DocumentoEletrônico AssinaturaDigital

Atividade Legislação de TI e Gestão de Contratos
Documento eletrônico - Rodrigo

Assinatura digital - Fernando Fernandes
Certificado digital - Fernando Di Gianni
Infra-estrutura de Chaves Públicas (PKI) – Fernando Di Gianni
O documento eletrônico e a assinatura digital.

Uma visão geral
Texto extraído do Jus Navigandi

http://jus2.uol.com.br/doutrina/texto.asp?id=2632
Ald
e
m
a
r
i
o
A
r
a
u
j
o
C
a
s
t
r
o
p
r
o
c
u
r
a
d
o
r
d
a
F
a
z
e
n
d
a
N
a
c
i
o
n
a
l
,
m
e
s
t
r
e
e
m
D
i
r
e
i
t
o
,
p
r
o
f
e
s
s
o
r
d
a
U
n
i
v
e
r
s
i
d
a
d
e
C
a
t
ó
l
i
c
a
d
e
B
r
a
s
í
l
i
a
(
U
C
B
)
,
c
o
o
r
d
e
n
a
d
o
r
d
a
E
s
p
e
c
i
a
l
i
z
a
ç
ã
o
(
à
d
i
s
t
â
n
c
i
a
)
e
m
D
i
r
e
i
t
o
d
o
E
s
t
a
d
o
d
a
U
C
B
I. DOCUMENTO ELETRÔNICO
Por documento entende-se a "coisa representativa de um fato" (Moacyr Amaral Santos). Nesta idéia,
o termo "coisa" pode ser reputado como fundamental ou essencial e indicativo, ou não, da presença de algo
material. O afastamento da materialidade por ser obtido pela mitigação da forma, assumindo importância
decisiva o aspecto funcional do registro do fato. Por outro lado, a palavra em questão pode ser tomada no
sentido de "tudo o que existe" ou "realidade absoluta (por oposição a aparência, ou representação)".
Assim, o documento eletrônico pode ser entendido como a representação de um fato concretizada
por meio de um computador e armazenado em formato específico (organização singular de bits e bytes),
capaz de ser traduzido ou apreendido pelos sentidos mediante o emprego de programa (software)
apropriado. (1)
A partir do conjunto normativo aplicável (2) (3) e mesmo das considerações acerca da materialidade
do documento são encontradas duas correntes jurídicas quanto à existência e validade dos chamados
documentos eletrônicos (4). Uma delas, sustenta a impossibilidade jurídica do documento eletrônico. A
outra, admite a existência e a validade dos documentos eletrônicos. Esta última desdobra-se em duas
vertentes: a que admite o documento eletrônico como realidade jurídica válida por si e a que somente aceita
o documento eletrônico com o atendimento de certos requisitos, dada a sua volatilidade e a ausência de traço
personalíssimo de seu autor.
Entendemos, afastando o critério de interpretação literal (e restritivo), fundado sobretudo nos arts.
368 ("escrito e assinado"), 369 ("reconhecer a firma do signatário"), 371 ("assinar"), 374 ("assinado"), 376
("escreveu"), 386 ("entrelinha, emenda, borrão ou cancelamento"), entre outros, do Código de Processo
Civil, que a existência e validade do documento eletrônico em si não pode ser recusada. Afinal, adotado um
raciocínio hermenêutico sistemático (5) e consentâneo com a evolução histórica das tecnologias manuseadas
pelo homem, verificamos o império da liberdade de forma no direito pátrio. Não custa lembrar a aceitação
inquestionável do contrato verbal. Assim, quem pode o mais pode o menos (argumento "a maiori ad
minus").
A conhecida lei modelo da UNCITRAL (Comissão das Nações Unidas para leis de comércio
internacional) sobre comércio eletrônico, que a busca a uniformização internacional da legislação sobre o
tema, consagra em seu art. 5o.: "Não se negarão efeitos jurídicos, validade ou eficácia à informação apenas
porque esteja na forma de mensagem eletrônica".
A utilização e aceitação jurídica do documento eletrônico é crescente, independentemente da

aplicação, na sua confecção, de certas técnicas de segurança. Neste sentido, encontramos importantes
decisões judiciais (6) e diplomas legais (7).
Com certeza, a volatilidade e a ausência de traço personalíssimo do autor fragilizam o documento

eletrônico. Surge, assim, o grande e crucial problema da eficácia ou validade probatória do mesmo,
resolvido, como veremos adiante, por modernas técnicas de criptografia.
As dificuldades, no campo probatório, do "documento eletrônico puro" (desprovido de técnicas,

acréscimos ou requisitos de "segurança") deverão ser superadas, na linha do livre convencimento, pelo
recurso a todos os elementos e circunstâncias envolvidos na sua produção e transmissão.
Merece destaque a noção de cópia de documento eletrônico. Deve ser assim considerada "... o
documento eletrônico resultante da digitalização de documento físico, bem como a materialização física de
documento eletrônico original" (conforme o Anteprojeto de Lei apresentado pela OAB/SP).
A edição da Medida Provisória n. 2.200, de 28 de junho de 2001, responsável pela fixação do quadro
regulamentório da assinatura digital no Brasil, suscitou um problema novo em relação à validade jurídica do
documento eletrônico. Com efeito, o art. 1o. do diploma legal referido afirma: "Fica instituída a Infra-
Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a
validade jurídica de documentos em forma eletrônica, (...)". Como posto, é possível a interpretação de que a
Medida Provisória não trata apenas da validade probatória do documento eletrônico, e sim, da validade
jurídica do próprio documento em forma eletrônica.
Nossa opinião, na linha dos argumentos anteriormente apresentados, relacionados, sobretudo, com a
liberdade de forma e admissão de contratos verbais no direito brasileiro, é de que a Medida Provisória n.
2.200, de 2001, trata, embora com redação deficiente, da validade ou eficácia probatória dos documentos
eletrônicos.
Lembramos, neste particular, que o projeto de lei submetido à consulta pública pela Casa Civil da
Presidência da República no final do ano 2000, estabelecia que os documentos eletrônicos teriam o mesmo
valor jurídico daqueles produzidos em papel desde que fosse assegurada a sua antenticidade e integridade
(8). A supressão da expressão "desde que" e a fixação de que a Infra-Estrutura de Chaves Públicas visa
garantir a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos, apontam para o
aspecto funcional, para a agregação de um valor ou característica antes inexistente, para a validade
probatória.
II. ASSINATURA DIGITAL
Como já vimos, se por um lado o documento eletrônico existe e é válido juridicamente, por outro
lado, subsiste, diante de sua fugacidade, o crucial problema da eficácia ou validade probatória do mesmo. A
indagação se impõe: como garantir autenticidade e integridade ao documento eletrônico? (9)
A resposta, para os padrões tecnológicos atuais, consiste na utilização da chamada assinatura digital
baseada na criptografia assimétrica de chave pública (e chave privada). A rigor, num par de chaves
matematicamente vinculadas entre si.
Neste ponto cumpre observar a realização da "máxima" de que os novos problemas trazidos pela
tecnologia deverão ter solução buscada no âmbito tecnológico.
A criptografia consiste numa técnica de codificação de textos de tal forma que a mensagem se torne
ininteligível para quem não conheça o padrão utilizado. Sua origem remonta às necessidades militares dos
romanos (Escrita cifrada de César).
O padrão criptográfico manuseado para cifrar ou decifrar mensagens é conhecido como chave.
Quando a mesma chave é utilizada para cifrar e decifrar as mensagens temos a denominada criptografia
simétrica ou de chave privada, normalmente utilizada em redes fechadas ou computadores isolados. Quando
são utilizadas duas chaves distintas, mas matematicamente vinculadas entre si, uma para cifrar a mensagem
e outra para decifrá-la (10), temos a criptografia assimétrica ou de chave pública, vocacionada para
utilização em redes abertas como a Internet.
A criptografia moderna lança mão de conceitos técnicos avançados para a cifragem das mensagens:
os algoritmos. Estes, numa visão singela, consistem em fórmulas matemáticas extremamente complexas,
utilizadas para geração dos padrões ou chaves criptográficas.
Como funciona a assinatura digital (baseada na criptografia assimétrica) de um texto ou mensagem

