A Identidade digital – eID é um tema que tem estado na ordem do dia, não só no Brasil, mas em todo o mundo, e a sua necessidade foi acelerada pela pandemia, pois a relação entre Estados, Cidadãos e Empresas passou a ser cada vez mais digital e para isso é essencial uma identidade eletrônica confiável.
Por Fernando Moreira
A identificação dos cidadãos é uma competência dos Estados soberanos – na sua forma tradicional através de documentos físicos em papel/plástico ou, normalmente de forma complementar, em formato eletrônico.
Na Europa a generalidade dos Estados membros oferece aos seus cidadãos documentos de identificação que muitas das vezes incluem um chip eletrônico que guarda entre outros dados, uma credencial eletrônica, designada de Certificado Digital Qualificado e que permite ao cidadão identificar-se on-line e assinar documentos eletrônicos
Em alguns Estados, essa credencial eletrônica (Certificado Digital Qualificado) pode ser gerida de forma centralizada, também designada por assinatura remota, por exemplo, em Portugal é disponibilizado ao cidadão a CMD (Chave Móvel Digital)
Os certificados avançados (não Qualificados) na Europa tem um uso expandido, mas unicamente para operações entre partes privadas
Os Estados exigem que a relação com o cidadão se faça através de um Certificado Digital Qualificado, porque apenas estes possuem valor legal pleno – o Regulamento Europeu (n.º 910/2014 , de 23 de julho) apenas confere a presunção de autenticidade às Assinaturas Eletrônicas Qualificadas (produzidas com recurso a um Certificado Digital Qualificado).
O Estado Brasileiro tem vindo, com sucesso e de forma acelerada, a desmaterializar (ou a complementar com uma forma eletrónica) muitos dos seus documentos com destaque para a CNH, e a lançar um ambicioso programa de digitalização da sua Administração Pública em que, através do Gov.Br, o cidadão já pode aceder on-line a mais de 4.000 serviços públicos.
Uma das formas de autenticação e assinatura que o Estado Brasileiro pretende colocar à disposição dos seus cidadãos baseia-se num designado Certificado Avançado, capaz de produzir Assinaturas Eletrônicas Avançadas (não Qualificadas), sem custo para o cidadão, e que podem ser obtidos mediante o batimento biométrico da imagem de face do titular (recolhida de forma completamente eletrônica e sem acompanhamento/verificação humano, usando uma simples App em smartphone) contra as bases de dados biométricas do governo.
Esta iniciativa faz sentido para democratizar, de forma massiva e rápida, o acesso de milhões de cidadãos aos serviços eletrônicos do Estado, reduzindo custos para o Estado e para o cidadão. Contudo, algo que é automático, sem verificação humana e disponibilizado de forma massiva, deve ser usado com as limitações previstas na lei, para garantir a segurança jurídica na relação entre cidadão e Estado.
O Brasil, de forma correta, modernizou, através da Lei 14.063, os seus conceitos de assinatura eletrônica, inspirando-se no Regulamento Europeu eIDAS, para criar 3 classificações de assinatura eletrônica: Simples, Avançada e Qualificada.
A Assinatura Eletrônica Qualificada, baseado num Certificado Qualificado, é a única que na Europa e no Brasil goza de presunção de autenticidade.
A presunção da veracidade da assinatura eletrônica qualificada é dada pelo artigo 10 da MEDIDA PROVISÓRIA No 2.200-2, DE 24 DE AGOSTO DE 2001.
“1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 – Código Civil.”
2.O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”
Esta presunção de autenticidade assenta em vários pressupostos, sendo que uma das mais relevantes é que para gerar este tipo de certificado se exige uma verificação da identidade de forma presencial ou equivalente, e limitada a entidades certificadas/credenciadas que seguem regras e políticas bem definidas e auditadas, o que no Brasil já são dezenas de entidades credenciadas que podem emitir certificados ICP-Brasil num ambiente fortemente concorrencial.
