CERTIFICAO DIGITAL E SEGURANA Por Marcia Benedicto Ottoni

Um sistema de documentao integralmente eletrnico, desde a formao do documento - as verses, as comunicaes entre as partes, as adeses (assinaturas), incluindo o seu registro e guarda, no apenas inexorvel como promete benefcios em todos os setores da economia e da sociedade. O processo de migrao da documentao em papel para a digital est acontecendo aceleradamente. H tempos nossos documentos so gerados em arquivos eletrnicos do tipo .doc ou .pdf ou .txt. Os contratos, os textos artsticos, os pareceres, os trabalhos em geral, so produzidos, enviados, discutidos e acertados eletronicamente. Em que momento deste processo cada um de ns interrompe a atividade digital e retoma o papel? Quando e porque um contrato tem que ser impresso? E uma petio? E uma proposta comercial? A resposta a estas perguntas indica o estgio de adeso de cada setor da economia s prticas eletrnicas. A adeso documentao exclusivamente eletrnica depende de uma infra-estrutura tcnica e legal normatizando prticas que suportem as transaes eletrnicas com tcnicas eficientes de combate insegurana prpria do meio digital vulnerabilidade dos sistemas, instabilidade, impessoalidade e imateriabilidade dos registros tcnicas capazes de minimizar as fraudes e promover relaes mais seguras. Durante esta transio, os advogados sero freqentemente consultados sobre as conseqncias jurdicas de criar, receber, transmitir, destruir, registrar, guardar e converter cpias materiais em documentos eletrnicos. Afinal, no a todo momento que nos movemos para um novo paradigma. Segurana efetiva e segurana jurdica A Internet e o mundo digital apresentam, pelas mesmas razes e na exata proporo em que trazem facilidade, risco e insegurana. O meio eletrnico instvel e vulnervel, e tem se mostrado um ambiente favorvel para fraude e outros crimes afetos. Milita, ainda, pela insegurana, o fato de que a fraude digital pode ser reproduzida numa escala e ritmo que a fraude manual jamais atingiria. O preo do conforto, da agilidade, da eficincia e assim da economia gerada com o uso da comunicao e da documentao digitais o investimento constante e generoso na segurana. Hardwares, softwares, sistemas e servios de segurana da informao devem ser continuamente desenvolvidos, superados, substitudos ou somados e sempre atualizados, neste esforo incessante que fazer deste meio notoriamente instvel e aberto, um ambiente seguro para instrumentalizar relaes sociais, culturais e econmicas.

O sucesso do e-commerce e do e-government - a eficincia dos sistemas empresariais e a prpria viabilidade da prestao eficiente dos servios pblicos - incluindo a implantao do sonhado processo judicial eletrnico, dependem de uma comunicao segura na Internet, que garanta a eficcia probatria das transaes realizadas e registradas eletronicamente. As leis e demais sistemas regulatrios precisam apoiar a eficincia desta migrao. Para tanto, a lei deve integrar-se tecnologia, os juristas e legisladores devem compreender os recursos da tecnologia e os tcnicos devem desenvolver controles tcnicos que atendam s necessidades regulatrias do sistema, pois, como ensina Lawrence Lessig1, a arquitetura do software lei no ciberespao. De nada adiantam leis desvinculadas dos sistemas de controle, que pretendam impor condutas inexigveis e, por vezes, sequer verificveis.

