BE332

Compartilhe:


MP sobre documentação eletrônica atropela sociedade


No último dia 30 de junho, na calada da noite, o Governo baixou a Medida Provisória 2200, de 28 de junho de 2001, que institui a infra-estrutura de chaves públicas brasileira.

A MP atropelou as discussões que a sociedade brasileira vem travando ao longo dos últimos anos.

Na opinião dos especialistas, os problemas que poderão decorrer da regulamentação autoritária, via medida provisória, coloca em risco todas as iniciativas para colocar o assunto da documentação eletrônica e firmas digitais em bom rumo sistemático.

O Prof. Augusto R. T. Marcacini, conhecido de todos nós pela brilhante entrevista concedida no Boletim do Irib n. 280 - setembro de 2000 qualifica a MP 2200 de medida ditatorial e não hesita em identificar o cometimento governamental como uma mal disfarçada tentativa de pôr freios e controle sobre a Internet e sobre os internautas. E apresenta-nos um rápido resumo da medida:

a) não regula nada do que poderia ser previsto em lei sobre contratos, documentos e certificações eletrônicas;

b) cria um Comitê e atribui todo o poder regulatório a ele, sem nenhum limite, já que a MP nada diz;

c) o Comitê é dominado pelo Poder Executivo Federal e "assessorado" pelo CEPESC, braço da ABIN, a sucessora do SNI;

d) é o Comitê que normatiza, autoriza e fiscaliza a atividade de certificação eletrônica;

e) somente documentos assinados nos termos da MP serão válidos, isto é, quem quiser um documento eletrônico com valor jurídico terá que se sujeitar às autoridades certificadoras credenciadas pelo Comitê.

Segundo Marcacini, "para quem não está familiarizado com o tema, a moral da estória é a seguinte:

a) na melhor das hipóteses, todos nós vamos terminar cadastrados na ABIN; b) na pior (difícil de prever...), ainda vão nos oferecer criptografia fraca (ou o depósito de chaves privadas...), insuficiente para proteger o sigilo de mensagens eletrônicas, de modo que a ABIN possa grampear também o nosso e-mail, ou fraudar nossa assinatura digital, quando lhe for conveniente; c) o Comitê ligado à Presidência vai concentrar todo o poder para dizer que tipo de sistema de certificação, emitido por quais empresas (hum... isso pode ser lucrativo!), todas as pessoas irão utilizar, não respeitando sequer a autonomia federativa, ou dos demais poderes da República, ou

de entes públicos autônomos, como OAB e MP; d) nenhum país democrático tem lei semelhante; e) países que regulamentaram assinaturas digitais têm estabelecido que o certificado é facultativo (é o que diz a Diretiva Européia, por exemplo), de modo que estamos nos distanciando da prática internacional sobre comércio eletrônico".

Confira, a seguir, a Medida Provisória

MEDIDA PROVISÓRIA Nº 2.200, DE 28 DE JUNHO DE 2001

Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências.

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:

Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Art. 2º A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR.

Art. 3º A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por onze membros, sendo quatro representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e sete representantes dos seguintes órgãos, indicados por seus titulares:

I - Casa Civil da Presidência da República;

II - Gabinete de Segurança Institucional da Presidência da República;

III - Ministério da Justiça;

IV - Ministério da Fazenda;

V - Ministério do Desenvolvimento, Indústria e Comércio Exterior;

VI - Ministério do Planejamento, Orçamento e Gestão;

VII - Ministério da Ciência e Tecnologia.

§ 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da Casa Civil da Presidência da República.

§ 2º Os representantes da sociedade civil serão designados para períodos de dois anos, permitida a recondução.

§ 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e não será remunerada.

§ 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do regulamento.

Art. 4º O Comitê Gestor da ICP-Brasil será assessorado e receberá apoio técnico do Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC.

Art. 5º Compete ao Comitê Gestor da ICP-Brasil:

I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil;

II - estabelecer a política, os critérios e as normas para licenciamento das AC, das AR e dos demais prestadores de serviços de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

III - estabelecer a política de certificação e as regras operacionais da AC Raiz;

IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;

V - estabelecer diretrizes e normas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;

VI - aprovar políticas de certificados e regras operacionais, licenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado;

VII - identificar e avaliar as políticas de ICP externas, quando for o caso, certificar sua compatibilidade com a ICP-Brasil, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional;

VIII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.