eletrônica? Na sistemática atualmente adotada, aplica-se sobre o documento editado ou confeccionado um
algoritmo de autenticação conhecido como hash (11) (12). A aplicação do algoritmo hash gera um resumo
do conteúdo do documento conhecido como message digest, com tamanho em torno de 128 bits. Aplica-se,
então, ao message digest, a chave privada do usuário, obtendo-se um message digest criptografado ou
codificado. O passo seguinte consiste um anexar ao documento em questão a chave pública do autor,
presente no arquivo chamado certificado digital. Podemos dizer que assinatura digital de um documento
eletrônico consiste nestes três passos: a) geração do message digest pelo algoritmo hash; b) aplicação da
chave privada ao message digest, obtendo-se um message digest criptografado e c) anexação do certificado
digital do autor (contendo sua chave pública). Destacamos, neste passo, um aspecto crucial. As assinaturas
digitais, de um mesmo usuário, utilizando a mesma chave privada, serão diferentes de documento para
documento. Isto ocorre porque o código hash gerado varia em função do conteúdo de cada documento.
E como o destinatário do texto ou mensagem assinada digitalmente terá ciência da integridade (não
alteração/violação) e autenticidade (autoria) do mesmo? Ao chegar ao seu destino, o documento ou
mensagem será acompanhado, como vimos, do message digest criptografado e do certificado digital do autor
(com a chave pública nele inserida). Se o aplicativo utilizado pelo destinatário suportar documentos
assinados digitalmente ele adotará as seguintes providências: a) aplicará o mesmo algoritmo hash no
conteúdo recebido, obtendo um message digest do documento; b) aplicará a chave pública (presente no
certificado digital) no message digest recebido, obtendo o message digest decodificado e c) fará a
comparação entre o message digest gerado e aquele recebido e decodificado. A coincidência indica que a
mensagem não foi alterada, portanto mantém-se íntegra. A discrepância indica a alteração/violação do
documento depois de assinado digitalmente.
É justamente este o mecanismo utilizado para viabilizar as chamadas conexões seguras na Internet
(identificadas pela presença do famoso ícone do cadeado amarelo). Para o estabelecimento de uma conexão
deste tipo, o servidor acessado transfere, para o computador do usuário, um certificado digital (com uma
chave pública). A partir deste momento todas as informações enviadas pelo usuário serão criptografadas
com a chave pública recebida e viajarão codificadas pela Internet. Assim, somente o servidor acessado, com
a chave privada correspondente, poderá decodificar as informações enviadas pelo usuário.
Subsiste, entretanto, o problema da autenticidade (autoria). Portanto, a sistemática da assinatura

digital (baseada na criptografia assimétrica) necessita de um instrumento para vincular o autor do documento
ou mensagem, que utilizou sua chave privada, a chave pública correspondente. Em conseqüência, também o
problema da segurança ou confiabilidade da chave pública a ser utilizada precisa ser resolvido. Esta função
(de vinculação do autor a sua respectiva chave pública) fica reservada para as chamadas entidades ou
autoridades certificadoras.
Assim, a função básica da entidade ou autoridade certificadora está centrada na chamada

autenticação digital, onde fica assegurada a identidade do proprietário das chaves. A autenticação é provada
por meio daquele arquivo chamado de certificado digital. Nele são consignadas várias informações, tais
como: nome do usuário, chave pública do usuário, validade, número de série, entre outros. Este arquivo,
também um documento eletrônico, é assinado digitalmente pela entidade ou autoridade certificadora.
O sistema de criptografia assimétrica permite o envio de mensagens com total privacidade. Para
tanto, o remetente deve cifrar o texto utilizando a chave pública do destinatário. Depois, ele (o remetente)
deverá criptografar o texto com a sua chave privada. O destinatário, ao receber a mensagem, irá decifrá-la
utilizando a chave pública do remetente. O passo seguinte será aplicar a própria chave privada para ter
acesso ao conteúdo original da mensagem.
O processo de regulamentação da assinatura digital no Brasil pode ser dividido, até o presente
momento, em 6 (seis) fases ou etapas. São elas:
1. Projetos
Num primeiro momento, notamos a presença de uma série de projetos de lei tratando do assunto.
Vejamos os principais:
1.1. Lei Modelo das Nações Unidas sobre Comércio Eletrônico. Em 1996, a Organização das
Nações Unidas, por intermédio da Comissão das Nações Unidas para leis de comércio internacional
(UNCITRAL), desenvolveu uma lei modelo buscando a maior uniformização possível da legislação sobre a
matéria no plano internacional. Na parte concernente a assinatura digital, a lei modelo consagra o princípio
da neutralidade tecnológica, não se fixando em técnicas atuais e possibilitando a inovação tecnológica sem
alteração na legislação. Deixa as especificações técnicas para o campo da regulamentação, mais afeita a
modificações decorrentes de novas tecnologias.
1.2. Projeto de Lei n. 672, de 1999, do Senado Federal. Incorpora, na essência, a lei modelo da
UNCITRAL.
1.3. Projeto de Lei n. 1.483, de 1999, da Câmara dos Deputados. Em apenas dois artigos, pretende
instituir a fatura eletrônica e a assinatura digital (certificada por órgão público).
1.4. Projeto de Lei n. 1.589, de 1999, da Câmara dos Deputados. Elaborado a partir de anteprojeto
da Comissão de Informática Jurídica da OAB/SP, dispõe sobre o comércio eletrônico, a validade jurídica do
documento eletrônico e a assinatura digital. Adota o sistema de criptografia assimétrico como base para a
assinatura digital e reserva papel preponderante para os notários. Com fundamento no art. 236 da
Constituição e na Lei n. 8.935, de 1994, estabelece que a certificação da chave pública por tabelião faz
presumir a sua autenticidade, enquanto aquela feita por particular não gera o mesmo efeito. (13)
Deve ser registrado que o Projeto 1.589 está apenso ao 1.483 e, ambos, encontram-se sob a
apreciação de uma comissão parlamentar especial na Câmara dos Deputados.
2. Edição de Decreto pelo Governo Federal
Com a edição do Decreto n. 3.587, de 5 de setembro de 2000, foi instituída a Infra-Estrutura de

Chaves Públicas do Poder Executivo Federal. Estava, então, criado um sistema de assinaturas digitais,
baseado na criptografia assimétrica, a ser utilizado no seio da Administração Pública Federal.
3. Projeto de Lei submetido à consulta pública pelo Governo Federal
No mês de dezembro de 2000, a Casa Civil da Presidência da República submeteu à consulta pública
um projeto de lei dispondo sobre a autenticidade e valor jurídico e probatório de documentos eletrônicos
produzidos, emitidos ou recebidos por órgãos públicos. A proposta definia que a autenticidade e a
integridade dos documentos eletrônicos decorreriam da utilização da Infra-Estrutura de Chaves Públicas
criada por decreto meses antes. A proposição consagrava profundos equívocos, notadamente a não inclusão
de documentos eletrônicos trocados entre particulares e a caracterização de que os documentos eletrônicos
não tinham validade jurídica sem os procedimentos ali previstos.
4. Apresentação de substitutivo para apreciação de Comissão Especial da Câmara dos

Deputados
No final do mês de junho de 2001, o Deputado Júlio Semeghini, Relator do Projeto de Lei n. 1.483 (e
do Projeto de Lei n. 1.589 - apensado), apresentou Substitutivo aos projetos referidos, consolidando as
propostas e agregando aperfeiçoamentos. O trabalho apresentado pelo relator decorreu de uma rotina de
atividades, com início registrado em maio de 2000, envolvendo discussões internas e audiências públicas da
Comissão Especial.
Em relação à assinatura digital, o Substitutivo adotou o sistema baseado na criptografia assimétrica,

ressalvando a possibilidade de utilização de outras modalidades de assinatura eletrônica que satisfaçam os
requisitos pertinentes. Estabeleceu, ainda, o Substitutivo, um modelo de certificação no qual podem atuar
entidades certificadoras públicas e privadas, independentemente de autorização estatal. Fixou, entretanto,
que somente a assinatura digital certificada por entidade credenciada pelo Poder Público presume-se
autêntica perante terceiros.
5. Edição da Medida Provisória 2.200
No dia 29 de junho de 2001, o Diário Oficial da União veiculou a Medida Provisória n. 2.200. Este
diploma legal instituiu a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil para garantir a
autenticidade e a integridade de documentos eletrônicos através da sistemática da criptografia assimétrica.
A organização da ICP-Brasil, a ser detalhada em regulamento, comporta uma autoridade gestora de

políticas (Comitê Gestor da ICP-Brasil) e uma cadeia de autoridades certificadoras composta pela
Autoridade Certificadora Raiz - AC Raiz (Instituto Nacional de Tecnologia da Informação - ITI), pelas
Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR.
À AC Raiz, primeira autoridade da cadeia de certificação, compete emitir, expedir, distribuir,

revogar e gerenciar os certificados das AC (de nível imediatamente subseqüente ao seu), sendo vedado
emitir certificados para o usuário final. Às AC, órgãos ou entidades públicas e pessoas jurídicas de direito
privado, compete emitir, expedir, distribuir, revogar e gerenciar os certificados de usuários finais. Às AR,
entidades operacionalmente vinculadas a determina AC, compete identificar e cadastrar usuários, na
presença destes, e encaminhar solicitações de certificados às AC.
O modelo centralizado adotado, vedando a certificação não derivada da AC Raiz, gerou profundas
críticas (14). Nas edições subseqüentes da MP n. 2.200, apesar de mantido o modelo centralizado (15), único
gerador da presunção de veracidade em relação ao signatário do documento eletrônico, admitiu-se a
utilização de outros meios de comprovação de autoria e integridade, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil. Outro aspecto digno de nota é a definição de que o par de chaves
criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo
controle, uso e conhecimento.
6. Aprovação de substitutivo (com alterações) pela Comissão Especial da Câmara dos