1. CERTIFICAO DIGITAL Por no serem presenciais nem testemunhadas, as comunicaes eletrnicas causam certa estranheza e insegurana no ser humano. Um e-mail ou uma interao na Internet podem perfeitamente comunicar a vontade de algum. Mas o e-mail pode no ter sido enviado por aquele que nomeia a caixa postal e na mensagem, assim como a interao pode ter sido realizada de modo fraudulento, por criminosos virtuais, por meio do uso indevido da informao de acesso compartilhada. Sem ferramentas tecnolgicas apropriadas, no certo que o que se v numa tela ou em outro elaborador eletrnico pode ser considerado, com razovel grau de certeza, a vontade de algum. Assim, embora nosso sistema preveja, a teor do artigo 107 do CC, a liberdade das formas, no existindo qualquer obstculo legal para a validade das transaes realizadas no meio eletrnico, a eficcia probatria das declaraes virtuais de vontade depende de um processo autenticatrio capaz de substituir o testemunho dos nossos sentidos. Certificao Digital uma tecnologia de segurana para as relaes eletrnicas, que prov um sistema de identificao de pessoas e entidades no meio eletrnico, que combate o anonimato, a despersonalizao e a insegurana em relao ao interlocutor. PKI (Public Key Infrastruture) ou ICP (Infra-estrutura de Chaves Publicas) PKI a soluo apresentada pela tecnologia de segurana da informao para dar segurana jurdica s comunicaes e documentos eletrnicos. O objetivo das
1

The Code and Other Laws of Ciberpace Lawrence Lessig Basic Books/1999 - EUA

tecnologias de PKI disponveis fornecer, atravs da Internet, meios tcnicos para identificao segura de pessoas, para garantia da integridade dos registros e para o sigilo da informao no meio eletrnico.

As senhas, como se sabe, no atendem ao requisito essencial de identificao segura com relao exigncia de conhecimento e acesso exclusivo, por tratar-se de segredo necessariamente compartilhado. A PKI substitui a senha, que uma assinatura eletrnica2, pela assinatura digital. Assinatura digital significa uma assinatura numrica, matemtica, realizada por meio de um algoritmo, com a utilizao de uma chave privada de criptografia assimtrica. A chave privada de assinatura deve ser de posse e uso exclusivos do subscritor. A chave privada no pode ser deduzida a partir da chave pblica. A operao de assinatura realizada com a chave privada, mas pode ser confirmada com a utilizao da chave pblica correspondente, excluindo a necessidade e assim os riscos do compartilhamento da informao, do compartilhamento de hardwares e, especialmente, compartilhamento da informao atravs de invaso de softwares, todos veculos que favorecem as fraudes. A funo prpria da PKI associar, com segurana, pessoas a chaves (ou outros tipos de dados), para criao de uma assinatura, permitindo a realizao de negcios eletrnicos eficazes e seguros, entabulados entre partes conhecidas com utilizao de comunicaes eletrnicas, registrados e guardados eletronicamente. Emisso e gerenciamento de certificados As Autoridades Certificadoras (AC) emitem documentos virtuais, chamados certificados digitais. Os certificados associam pessoas a pares de chaves de criptografia assimtrica. Cada chave pblica de assinatura associada a uma pessoa ou entidade jurdica. Em conseqncia, a chave privada de assinatura correspondente chave pblica certificada tambm fica associada ao titular, de forma que o seu uso, dentro do prazo de validade de um certificado que no tenha sido revogado, passa a ser considerada uma prova da manifestao da vontade do titular do certificado. Validao presencial Para usufruir da velocidade e economia dos negcios eletrnicos, bem como das facilidades de transmisso e armazenamento das comunicaes e suportes eletrnicos, abdica-se da segurana do contato fsico entre as partes, corporificada na assinatura fsica dos documentos.

2 ...as assinaturas digitais devem ser entendidas como parte da definio mais ampla de que a das assinaturas eletrnicas. Pode-se dizer que a assinatura digital um meio de realizar uma assinatura eletrnica - Digital Signatures - WU Stephen and others.

