A história de vida do uso de certificados digitais no Brasil começou em 2001, a partir da Medida Provisória 2.200-2. Em resumo, ela permite o uso da certificação digital como ‘forma de garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica’.
O que sabemos ao certo é que a iniciativa permitiu a criação de um mercado novo no país, de autoridades certificadoras e de registro, consultorias e desenvolvedores de software. Sabemos, também, que o mercado não é do tamanho que se esperava; considerando o tamanho e o potencial do mercado brasileiro, o uso e difusão de certificados digitais deveria ser muito maior. Aliás, todo final de ano prevê-se que o próximo será o “ano do certificado digital”. Só que chega o fim do ano, pouco acontece, e se faz nova previsão para o ano seguinte.
Hoje, entretanto, eu gostaria de me arriscar e falar sobre dois pontos que considero fundamentais no assunto: a cultura de compartilhamento de tokens e senhas e a quantidade indecente de problemas que o processo todo pode gerar.
Quando você começa a conhecer mais sobre certificados digitais, ouve palavras impressionantes, como “criptografia”, “segurança”, “integridade”, “autenticidade” etc. Em recente evento que participei, o palestrante do assunto fez questão de lembrar que os algoritmos de hash, usados nas operações de assinatura digital, foram criados, entre outros, pela NSA (a do Snowden). Mas o problema é que toda essa segurança cai por terra no momento em que você compartilha o seu token, ou o e-CPF, e a sua senha com alguém. Confesse, você já fez isso. Arrisco a dizer que no pacote do seu token tem um papelzinho com a senha anotada, correto? E esse pacotinho está perdido em cima de sua mesa. Mas não é só você: advogados compartilham token e senha com estagiários ou com colegas de trabalho; pequenos empresários deixam o token com o contador; grandes empresários, com a secretária, com o gerente ou com a contabilidade; médicos deixam o token na gaveta do consultório compartilhado, e por aí vai.
As autoridades certificadoras fazem o trabalho delas, avisando que você não deve fazer isso. Te entregam um folhetinho no dia da emissão, explicando que você não deve compartilhar seu documento de identidade com ninguém. Você assina um termo. Mas isso é pouco. E o problema é sério.
Arrisco a dizer que está se criando uma cultura no Brasil de compartilhar ou de não cuidar adequadamente do token (e da senha). A partir do momento que isso passa a virar regra, você pode começar a questionar: será que esse documento foi realmente assinado por essa pessoa? Se isso virar rotina, perde-se todo o sentido das práticas de segurança do certificado.
O outro ponto fundamental é a quantidade enorme e inaceitável de erros, bugs, problemas e afins que ocorrem quando você quer usar um certificado digital. Duvido que algum outro tipo de tecnologia dê tanto problema e erro quanto a assinatura digital. É versão de sistema operacional incompatível, versões de navegador de internet incompatíveis, versão de PDF incompatível, versão de arquivo incompatível, versão de driver incompatível até ser humano incompatível. Você já teve ou tem um computador no canto da sala que ninguém pode mexer, “pois é o único que funciona o token”?
No evento que participei e citei anteriormente, discutiu-se também o que falta para a assinatura digital deslanchar no Brasil. Falta funcionar! E quando digo funcionar, não é de vez em quando, em certas condições de temperatura e pressão; é funcionar sempre, a toda a hora, em todas as condições, como se espera de qualquer tecnologia.
Portanto, para que 2017 seja o ano do certificado digital, devemos começar a discutir abertamente esses dois pontos: como fazer com que as pessoas tenham maior zelo pelo seu token e como fazer com que os tokens e todo o processo de assinatura parem de dar erro. Senão, só em 2018.
* Rafael Bortolini é diretor de P&D e Inovação da SML Brasil