Deputados
No final de setembro de 2001, a Comissão Especial da Câmara dos Deputados aprovou, com várias
alterações, o Substitutivo do Relator (Deputado Júlio Semeghini). A rigor, o novo texto ajustou-se a Medida
Provisória da ICP-Brasil, aceitando a autoridade certificadora raiz. Foi criado um credenciamento provisório
até a completa operacionalização do modelo da ICP-Brasil.
Como afirmamos, o problema da identificação e da integridade dos documentos eletrônicos

encontrou solução por meio da assinatura digital, baseada na criptografia assimétrica (16). A assinatura
digital, vale registrar, é apenas uma das espécies de assinatura eletrônica, abrangente de vários métodos ou
técnicas, tais como: senhas, assinaturas tradicionais digitalizadas, chancela, biometria (íris, digital, timbre de
voz), entre outras.
III. NOTAS
(1) "documento eletrônico: a informação gerada, enviada, recebida, armazenada ou comunicada por
meios eletrônicos, ópticos, opto-eletrônicos ou similares." (art. 2o., inciso I do Projeto de Lei sobre
documento eletrônico, assinatura digital e comércio eletrônico aprovado por Comissão Especial da Câmara
dos Deputados).
(2) As principais normas com força de lei, no ordenamento jurídico brasileiro, aplicáveis aos
documentos são as seguintes:
Código Civil:
"Art. 82. A validade do ato jurídico requer agente capaz, objeto lícito e forma prescrita ou não defesa
em lei."
"Art. 129. A validade das declarações de vontade não dependerá de forma especial, senão quando a
lei expressamente a exigir."
"Art. 136. Os atos jurídicos, a que se não impõe forma especial, poderão provar-se mediante:
I - Confissão;
II - Atos processados em juízo;
III - Documentos públicos ou privados;
IV - Testemunhas;
V - Presunção;
VI - Exames e vistorias;
VII - Arbitramento."
"Art. 1.079. A manifestação de vontade, nos contratos, pode ser tácita, quando a lei não exigir que
seja expressa."
"Art. 1.081. (...) Considera-se também presente a pessoa que contrata por meio de telefone."
Código de Processo Civil:
"Art. 131. O juiz apreciará livremente a prova, atendendo aos fatos e circunstâncias constantes dos
autos, ainda que não alegados pelas partes; mas deverá indicar, na sentença, os motivos que lhe formaram o
convencimento."
"Art. 154. Os atos e termos processuais não dependem de forma determinada senão quando a lei
expressamente a exigir, reputando-se válidos os que, realizados de outro modo, lhe preencham a finalidade
essencial."
"Art. 244. Quando a lei prescrever determinada forma, sem cominação de nulidade, o juiz
considerará válido o ato se, realizado de outro modo, lhe alcançar a finalidade."
"Art. 332. Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados
neste Código, são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa."
"Art. 368. As declarações constantes do documento particular, escrito e assinado, ou somente

assinado, presumem-se verdadeiras em relação ao signatário.
Parágrafo único. Quando, todavia, contiver declaração de ciência, relativa a determinado fato, o
documento particular prova a declaração, mas não o fato declarado, competindo ao interessado em sua
veracidade o ônus de provar o fato."
"Art. 369. Reputa-se autêntico o documento, quando o tabelião reconhecer a firma do signatário,
declarando que foi aposta em sua presença."
"Art. 371. Reputa-se autor do documento particular:
I - aquele que o fez e o assinou;
II - aquele, por conta de quem foi feito, estando assinado;
III - aquele que, mandando compô-lo, não o firmou, porque, conforme a experiência comum, não se
costuma assinar, como livros comerciais e assentos domésticos."
"Art. 374. O telegrama, o radiograma ou qualquer outro meio de transmissão tem a mesma força
probatória do documento particular, se o original constante da estação expedidora foi assinado pelo
remetente.
Parágrafo único. A firma do remetente poderá ser reconhecida pelo tabelião, declarando-se essa
circunstância no original depositado na estação expedidora."
"Art. 376. As cartas, bem como os registros domésticos, provam contra quem os escreveu quando:
I - enunciam o recebimento de um crédito;
II - contêm anotação, que visa a suprir a falta de título em favor de quem é apontado como credor;
III - expressam conhecimento de fatos para os quais não se exija determinada prova."
"Art. 383. Qualquer reprodução mecânica, como a fotográfica, cinematográfica, fonográfica ou de

outra espécie, faz prova dos fatos ou das coisas representadas, se aquele contra quem foi produzida lhe
admitir a conformidade.
Parágrafo único. Impugnada a autenticidade da reprodução mecânica, o juiz ordenará a realização de

exame pericial."
"Art. 386. O juiz apreciará livremente a fé que deva merecer o documento, quando em ponto
substancial e sem ressalva contiver entrelinha, emenda, borrão ou cancelamento."
"Art. 388. Cessa a fé do documento particular quando:
I - lhe for contestada a assinatura e enquanto não se Ihe comprovar a veracidade;
II - assinado em branco, for abusivamente preenchido.
Parágrafo único. Dar-se-á abuso quando aquele, que recebeu documento assinado, com texto não
escrito no todo ou em parte, o formar ou o completar, por si ou por meio de outrem, violando o pacto feito
com o signatário."
(3) O novo Código Civil, já aprovado no âmbito do Congresso Nacional, não altera as considerações
aqui formuladas. Com efeito, o seu art. 104 repete a fórmula do atual art. 82; o futuro art. 107 mantém os
termos do art. 129 e o vindouro art. 212 conserva o espírito do atual art. 136. O futuro art. 428 contempla a
contratação por telefone ou meio de comunicação semelhante, na linha do atual art. 1.081. Ademais, o novo
art. 225 estabelece literalmente: "As reproduções fotográficas, cinematográficas, os registros fonográficos e,
em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena
destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão." (Texto obtido no seguinte
endereço eletrônico: http://www.intelligentiajuridica.com.br).
(4) "Vários são os trabalhos que vêm sendo desenvolvidos visando a negar ou afirmar a validade
jurídica de documento quando gerado em meio digital, Cfr., entre tantos outros, os trabalhos de Ricardo Luis
Lorenzetti, "Informática, Cyberlaw, E-Commerce", nesta obra coletiva; Frédérique Dupuis-Toubol,
"Contracting on the Net: proof of transaction", ob. cit.; Silvânio Covas, "O COntrato no ambiente virtual.
Contratação por Meio de Informática", ob. cit.; Davi Monteiro Diniz, Documentos Eletrônicos, Assinaturas
Digitais, ob. cit.; José Henrique Barbosa Moreira Lima Neto, "Aspectos Jurídicos do Documento
Eletrônico", ob. cit,; Giovanni Buonomo, Atti e Documenti in Forma Digitale, ob. cit.; Andrea Graziozi,
"Premesse ad una teoria probatoria del documento informatico", ob. cit.; Paolo Piccoli e Giovanna Zanolini,
"II Documento Elettronico e la Firma Digitale", ob. cit." Queiróz, Regis Magalhães Soares de. Assinatura
Digital e o Tabelião Virtual. Nota 44. Pág. 385. Publicado em Direito e Internet. Aspectos Jurídicos
Relevantes. EDIPRO.
(...) entendemos que quando assegurados os quatro requisitos acima exposto, seria teoricamente
possível, em casos em que nõ saão exigidas formalidades específicas, atribuir-se validade jurídica ao
documento eletrônico." Queiróz, Regis Magalhães Soares de. Assinatura Digital e o Tabelião Virtual. Págs.
385/386. Publicado em Direito e Internet. Aspectos Jurídicos Relevantes. EDIPRO.
"Quanto ao valor probatório, não há obstáculos para que o juiz no domínio de suas faculdades
reconheça esses documento (eletrônicos), porém subsiste a incerteza com respeito à possibilidade de no caso
se avaliar não tratar-se de um instrumento seguro. NO direito vigente existe então uma importante
tendênciaencaminhada para a admissão dos documentos eletrônicos, tanto no que toca à sua validade quanto
no que toca à sua eficácia probatória. Todavia, é necessário consagrar uma regra clara e especificar as
condições técnicas nas quais esses documentos reúnam as qualidades de seguros e indeléveis." Lorenzetti,
Ricardo Luis. Informática, Cyberlaw, E-commerce. Pág. 427. Publicado em Direito e Internet. Aspectos
Jurídicos Relevantes. EDIPRO.
(5) "Contra, José Henrique Barbosa Moreira Lima Neto, entendendo que há várias leis que
equiparam documento ao éscrito´, o que inviabilizaria a interpretação sistemática". Queiróz, Regis
Magalhães Soares de. Assinatura Digital e o Tabelião Virtual. Nota 48. Pág. 386. Publicado em Direito e
Internet. Aspectos Jurídicos Relevantes. EDIPRO.
(6) "ARROLAMENTO - CERTIDÃO NEGATIVA DE TRIBUTOS FEDERAIS - Obtenção por