A identificao presencial, neste contexto, como requisito para a emisso do certificado, suportar muitas outras manifestaes eletrnicas, tornando-se um instrumento importante na proteo contra fraudes e simulaes de identidade no meio digital. Nem todas as relaes eletrnicas, porm, precisam ser validadas por identificao presencial de terceiros. Relacionamentos pr-existentes e registros em bancos de dados podem ser suficientes para a identificao de indivduos. A regra de identificao do titular de um certificado um elemento essencial de uma ICP. A identificao exigida dos indivduos e das empresas pode ser mais ou menos forte. Tem-se por identificao forte a identificao presencial de pessoas naturais conjugada com a apresentao de documentos. Confiabilidade O problema da validao da tecnologia de ICP exatamente a confiana depositada na entidade emissora. Como saber se a entidade emissora est sendo supervisionada ou foi credenciada por algum e se est de acordo com a legislao? Como saber se seus servios so confiveis e se ela permanecer no mercado? Nas aplicaes comerciais privadas, as partes freqentemente preferem indicar diretamente uma AC a confiar numa cadeia pblica de certificao. Em aplicaes pblicas, porm, dependemos de certificadoras digitais institucionais que forneam verdadeiras identidades virtuais. Tais entidades devem ser supervisionadas e submeter-se regulamentao e fiscalizao de organismos tcnicos. Uma lista de status das ACs uma lista emitida e divulgada pelos organismos de superviso e/ou fiscalizao, contendo informao sobre as AC ativas em determinado territrio e seu status em relao ao atendimento dos requisitos tcnicos e jurdicos fixados na legislao. Este o sistema adotado na Itlia e em diversos pases da Europa. J o credenciamento consiste no gerenciamento direto e no rgido controle estatal da atividade de certificao digital, atravs de um sistema de autorizao prvia e fiscalizao de manuteno de funcionamento que garanta o atendimento s normas e prticas definidas nos documentos regulatrios. Documentos regulatrios Grandes comunidades de usurios so difceis de gerenciar com uma nica AC. A soluo de PKI recomendada para grandes comunidades co-existncia de ACs, relacionando-se como uma estrutura hierrquica. Apenas o certificado da AC Raiz auto assinado. A AC Raiz emite certificados para as ACs, Intermedirias. A tecnologia e a atividade empregadas pelas entidades integrantes de uma PKI so regradas por normas e prticas controladas pela AC Raiz da hierarquia. Cada AC deve publicar sua Declaraes de Prticas de Certificao (DPC) e as suas Polticas de Certificados (PC). As DPCs e as PCs so documentos padronizados para facilitar a compreenso dos usurios de uma ICP, tanto os titulares de certificados
4

como as partes confiantes, que devem averiguar as principais regras de emisso de cada certificado, as eventuais limitaes de uso e a validade do certificado antes de confiar na identificao certificada.

2. APLICAES Certificados digitais so utilizados em de forma e em aplicaes variadas. Como aplicaes tpicas, os certificados servem para a identificao de remetentes e sigilo de contedo de correio eletrnico, para autenticao de pessoas e servidores ou endereos na Internet, para sigilo das comunicaes e transaes eletrnicas na web e para assinatura digital e confidencialidade dos documentos eletrnicos. Correio eletrnico A aplicao de maior sucesso na Internet o e-mail. A comunicao eletrnica rpida, eficiente e barata, encaminhada diretamente para os arquivos eletrnicos e demais ferramentas de trabalho faz parte de nossa vida profissional e pessoal. O correio eletrnico tornou-se indispensvel. O e-mail, porm, funciona como uma porta para o perigo eletrnico, para os ataques de servio dos provedores, para a disseminao de vrus e para o roubo de informao, servindo, enfim, como via de invaso aos sistemas. A utilizao do e-mail hoje est condicionada a utilizao de sistemas proteo que associem os recursos disponveis: hardwares, softwares e demais aplicativos. A assinatura digital da correspondncia eletrnica um aplicativo de segurana da fonte e do contedo da mensagem. A assinatura com a chave privada permite a identificao segura do remetente, obstando o envio de mensagens maliciosas annimas e a utilizao fraudulenta de identidade, e garante, matematicamente, a integridade do contedo. O uso comercial indiscriminado do e-mail tambm atenta contra a utilizao deste aplicativo. A quantidade de mensagens indesejveis ou no solicitadas que trafega hoje na web ameaa o sistema de colapso. O spam est se transformando num obstculo ao funcionamento da Internet, superlotando as rotas de comunicao, a infra-estrutura dos provedores e as caixas postais dos usurios. A certificao digital serve como instrumento no combate a esta praga moderna, na medida em que as aplicaes e os sistemas passem a exigir, como vem sendo discutido em alguns segmentos e sugerido em alguns projetos de lei, a identificao do remetente para processar o encaminhamento da mensagem.

