O PL 317/21 e o vazamento de dados no Brasil: combinação perfeita para o estelionato virtual.
24 de fevereiro de 2021Esse artigo foi originalmente publicado pelo jornal O ESTADO DE SÃO PAULO – ESTADÃO em 15 de fevereiro de 2021
Por Edmar Araújo
Tramita no Senado Federal o Projeto de Lei 317/21 que pretende dispor sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública. Alguém, em são consciência, poderia ser contrário a mérito tão honroso? Não creio.
Porém, o diabo mora nos detalhes.
Este artigo quer estar para além de minha opinião pessoal. Meu desejo é que a sociedade brasileira seja alertada sobre os perigos que ela correrá caso o texto deste PL seja convertido em lei.
O artigo 7 deste projeto quer flexibilizar a segurança das operações em meios digitais ao permitir que assinaturas eletrônicas avançadas sejam utilizadas para digitalização de documentos, publicações legais de sociedades anônimas, prontuário eletrônico do paciente, notificação eletrônica de multa de trânsito, registro de atos processuais, nota fiscal eletrônica, demonstrativos contábeis da Administração Pública e Registros Públicos.
Noutras palavras, sem a devida segurança técnica e jurídica será possível realizar atos críticos na internet.
O risco é em si, mas o é também pelo momento que vivenciamos no Brasil. Dados de praticamente todos os brasileiros vazaram recentemente, inclusive os telefônicos. O problema não é apenas o vazamento, mas o que pode ser feito com as informações que pertencem a outra pessoa. No Brasil, é possível abrir contas em banco e criar empresas em nome de terceiros.
O site Registrato (https://www.bcb.gov.br/cidadaniafinanceira/registrato) dá ao cidadão a chance de saber se contas correntes ou empréstimos estão vinculados ao seu CPF.
Se os seus dados estiverem por aí, vazados numa base (acredite, a chance é enorme), significa dizer que talvez você seja titular de contas em bancos e tenha saldo devedor neles.
O Projeto de Lei 317/21 permitirá que dados de terceiros sejam utilizados em operações sensíveis, podendo causar enorme prejuízo social e o assoberbamento do judiciário com ações indenizatórias sem precedentes na história.
O PL joga fora 50 anos de matemática aplicada na ciência da computação. Comprovar autoria e integridade de documentos eletrônicos utilizando método menos seguro de autenticação como assinaturas avançadas é impossível.
Atualmente, essas operações que o PL quer flexibilizar a segurança estão protegidas pela tecnologia da certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), referência mundial na área da criptografia assimétrica.
Entre as nações que mais sofrem com vazamento de dados pessoais, os Estados Unidos têm dedicado especial atenção ao tema. Prova disso é que o Senado Americano, em 2017, realizou audiência pública intitulada “Protegendo os consumidores na era das principais violações de dados”.
Em sua fala, disponível no site do Senado dos Estados Unidos (veja abaixo), o presidente e CEO da Entrust DataCard, Todd WILKINSON, afirmou que a segurança de dados pessoais na rede só é possível a partir de exemplos de identificação como o que ocorre no Brasil, o que ele chamou de “identidades dinâmicas”.
“Com uma identidade dinâmica, um documento comprometido poderia ser revogado e substituído, reduzindo esses transtornos para o cidadão. As identidades dinâmicas são comuns no Brasil, onde a Infraestrutura de Chaves Públicas – ICP-Brasil emite certificados digitais, uma identidade digital, para a identificação do cidadão. Neste exemplo, o governo detém a tecnologia para emissão de identidades, além de parcerias com o setor privado para viabilizar o acesso a este sistema. Geralmente, esses certificados digitais têm validade de um a três anos e podem ser utilizados para assinar documentos com a mesma validade da assinatura manuscrita, para uso dos sistemas online de governo e para prover o acesso seguro e descomplicado às instituições financeiras. Um ponto crítico é que a ICP-Brasil institucionalizou o conceito de identidades dinâmicas. Ainda que esta identidade não esteja comprometida, seu ciclo de vida é relativamente curto. No caso de comprometimento, o processo de substituição é bem assimilado e facilmente realizado”
Na audiência, por diversas vezes a ICP-Brasil foi mencionada como potencial modelo a ser seguido pelos Estados Unidos. Sabemos que ela é a única tecnologia capaz de garantir a integridade de documentos e assinaturas digitais. Fora dela, não há como comprovar que uma pessoa seja autora de uma mensagem ou que documentos foram, de fato, assinados por quem declara ser o autor.
A segurança é um direito fundamental do povo brasileiro e um dever do Estado. Isso está consagrado na Constituição Federal de 1988 e não se pode negar que ela deve ser provida também nos meios tecnológicos mais modernos. Se o Brasil quer ser digital, ele o será com as mesmas imposições constitucionais que lhe são feitas no mundo físico.
Flertar com a fragilização do princípio da segurança é tudo o que os criminosos virtuais desejam.
Ao invés de fortalecer a cidadania por meio de uma identidade digital confiável, o PL aposta na solução mais barata, dando preferência para a conveniência e abandonando as melhores práticas de segurança da informação.
O Estado brasileiro, infelizmente, será réu em incontáveis processos na justiça caso este PL seja aprovado com a atual redação.
O cidadão brasileiro, lamentavelmente, será vítima de hackers e poderá ter sua intimidade e direito à segurança violados.
Estaremos mais expostos do que nunca na relação entre governo e sociedade.
É isso que queremos?
*Edmar Araujo, presidente executivo da Associação das Autoridades de Registro do Brasil (AARB). MBA em Transformação Digital e Futuro dos Negócios, jornalista, especialista em Leitura e Produção de Textos. Membro titular do Comitê Gestor da ICP-Brasil
Fonte: O Estadão | Coluna de Fausto Macedo
Sobre a AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil (AARB) é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Por meio da AARB, as Autoridades de Registro podem fazer-se representar nas mais diversas esferas do poder público. Graças a sua atuação, as AR possuem melhores condições para alcançar objetivos do que teriam se atuassem de forma isolada.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Confira outros artigos da AARB aqui!
PL 317/2021: a pressa que é inimiga da segurança!
Imersão ICP-Brasil: Curso ministrado por Edmar Araújo para ARs. Garanta sua inscrição!
Assinaturas Digitais em tempos de pandemia. Por Francimara Viotti