A emissão de certificados avançados na Europa e no resto do Mundo não é regulada, nem do ponto de vista das práticas e políticas adotadas na validação de identidade, nem do ponto de vista das normas de segurança implementadas pelas entidades emitentes – desta forma torna-se impossível responsabilizar tais entidades por eventuais fraudes.
Não havendo esta regulação também no Brasil, mas admitindo-se que possa ser criada como exceção às práticas internacionais, e que a Gov.Br usa bases de dados governamentais (Denatran e TSE), e considerando que estas estão sanitizadas (sem falsas identidades), mesmo assim, temos de ter a consciência que o batimento biométrico de uma imagem da face do cidadão vai ter sempre um número considerável de falsos positivos e de falsos negativos, e acima de tudo, a maior fragilidade está na recolha da imagem de face do cidadão, que sem acompanhamento/verificação humana é suscetível à fraude computacional, num grau cada vez mais elevado.
A título de exemplo, o Governo Chinês e suas empresas tecnológicas, que se orgulhavam de ter um sistema de identificação biométrico facial que até com mascaras da Covid garantia uma acuidade elevada, usavam estes sistemas nos mais diversos organismos do Estado. Estes sistemas sofreram um rude golpe na sua credibilidade quando foi notícia recente uma fraude com o tratamento de imagem a partir de fotos bidimensionais, transformadas em vídeos tridimensionais que cumpriam as instruções liveness standard (virar cara para um lado, piscar olho, sorrir, etc.), enganando assim o sistema – a fraude ascende a mais de 76 milhões de USD com a emissão de Notas Fiscais falsas a partir de um sistema do Estado Chinês.
Pair accused of turning photos into vids to crack tax dept facial recognition system in China
Grandes empresas tecnológicas como a IBM, Microsoft etc. anunciaram a descontinuidade da sua oferta de sistemas avançados de biometria facial
O motivo é que vários estudos concluíram pela sua falta de fiabilidade e por ter desvios com base em diferentes raças (tipicamente detectavam com menor precisão pessoas de origem asiáticas e de cor) o que levantou problemas de racismo e a própria Comissão Europeia e o Congresso Americano estão a estudar uma proibição do uso desta tecnologia por um prazo de 5 anos, até uma melhor avaliação dos riscos de fraude e de quebra de privacidade:
IBM will no longer offer, develop, or research facial recognition technology
IBM Will No Longer Offer Or Develop Facial Recognition Software In Pursuit Of Racial Justice Reform
União Europeia avalia proibição por 5 anos do uso da tecnologia de reconhecimento facial por indícios de discriminação de raças e Congresso também discute o mesmo tema
Facial recognition: EU considers ban of up to five years
US lawmakers concerned by accuracy of facial recognition
Paralelamente, a tremenda velocidade a que estas tecnologias de tratamento de imagem/vídeo estão a evoluir, com a maior capacidade computacional a crescer exponencialmente, aumenta também em muito o risco de fraude, acrescido aos riscos de discriminação racial e quebra de privacidade, o que também explica o abandono desta tecnologia pelas empresas citadas.
Não se advoga com estes exemplos, que o Estado Brasileiro deixe de utilizar as suas bases de dados biométricas, pois são sem dúvida um instrumento muito útil na identificação do cidadão, mas não devem ser utilizadas de forma não assistida ou no caso de autosserviço, limitar os efeitos das credenciais emitidas com base nestas consultas de bases de dados biométricas, como é boa prática na Europa.
Também não se defende que os Estados não devam emitir certificados avançados, como pretende fazer o Estado Brasileiro, visando massificar uma identidade digital sem custos para o cidadão e com custos muito reduzidos para o Estado, mas recomenda-se prudência na utilização e aplicabilidade dos certificados avançados, i.e. que os Estados tenham o cuidado de limitar o seu uso a consultas ou transações não críticas, que não atribuam na prática a presunção de autenticidade às assinaturas / autenticações de identidade produzidas por certificados avançados, contrariando a lei e as boas práticas
Por esta razão legal e pelos fundamentos técnicos expostos, documentos assinados por Advogados, Médicos, Contadores, Empresários, entre outros, devem continuar a necessitar de Certificados Qualificados (ICP-Brasil) para, de entre outros, aceder ao sistema judicial eletrónico, assinarem uma prescrição médica eletrónica, acederem à RFB quando envolve sigilo, assinarem um contrato numa junta comercial, emitirem NF, etc., porque só o Certificado/Assinatura Qualificada tem valor legal pleno dado pela lei e pela maior segurança intrínseca ao processo de validação da identidade.
