Por que precisamos falar sobre assinaturas eletrônicas?

Por que precisamos falar sobre assinaturas eletrônicas?

Thaís Covolato*

16 de abril de 2021 | 08h05

Thaís Covolato. FOTO: DIVULGAÇÃO

Precisamos falar sobre autenticação e assinaturas eletrônicas. São termos que ainda não foram totalmente incluídos no vocabulário ativo, mas fazem parte do nosso dia a dia mais do que percebemos. Basicamente, grande parte das nossas interações pela internet consistem na identificação do usuário (acesso ao comércio eletrônico, ao e-mail, à rede social) e na sua manifestação de vontades (contratação ou assinatura de um serviço, uma solicitação, um agendamento).

É claro que diferentes tipos de interação requerem diferentes níveis de segurança para identificar o usuário e registrar a sua manifestação de vontade. Da mesma forma que protegemos os nossos bens de diferentes formas, dependendo do valor, do apreço, da sensibilidade ou da possibilidade de substituição. A mesma regra vale para o meio digital: talvez a loja de comércio eletrônico em que você faz compras não precise confirmar tantas informações suas além daquelas que garantam o pagamento e a entrega do produto, porém o seu banco pode precisar de algumas confirmações adicionais.

No entanto, quando falamos de interações com serviços públicos eletrônicos, em que o que está em jogo são informações mais sensíveis, é essencial que o usuário entenda esses termos técnicos de modo que possa combater tentativas de golpes e possa proteger a sua privacidade e intimidade.

Por exemplo, em uma busca rápida no portal “Reclame Aqui” é possível encontrar diversas reclamações sobre um serviço de assessoria que solicita o CPF e a senha cadastrados no portal Gov.br, plataforma centralizada de serviços públicos eletrônicos, para realizar solicitações em nome do usuário, como abertura de MEI, por exemplo. Sem entrar no debate da legalidade deste procedimento, é importante esclarecer que esse tipo de acesso ao portal Gov.br possibilita o uso da assinatura eletrônica simples, com a qual o usuário pode requerer benefícios assistenciais, trabalhistas e previdenciários, solicitar agendamentos e atendimentos, tirar licenças para exercício de atividades e se autenticar em sites oficiais que contenham informações não públicas.

Nesta situação, em que o CPF e a senha do usuário foram compartilhados, terceiros podem solicitar benefícios assistenciais e receber o valor em nome do cidadão, sem que ele soubesse. Ao mesmo tempo, contestar essa solicitação seria um processo complexo e demorado, já que, para todos os efeitos, a solicitação foi assinada com a assinatura eletrônica simples do cidadão, a qual ele informou que não compartilharia com terceiros através dos termos de uso do Gov.br.

Ainda mais grave, caso a senha fosse trocada, o cidadão perderia o acesso aos serviços e não poderia atualizar suas informações na plataforma para conseguir acessar a sua conta novamente. O portal Gov.br até disponibiliza formas de recuperação da conta, porém ainda é uma dor de cabeça que pode ser evitada se o usuário tiver mais conhecimento sobre como proteger os seus dados pessoais. Isso tudo sem contar na hipótese de vazamento destes dados, situação em que o cidadão não tem conhecimento de que terceiros possuem suas informações e que podem ter acessado dados, requerido informações e outras tantas possibilidades, das quais ele firma documento assumindo estes riscos e isentando o Poder Público.

No Brasil, são três os tipos de assinaturas eletrônicas utilizadas para o relacionamento online do cidadão com os serviços públicos online: assinatura eletrônica simples (menos segura), avançada (nível intermediário) e qualificada (mais segura). A maior vantagem de se ter três tipos de assinaturas eletrônicas com níveis de segurança e confiabilidade complementares é poder relacionar o tipo de assinatura com o nível de criticidade e sensibilidade das informações transacionadas em cada serviço. Com isso, é esperado um equilíbrio entre a simplificação do acesso aos serviços públicos eletrônicos com a segurança do cidadão em relação à privacidade dos seus dados pessoais e sensíveis.

As assinaturas eletrônicas vinculam o usuário à uma manifestação de vontade expressa em meio eletrônico (por exemplo, uma solicitação, requerimento ou transação), através da associação de dados em formato eletrônico. Os três tipos de assinaturas eletrônicas citados anteriormente representam o nível de confiança sobre a identidade digital e a manifestação de vontade do cidadão, sendo que a assinatura eletrônica qualificada é a única que segue padrões e procedimentos de elevada segurança jurídica, técnica e operacional e, por isso, é a que tem o maior nível de segurança e confiabilidade, dispensando inclusive a necessidade de cadastros em plataformas intermediárias.

As assinaturas simples e avançadas se baseiam na confirmação automatizada de dados do usuário em bases oficiais e são custodiadas pelo Estado, pois são adquiridas, utilizadas e armazenadas diretamente no portal de serviços públicos.

As assinaturas eletrônicas qualificadas, por outro lado, têm características que a diferem integralmente das outras. A começar pelo processo de confirmação da identidade do cidadão, que é realizado de forma descentralizada e envolve a apresentação dos documentos de identidade, confirmação dessas informações em bases oficiais, cadastro e consulta das biometrias durante a interação face a face, presencial ou virtualmente, com um agente capacitado e habilitado para essa função.

Após a confirmação da identidade, as assinaturas eletrônicas qualificadas são emitidas, também de forma descentralizada, em dispositivos criptográficos, que ficam em posse e custódia do seu titular – ou seja, do cidadão. Com isso, o cidadão tem controle, soberania, autonomia e liberdade para proteger os seus dados pessoais e as suas manifestações de vontade, evitando estar sujeito ao uso indevido ou vazamento de suas chaves privadas, já que estão sob seu exclusivo controle.

É importante destacar que, de acordo com a legislação, o serviço online deve informar apenas qual é o nível mínimo de assinatura eletrônica necessário, considerando a sensibilidade das informações transacionadas e o risco envolvido. Porém, o cidadão deve ter preservada a sua liberdade de escolha de como se proteger. Ou seja, pode utilizar as assinaturas eletrônicas de nível superior ao nível mínimo estabelecido para proteger seus dados e assinar documentos eletrônicos e solicitações com mais segurança, confiabilidade e tranquilidade.

Ao escolher utilizar a assinatura eletrônica qualificada, o cidadão escolhe não terceirizar ao Estado o controle da sua assinatura e identidade digital e, por isso, essa assinatura deve ser aceita diretamente, independentemente de cadastros prévios ou acesso por plataformas intermediárias. Esse procedimento, embora pareça algo casual, é essencial para garantir a liberdade de escolha do cidadão e garantir que tenha o controle da sua assinatura eletrônica segura.

O cidadão, enquanto usuário dos mais diversos serviços eletrônicos, precisa compreender os tipos de assinaturas eletrônicas existentes, bem como os riscos que podem ser enfrentados no compartilhamento de dados pessoais nos meios online. Esse conhecimento é essencial para que tenha uma navegação segura na internet e possa exercer a cidadania digital sem comprometer a sua privacidade, liberdade e autonomia, com a menor exposição de riscos de uso indevido ou de manipulação de suas assinaturas e credenciais.

*Thaís Covolato, coordenadora do Comitê de Identidades Digitais da Camara-e.net, principal entidade multissetorial da América Latina e entidade brasileira de maior representatividade da Economia Digital

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.