consulta ao endereço eletrônico da Procuradoria-Geral da Fazenda Nacional. Validade. Existência de
Portaria do Procurador-Geral da Fazenda Nacional (Portaria n. 414/98), conferindo a essa certidão os mesmo
efeitos da certidão negativa expedida pelas unidades da Procuradoria. Recurso provido (TJSP - 8ª Câm. de
Direito Privado; Ag. de Instr. n° 105.464.4/7-São Paulo-SP; Rel. Des. Cesar Lacerda ; j. 17.03.1999; v.u.).
ACÓRDÃO
Vistos, relatados e discutidos estes autos de AGRAVO DE INSTRUMENTO n° 105.464-4/ 7, da

Comarca de SÃO PAULO, em que é agravante R.R., inventariante do... , sendo agravado O JUÍZO:
ACORDAM, em oitava Câmara de Direito Privado do Tribunal de Justiça do Estado de São Paulo,
por votação unânime, dar provimento ao recurso, de conformidade com o relatório e voto do Relator, que
ficam fazendo parte do acórdão.
O julgamento teve a participação dos Desembargadores RICARDO BRANCATO (Presidente, sem

voto), HAROLDO LUZ e EGAS GALBIATTI.
São Paulo, 17 de março de 1999.
CESAR LACERDA
Relator
VOTO
Cuida-se de agravo de instrumento inter-posto pelo.. , através de seu inventariante, R.R., nos autos
do arrolamento dos bens deixados pela falecida, contra a respeitável decisão reproduzida a fls. 51, que
determinou a juntada de certidão negativa da Receita Federal, não aceitando documento acostado.
Sustenta a agravante que, com a determinação do Juízo para que fossem apresentadas certidões
negativas de débitos fiscais, a certidão negativa da dívida ativa da União foi obtida junto à Receita Federal
pela Internet. Assevera que a certidão expedida por consulta eletrônica foi validada, para todos os fins, pela
Portaria n° 414/98, não havendo razão para seu indeferimento.
Recurso regularmente processado, com informações prestadas pelo MM. Juiz (fls. 63/ 64).
É o relatório.
O agravo comporta provimento.
Os elementos dos autos demonstram que o inventariante atendeu à exigência de comprovação de

inexistência de tributos federais, mediante apresentação de certidão negativa obtida por consulta ao endereço
eletrônico da Procuradoria-Geral da Fazenda Nacional, via Internet.
A expedição da referida certidão é fruto da evolução tecnológica e se amolda ao espírito

desburocratizante que tem informado os tempos modernos, encontrando fundamento na Portaria n° 414, de
15.07.98, do Procurador-Geral da Fazenda Nacional, que estabelece:
"Artigo 1 ° - Fica instituída a Certidão Negativa quanto à Dívida Ativa da União, emitida por meio
da INTERNET.
§ 1 ° - Da certidão a que se refere este artigo, constará, obrigatoriamente, a hora e data da emissão.
§ 2° - A certidão a que se refere este artigo produzirá os mesmos efeitos da certidão negativa emitida
por qualquer das unidades da Procuradoria-Geral da Fazenda Nacional e será válida por 30 dias. "
O Código de Processo Civil prevê que os atos e termos do processo não dependem de forma
determinada, exceto quando a lei expressamente exigir (artigo 154).
O Diploma Processual também estatui que "qualquer reprodução mecânica, como a fotográfica,
cinematográfica, fonográfica ou de outra espécie, faz prova dos fatos ou das coisas representadas, se aquele
contra quem foi produzida lhe admitir a conformidade" (artigo 383).
A própria Receita Federal admite, mediante portaria, a validade da certidão negativa obtida por meio
eletrônico, não havendo razão jurídica relevante para negar validade ao documento.
Diante do exposto, dá-se provimento ao recurso, para o fim de que seja aceita a certidão negativa
obtida por meios eletrônicos.
São Paulo, 04 de março de 1999.
CESAR LACERDA
Relator"
(7) "Instrução Normativa SRF nº 86, de 22 de Outubro de 2001
DOU de 23.10.2001
Dispõe sobre informações, formas e prazos para apresentação dos arquivos digitais e sistemas
utilizados por pessoas jurídicas.
O SECRETÁRIO DA RECEITA FEDERAL no uso da atribuição que lhe confere o inciso III do art.
209 do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF no 259, de 24 de
agosto de 2001, e tendo em vista o disposto no art. 11 da Lei nº 8.218, de 29 de agosto de 1991, alterado
pela Lei nº 8.383, de 30 de dezembro de 1991, com a redação dada pelo art. 72 da Medida Provisória nº
2.158-35, de 24 de agosto de 2001, resolve:
Art. 1º As pessoas jurídicas que utilizarem sistemas de processamento eletrônico de dados para
registrar negócios e atividades econômicas ou financeiras, escriturar livros ou elaborar documentos de
natureza contábil ou fiscal, ficam obrigadas a manter, à disposição da Secretaria da Receita Federal (SRF),
os respectivos arquivos digitais e sistemas, pelo prazo decadencial previsto na legislação tributária.
Parágrafo único. As empresas optantes pelo Sistema Integrado de Pagamento de Impostos e

Contribuições das Microempresas e Empresas de Pequeno Porte (Simples), de que trata a Lei nº 9.317, de 5
de dezembro de 1996, ficam dispensadas do cumprimento da obrigação de que trata este artigo.
Art. 2º As pessoas jurídicas especificadas no art. 1º, quando intimadas pelos Auditores-Fiscais da
Receita Federal, apresentarão, no prazo de vinte dias, os arquivos digitais e sistemas contendo informações
relativas aos seus negócios e atividades econômicas ou financeiras.
Art. 3º Incumbe ao Coordenador-Geral de Fiscalização, mediante Ato Declaratório Executivo

(ADE), estabelecer a forma de apresentação, documentação de acompanhamento e especificações técnicas
dos arquivos digitais e sistemas de que trata o art. 2º.
§ 1º Os arquivos digitais referentes a períodos anteriores a 1º de janeiro de 2002 poderão, por opção
da pessoa jurídica, ser apresentados na forma estabelecida no caput.
§ 2º A critério da autoridade requisitante, os arquivos digitais poderão ser recebidos em forma

diferente da estabelecida pelo Coordenador-Geral de Fiscalização, inclusive em decorrência de exigência de
outros órgãos públicos.
§ 3º Fica a critério da pessoa jurídica a opção pela forma de armazenamento das informações.
Art. 4º Fica formalmente revogada, sem interrupção de sua força normativa, a partir de 1º de janeiro
de 2002, a Instrução Normativa SRF nº 68, de 27 de dezembro de 1995.
Art. 5º Esta Instrução Normativa entra em vigor na data da sua publicação, produzindo efeitos a
partir de 1º de janeiro de 2002.
EVERARDO MACIEL"
(8) "Art. 1o. Os documentos produzidos, emitidos ou recebidos por órgãos públicos federais,
estaduais ou municipais, bem como pelas empresas públicas, por meio eletrônico ou similar, têm o mesmo
valor jurídico e probatório, para todos os fins de direito, que os produzidos em papel ou em outro meio físico
reconhecido legalmente, desde que assegurada a sua autenticidade e integridade.
Parágrafo único. A autenticidade e integridade serão garantidas pela execução de procedimentos

