatário (usuário). "O resumo criptografado, que se chama assinatura digital certificada digitalmente, permite garantir duas coisas: a vinculação da pessoa que assinou, e que qualquer alteração no conteúdo do documento será imediatamente percebida".

A chave pública do signatário pode ser usada para verificar a integridade e autenticidade do documento assinado. "Se qualquer parte do documento for alterada a assinatura também será, invalidando o arquivo", descreve o Guelfi. O certificado digital contém a chave pública do usuário e os dados necessários para informar sua identidade.

A ICP-Brasil é um organismo presidido pelo Instituto Nacional de Tecnologia da Informação - ITI, vinculado à Casa Civil da Presidência da República. Além dela, a Medida Provisória 2.200-2/01 confere poder para que entidades particulares emitam certificados digitais.

Guelfi lembra que a maioria dos sites de comércio eletrônico possuem um certificado digital, a fim de conferir segurança a confiabilidade aos seus clientes. "Geralmente existe o ícone de um pequeno cadeado, muito comum em sites de bancos", descreve. Mas a maioria das pessoas, segundo ele, não atentam para esses detalhes.

"Hoje, sabemos que para assegurar a autenticidade de uma assinatura, temos de comparecer a um cartório para realizar o reconhecimento de firma", descreve o advogado. Com a entrada desses órgãos no processo, qualquer cartório estaria habilitado a certificar as assinaturas eletrônicas, mantendo assim a transação de acordo com a norma de competência estabelecida na Constituição Federal. O trabalho, que será apresentado no próximo dia 22 de março, teve a orientação do professor Pedro Luis Próspero Sanchez.