As assinaturas em documentos digitais estão se tornando cada vez mais onipresentes em nossa sociedade. Os avanços recentes nos normativos legais e nas tecnologias têm popularizado a prática de acordos de forma eficiente, mas isso traz preocupações sobre a validade legal. Este artigo inaugura uma série sobre a diferenciação entre os termos assinatura eletrônica e digital, apresentando uma análise com base nos conceitos de segurança da informação. Além disso, faz uma relação com a legislação vigente e estabelece os limites de uso e aplicação para fins legais.
Com a onipresença da tecnologia da informação, muitas rotinas do dia a dia estão sendo transformadas para ocorrer de forma digital. Cada vez mais, pessoas e organizações aproveitam as comodidades proporcionadas pela internet e pelos inúmeros dispositivos conectados para realizar transações de todos os tipos. Desde o simples acesso à conta bancária até a assinatura de contratos, há várias possibilidades para aproveitar a inovação tecnológica em benefício coletivo, sempre com a preocupação de tratar as informações com segurança, garantindo a proteção de todos.
Considerando esse cenário, onde a tecnologia da informação está frequentemente associada à segurança, surge um tópico abrangente e complexo denominado segurança da informação. Este campo visa proporcionar o equilíbrio certo entre comodidade, risco e garantia.
No arcabouço da segurança da informação, inclui-se um conjunto de funções de software que precisa ser estabelecido, implementado, monitorado, revisado e melhorado conforme necessário, para assegurar que os objetivos específicos de segurança e de negócios da organização sejam atendidos.
Por esse motivo, com o objetivo de orientar e criar sinergia entre as organizações que enfrentam o desafio do gerenciamento da segurança da informação, foi consolidada uma família de normas específicas sobre o tema, introduzidas e organizadas pela ISO/IEC 27000. A norma mais relevante é a NBR ISO/IEC 27002:2022, cuja versão brasileira é editada pela Associação Brasileira de Normas Técnicas (ABNT).
Apesar de abrangente, a ISO/IEC 27002 pode ser compreendida em torno de três principais propriedades que fundamentam a segurança da informação: confidencialidade, integridade e disponibilidade. Essas propriedades são interdependentes e devem ser consideradas em conjunto para garantir a segurança da informação. Por exemplo, se a confidencialidade não for garantida, informações podem ser acessadas por pessoas não autorizadas, o que pode levar à alteração ou destruição das informações, comprometendo a integridade e a disponibilidade.
Relação com os conceitos de Integridade, Autenticidade e Não Repúdio
Além das três principais propriedades da segurança da informação, existem outras propriedades importantes como integridade (em sentido estrito), autenticidade e não repúdio, que se interrelacionam para garantir que transações eletrônicas sejam realizadas de forma segura.
O conceito de integridade, em sentido estrito, assegura a prevenção de modificações não autorizadas nos ativos de informação. Por exemplo, um contrato não deve sofrer alterações desde sua emissão até seu destino, permanecendo completo e intacto. Qualquer modificação não autorizada compromete a integridade do documento.
O conceito de autenticidade refere-se à veracidade da autoria do ativo de informação. Na definição básica da ISO/IEC 27000, é a propriedade de uma entidade ser o que afirma ser. No exemplo de um contrato, a assinatura do documento deve ser autenticada quanto à veracidade sempre que necessário. Antes dos meios digitais, os serviços cartoriais desempenhavam o papel de checar a autenticidade dos documentos em papel.
O conceito de não repúdio, baseado nos conceitos de integridade e autenticidade, objetiva provar a ocorrência de um evento ou ação e suas entidades de origem. De forma direta, não repúdio significa garantir que alguém não possa negar algo. Por exemplo, não se pode negar a autenticidade de uma assinatura em um documento. Antes das ferramentas digitais, a presença de testemunhas era uma forma comum de garantir o não repúdio.
A literatura sobre segurança da informação destaca a relação entre integridade, autenticidade e não repúdio, fundamentando a implementação de controles criptográficos para alcançar objetivos de segurança. A ISO/IEC 27002 recomenda o uso de assinaturas digitais ou códigos de autenticação de mensagens para verificar a autenticidade ou integridade de informações confidenciais ou críticas.