lógicos, regras e práticas operacionais estabelecidas na Infra-Estrutura de Chaves Públicas Governamental -
ICP-Gov."
(9) Encontramos, em diversos autores, a menção ou referência a outros requisitos, tais como:
perenidade ou não repúdio. Entendemos que outros requisitos, além da integridade e autenticidade, não são
essenciais para à segurança probatória do documento eletrônico ou são decorrências/conseqüências dos dois
mencionados.
(10) Podemos figurar a seguinte analogia, acerca do par de chaves criptográficas (privada e pública),
com finalidade exclusivamente didática. Imagine uma língua complicadíssima somente conhecida por dois
seres especiais. Um deles, chamado CHAVE PRIVADA, vive no seu computador e só você conhece a sua
identidade. O outro ser, chamado CHAVE PÚBLICA, perambula pela Internet, vivendo em qualquer
computador. Existe um código de conduta entre estes dois seres no sentido de que uma mensagem traduzida
por um deles, para aquela língua estranha, não mais será analisada pelo autor da tradução e só, somente só,
pelo outro. Assim, os textos e mensagens que você confeccionar e forem traduzidos por CHAVE
PRIVADA, seu hóspede virtual, somente serão entendidos por CHAVE PÚBLICA e vice-versa.
(11) "Uma função hash é uma equação matemática que utiliza texto (tal como uma mensagem de e-
mail) para criar um código chamado message digest (resumo de mensagem). Alguns exemplos conhecidos
de funções hash: MD4 (MD significa message digest), MD5 e SHS. Uma função hash utilizada para
autenticação digital deve ter certas propriedades que a tornem segura para uso criptográfico.
Especificamente, deve ser impraticável encontrar: - Texto que dá um hash a um dado valor. Ou seja, mesmo
que você conheça o message digest, não conseguirá decifrar a mensagem. - Duas mensagens distintas que
dão um hash ao mesmo valor". (Disponível em http://www.certisign.com.br/help_email/concepts/hash.htm.
Acesso em 23 out. 2001)
(12) A rigor, a assinatura digital pode prescindir dos algoritmos de autenticação, a exemplo do hash.
É possível a criação de uma assinatura digital com base no conteúdo da própria mensagem. Ao chegar no
destinatário, a assinatura é decodificada e comparada com o conteúdo da mensagem. A coincidência entre a
mensagem e a assinatura decodificada é indicativa da ausência de alteração. Os principais problemas desta
sistemática estão relacionados com o tempo de envio e processamento (cifragem e decifragem de todo o
conteúdo da mensagem; o todo transmitido tem o dobro do tamanho original) e as mensagens de conteúdo
originalmente "estranho" (série de números aleatórios, coordenadas, etc). A introdução de funções hash ao
processo de assinatura digital supera estas dificuldades.
(13) Cumpre destacar a existência de uma tendência internacional no sentido da iniciativa privada
conduzir o comércio eletrônico em geral e as atividades de certificação em particular. No Brasil,
principalmente em função do disposto no art. 236 da Constituição, subsiste a discussão acerca de eventual
reserva desta atividade para determinada categoria de agentes (tabeliães ou notários). Pensamos que as
atividades do tabelião são aquelas fixadas em lei, conforme prevê expressamente o §1o. do citado art. 236 da
Constituição. Neste sentido, a lei pode deferir a outro ator social (e não ao tabelião) a condição de entidade
ou autoridade certificadora.
(14) Veja algumas das críticas: a) de Marcos da Costa e Augusto Tavares da Comissão de
Informática Jurídica da OAB de São Paulo (em
http://www.cbeji.com.br/artigos/artmarcosaugusto05072001.htm); b) da CertSign (em
http://www.certisign.com.br/imprensa_mix.html#); c) da Sociedade Brasileira de Computação (em
http://www.sbc.org.br) e d) da OAB (logo adiante). A primeira nota da OAB: "A Ordem dos Advogados do
Brasil vem a público manifestar o seu repúdio à nova Medida Provisória nº 2.200, de 29/06/2001, que trata
da segurança no comércio eletrônico no País. A MP, editada às vésperas do recesso dos Poderes Legislativo
e Judiciário, desprezou os debates que vêm sendo realizados há mais de um ano no Congresso Nacional
sobre três projetos a esse respeito, um dos quais oferecido pela OAB-SP. Ao estabelecer exigência de
certificações para validade dos documentos eletrônicos públicos e privados, a MP não apenas burocratiza e
onera o comércio eletrônico, como distancia o Brasil das legislações promulgadas em todo o mundo. Pior:
ao outorgar poderes a um Comitê Gestor, nomeado internamente pelo Executivo e assessorado por órgão
ligado ao serviço de segurança nacional, o governo subtrai a participação direta da sociedade civil na
definição de normas jurídicas inerentes ao conteúdo, procedimentos e responsabilidades daquelas
certificações.
Tudo isso é motivo de extrema preocupação no que tange à preservação do sigilo de comunicação
eletrônica e da privacidade dos cidadãos, num momento em que grampos telefônicos têm se proliferado país
afora, afrontando, inclusive, o livre exercício da advocacia. Brasília, 03 de julho de 2001. Rubens Approbato
Machado. Presidente nacional da OAB". A segunda nota da OAB: "A Ordem dos Advogados do Brasil
reconhece a sensibilidade do Governo Federal em acolher as críticas e sugestões manifestadas na primeira
edição da Medida Provisória nº 2.200, alterando-a substancialmente em pontos fundamentais, a saber: 1)
determina que o par de chaves criptográficas seja gerado sempre pelo próprio titular e sua chave privada de
assinatura seja de seu exclusivo controle uso e conhecimento (§ único do art. 8º); 2) eleva o número de
representantes da sociedade civil no Comitê Gestor (art. 3º); 3) limita os poderes daquele Comitê à adoção
de normas de caráter técnico (incisos II e IV do Art. 5º e caput do art. 6º), bem como lhe determina a
observância de tratados e acordos internacionais no que se refere ao acolhimento de certificações externas
(inciso VII do art. 5º); 4) estabelece que a identificação do titular da chave pública seja presencial (art. 9º);
5) limita os efeitos legais da certificação ao próprio signatário (§ 1º do art. 12º); e 6) utiliza outros meios de
prova da autenticidade dos documentos eletrônicos, afastando, assim, a obrigação do uso nos documentos
particulares de certificações da ICP-Brasil (§ 2 º do art. 12º). Entende a OAB que tais disposições são
fundamentais para o restabelecimento de um ambiente que assegure a privacidade, segurança e liberdade nas
manifestações de vontade dos cidadãos realizadas por meio eletrônico. Independente desses verdadeiros
avanços, a OAB continua certa de a disciplina do documento eletrônico, da assinatura digital e das
certificações eletrônicas deva nascer de um amplo debate social, estabelecido em sede própria, qual seja, o
Congresso Nacional, razão pela qual manifesta sua confiança em que a nova redação da MP não
representará prejuízo ao andamento regular dos projetos de lei que tramitam atualmente em nosso
Parlamento."
(15) "Discute-se, em nível mundial, segundo Henrique Conti, qual o melhor sistema de certificação a
ser adotado. Pode-se criar uma hierarquia de certificadoras públicas ou privadas, baseado numa
ceritficadora-raiz que possui as informações de todas as outras certificadoras. Nos Estados Unidos, segundo
o convidado, esse modelo vem sendo duramente criticado, devido a preocupações com privacidade.
Observa-se, portanto, uma tendência no sentido de implantar sistemas de certificação não hierárquicos,
baseados no mútuo reconhecimento e troca de certificados entre várias certificadoras." Semeghini, Júlio.
Voto no Substitutivo aos Projetos de Lei n. 1.483 e 1.589, ambos de 1999. Disponível em
http://www.modulo.com.br/pdf/semeghini.pdf. Acesso em 22 out. 2001.
(16) "Ao tratar-se do tema assinatura digital em seu aspecto mais técnico, acaba-se fazendo relação
direta aos algoritmos de autenticação. Entretanto, como a tecnologia caminha a passos largos, torna-se
impossível garantir que a correlação entre uma assinatura digital e um algoritmo de autenticação venha a ser
necessária dentro de algum tempo. Existe até mesmo a possibilidade de que a nomenclatura ássinatura
digital´ acabe sendo substituída quando do abandono do uso dos algoritmos de autenticação." Volpi, Marlon
Marcelo. Assinatura Digital. Aspectos Técnicos, Práticos e Legais. Axcel Books. 2001. Pág. 17.
IV. LISTA DE LINKS
Artigo ASPECTOS JURÍDICOS DO DOCUMENTO ELETRÔNICO.
Autor: José Henrique Barbosa Moreira Lima Neto.
www.jus.com.br/doutrina/docuelet.html
Artigo O DOCUMENTO ELETRÔNICO COMO MEIO DE PROVA.
Autor: Augusto Tavares Rosa Marcacini.
buscalegis.ccj.ufsc.br/arquivos/artigos/O_documento_eletronico_como_meio_de_prova.htm
Artigo VALIDADE JURÍDICA DE DOCUMENTOS ELETRÔNICOS. CONSIDERAÇÕES

