O aumento da segurança no acesso digital e na assinatura eletrônica de documentos é uma necessidade urgente e ainda pouco implementada, pois existe um conflito entre conveniência e proteção
Paulo Milliet Roque (*)
Somos assolados semanalmente por notícias de megainvasões e roubos de dados em diversos sistemas de segurança da informação. Dados de mais de 220 milhões de brasileiros vivos e mortos – inclusive os seus e os meus – já estão disponíveis neste local difuso chamado Dark Web que ninguém sabe onde fica. A lista inclui milhões de imagens de faces e cópias de documentos de identidade.
Diante deste cenário, temos que assumir no nosso dia a dia que já são do conhecimento de hackers o nosso nome completo, números de telefone, e-mails, login e senhas, data de nascimento, nome dos pais, CPF, RG, endereço e dados de contas bancárias.
Só nos resta trabalhar no modo “controle de danos”, contratando serviços de monitoramento gratuitos e pagos para nos avisar de investidas e tentativas de pedidos de empréstimos em nosso nome. Afinal, quando não tem um login e senha de um serviço específico, o hacker normalmente começa por ligar ou acessar os serviços de crédito para trocar nosso número de celular e criar um novo login e senha. Para confirmar a procedência, estas instituições fazem as perguntas de segurança – justamente as informações que descrevi que já estão espalhadas pela Dark Web.
O aumento da segurança no acesso digital e na assinatura eletrônica de documentos é uma necessidade urgente e ainda pouco implementada, pois existe um conflito entre conveniência e proteção. E as principais formas de validar um usuário diferem muito nestes dois quesitos: o acesso via presencial é mais seguro, mas é extremamente inconveniente e está sendo abandonado nestes tempos de pandemia. Já o acesso remoto, via login e senha, ainda o mais usado, é conveniente, mas muito pouco seguro. Basta ver o site “have I been pwned?” do Troy Hunt, que lista 11 bilhões de contas hackeadas. Isto mesmo! Bilhões! Existem mais contas hackeadas do que habitantes no planeta.
Um batimento biométrico remoto com base na foto de um documento de identidade e foto da pessoa, o vulgo cara-crachá, dificulta a invasão, mas o hacker pode usar um Photoshop para alterar a foto do documento. Já um batimento biométrico remoto em bases do governo, como a do Denatran, aumenta bem a segurança, pois pressupõe que os departamentos de trânsito estaduais já fizeram a validação presencial do motorista. Hoje em dia, estes batimentos remotos estão sendo cada vez mais utilizados.
Uso de certificado digital
A utilização do certificado digital ICP-Brasil (e-CPF, e-CNPJ, etc.) é considerada a mais segura e com a validade jurídica do não repúdio legal. Os preços têm caído atualmente e a validação, que antes era obrigatoriamente presencial, agora pode ser feita via videoconferência para pessoas que possuem uma Carteira Nacional de habilitação (CNH). Esta mudança, aparentemente sutil, foi marco na facilidade de emissão, que se dá em menos de 30 minutos. Hoje, mais de 70% das emissões já são feitas por videoconferência, e esse índice sobe mês a mês .
Os certificados digitais podem ser usados para acessar serviços de portais, como por exemplo o eCac da Receita Federal, e para assinar documentos com validade jurídica. Existem oito tipos de certificados digitais, mas só dois “colaram”: o A1 e o A3. Os certificados digitais A1 são em software (arquivo) que é instalado no computador do usuário. É menos seguro, porque pode ser copiado para diversos computadores ou aplicativos de celular e por isto só tem validade de 1 ano.
O certificado A3 é gravado em mídia criptográfica homologada – smartcard ou token – e vale, teoricamente, por até cinco anos, mas na prática são comercializados com validade de até três anos. Recentemente, começou a ser utilizado o certificado A3 em nuvem, que fica armazenado num hardware criptográfico (HSM) num data center homologado e o usuário acessa pelo computador ou celular recebendo um código único de identificação a cada uso ou período.
Essa nova facilidade de emissão e uso dos certificados digitais tem motivado cada vez mais o uso em aplicações, tais como assinatura digital de contratos e declarações que substituem a firma reconhecida, o acesso a sistemas dos tribunais pelos advogados, as prescrições de medicamentos controlados, a transferência de veículos, os diplomas digitais e a digitalização de documentos com validade jurídica permitindo o descarte do original. Isto cria a possibilidade de empresas de e-commerce e sistemas de acesso passarem a utilizar também a tecnologia.
Esse tipo de acesso não é difícil de implementar, mas, na prática, ainda é pouco utilizado. E, portanto, é uma grande oportunidade para as empresas de software. Cabe também ao usuário passar a exigir mais segurança aos sistemas em que acessa. No Reclame Aqui ainda não vi depoimentos de consumidores sobre determinado fornecedor que não toma as devidas precauções nesse quesito.
O Brasil é referência mundial em certificação digital, considerado o melhor exemplo de parceria público-privada bem-sucedida. O desafio agora é aumentar a evangelização para os benefícios do uso da certificação e do enorme potencial que cria para novas aplicações.
(*) Empresário do setor de certificação e identidade digital, co-fundador da DigiForte e vice-presidente da Associação Brasileira das Empresas de Software (ABES).