A certificao digital serve, ainda, como instrumento de sigilo nas comunicaes e registros eletrnicos. A utilizao da Internet, esta rede pblica de transmisso de dados a to baixo custo, potencializa a comunicao de negcios, mas coloca a informao sob o risco de interceptao, roubo e adulterao. A utilizao de chaves pblicas para criptografia das mensagens ou dos documentos anexos nos e-mails garante o sigilo da comunicao e do documento, impedindo o acesso e o roubo da informao. Estes recursos podem colaborar com a manuteno do uso comercial deste aplicativo to caro e essencial no nosso dia-a-dia. Navegao e interatividade - browser A outra aplicao de sucesso na Internet a navegao interativa das transaes online. A segurana dos mecanismos de realizao de negcios on-line operaes financeiras, operaes comerciais, depende de autenticao dos usurios para permisso de acesso. Tambm os endereos web, as mquinas servidoras, devem identificar-se, na qualidade de fornecedores, perante os usurios. Por fim, os provedores de servio respondem pelo sigilo da informao que coletam. A autenticao do usurio garante a segurana do sistema e da informao. Os usurios, clientes, fornecedores, funcionrios devem autenticar-se nos sistemas para acess-los e tal autenticao deve ser segura o suficiente para comprovar o seu acesso. A certificao digital prov esta autenticao de pessoas e servidores. A certificao no altera qualquer norma do direito do consumidor, apenas instrumentaliza o consumidor para verificar a identidade do fornecedor pela titularidade do endereo web, fornece canal seguro de transmisso de dados e instrumentaliza a prova eletrnica. Os sistemas de arrecadao e controle de tributos, por exemplo, esto sendo informatizados no mundo todo. A certificao digital atende bastante bem s necessidades de autenticao dos sistemas tributrios de registro e pagamento. Documentos virtuais de identificao de contribuintes tem sido uma das primeiras aplicaes de certificao digital implementada em diversos pases. No Brasil, de braos com a Receita Federal, as fazendas pblicas estaduais e municipais esto informatizando e regulamentando seus sistemas eletrnicos de registro e arrecadao3. O internet banking, como se sabe, instrumento de eficincia econmica incomensurvel para as instituies financeiras. A autenticao do usurio do netbanking outra aplicao interativa de Internet que depende de identificao forte de usurios e registro eficaz das transaes realizadas on-line.
3 O Estado de Pernambuco, por exemplo, implantou um sistema de registros digitais do ICMS. Os documentos enviados a SEFAZ de Pernambuco devem ser assinados digitalmente pelo responsvel pelo estabelecimento ou pelo contabilista indicado pela empresa, com chaves certificadas na ICP-Brasil,. LEI N 12.333, de 23 de janeiro de 2003. Estabelece a escriturao fiscal digital para contribuintes do ICMS. PORTARIA SF N 073, de 30.05.2003. Outras fazendas estaduais esto implementando sistemas semelhantes.