SOBRE O PROJETO DE LEI APRESENTADO PELO GOVERNO FEDERAL.
Autor: Aldemario Araujo Castro.
www.aldemario.adv.br/projetocc.htm
www.informaticajur.hpg.com.br/projetocc.htm
Representação gráfica da assinatura digital
Figura recuperada da pág. 25 da obra Assinatura Digital de Marlon Marcelo Volpi
www.infojurucb.hpg.ig.com.br/assdig.jpg
Representação gráfica da assinatura digital II
www.infojurucb.hpg.ig.com.br/quadroassdig.htm
Exemplo de MENSAGEM ASSINADA DIGITALMENTE
www.infojurucb.hpg.ig.com.br/assinada.gif
Exemplo de INDICAÇÃO DE ALTERAÇÃO da mensagem depois de assinada digitalmente
www.infojurucb.hpg.ig.com.br/violada.gif
Imagens de um certificado digital
www.infojurucb.hpg.ig.com.br/certificado1.gif
www.infojurucb.hpg.ig.com.br/certificado2.gif
Lei Modelo da UNCITRAL.
www.direitonaweb.adv.br/legislacao/legislacao_internacional/Lei_Modelo_Uncitral.htm
www.direitonaweb.adv.br
Projeto de Lei n. 1.589, de 1999.
www.informaticajur.hpg.ig.com.br/ploab.htm
www.informaticajur.hpg.ig.com.br
Infra-estrutura de chaves públicas do Poder Executivo Federal.
Decreto 3.587, de 5 de setembro de 2000
www.planalto.gov.br/ccivil_03/decreto/D3587.htm
www.planalto.gov.br
Substitutivo apresentado pelo Relator à Comissão Especial
www.modulo.com.br/pdf/semeghini.pdf
www.modulo.com.br
Medida Provisória n. 2.200, de 28 de junho de 2001
www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200.htm
www.planalto.gov.br
Medida Provisória n. 2.200-1, de 27 de julho de 2001
www.planalto.gov.br/ccivil_03/MPV/2200-1.htm
www.planalto.gov.br
Medida Provisória n. 2.200-2, de 24 de agosto de 2001
www.planalto.gov.br/ccivil_03/MPV/2200-2.htm
www.planalto.gov.br
Substitutivo (com alterações) aprovado pela Comissão Especial
www.cbeji.com.br/legislacao/PL4906-aprovado.htm
www.cbeji.com.br
Artigo ASSINATURAS ELETRÔNICAS - O PRIMEIRO PASSO PARA O

DESENVOLVIMENTO DO COMÉRCIO ELETRÔNICO?
Autor: Henrique de Faria Martins
www.cbeji.com.br/artigos/artasselet.htm
www.cbeji.com.br
Artigo ASSINATURA DIGITAL NÃO É ASSINATURA FORMAL.
Autora: Angela Bittencourt Brasil
www.cbeji.com.br/artigos/artang02.htm
www.cbeji.com.br
Criptografia
www.catar.com.br/hg/leohomepage/criptografia.htm
www.gold.com.br/~colt45/danger/criptografia.html
Regime jurídico dos documentos eletrônicos e assinatura digital em Portugal.
Decreto-Lei 290-D/1999
www.giea.net/legislacao.net/internet/assinatura_digital.htm
PGP (Pretty Good Privacy) - Programa gratuito (para fins não comerciais) para encriptação de
arquivos utilizando o método das chaves públicas e privadas
www.pgpi.org
Sobre o autor
Aldemario Araujo Castro
E-mail: [ não disponível ]
Home-page: www.aldemario.adv.br
Sobre o texto:
Texto inserido no Jus Navigandi nº54 (02.2002)
Elaborado em 10.2001.
Informações bibliográficas:
Conforme a NBR 6023:2000 da Associação Brasileira de Normas Técnicas (ABNT), este texto científico publicado em periódico
eletrônico deve ser citado da seguinte forma:
CASTRO, Aldemario Araujo. O documento eletrônico e a assinatura digital. Uma visão geral. Jus
Navigandi, Teresina, ano 6, n. 54, fev. 2002. Disponível em:
<http://jus2.uol.com.br/doutrina/texto.asp?id=2632>. Acesso em: 30 abr. 2009.
Assinatura digital
An
g
e
l
a
B
i
t
t
e
n
c
o
u
r
t
B
r
a
s
i
l
m
e
m
b
r
o
d
o
M
i
n
i
s
t
é
r
i
o
P
ú
b
l
i
c
o
d
o
R
i
o
d
e
J
a
n
e
i
r
o
INTRODUÇÃO
Muito se tem falado em Informática Jurídica e tanto tem se especulado sobre o futuro das relações
virtuais. Não temos dúvidas que as palavras de ordem do momento são repensar e mudar o comportamento.
Ninguém discute que a popularização do uso da informática trouxe em seu bojo questionamentos vários e
conjunções jurídicas que, requerem atenção imediata e urgente dos doutrinadores e legisladores do mundo
inteiro, já que os contatos, os negócios e todos os seus derivados perderam a fronteira e derrubaram a
fiscalização alfandegária na dimensão que até então conhecíamos.
Dentre os questionamentos feitos por todos que acessam a Internet e que por esse meio fazem
negócios ou estabelecem relações de qualquer nível, a segurança é a que mais preocupa, pois como qualquer
outro compromisso ele pode ser desvirtuado e comprometer as partes envolvidas. Por isso da preocupação
em resguardar os meios de segurança dos documentos e a necessidade do meio técnico absolutamente
pessoal para o sucesso dessas relações.
É bem verdade que mesmo no mundo real, assinaturas são falsificadas e documentos são forjados,
porque o ser humano é falho e será sempre assim, tanto no campo real como no campo virtual.
Temos sistemas de proteção para todo o tipo de fraudes nos documentos materiais e a legislação, tanto
civilista quanto penalista, dispõe de normas inibidoras e repressoras para defender a sociedade, como deve
ser.
Mas e no mundo virtual? Esse é o novo desafio e esta é uma pequena abordagem sobre esse assunto
que urge ser estudado e discutido para que as novas relações possam alcançar o fim esperado, ou seja, a
globalização completa e segura.
O DOCUMENTO FÍSICO E O DOCUMENTO ELETRÔNICO
Historicamente nossos doutrinadores tem definido o documento como algo material, uma res, uma
representação exterior do fato que se quer provar e, sempre conhecemos a prova documental como a maior
das provas, pois consistente da representação fática do acontecido. Na esteira desses pensamentos, ao
ligarmos indelevelmente o fato jurídico à matéria como uma coisa tangível, teríamos dificuldades em
conceituar o documento eletrônico, pois este é intangível e etéreo, e muito longe se encontra do conceito de
"coisa" como matéria.
Partindo-se do conceito conhecido de que o documento é uma coisa representativa de um fato, no

ensinamento de Moacyr Amaral Santos, não se pode dizer que o documento eletrônico é um Documento,
porque ele não é uma coisa e portanto não pode ser representativa de um fato. Mas se olharmos pelo prisma
do registro do fato, veremos que ele se adequa perfeitamente a este conceito, porque como uma sequência de
bits ele pode ser traduzido por meio de programas de informática que vai revelar o pensamento ou a vontade
daquele que o formulou, exigindo do intérprete uma concepção abstrata para compreendê-lo.
Como um escrito que pode ser reproduzido, se o documento eletrônico for copiado na mesma
sequência de bits, ele será sempre o mesmo, tal qual o documento físico que se reproduz por meio de vários
sistemas, tais como, cópia xerox ou fotografia. Na verdade não há cordão umbilical entre o trabalho feito
eletronicamente e o meio onde foi criado.
Evidentemente que ele pode ser reproduzido por uma série de processos, sendo o mais usual o CD que
armazena dados retirados dos computadores e são guardados fora do disco rígido. A única diferença
existente nesse aspecto é que não podemos falar em Original e Cópia entre os dois se não houver uma
identificação pessoal do seu autor, porque num programa de computador, os dados ali existentes são sempre
os mesmos, não se podendo dizer nunca qual é a fonte original deles sem a necessária autenticação. Não se
pode fazer, por exemplo, um exame grafotécnico para conferir à determinada pessoa a autoria de um texto.
Por isso que se, por acaso, houver um descompasso entre o material apresentado e o que foi registrado
no Computador, o documento eletrônico então terá que ser analisado e a assinatura do seu autor pode e deve
ser reconhecida pela figura de um Cibernotário.
Diante dessas colocações temos que o documento eletrônico é a representação de um fato