Assinaturas Digitais e Assinaturas Eletrônicas
Assinaturas digitais e assinaturas eletrônicas são conceitos relacionados à validação e autenticidade de documentos e transações digitais, mas apresentam diferenças importantes.
Assinatura Digital
A assinatura digital é uma técnica criptográfica que garante a autenticidade, integridade e não repúdio de um documento ou mensagem eletrônica. Utiliza um certificado digital validado pela ICP-Brasil para comprovar a identidade do usuário na internet. É um recurso confiável, com validade legal, frequentemente utilizado para prevenir fraudes em documentos digitais, como contratos.
A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) foi criada pela Medida Provisória 2.200-2/2001, estabelecendo normas de segurança, autenticidade e emissão de certificados digitais no país. A partir dessa legislação, a assinatura de documentos digitais passou a ter a mesma validade jurídica da assinatura manuscrita.
Para obter um certificado digital validado pela ICP-Brasil, é necessário seguir um procedimento burocrático, incluindo a solicitação a uma Autoridade Certificadora (AC) e a confirmação da identidade do solicitante por meio de uma Autoridade de Registro (AR). Após a confirmação, o certificado pode ser emitido e utilizado para assinar documentos digitais.
Assinatura Eletrônica
A assinatura eletrônica é um conceito mais amplo que engloba qualquer forma de marca ou sinal eletrônico representando a intenção de uma pessoa em concordar com o conteúdo de um documento ou transação. Pode incluir vários métodos para verificar a autenticidade do signatário.
Diferentemente da assinatura digital, que requer um certificado digital validado pela ICP-Brasil, a assinatura eletrônica pode adotar métodos mais flexíveis para confirmar a identidade e facilitar a assinatura de documentos digitais. No entanto, a facilidade da assinatura eletrônica pode resultar em contestação, já que a legislação atual presume como válidas apenas as assinaturas no âmbito da ICP-Brasil.
A Lei nº 14.063/2020 regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, classificando-as desde assinaturas eletrônicas simples até assinaturas eletrônicas qualificadas (com certificados digitais da ICP-Brasil). A lei, porém, não se aplica à interação entre pessoas naturais ou jurídicas de direito privado.
Métodos de confirmação de identidade nas assinaturas eletrônicas
A confirmação de identidade nas assinaturas eletrônicas é gerenciada pelos próprios serviços e plataformas, sendo fundamental garantir a autenticidade das transações. Existem várias técnicas de autenticação, e a escolha do método depende do nível de segurança e do contexto da transação. Alguns métodos comuns são:
- Autenticação por usuário e senha: Utilizada em plataformas online, mas menos segura, pois senhas podem ser comprometidas.
- Autenticação por e-mail, SMS ou token: Um código de verificação é enviado ao e-mail ou telefone cadastrado. É fácil de implementar, mas não oferece alta segurança.
- Autenticação por biometria: Utiliza características únicas do indivíduo, como impressões digitais ou reconhecimento facial, oferecendo alta segurança.
- Autenticação por identificação social: Baseada em dados consistentes e verificados, sendo eficaz, mas vulnerável a vazamentos e falsificações.
- Autenticação de dois fatores (2FA): Combina dois ou mais métodos, aumentando a segurança.
A combinação de métodos de confirmação de identidade com trilhas de registro permite rastrear as etapas do processo de assinatura, garantindo transparência, rastreabilidade e autenticidade. Essas trilhas incluem dados como data, hora, ação realizada, identidade do usuário, endereço de conexão e características técnicas do dispositivo utilizado.
Assim, ao combinar métodos de confirmação de identidade com trilhas de registro adequadas, é possível estabelecer uma estrutura consistente para a autenticidade das assinaturas eletrônicas.
Andreiwid Sheffer Corrêa atua em perícias judiciais e conta com a experiência obtida em mais de 130 nomeações pelo juízo. Na academia, tem atuação no ensino e na pesquisa, sendo autor de diversos artigos nacionais e internacionais na área de Computação. Presta consultoria e serviços de assistência técnica em processos judiciais envolvendo TI.