Documentos eletrnicos No h diferena ontolgica entre o documento tradicional e o documento eletrnico. Ambos representam um ato. A estreita ligao entre o papel e a prpria noo de documento decorre, em parte, do fato de que no mundo fsico a existncia do documento depende do suporte de papel. O documento em papel est preso ao seu suporte original. A destruio do suporte significa a destruio do documento. No ciberespao diferente. O documento uma seqncia de bits, intangvel, que pode ser infinitamente reproduzida. A fixao em variados suportes no gera cpias. No h cpias no mundo virtual, apenas vias, em diferentes suportes. Original e cpias so indistintos. Uma das razes da insegurana que tem dificultado a ampla adoo das transaes eletrnicas a facilidade com que, por no estarem presos aos suportes em que so registrados, os documentos eletrnicos podem ser interceptados, acessados e alterados. Para ter fora probatria, o documento no pode ser passvel de adulterao. O documento com eficcia probatria autntico: contedo integro, origem ou fonte e autor identificveis. Uma ICP deve prover sistemas de integridade e identificao capazes e suficientes para fazer esta prova. Assinaturas Digitais Outro obstculo para a plena utilizao do documento eletrnico nos negcios tem sido a impossibilidade de subscrev-los. O ato de lanar no papel o nome, a firma ou sinal, de punho prprio, tem um valor importante no nosso sistema jurdico. O ato de assinar comprova o recebimento, atesta a cincia, atesta a obrigao. O signatrio se d por citado. O signatrio se obriga aos termos fixados no documento e pode ser forado a cumpri-los. A assinatura manual autentica o documento, no atesta apenas a identidade, mas tambm atesta a vontade do signatrio. Assinaturas so sinais distintivos, nicos e exclusivos de uma pessoa, que permitem identificar a autoria do documento. Graas a esta exclusividade, a assinatura manuscrita aposta sobre o papel atesta a autoria do documento. A assinatura manuscrita no pode ser reutilizada, copiada ou reaproveitada em outro documento, tentativas de reutilizao destroem o prprio original. Mas no basta simplesmente colocar uma marca digital no documento eletrnico para autentic-lo, porque esta marca, ao contrrio da assinatura manual, pode ser facilmente copiada e fraudulentamente reproduzida. preciso, em primeiro lugar, garantir que a posse ou conhecimento e o uso desta marca seja de exclusividade do subscritor. Isto um requisito essencial em qualquer sistema de assinatura eletrnica, ainda que ao custo de impor ao usurio srias obrigaes de proteo e guarda do repositrio de assinaturas. Apenas a exclusividade na posse e uso do instrumento

pode caracterizar a marca pessoal e satisfazer o atributo que a assinatura manuscrita prov ao documento em papel e ao direito. Juridicamente, se o documento for ntegro para comprovar a declarao de vontade do signatrio, no h porque distinguir a assinatura manuscrita de outro sinal que permita, com significativo grau de certeza, identificar o sujeito que o realizou. Qualquer instrumento capaz de conferir razovel certeza sobre a identidade do autor e a integridade do contedo de um documento servir ao objetivo de assegurar-lhe a autenticidade, como faz a assinatura manual. A assinatura digital deve integrar uma marca nica e pessoal do autor seqncia de bits que o documento, para obter efeito semelhante assinatura no papel. O resultado matemtico entre a marca pessoal exclusiva e o contedo do documento autentica a autoria e a integridade do documento eletrnico. O ato de assinar, ou a cerimnia de assinaturas tem um contedo social que no deve ser desprezado. Para equipararem-se realmente as assinaturas eletrnicas s manuscritas, o ato de assinar eletronicamente deve ter o mesmo significado e efeito para o signatrio que o ato lanar uma assinatura de punho prprio.

3. LEGISLAO Assinaturas digitais, contratos de licenas e servios associados aos sistemas digitais tero um papel chave na atividade jurdica. Embora haja um consenso jurdico de que as leis no devem contemplar tecnologias especficas, uma vez que as tecnologias so superadas ou alteradas com muito mais rapidez do que so aprovadas as leis, e de que as normatizaes devem permanecer em regulamentos - normas de menor nvel e assim mais fceis de serem alteradas, o fato que a adoo de lei regulamentando a utilizao da criptografia assimtrica organizada em infra-estrutura de chaves pblicas (PKI), fixando padres obrigatrios de controles tcnicos e procedimentais, tem se mostrado, at agora, a nica alternativa capaz de prover ao documento eletrnico os mesmos efeitos da assinatura no documento tradicional, equiparando-lhes, de fato, os efeitos legais. Seja atravs de lei, seja em nvel regulamentar, a utilizao deste recurso matemtico para identificao de usurios de meios eletrnicos - pares de chaves criptogrficas associados a pessoas4 - normatizado em infra-estruturas pblicas que regulam a tecnologia e os procedimentos confiveis para a emisso de certificados digitais vinculando chaves de