Art. 6º À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, compete emitir, manter e cancelar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, cancelados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes estabelecidas pelo Comitê Gestor da ICP-Brasil.

Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final.

Art. 7º O Instituto Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia é a AC Raiz da ICP-Brasil.

Parágrafo único. Para a consecução de seus objetivos, o Instituto Nacional de Tecnologia da Informação poderá, na forma da lei, contratar serviços de terceiros.

Art. 8º Às AC, entidades autorizadas a emitir certificados digitais vinculando determinado código criptográfico ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves criptográficas, colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

Art. 9º Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Art. 10. Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser licenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

Art. 11. É vedada a certificação de nível diverso do imediatamente subseqüente ao da autoridade certificadora, exceto nos casos de acordos de certificação lateral ou cruzada previamente aprovados pelo Comitê Gestor da ICP-Brasil.

Art. 12. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

Art. 13. A todos é assegurado o direito de se comunicar com os órgãos públicos por meio eletrônico.

Art. 14. A utilização de documento eletrônico para fins tributários atenderá, ainda, ao disposto no art. 100 da Lei nº 5.172, de 25 de outubro de 1966 - Código Tributário Nacional.

Art. 15. Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 28 de junho de 2001; 180º da Independência e 113º da República.

FERNANDO HENRIQUE CARDOSO

José Gregori

Pedro Parente
 



Totalitarismo Digital
Prof. Pedro Antonio Dourado de Rezende


Quem se der ao trabalho de ler a medida provisória número Nº 2.200, DE 28 DE JUNHO DE 2001, disponível em

http://www.in.gov.br/materia.asp?id=438074, pode se engajar no desafio de interpretá-la. Ofereço aqui alguns subsídios, mas alertando antes: preparem-se para um susto inquietante.

O CEPESC, órgão de segurança das comunicações do poder executivo, braço computacional do antigo SNI, que já regula a parte oculta do funcionamento das urnas eletrônicas, vai agora regular também os métodos digitais de representação da vontade humana, em nosso país. Para termos uma idéia do que isto significa, podemos ponderar sobre suas possíveis ações na urna eletrônica. Disto trata o artigo "A lanterna de Diógenes", em http://www.cic.unb.br/docentes/pedro/segdadtop.htm.

Estes métodos digitais de representação de nossas intenções estão nos sendo oferecidos como se fossem maravilhas tecnológicas, mágicas para se atingir a eficiência nas práticas sociais modernas. Mas, como no caso das eleições, serão na verdade apenas caixas pretas opacas, destinadas a intermediar a representação de nossas supostas decisões, em nossas indispensáveis interações com o mundo civilizado de hoje. Como as de circular moeda, de pagar impostos, de firmar contratos, etc. E nos regimes de governo cuja forma em papel seja a democracia, o de votar em eleições.

Mas quem será o dono e o mago dessas caixas pretas? No caso das que irão produzir assinaturas, donos e magos não são diretamente nomeados nesta MP, mas apontados. Veja, por exemplo, o que diz sobre seus intermediadores -- as entidades certificadoras -- em seu artigo 8: "às entidades autorizadas a emitir certificados digitais vinculando determinado código criptográfico ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves criptográficas".

Precisamos ler com atenção esta atribuição. A de "expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves criptográficas". Quais são essas chaves que correspondem ao certificado? O termo certificado digital surgiu com a criptografia assimétrica, embora não seja dela exclusiva. A criptografia assimétrica é um conceito que recorta o universo das tecnologias digitais, separando aquelas que, na sua capacidade autenticatória, ofereçam ao identificado a possibilidade de controlar a dificuldade de forja desta identificação. Funcionam por meio do uso de pares de chaves tituladas, que, nesta capacidade, ganharam o nome de mecanismos de assinatura digital.

Neles, uma das chaves do par é usada para lavrar marcas pessoais únicas em documentos eletrônicos -- as assinaturas digitais, e a outra usada para verificar a autenticidade dessas marcas. A chave que verifica uma tal lavra, ao fazê-lo, identifica o assinante como autor do documento e titular deste par de chaves, junto com a integridade da lavra deste documento.