O Certificado avançado que está previsto ser fornecido pelo Estado Brasileiro através da Secretaria de Gestão Digital, de forma gratuita e automática para aceder a serviços do Gov.Br, deve ser limitado para o cidadão poder consultar processos, autenticar-se em sistemas incluídos no Gov.Br, mas nunca para aceder a sistemas que envolvam sigilo fiscal, bancário ou outro, nem para assinar documentos relevantes que possam trazer insegurança jurídica para o cidadão e fraudes eletrônicas.
A arquitetura de níveis de autenticação digital, que o Governo Brasileiro criou (classificados como Bronze, Prata e Ouro) está correto, mas o nível Ouro só deve ser atingido quando usado o Certificado Digital ICP-Brasil, pois como vimos noutros países e no Brasil, a validação facial biométrica é falível, sendo que o problema não está na qualidade da base do Tribunal de Justiça eleitoral, mas sim na limitação dos algoritmos atuais e na possibilidade de com aplicações disponíveis on-line, se poder falsificar de forma sistemática a imagem da face apresentada, cometendo fraudes de identidades sucessivas pelo mesmo método e assim se ganhar acesso a sistemas/informações críticas de inúmeros cidadãos.
O Certificado Digital avançado a ser emitido pelo Governo Brasileiro, deve corresponder ao nível prata e pode ser gerado a partir dos meios de autenticação já considerados para obter o selo prata.
O paralelo entre os níveis Bronze, Prata e Ouro com as assinaturas Simples, Avançadas e Qualificadas é óbvio e natural, não devendo ser distorcido.
A tentação dos governos de desburocratização e acelerar processos é grande, mas se tal for feito sem os instrumentos de segurança adequados, tal acaba por reverter numa perda de credibilidade de todo o sistema de Certificação Digital e em prejuízos para o Estado, cidadãos e empresas, pela fraude de identidade acrescida.
O desafio na gestão destes diferentes tipos de identidades eletrônicas, reside em equilibrar segurança com usabilidade e baixo custo e esse equilíbrio para ser alcançado, carece da definição de linhas vermelhas, a partir das quais o Estado deve exigir um Certificado Qualificado, por ser o mais seguro para um determinado ato.
A resposta para traçar estas linhas vermelhas, achamos que por um princípio de prudência e de segurança jurídica que os Estados Soberanos devem sempre defender, reside em todos os atos críticos na relação entre o cidadão e o Estado exigirem o recurso a um certificado/assinatura Qualificada.
Na Europa, como se refere ao longo deste documento, os Estados nem sequer aceitam o Certificado avançado e por isso criaram uma Trusted List somente de Certificados Qualificados.
Na esfera privada compete às partes decidirem em função da análise do risco qual o mecanismo de autenticação/assinatura que entendem como adequado, Assinaturas Qualificadas, Avançadas ou Simples, e não existe em nenhum País conhecido uma Trusted List de certificados Avançados, pois isso criaria confusão no cidadão de ter 2 Listas de certificados confiáveis e qual o sentido dessa duplicação?
A ICP-Brasil deve ser um motivo de orgulho para o Governo Brasileiro, por ser referida como um bom exemplo na Europa e nos USA e porque nos últimos anos se modernizou e se adequou a novas tecnologias, com a introdução da videoconferência, com o acesso a base de dados do Denatran para a primeira emissão do Certificado Qualificado, etc. e com custos cada vez mais reduzidos (Certificados Qualificados ICP-Brasil disponíveis por menos de R$ 50), fruto de uma forte concorrência entre mais de 100 Autoridades Certificadoras Públicas e Privadas de primeiro e segundo nível credenciadas.