However, a public- and private-key pair has no intrinsic association with any person; it is simply a pair of numbers. An additional mechanism is necessary to associate reliably a particular person or entity to the key pair. If public-key cryptography is to serve its intended purposes, it needs to provide a way to make keys available to a wide variety of persons, many of whom are not known to the signatory, where no relationship of trust has developed between the parties. To that effect, the parties involved must have a degree of confidence in the public and private keys being issued. Guide to Enactment of the UNCITRAL Model Law on Electronic Signatures (2001) item 45 .

assinatura a pessoas, est sendo adotada em inmeros pases, tanto na Europa como nas Amricas. Diretiva Europia 93/99 A Diretiva adotou uma regulamentao tecnologicamente neutra, afastando menes s chaves criptogrficas de assinatura, que indicam a adoo da tecnologia da criptografia assimtrica, substituindo-as pelos conceitos genricos de dados de criao de assinatura e dispositivos de criao e dispositivos de verificao de assinaturas. As regulamentaes da Diretiva ou das Leis nacionais de transposio, no entanto, disciplinam o uso da criptografia assimtrica que , at agora, a nica tecnologia conhecida que atende aos requisitos de PKI impostos pela Diretiva. A utilizao de nomenclatura genrica pela Lei, porm, permite que novas tecnologias possam ser assimiladas nos sistemas de infra-estruturas que esto sendo implementados hoje. Certificado Qualificado e Assinatura Digital Avanada Apenas uma assinatura eletrnica altamente padronizada ser considerada equivalente a uma assinatura manual em qualquer pas da comunidade europia. Os Anexos da Diretiva indicam os requisitos suficientes da prestao de servios de certificao digital para caracterizar tecnicamente a assinatura equiparvel manuscrita. O sistema de identificao preconizado na Diretiva institui um tipo de assinatura digital diferenciado pela tecnologia utilizada - Assinaturas Eletrnicas Avanadas5, e um certificado com eficcia legal pr-definida - o Certificado Qualificado6. Os certificados qualificados e as assinaturas eletrnicas avanadas tm por objetivo a obteno de um nvel de segurana harmonizado na comunidade europia, que agilize e incentive o livre trnsito dos negcios nos pases da comunidade, permitindo o relacionamento comercial eletrnico e a interoperabilidade transfronteiria. Para tanto, os Estados-Membros devem instituir um sistema adequado de controle de prestadores de servios de certificao estabelecidos no seu territrio que procedem emisso de certificados qualificados destinados ao pblico. A necessidade de desenvolvimento e estudo de pades levou a criao do EESSI European Eletronic Signatures Standartization Iniciative, na qualidade de um corpo tcnico para padronizao dos recursos de PKI na Europa. O EESSI uma iniciativa
Assinatura eletrnica avanada, uma assinatura eletrnica que obedea aos seguintes requisitos: a) Estar associada inequivocamente ao signatrio;b) Permitir identificar o signatrio;c) Ser criada com meios que o signatrio pode manter sob seu controlo exclusivo e d) Estar ligada aos dados a que diz respeito, de tal modo, que qualquer alterao subsequente dos dados seja detectvel; (art. 2o Definies item 2). 6 Os Estados-Membros asseguraro que as assinaturas eletrnicas avanadas baseadas num certificado qualificado e criadas atravs de dispositivos seguros de criao de assinaturas: a) Obedecem aos requisitos legais de uma assinatura no que se refere aos dados sob forma digital, do mesmo modo que uma assinatura manuscrita obedece aqueles requisitos em relao aos dados escritos, e b) So admissveis como meio de prova para efeitos processuais (art. 5.1 efeitos legais das assinaturas).
5

aberta que congrega a indstria, revendedores, autoridades pblicas e especialistas, tcnicos e jurdicos, formada por solicitao da Comisso e trabalhando com o respaldo do Parlamento Europeu.