concretizado por meio de um computador e armazenado em programa específico capaz de traduzir
uma sequência da unidade internacional conhecida como bits.
A ASSINATURA DIGITAL
Para que alcancemos uma total eficácia nos contatos pela Internet é preciso a presença de um fator,
sem o qual essas relações estão fadadas ao fracasso, ou seja, a segurança, que hoje é a maior preocupação
de todos aqueles que negociam pelos meios eletrônicos.
A credibilidade desses documentos está ligada essencialmente à sua originalidade e à certeza de que
ele não foi alterado de alguma maneira pelos caminhos que percorreram até chegar ao destinatário.
Os fatores de risco podem advir por fatores internos ou externos, sendo que os internos podem
acontecer por erro humano ou mesmo falha técnica. O fator externo, e aí está o risco maior, consiste na
atuação fraudulenta de estranhos que pode alcançar meios para adentrar no programa enviado e desviar o
objetivo do mesmo, em prejuízo das parte envolvidas no negócio.
Portanto, para a segurança desses documentos é necessário que abordemos dois aspectos que devem
ser equacionados antes de se ter o documento como totalmente confiável:
Primeiramente, como todo documento e para que assim possa ser chamado, é preciso a identificação
do seu autor por meio da correspondência entre a autoria aparente e a autoria real. Isso se faz por meio de
um sinal pessoal que chamamos de assinatura ou firma.
Em seguida, é preciso a preservação do documento, que deve ser mantido ou na memória do

computador ou transmitido para um CD, longe de possíveis alterações que deturpem o seu conteúdo. Por ser
uma máquina, o computador pode sofrer uma pane, pode ser apagado, pode ser manipulado por terceiros e
por isso consideramos a guarda do documento em um CD, a forma mais segura para a sua conservação
intacta.
A Criptologia é a ciência que estuda a maneira mais segura e secreta para a realização das
comunicações virtuais. É composta de Criptografia e Criptoanálise que nada mais representam o que foi
exposto acima, ou seja a criação de uma senha e a chave para decifrá-la.
As técnicas de assinatura feitas por meio da Criptografia consistem numa mistura de dados
ininteligíveis onde é necessário o uso de duas chaves, a pública e a privada, para que ele possa se tornar
legível. É como se fosse um cofre forte que somente para quem tem o seu segredo é acessível.
Assim, ele em nada se assemelha à assinatura com a qual estamos acostumados, pois na verdade a
assinatura eletrônica é um emaranhado de números que somente poderá ser codificado para quem possua a
chave privada e sua descodificação então deverá ser feita por meio de uma chave pública.
O mundo da tele-economia que se avizinha cada vez mais rapidamente, antes restrito a um grupo pequeno de
internautas, converteu-se rapidamente numa fonte inesgotável de possibilidades em todos os campos das
comunicações humanas.
A argumentação de alguns autores de que o documento eletrônico não pode ser considerado
juridicamente por lhe faltar a firma, numa visão hoje ultrapassada, mais uma vez nos leva a crer que urge
uma legislação específica tuteladora desses interesses, sob pena de uma paralisação na economia do país que
não acompanhar de forma rápida a evolução tecnológica mundial e a realidade do mundo virtual.
Não há como por meio da chave pública, desvendar os segredos da chave privada devido às operações
matemáticas que são utilizadas para a confecção da chave privada. As operações são de tal forma intrincadas
que a segurança delas pode ser considerada totais e impedem que a chave pública possa descobrir os
segredos numéricos da chave privada. Esta é como uma complicada senha.
Vamos dar aqui uma pequena explicação de como se processa a criação da chave privada que guarda
o segredo da assinatura eletrônica.
Essa assinatura é formada por uma série de letras, números e símbolos e é feita em duas etapas.
Primeiramente o autor, através de um software que contém um algoritmo próprio, realiza uma operação e fez
um tipo de resumo dos dados do documento que quer enviar, também chamado de função hash. Após essa
operação ele usa a chave privada que vai encriptar este resumo e o resultado desse processo é a assinatura
digital.
É por isso que a assinatura eletrônica, diferentemente da assinatura real, se modifica a cada arquivo
transformado em documento e o seu autor não poderá repeti-la como faz com as assinaturas apostas nos
documentos reais.
Em seguida, o autor envia o documento ao destinatário, com a assinatura digital e este, por meio da chave
pública faz a descriptação para fazer a prova da autenticidade do documento.
Para descriptar a mensagem o destinatário usa o mesmo algoritmo usado no software e cria um
resumo da mensagem, ou função hash, que é comparado ao resumo enviado pelo autor. Se o resultado dos
dois for igual, o documento é autêntico e confiável.
Somente deste modo, usando o processo de Encriptação dos documentos é que as partes podem ter
certeza da identidade uma da outra. Essa tecnologia como dissemos é o resultado de um conjunto
alfanumérico que é conhecido como "sistema assimétrico de encriptação de dados". Essa técnica permite que
a informação se torne inteligível para todos, menos para o destinatário, pois este vai usar da Criptoanálise
para recuperar a informação recebida..
A mensagem que vai para o destinatário e que passa livremente pela rede chama-se Plaintext – o texto
simples- e depois de encriptada recebe o nome de Ciphetxt – texto cifrado- e sua transormação é feita
através do antes citado algoritmo e da chave.
Mesmo que o algoritmo possa ser de conhecimento público ele dependerá fundamentalmente das
chaves para ser decifrado.
Apesar de parecer complicado, o sistema é fácil de ser usado pelos usuários da Internet. Suponhamos
que eu queira mandar este arquivo confidencialmente para o leitor X. Primeiramente vou procurar a chave
pública do leitor X em um diretório, e utilizo essa chave para encriptar o artigo e o envio. Recebida a
mensagem o meu leitor X usa a chave privada que tem e descodifica o texto para lê-lo.
Estes sistemas que se denominam SISTEMAS CIFRADOS são fundamentados em operações

matemáticas que criam os sistemas simétricos e assimétricos de encriptação de dados que viajam na grande
auto estrada das informações.
No criptosistema simétrico, usa-se apenas uma chave tanto para o emissor quanto para o receptor da
mensagem, o que torna frágil a segurança do seu teor e por isso, gostamos mais do sistema assimétrico que
se utiliza de duas chaves, ou seja, a pública e a privada.
Mas como ter a certeza absoluta de que a assinatura procede da pessoa que está enviando o
documento? Mais um processo de segurança é usado com a presença da Autoridade Certificante, que é a
pessoa encarregada de fornecer os pares de chaves. Essa Autoridade é uma entidade independente e
legalmente habilitada para exercer as funções de distribuidor das chaves e pode ser consultado à qualquer
tempo certificando que determinada pessoa é a titular da assinatura digital , da chave pública e da
correspectiva chave provada.
Esse documento é equiparado a um documento Notarial e por ter força de certificar a verdade, é
preciso que a lei normatize o seu conteúdo.
A primeira iniciativa em legislar sobre a assinatura eletrônica ocorreu nos Estados Unidos, mais
precisamente no Estado de Utah, com o objetivo de permitir a autenticação dos documentos eletrônicos e
facilitar o comércio e outras relações contratuais via Internet, seguindo o sistema de Criptografia e cuja
chave ainda se encontra naquele daquele país.
O país norte americano promulgou a "Digital signature and eletronic authentication law" de
02/02/1998 que facilitou sobremaneira o seu uso pelas Instituições financeiras, permitindo a autenticação
dos documentos por meio da Criptologia.
Na mesma esteira, a Alemanha já tem a sua "Informations Und Kommunikationsdienste Gesetz