A ICP Brasil tem ainda um elevado potencial para melhorar os seus processos e reduzir custos e preços, num trabalho conjunto com o Governo e seu supervisor.
A ICP-Brasil não deve pretender ser uma solução única de emissão de credenciais eletrónicas para o cidadão, mas deve continuar a ser a mais segura e essencial para os atos mais críticos, e cada vez mais relevante numa sociedade em acelerada transformação digital, coexistindo com outros tipos de assinaturas (simples e avançadas), preservando-se a segurança jurídica e a identidade do cidadão em equilíbrio com a acessibilidade a serviços do Estado de forma eletrónica e massificada.
O Estado Brasileiro deve construir um sistema que promova estes equilíbrios, que evite uma excessiva dependência (não a eliminando pela sua utilidade), da tecnologia de reconhecimento facial pelas razões expostas e que permita a nível internacional preservar a ICP -Brasil com os certificados Qualificados, pois só estes tipos de certificados irão permitir acordos de mútuo reconhecimento entre Estados, críticos no curto prazo para a nova Economia e o setor exportador Brasileiro.
A União Europeia vai assinar muito em breve vários acordos de mútuo reconhecimento, unicamente com sistemas de Certificação Digital Qualificados com outros Estados, para desmaterialização de processos de comércio internacional entre outros e deseja-se que o Brasil faça parte desses acordos o mais rápido possível, com uma ICP -Brasil forte e modernizada e que Governo e iniciativa privada unam esforços para este objetivo.
Fernando Moreira é Presidente da DigitalSign Portugal e DigitalSign Brasil (Autoridades certificadoras credenciadas na Europa e no Brasil), pelo que é importante o leitor ver esta opinião como de uma parte interessada que procurou ser objetiva e factual e escrita em Português de Portugal.
Artigo publicado original em www.cryptoid.com.br
Leia também:
- DigitalSign presente na 15ª ENFHEX Conference em Estocolmo-Suécia.A cada 18 meses, a Rede Europeia de Peritos em Caligrafia Forense (ENFHEX) organiza uma conferência com um programa científico que inclui investigação e desenvolvimento, qualidade e competência, bem como educação e formação. Essas reuniões também são uma oportunidade para os membros se familiarizarem com a gama atualizada de hardware e software. A 15ª conferência […]
- SCB Wallet da DigitalSign vencedora no SCB Innovation HubO “SCB Innovation Hub” é um projecto pioneiro em Portugal cujo grande objectivo passa por oferecer ambientes de incubação e desenvolvimento capazes de acolher projectos de inovação no âmbito das ‘sportstech’, nomeadamente nas áreas da Saúde e Performance, Cidade Desportiva (Futebol de Formação e Modalidades), Smart Stadium/Arena e Fan Engagement. Este projecto do SC Braga […]
- eIDAS 2.0: A nova identidade digital europeiaeIDAS 2.0. Onde tudo começou: Regulamento n.º 910/2014 Em 2014, foi aprovado o Regulamento n.º 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno. Ora, este Regulamento tinha como principais objetivos a criação de um […]
- Qual a importância do Regulamento eIDAS na mitigação do ciber-risco?Apesar da transformação digital se apresentar como algo fundamental para a evolução de qualquer organização, esta também traz consigo novos desafios, nomeadamente o inevitável incremento do ciber-risco. É neste contexto que pretendemos explorar o papel que o Regulamento eIDAS pode desempenhar como ferramenta regulatória para a mitigação do ciber-risco. Pese embora tal diploma já se encontre em vigor há alguns anos, verifica-se a existência de um grande desconhecimento sobre os instrumentos introduzidos por este.
- Já foi publicado em Diário da República o Despacho n.º 5108/2023 relativo à emissão de certificados qualificados de assinatura eletrónica. Saiba tudo!No dia 3 de maio de 2023, foi publicado em Diário da República o Despacho n.º 5108/2023 relativo à emissão de certificados qualificados de assinatura eletrónica em que a pessoa singular titular do certificado representa uma pessoa coletiva. Através do referido Despacho, o Gabinete Nacional de Segurança, no âmbito das competências previstas no artigo 6.º […]