Certificação digital: você já tem a sua?
Quando um cidadão tenta realizar algum tipo de transação ou serviço, financeiro ou comercial - nada mais comum do que o estabelecimento em questão pedir algum documento de identificação, para garantir a legitimidade do processo.

Tal sistema de reconhecimento entre indivíduos, porém, ao contrário do que se possa imaginar, não precisa necessariamente ser realizado no mundo físico. Isso porque um mecanismo chamado certificação digital, que começa a se popularizar no País, tem exatamente essa missão: reconhecer o internauta que está por trás da tela.

Na prática, a certificação digital nada mais é do que uma carteira de identidade para o mundo virtual. Um documento concebido eletronicamente que tem a missão de assegurar a identidade e as informações transmitidas por determinado usuário.

Entre seus principais benefícios está, por exemplo, o acesso a serviços que anteriormente não eram possíveis via internet justamente pelo fato de a rede não proporcionar a segurança desejada, como a consulta à base de dados da Receita Federal sobre informações de Imposto de Renda.

Instituições financeiras e públicas já aceitam certificados

Os certificados digitais já são aceitos por várias instituições brasileiras e podem facilitar e muito a vida dos usuários, sejam pessoas físicas ou jurídicas.
A Receita Federal, por exemplo, por meio de seu serviço Receita 222, permite que o contribuinte proprietário de uma certificação digital verifique e consulte o resultado do processamento de suas declarações de Imposto de Renda.

Por meio do serviço, o contribuinte poderá visualizar as declarações entregues nos cinco últimos anos, consultar a restituição e até mesmo emitir o extrato do processamento.

Outro serviço da Receita possibilita que os usuários verifiquem sua situação fiscal. Para pessoa física é necessário apresentar o certificado digital criado com vínculo em seu CPF e para as pessoas jurídicas, com base no CNPJ.

Por meio do sistema é possível chegar eventuais irregularidades cadastrais, declarações não realizadas, débitos e processos fiscais pendentes e irregularidades de recolhimento de tributos.

Outras declarações e comprovantes que são passíveis de consulta são Imposto sobre a Propriedade Territorial Rural (DITR), Imposto de Renda Retido na Fonte (Dirf), Imposto de Renda Pessoa Jurídica (IRPJ), documentos de comércio exterior, entre outros.

Alguns cartórios brasileiros já aderiram ao sistema de certificação digital e permitem a solicitação remota de ofícios, certidões de escrituras de imóveis, contratos registrados, certidões de nascimento, de casamento ou óbito, garantida a autenticidade, integridade, segurança e eficácia jurídica de todos eles.

De acordo com a Associação dos Notários e Registradores do Brasil, já existem cartórios certificados em 15 Estados brasileiros.

Vários bancos já utilizam os certificados digitais para garantir mais segurança aos seus usuários, entre eles BankBoston, Nossa Caixa, Unibanco e Banco do Brasil.

O BankBoston, por exemplo, aceita que seus clientes assinem contratos de câmbio com o uso do certificado digital. O mecanismo diminui o tempo de assinatura do contrato de dois dias para algumas horas, com cópias autenticadas do contrato nos e-mails dos dois lados envolvidos.

A Nossa Caixa tem um serviço especializado via certificação digital para empresas. Pelo sistema, o administrador tem permissão total para validar as transações e cadastrar operadores, sendo identificado por meio da certificação digital.

De acordo com Francimara Viotti, coordenadora da divisão de certificação digital da Federação Brasileira de Bancos (Febraban), 95% das instituições bancárias brasileiras devem utilizar certificação digital em transações com o cliente até o final de 2005.

Como funcionam e onde obter

Para que um certificado digital seja válido do ponto de vista jurídico, duas entidades precisam estar envolvidas, uma Autoridade Certificadora e uma Autoridade de Registro.

As Autoridades Certificadoras têm a função de emitir os certificados digitais, vinculando pares de chaves criptográficas ao titular.

As chaves públicas e privadas constituem um conjunto de arquivos que podem ficar armazenados nos computadores a fim de reconhecer e comprovar a identidade do usuário no momento de uma transação eletrônica protegida.

As Autoridades de Registro devem verificar a autenticidade das informações utilizadas para a criação do documento.

Para receber seu certificado, o interessado - pessoa física ou jurídica deve se deslocar até uma Autoridade de Registro, que pode ser localizada, por exemplo, nos sites das Autoridades Certificadoras, entre elas Serpro, Caixa Econômica Federal, Serasa, Certisign e Receita Federal.