4. ICP-BRASIL A ICP-Brasil apresenta grande influncia do sistema europeu, embora a nomenclatura utilizada na MP 2200-02, nas Resolues e nas demais normativas da ICP-Brasil, utilize os nomes empregados pela indstria da tecnologia americana. Os termos Autoridade Certificadora (AC) e Autoridade de Registro (AR) no so utilizados na regulamentao europia. O Modelo da ICP-Brasil O Brasil adotou a tecnologia de certificao digital implementando uma infra-estrutura de chaves pblicas hierarquizada, fortemente centralizada e vinculada ao Governo Federal, a ICP-Brasil7. Um Comit Gestor indicado pela Presidncia e Ministrios relacionados exerce a funo de autoridade gestora de polticas da ICP-Brasil. Ao Comit compete adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICP-Brasil; estabelecer a poltica de certificao e as regras operacionais da AC-Raiz e estabelecer os critrios e as normas para o credenciamento das Autoridades Certificadoras - AC, das Autoridades de Registro - AR e dos demais prestadores de servio de suporte da ICP-Brasil. Optou-se pelo sistema da AC-Raiz8, valorizando o aspecto da interoperabilidade tecnolgica que obtida com a ampla distribuio de uma chave nica pblica, da ACRaiz, em browsers e em outros aplicativos, por meio de um certificado raiz autoassinado que contm a chave correspondente chave com a qual AC-Raiz assinar os certificados das demais entidades credenciadas, criando assim uma cadeia de reconhecimento at o usurio, titular do certificado. A Autoridade Certificadora Raiz da ICP-Brasil o Instituto Nacional de Tecnologia da Informao (ITI)9, autarquia pertencente administrao pblica federal, ligado Casa Civil da Presidncia da Repblica. 10

Implementada pela MP 2.200-02/2001. Art. 5 AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICPBrasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas MP 2200-02 9 Conforme art. 7o. da MP 2200-02 10 Decreto 4.566 de 1 de janeiro de 2003
8

10

A AC-Raiz brasileira determina as regras operacionais tcnicas das demais entidades da ICP e exerce a funo de rgo fiscalizador do cumprimento e manuteno dos procedimentos e normas, auditorando as prticas das entidades que se candidatam a atuar nesta hierarquia pblica, para deferir ou negar o pedido de credenciamento que autoriza a emisso de certificados na ICP-Brasil. A ICP-Brasil formada atravs um sistema de credenciamento voluntrio das entidades prestadoras de servios, mas se enquadra na espcie de legislao em que a fiscalizao e superviso da conformidade aos requisitos tcnicos significam o controle detalhado e estrito da operao das AC credenciadas pela AC-Raiz, incluindo autorizao prvia para funcionamento.

*** A MP 2200-02 instituiu uma PKI de mbito nacional com aplicabilidade irrestrita e normatizou a eficcia destas assinaturas digitais. A ICP-Brasil no ficou limitada ao mbito da administrao pblica, embora esteja claramente inserida no contexto da poltica de segurana e divulgao da informao, mas, ingressando no campo da inicitiva privada, assumiu o objetivo de estancar a insegurana jurdica geral, disciplinando sobre a validade dos documentos eletrnicos. Nos termos de seu artigo art. 1, a finalidade da Medida Provisria garantir a autenticidade, integridade e validade jurdica dos documentos e aplicaes que utilizem certificados digitais. Certamente no a norma jurdica que garante integridade e autenticidade dos documentos. o procedimento de identificao e associao de titulares de certificados adotado e a segurana do sistema e da tecnologia dos gerenciadores dos certificados que faro isto. Quem garante a autenticidade e a integridade do documento eletrnico o conjunto dos sistemas e dispositivos de criao e verificao de assinaturas apropriadas e dos procedimentos adequados para a operao de uma Infra-estrutura de Chaves Pblicas. Para tanto, est legalmente instituida esta PKI nacional, com estrita regulamentao e forte fiscalizao do governo sobre os sistemas tecnolgicos reconhecidos como aptos e confiveis. Como os requisitos tcnicos e os procedimentos da ICP-Brasil respeitam os requisitos mnimos fixados na Diretiva, o certificado emitido na ICP-Brasil um Certificado Qualificado. O enquadramento nestes padres pode colocar o Brasil num contexto de interoperabilidade internacional, essencial viabilidade da atividade eletrnica, que no respeita as tradicionais barreiras territoriais em que se funda o direito moderno. ***
11