Os Tipos de Certificados Digitais

Atualmente temos diversos tipos de Certificados Digitais. Não quero e não vou aqui entrar em detalhes miúdos, até porque não quero me estender muito.
Diretamente, podemos dividir os Certificados Digitais em dois tipos:
· os emitidos pela ICP–Brasil; e
· os não emitidos pela ICP–Brasil.
Esses dois mundos, dependendo do ponto de vista, podem se aproximar como podem também se distanciar drasticamente. Chamo de mundos porque podem estar perto, mas mantendo-se muito distantes.
Os Certificados Digitais ICP-Brasil, são aqueles emitidos por Autoridades de Registro vinculadas ao Governo Federal. Estão coberto pelas diretrizes estabelecida pela ONU, mantendo-se dentro da grande “cadeia de acreditação” estabelecida entre países que aderiram ao projeto. Tem sua validade garantida por Lei no Brasil e por acordos via ONU em todo o Mundo. Assemelha-se a um passaporte, tendo sua validade no mundo eletrônico. Os mais comuns são os Certificados tipo A3.

Os Certificados Digitais não emitidos pela ICP-Brasil, aos quais eu chamo de próprios ou A2, tem um uso mais restrito, pois apesar de previsto em nossa legislação, existe uma exigência de aceitabilidade. Em termos tecnológicos podemos dizer que os dois se equivalem. A aceitabilidade dos Certificados tipo A2, se restringe a aceitação a quem ele for apresentado. Isso foi estabelecido pelo art. 10 da MP 2.200-2 (MP que instituiu a infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil):
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil.
§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. (grifo nosso)

Veja que apesar de admitir o Certificado Digital não emitido pela ICP-Brasil, existe restrições a sua aceitabilidade. Mas se admitido pelas partes, ele terá a mesma validade do Certificado Digital ICP-Brasil.
A diferença entre os dois tipos de Certificados Digitais se restringe apenas a esse detalhe, mas que se não for observado poderá trazer problemas aos usuários dessa nova tecnologia.

A todos um abraço.


Tiago Muriel

Arquivo Eletrônico Sim. Arquivo Mutável Não.

Muitas Instituições de Ensino tem apresentado uma forte tendência a adesão das secretarias acadêmicas eletrônicas (virtuais). Com avanços dos softwares de controle e registro acadêmico é cada vez mais comum encontrarmos instituições que dizem ter uma secretaria acadêmica eletrônica com arquivo totalmente eletrônico. Aqui, na maioria das vezes, nos deparamos com um grande problema, ou, com um grande perigo (caso não tenha se transformado em problema). O alerta é para aquelas instituições que possuem as suas informações não em um arquivo, mas em um sistema acadêmico mutável.

É crescente o número de instituições onde os processos são desenvolvidos para que as informações fiquem nos sistemas de controle acadêmico, não alimentando um arquivo físico ou eletrônico, mas gerando um banco de dados. Entendo que os sistemas não são os melhores guardiões para as informações geradas. Essas informações guardadas em banco de dados dão uma falsa impressão de segurança e de arquivo. Lembro sempre que o arquivo não deve ser mutável. O trabalho da secretaria acadêmica é cartorial, devendo respeitar sempre a temporalidade, não podendo a cada minuto gerar um novo arquivo, um novo documento. Nesse modelo que descrevo, o elo de confiança foi quebrado.

Acompanhei, há algum tempo, um caso de falsificação de diplomas. Tudo começou com um anuncio vendendo diplomas de uma grande universidade brasileira. A secretaria acadêmica dessa universidade se norteia pelos dados disponibilizados no sistema de controle e registro acadêmico, não sendo necessário recorrer em momento algum ao seu arquivo. Essa secretaria acadêmica acreditava ter um arquivo eletrônico, mas na verdade o que ela tinha era um banco de dados mutável, dando chance às falhas e favorecendo as fraudes.

A fraude da venda dos diplomas se desenhava da seguinte maneira dentro da universidade: uma pessoa fazia contato com o vendedor de diplomas. O vendedor era na verdade uma pessoa que trabalhava na CPD da universidade, tendo acesso ao banco de dados. Depois de realizado o pagamento, fazia-se uma inserção de dados no sistema da universidade. Feito isso, o comprador dos serviços dirigia-se ao balcão da secretaria acadêmica e solicitava o seu diploma. Ao acessar o sistema, comprovava-se que o requerente teria direito ao documento solicitado que era expedido. Assim, essa pessoa que comprou o diploma passou a existir dentro da instituição, tendo sua vida acadêmica garantida pelo sistema, com datas, notas, freqüência, pagamentos entre outras coisas. Nesse caso à secretaria acadêmica não restou outra saída que não fosse emitir o diploma.

Essa fraude aconteceu por vários motivos, sendo principal deles é a falta de responsabilidade atribuída às pessoas que tem acesso aos processos dos alunos dentro da instituição de ensino superior. A utilização de tecnologia errada, já ultrapassada tem também sua parcela de culpa. Assim como 99,9% das instituições brasileiras, essa universidade controlava a inserção de informações no sistema e banco de dados através do famoso, mas vulnerável mecanismo de senha e login.

Não sou contra a utilização dos meios eletrônicos para armazenar nossos dados e ter um arquivo eletrônico. Mas faço um alerta de que os cuidados devem ser redobrados no meio eletrônico, para que consigamos ter realmente a tranqüilidade e segurança para dizer que temos uma secretaria acadêmica virtual e um arquivo eletrônico realmente confiável.

O processo precisa ter terminalidade, seja ela física ou eletrônica. No caso do documento físico é emitido, por exemplo, um diário de classe sendo este assinado pelo professor. No caso do documento eletrônico, o processo deverá ser o mesmo, com arquivos gerados e assinados eletronicamente pelos envolvidos com a garantia de que o documento gerado não poderá ser mais alterado. Aqui, garantimos a terminalidade do processo e através da Certificação Digital cumprimos as normas instituídas pela MP 2.200-1/01 que instituiu a Infra Estrutura de Chaves Públicas Brasileiras (ICP-Brasil), o que garante a validade jurídica de todo o processo e do arquivo eletrônico.

Tiago Muriel