O leitor deste artigo já deve ter encontrado nas publicações especializadas, sejam eletrônicas ou impressas, a afirmação de que este ano será o ano da identificação digital – expresso em geral desta forma. Sobretudo, deve ser dito, será a cidadania digital que pedirá e consolidará tal expediente: o “cidadão bancarizado”, o “cidadão contribuinte”, o cidadão que compra eletronicamente e, enfim, o cidadão que usa serviços de governo eletrônico. Teremos, nestes casos específicos, que nos personificar na internet para executarmos esses serviços. É condição essencial termos algum método de autenticação segura ou forte. O que irá impulsionar decisivamente o que hoje se chama de economia digital (ou infonomics).

Mas é preciso ter em mente que todo este framework de aplicações, e mesmo todo um agregado de valores que movimenta a economia digital, deve se fundamentar numa habilidade como que “intrínseca” da sociedade brasileira para a tecnologia. O brasileiro usa tecnologia e aprende fácil. Só para citar um número, fiquemos com o impacto do home banking em nosso país. Em outubro de 2004, o Brasil já ultrapassava diversos países europeus em uso de serviços bancários na Internet. O número de pessoas que usaram “Internet banking”, e a participação dentro do número total de internautas, foi de 4,5 milhões de usuários, correspondendo a 38%. É certo que todos esses dados irão crescer significativamente no próximo biênio (2007-2008). Novas aplicações somadas a ferramentas eficazes e a disposição do uso de tecnologias darão o impulso necessário. Por isso mesmo, o segmento bancário trabalhou dedicadamente no ano de 2005 no tema, e deverá ser um segmento com forte crescimento. Principalmente, crescerá a tendência de commodity da infra-estrutura de certificação digital. Ou seja, o certificado em si mesmo pouco custará. Mas, isto sim, as aplicações, hardware e o software envolvido.

Infra-estrutura de Chaves de Públicas. Clique para ver a imagem ampliada.

O Brasil preparou há alguns anos uma Infra-estrutura de Chaves de Públicas, a ICP-Brasil, que hoje chega até mesmo a ter o status de um sistema nacional de certificação digital. Trata-se de um conjunto de técnicas, práticas e procedimentos, a ser implementado pelas organizações governamentais e privadas com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública. E nos últimos dois anos acumulou importante conjunto de padronização, sempre respeitando os princípios de interoperabilidade, assim como da padronização internacional. O sistema ICP-Brasil se baseia em padrões abertos. O que deve ser considerado estrategicamente, pois sistemas computacionais para serem competitivos e interoperáveis necessitam de tal premissa¹. A ICP-Brasil, por conseguinte, tem levado ao brasileiro no último biênio, já de forma efetiva, um cartão eletrônico, ou um dispositivo como um token, para que ele porte seu certificado digital. E possa, em suma, autenticar-se numa rede de computadores, e até mesmo assinar digitalmente documentos eletrônicos. Em seus cinco anos de existência, a ICP-Brasil tem a base legal e operacional para alcançar a capilaridade exigida pelo país. Com oito Autoridades Certificadoras de primeiro nível¹, dezenas de ACs de segundo nível, e milhares de Autoridades de Registro, as chamadas ARs. São estas que fazem a identificação presencial do cidadão brasileiro para, então, a AC conferir-lhe um certificado digital, recurso exigido pela Lei brasileira².

Mas, no último ano, em diversos colóquios e artigos, no Brasil e fora, temos ressaltado o caráter escalar da tecnologia da certificação digital. Outro aspecto importante é que a certificação nunca será a cura dos males da segurança digital, por mais entusiasmo que se tenha por esta tecnologia em si. Vejamos os dois aspectos em particular. A nosso ver, o uso efetivo de certificados digitais se dá em nosso país de forma correta. Os setores que estão implementando a ferramenta o fazem em escala, portam aplicações, implementam, inicialmente, em um público controlado e projetam com consistência números futuros. Sem atropelos e vaporware, podem assim seguir um caminho seguro para aderência à ICP-Brasil. Desta forma, é preciso concluir, a certificação digital é uma ferramenta da tecnologia da informação entre tantas outras. Deve sempre ser considerada a partir dessa premissa, para que possa, então, extrair o que lhe há de específico. Há pouco usamos o termo ferramenta. Sim um smart card com um certificado emitido por um Autoridade Certificadora da ICP-Brasil é com certeza uma ferramenta que deve ser inserida numa política mais ampla de segurança digital e, igualmente, de peopleware. Está longe de ser, e nunca será a “panacéia universal” da segurança de nossas Redes de computadores e sistemas informatizados. Nem mesmo o álibi de nossa “ilusão high-tech”³. Entretanto, considere-se que para que ela tenha êxito devem se considerar todas as questões que foram ultimamente estudadas no campo da segurança computacional. Tais como “fator humano”, plataformas computacionais inseguras, hardware insuficiente, softwares mal escritos entre outros fatores.

Da mesma forma, a certificação digital pode fundamentar uma identidade eletrônica, O que será fundamental em qualquer processo de desmaterialização, ou seja, a substituição do documento em papel (protocolos, cadastros, recibos, etc.) por um documento eletrônico, que virá a ser assinado digitalmente. São incontestáveis os ganhos da desmaterialização⁴, se a certificação tem papel essencial, nunca o gestor deverá descurar do saneamento do processo e dos procedimentos a serem tornados digitais, por conseguinte, desmaterializados. Assim sendo, a certificação digital não faz processos mais racionais, todavia processos mais racionais não existirão sem o certificado digital.

Renato Martini é atual diretor-presidente do Instituto Nacional de Tecnologia da Informação, além de membro titular do Comitê de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República e do Comitê Gestor da Internet do Brasil (CGIbr). Martini também atua como coordenador geral do Laboratório de de Ensaios e Auditoria da ICP-Brasil. E-mail: renato.martini@planalto.gov.br

Notas:

¹ Conferir em http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp.
² “Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações”. (Medida Provisória No 2.200-1, de 27 de julho de 2001).
³ “The main reason we tend to focus on the technical rather than the human side of the work is not because it's more crucial, but because it's easier to do”. Tom DeMarco & Timothy Lister. Peopleware. Productive Projects and Teams. New York, Dorset House, 1999 (2a.), p. 5.
⁴ Cf. sobre os impactos éticos e sociais da desmaterialização (paperless transactions): Robert Schultz. Contemporary Issues in Ethics and Information Technology. Hershey, IRM Press, 2006, pp. 137 ss.