A certificação digital no Brasil

Em 2001, o governo brasileiro iniciou estudos para regulamentar o uso de certificados digitais no país, de modo que as transações online entre os vários órgãos públicos e seus fornecedores pudessem ter valor legal, permitindo maior agilidade no processo de compras e a diminuição de custos com uso, gerenciamento e armazenamento de documentos oficiais sigilosos ou não. A partir da Medida Provisória 2.200-2, de 24 de outubro de 2001, foi criada a ICP-Gov, que mais tarde expandiu-se dos órgãos públicos para a iniciativa privada e transformou-se na ICP-Brasil, a atual estrutura hierárquica de autoridades certificadoras ligadas ao governo brasileiro. Somente as transações realizadas com certificados emitidos por autoridades credenciadas na ICP-Brasil têm validade jurídica reconhecida no país.

Hoje, bancos utilizam a certificação digital no Sistema de Pagamentos Brasileiro, principalmente nas transações entre eles. Instituições autorizadas a operar no mercado cambial podem usar a assinatura digital nos contratos de câmbio. No Judiciário, há processos totalmente eletrônicos, com advogados e juízes usando o certificado digital e-Doc em todas as etapas. Universidades controlam os bolsistas do ProUni com certificado digital. O resultado disso, segundo usuários, é ganho de tempo, economia e segurança. Apenas alguns países utilizam certificados digitais com os mesmos propósitos do Brasil.

"Na maioria dos países, os certificados não seguem um protocolo único de segurança", conta Viviane Regina Lemos Bertol, coordenadora geral de normalização e pesquisa do ITI (Instituto Nacional de Tecnologia da Informação), autarquia federal vinculada à Casa Civil da Presidência da República. "Há dificuldades inter-relacionais e em muitos casos o certificado não tem valor legal". Segundo Bertol, o Brasil se baseou em países com uma estrutura única de certificação, em que o governo tem o controle de toda a cadeia de regulamentação para que a certificação funcione corretamente.

Uma das principais características da ICP-Brasil é sua estrutura hierárquica. No topo da estrutura encontra-se a Autoridade Certificadora Raiz (AC Raiz) e, abaixo dela, as diversas entidades (ACs de primeiro e segudo nível e Autoridades de Registro). Na ICP-Brasil, a AC Raiz é o ITI, que é responsável pelo credenciamento dos demais participantes da cadeia certificadora, pela emissão de seu próprio par de chaves e pela supervisão de todos os processos que envolvem a certificação.

Para fazer parte da ICP-Brasil, a entidade passa por um processo de credenciamento em que são analisadas sua capacidade jurídica, econômico-financeira, fiscal e técnica. Ela também deve contratar um seguro de responsabilidade civil e realizar auditorias prévias e anuais. Todo esse cuidado visa a garantir a segurança do processo - da identificação dos titulares até a emissão dos certificados. Para ter seu certificado na ICP-Brasil, a Autoridade Certificadora paga ao ITI cerca de R$ 500 mil por ano.

Atualmente, a ICP Brasil tem credenciadas oito Autoridades Certificadoras de primeiro nível (Presidência da República, Secretaria da Receita Federal, Serpro, Caixa Econômica Federal, AC Jus, Certisign, Imprensa Oficial de São Paulo - Imesp e Serasa), 20 ACs de segundo nível e mais de 800 Autoridades de Registro (AR). Estão em fase de credenciamento duas ACs de segundo nível e quatro ARs. As Autoridades de Registro são a presença física da certificação digital no Brasil. Elas são as responsáveis por autenticar o titular do certificado. Quando alguém pede um certificado digital, deve comparecer a uma Autoridade de Registro para que esse certificado seja validado antes de ser usado. A validação requer a presença do titular no posto da AR com seus documentos e o testemunho de dois agentes de registro - não importa do tipo de certificado desejado. No Brasil há oito tipos de certificados. Saiba mais sobre eles na próxima página.