"As Autoridades de Registro serão uma interface com o interessado, e ficarão responsáveis por verificar sua documentação e emitir o certificado propriamente dito", declara Igor Ramos Rocha, gerente de certificação digital da Serasa.

Entre os documentos necessários para a emissão está carteira de identidade, Cadastro da Pessoa Física, registro no Programa de Integração Social (PIS) e comprovante de residência. Para a pessoa jurídica, além do contrato social, são necessários também documentos dos responsáveis pela companhia.

"É necessária a presença física do usuário para a autoridade do registro. Ele precisa estar lá pessoalmente e o certificado não pode ser tirado por nenhum tipo de procurador", informa o executivo.

Em minutos o interessado vai receber o certificado que pode estar em: disquetes, cartões inteligentes (smart cards), CD Rom, no próprio disco rígido do computador ou por meio de uma mídia portátil conhecida como token USB.

"De posse desse código pessoal, o usuário precisa colocar o certificado à disposição de seu computador para ele reconheça as informações. É o computador que vai interagir com a internet", diz Rocha.

A partir de então, o computador vai reconhecer o certificado e informar automaticamente a respeito do documento aos sites e serviços que exigem certificação digital.

Com qual certificado eu vou?

Os dois tipos de certificados digitais mais comuns são o A1 e A3. Suas diferenças básicas dizem respeito ao tipo de mídia em que são apresentados ao usuário.

"Na modalidade A1, o certificado é apresentado em um software que fica armazenado na estação de trabalho, como em um disquete, por exemplo. Nesse formato, os dados vão em algum momento para a memória do computador", declara Gilberto Neto, diretor de certificação digital do Serpro.

Nesse sistema, os dados são protegidos por meio de uma senha de acesso e a validade do certificado é de um ano contado a partir de sua data de emissão.

Já no sistema A3, o certificado é fornecido por meio de um cartão inteligente (smart card) ou hardware criptográfico (token USB). Nessa forma, os dispositivos não ficam armazenados no computador, segundo Neto, e são, portanto, mais seguros. A validade é de até três anos.

"O processo de renovação [tanto para o A1 quanto para o A3] é permitido até duas vezes de forma on-line. O usuário deve renová-lo junto à Autoridade de Registro antes dele expirar, o que pode ser feito pela internet. Caso perca o prazo, precisará ir pessoalmente novamente", diz o executivo.

O preço da renovação é o mesmo da aquisição de um certificado

MP regulamenta validade do certificado digital

A validade jurídica da certificação digital no Brasil foi regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2 de 24 de agosto de 2001.

Apesar do nome "provisório", as diretrizes propostas na medida têm efeito de lei e desde então, não sofreram modificações significativas, conforme destacam os especialistas.

"Hoje tramita no Congresso um projeto de lei que absorve as diretrizes e promove algumas melhorias de forma a melhorar o posicionamento do assunto. No entanto, caso exista uma iniciativa nesse sentido, não deverá invalidar o status da legislação anterior", informa Igor Ramos Rocha, da Serasa.

Na comparação com outros países, principalmente na América Latina, o Brasil está em posição privilegiada em termos de legislação, na opinião de Gilberto Neto, diretor de certificação digital do Serpro.

"Ninguém tem uma estrutura de legislação como a nossa. A Argentina saiu na frente com um projeto de lei com assinatura eletrônica, mas hoje ainda está no processo de criação de uma autoridade raiz", diz.

A Autoridade Certificadora Raiz da cadeia da ICP-Brasil tem como função básica a execução das políticas de certificados e normas técnicas e operacionais. No Brasil é representada unicamente pelo Instituto Nacional de Tecnologia da Informação e tem a missão de gerenciar as Autoridades Certificadoras.

Neto ressalta ainda que o Brasil pode ser equiparado a países como Alemanha, França e Coréia do Sul em termos de estrutura das Autoridades Certificadoras e em segurança.

Outros países como os Estados Unidos apresentam mais de uma autoridade raiz e cada Estado possui uma legislação específica para certificação digital, conforme destaca Sérgio Kulikovsky, presidente da Certisign no Brasil.

"Países como os Estados Unidos, com mais de uma autoridade raiz enfrentam problemas sérios causados, principalmente, pela variedade de legislações a respeito de certificação digital", afirma.

Na avaliação do executivo, o modelo brasileiro foi bem implementado e tem um futuro promissor para a disseminação do sistema. "O Brasil começou tarde em certificação digital, mas está andando bem rápido".

A expectativa da Federação Brasileira de Bancos é que até o primeiro semestre de 2006 sejam emitidos 500 mil certificados digitais.