Os mecanismos que a ciência classifica como de assinatura digital, recebem esta classificação por ofercerem ao assinante a possibilidade de controlar a dificuldade da forja indetectável das assinaturas que propicia. Através da função de custo computacional para se obter a chave de lavra a partir da chave de verificação. Esta dificuldade é que permite se vincular a identificação do assinante à representação de sua vontade. Mas esta lógica vinculante só se sustenta sob a hipótese de que o titular é o único a conhecer a chave do par usada para lavrar assinaturas.

Contudo, esta medida provisória nada fala dos mecanismos que irão substituir as assinaturas de punho, ou das garantias que as implementações de tais mecanismos devam oferecer aos titulares das chaves. Mesmo que restrinja, através do emprego de termos como "certificado digital", esses mecanismos aos de assinatura digital, isso nada garante. As implementações destes mecanismos, que venham a ser escolhidas ou impostas, podem violar a premissa do conhecimento único da chave de lavra pelo seu titular. Principalmente se a implementação for opaca, pois em código fechado a violação pode ser imperceptível e indetectável.

A MP nada fala do direito do cidadão escolher implementações de sua confiança para representá-lo. Agride este direito, pois se restringe a nomear um conselho de burocratas e políticos, dominado pelo poder executivo e assessorado por seu órgão de segurança, que irá determinar quais métodos os cidadãos e pessoas jurídicas deverão usar, para representar suas vontades perante os agora ubíquos computadores, na esfera digital do Estado e da Lei. Para a supressão deste direito, basta que este conselho aceite e escolha um nome novo de método, dado pelo produtor de uma implementação desconhecida e opaca.

Contra este direito pode-se argumentar que uma implementação de método autenticatório digital é um software, e não um advogado. Mas um tal software dá curso a intenções e inteligências de programadores, assim como uma ação judicial dá curso às de operadores do direito, cujos efeitos legais esta MP decreta equivalentes. O cidadão, ou um ente jurídico qualquer, não pode fugir da submissão ao Estado e à Lei. No mundo civilizado ele nasce submisso a ambos, fato que inspirou os princípios de equilíbrio nos direitos humanos e civis, nas tradições jurídicas modernas. Mas esta MP estabelece meios para que esta submissão seja representada sem nenhum critério de confiabilidade ou salvaguarda para ele, desprezando tais princípios.

Pelo contrário, pois sobre ele descarrega apenas riscos. Esta MP está a decretar que o cidadão precisa, doravante, confiar sua capacidade de representar sua própria vontade, perante a Lei e o Estado, a estas misteriosas entidades que, como diz em seu artigo 10, podem ser terceirizadas a empresas particulares. Por quais critérios se daria esta outorga de poder, nada é dito. Dito está que estas empresas venderão controle como se controle fosse confiança, como se o verbo confiar fosse intransitivo. E com amparo legal para o exercício do monopólio desta venda, como se confiança fosse mercadoria controlada pelo Estado.

Está, assim, dada a largada para uma corrida pela instalação do totalitarismo digital, que marca o começo do fim da liberdade humana. Instrumentos para instituí-la acabam de ser postos a viger, com esta lei. E se não forem implodidos a tempo, criarão fatos consumados difíceis de serem revertidos, na forma de infra-estruturas comunicativas para o exercício do totalitarismo do poder econômico, vestido com a pele do estado democrático, dele esfolado. E o que teria o Estado a ganhar, em troca deste esfolamento?

Além das habituais benesses aos que estejam de plantão para operar esta brutalizante simbiose, de cuja dor moral sente-se refém o eleitor, o estado se dá o prêmio da possibilidade da espionagem ubíqua, e o poder da forja irrefutável de provas documentais que queira eventualmente produzir. Ou destruir. Um processo de investigação de desvio de verbas poderá, por exemplo, ao invés de desaparecido, ganhar o inatacável rótulo de conspiração ou perjúrio, por se calcar em documentos que, de repente, nunca foram autênticos. E os corruptos incorrigíveis ganham um mecanismo indevassável para canalizar suas atividades. Toda a burocracia da sociedade é convidada a se transformar em um imenso painel eletrônico do Senado. Como em Orwell.

Este prêmio o Estado recebe na forma de monopólio do conhecimento e de acesso à engenharia interna dessas caixas pretas opacas. Se o cidadão aceita a opacidade da urna eletrônica, qualquer que seja o pretexto, certamente aceitará a de outras caixas pretas que irão representar sua vontade. Basta que o Estado e seus avarentos exploradores continuem a bombardeá-lo com a "informação" de que tais caixas pretas são confiáveis. Para quem e contra o que são confiáveis, no entanto, não lhe é dado perguntar.

Quem sentir medo, ou julgar paranóicas estas ponderações, pode-se perguntar coisas mais amenas: Seremos mesmo obrigados a substituir nossa assinatura de punho em papel, por bits cuspidos de uma caixa preta opaca? Esta medida provisória estaria mesmo nos impondo, ou apenas nos facultando, esta confiança decretada? Teríamos mesmo que confiar, dessa forma imposta, em entidades sem tradição, sem face, sem passado, sem lastros de responsabilização social, cujas cifras de valor de mercado são sua única referência, oferecida como se fosse fio de bigode? Para que nossa vontade seja somente através delas publicamente reconhecida?

As duas primeiras perguntas têm respostas técnicas e óbvias. Custo e risco para o Estado, fazem dessas obrigatoriedades uma questão de tempo. Já aconteceu com o seu voto, e amanhã acontecerá também com o seu carteira, seu talão de cheques, e seus documentos e registros em cartório. Para a última pergunta a resposta é sim, àqueles que não fizerem "acordos" com este novo poder digital, como diz esta MP.

Seu artigo 11 diz: "É vedada a certificação de nível diverso do imediatamente subseqüente ao da autoridade certificadora, exceto nos casos de acordos de certificação lateral ou cruzada previamente aprovados pelo Comitê Gestor da ICP-Brasil." Mas em que sentido nos foi vedada a certificação particular -- prática jurídica comum no diteito comerical -- fora desses acordos com a nova hierarquia do poder digital? Certamente não no sentido prático, do funcionamento dos programas que implementam mecanismos de assinatura digital.

Pois há hoje softwares disponíveis e em uso, nos quais a geração do par de chaves para assinatura digital e os documentos que lavram, incluindo certificados usados e emitidos, estão sob controle do titular do par de chaves, dentro dos limites oferecidos pela lógica e pelo ambiente operacional desses softwares. A certificação comercial hoje em uso apenas dá título à chave pública assim gerada, como no caso em que titular e certificadora se comunicam através do protocolo SSL. O controle da geração do par de chaves é o primeiro requisito para a sustentação daquela hipótese vinculante, a da posse única da chave de lavra.

Como as chaves assimétricas só podem ser emitidas aos pares, esta MP subtrai do titular estes controles e os transfere, de direito e sem explicações, às Entidades Certificadoras. Inviabiliza de saída a premissa da posse única da chave de lavra, enquanto dá força de lei à sua pretensão de representar a vontade do titular. A violação desta essencial premissa ganhará o nome de "mecanismo de recuperação de chaves", enquanto se abre com isso a porta para a revogação da Lei Áurea, e para o corte do oxigênio que ainda inspira a vida democrática no nosso país. O pito que o presidente da república recebeu do presidente da OAB, em recente ocasião solene no Supremo Tribunal Federal, não foi entendido.

Aliás, parece que foi ouvido não como advertência, mas como uma provocação insolente, a exigir uma demonstração de força à altura, cujo golpe agora recebemos. Aguardemos, portanto, para sabermos que tipos de "programas confiáveis" de computador nos serão impostos, e que tipos de "cartões inteligentes" terão a guarda e as conseqüências a nós cobradas. Ou o que será feito pelos legisladores eleitos pelos cidadãos, e os juízes que honram suas togas, nesta sinuca de bico em que o poder executivo colocou a sociedade a quem deveria servir.

* Prof. Pedro Antonio Dourado de Rezende

Departamento de Ciência da Computação Universidade de Brasilia

29/06/01 (v.4 - 01/07/01)



Últimos boletins



Ver todas as edições