Iukdg", lei federal que estabelece condições gerais para o uso das assinaturas digitais, tanto ao seu aspecto
de segurança e se baseia no mesmo sistema da Criptografia.
E assim, outros países, como a Itália e a Bélgica adotaram procedimentos semelhantes A ONU, por
meio de uma comissão chamada UNCITRAL (Comissão das Nações Unidas sobre o Direito do Comércio
Internacional)já volta os seus olhos para essa questão da segurança nas relações cibernéticas e reconhece os
certificados emitidos por uma entidade certificadora de outro Estado membro da União Européia, se este
possuir um grau de segurança equivalente ao dos países membros da ONU.
O crescimento exponencial das redes e utilizadores da Internet constitui um fortíssimo elemento de

pressão da procura no sentido do aumento dos investimentos em infraestruturas de redes de
telecomunicações, bem como a necessidade de se normatizar as suas regras, porque se isso não for feito
certamente haverá uma parada econômica.
Não temos no Brasil uma definição legal do que sejam dados de computador e muito menos uma
legislação que ampare as negociações cibernéticas o que faz com que a estagnação econômica virá se nada
for feito à respeito.
CONCLUSÃO
Tomando-se a Internet como uma realidade e compreendendo-se as facilidades que ela traz a todos
que a utilizam como instrumento de trabalho e negocial, vimos que está reservado ao Direito uma
importante parcela dos seus resultados, pois incumbe a ele a tarefa de estabelecer regras para essa relação,
reprimir o abuso prejudicial dos contatos e, acima de tudo, encarar a rede como um meio eficaz e rápido
para o crescimento econômico.
E é entre os atos jurídicos que podem ser efetuados pela WEB e que já estão sendo feitos, é que surge
a necessária segurança para o estabelecimento completo dessas relações.
Se o Brasil ainda não tem as chaves necessárias para a concepção da Assinatura Digital, essa é a hora
da fazê-la através dos seus técnicos. Se ainda não possui uma Autoridade Certificante para dar credibilidade
aos documentos, que reuna os nossos matemáticos para que possam se transformar em Ciber Notários. E
finalmente, que os nossos legisladores entendam a premência do estabelecimento das normas reguladoras
dos espaço virtual e ponham as mãos à obra.
Sobre a autora
Angela Bittencourt Brasil
E-mail: Entre em contato
Home-page: www.ciberlex.adv.br
Sobre o texto:
BRASIL, Angela Bittencourt. Assinatura digital . Jus Navigandi, Teresina, ano 4, n. 40, mar. 2000.
Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=1782>. Acesso em: 30 abr. 2009.
A firma digital e entidades de certificação
Má
r
i
o
A
n
t
ô
n
i
o
L
o
b
a
t
o
d
e
P
a
i
v
a
a
d
v
o
g
a
d
o
e
m
B
e
l
é
m
(
P
A
)
,
t
i
t
u
l
a
r
d
o
e
s
c
r
i
t
ó
r
i
o
P
a
i
v
a
A
d
v
o
c
a
c
i
a
,
p
r
o
f
e
s
s
o
r
d
a
U
n
i
v
e
r
s
i
d
a
d
e
F
e
d
e
r
a
l
d
o
P
a
r
á
J
o
s
é
C
u
e
r
v
o
a
d
v
o
g
a
d
o
e
s
p
e
c
i
a
l
i
z
a
d
o
e
m
t
e
m
a
s
d
e
D
i
r
e
i
t
o
I
n
f
o
r
m
á
t
i
c
o
,
g
r
a
d
u
a
d
o
s
o
c
i
a
l
p
e
l
a
E
s
c
o
l
a
S
o
c
i
a
l
d
e
S
a
l
a
m
a
n
c
a
(
E
s
p
a
n
h
a
)
,
m
e
s
t
r
e
e
m
a
d
m
i
n
i
s
t
r
a
ç
ã
o
d
e
e
m
p
r
e
s
a
s
c
o
m
e
s
p
e
c
i
a
l
i
z
a
ç
ã
o
e
m
D
i
r
e
i
t
o
E
m
p
r
e
s
a
r
i
a
l
p
e
l
a
U
n
i
v
e
r
s
i
d
a
d
e
P
o
l
i
t
é
c
n
i
c
a
d
e
M
a
d
r
i
(
E
s
p
a
n
h
a
)
Sumário: Introdução; 1- Firma analógica (manuscrita); 1.1- Características da firma; 1.2- Elementos da
firma; 1.3- Aspectos legais; 2- Firma digital (eletrônica); 2.1- Características da firma eletrônica; 2.2
Aspectos legais; 2.2.1- Nos Estados Unidos; 2.2.2 – Na Europa; 2.2.3 – No México; 2.2.4 – No Brasil; 2.2.5-
A nivel internacional; 2.3- Legalidade dos documentos com firma digital; 3- Autoridade ou entidade de
certificação de chaves; 3.1 Funções das autoridades de certificação; 3.2 Autoridades públicas de
certificação; 3.3- Autoridades privadas de certificação; 4- Conclusões; 5; Bibliografia.
Introdução
A incorporação das novas tecnologias da informação em nossa sociedade fazem com que em
diversas situações, os conceitos jurídicos tradicionais sejam pouco idôneos para interpretar as novas
realidades. O avanço de sua implantação em todas as atividades tem provocado transformações de ampla
magnitude que nos permite afirmar que a sociedade atual está imersa na era da revolução informática. Este
avanço nos permite o acesso a todo tipo de informação, obtendo com ela um benefício correspondente.
A informação tem sido qualificada como um autêntico poder nas sociedades avançadas, demonstndo
sua importância desde a antiguidade e que com o desenvolvimento da telemática seu valor tem expandido de
tal forma que se dirige a um futuro pomissor para uns e incertos para outros.
O comércio, como disse DEL PESO NAVARRO, pioneiro em inovações jurídicas introduzidas no
passado por meio de costume, uma vez mais toma a dianteira e inumeráveis transações econômicas vem
sendo realizadas através dos meios eletrônicos, sem mais suporte legal que ao pacto entre as partes.
A contratação eletrônica em seu mais puro sentido, pouco a pouco vem sendo desenvolvida e cresce
de forma espetacular. Uma vez mais temos caminhado diante deste direito, entendendo esse como direito
positivo.
Na maioria das situações que envolvem questões jurídicas relacionadas com a informática quando
tratamos de reconduzir estes novos feitos as figuras jurídicas jurídicas existentes nos deparamos com certas
dificuldades. As velhas intituições jurídicas que, através dos séculos tem sido incorporadas as novas
realidades sociais, quando tem de fazê-lo com respeito a estas novas tecnologias entram em conflito ou as
admitem com reservas. Assim ocorre quando tratamos de adaptar o conceito de firma, tal como antigamente
se concebia, ao novo campo das transações eletrônicas.
O objetivo pretendido com o presente ensaio é de adentrar-mos no tema "documento informático", da

firma e sua autenicação e sua importância, bem como os efeitos probatórios do documento em si, fazendo
um breve repasse em sua aceitação nacional e internacional e as futuras autoridades de certificação das
firmas digitais
1. Firma analógica
Segundo CARRASCOSA LÓPEZ, podemos indicar que em Roma, os documentos não eram
firmados. Existia uma cerimônia chamada manufirmatio, pelo qual, logo após a leitura do documento por
seu autor e o notarius, era estendido sobre uma mesa e se passava a mão pelo pergaminho em sinal de sua
aceitação. Somente depois de cumprir essa cerimônia era estampado o nome do autor.
O sistema jurídico Visigótico existia a confirmação do documento pelas testemunhas que o tocavam
(Chartam tangere), assinavam e subescreviam (firmatio, roboratio, stipulatio). Os documentos privados são,
em ocasiões, confirmados por documentos reais. Desde a época euriciana as leis visigotas determinavam as
formalidades documentais, regulando detalhadamente as assinaturas, signos e comprovação de escrituras. A
"assinatura" respresentada pela indicação do nome do signante e a data, e o "signum", um rasgo (traço dado
com pena) que a substitue se não se souber ou não se puder escrever. Com a "assinatura" é dado pleno valor
probatório ao documento e ao "signum" devia ser complementado com o juramento de dizer a verdade por
parte de uma das testemunhas Se faltar a firma ou o sinal do autor do documento, está será inoperante e deve
completar-se com o juramento das testemunhas sobre a veracidade do conteúdo.
Na idade média, a documentação régia vinha garantida em sua autenticidade pela implantação do
selo real, selo que posteriormente passou as classes nobres e privilegiadas.
A firma era definida pela doutrina como o signo pessoal distintivo que, permite informar acerca da
identidade do autor de um documento, e manifestar seu acordo sobre o conteúdo do ato.
A Real Academia da Língua Espanhola define a firma como: "nome e apelido ou título de uma
pessoa que está por com rúbrica ao pé de um documento escrito a mão própria ou alheia, para dar-lhe
autenticidade, para exepressar que se aprova seu conteúdo ou para obrigar-se ao que nele se disse".
O Novo Dicionário da Língua Portuguese define firma como: "assinatura por extenso ou abreviada,
manuscrita ou gravada"
No vocabulário de COUTORE se define como: "traçado gráfico, contendo habitulamente o nome,

os apelidos e a rúbrica de uma pessoa, com a qual se subscrevem os documentos para dar-lhes autoria e
virtualidade e obrigar-se a que neles foi dito".
1.1. Características da firma
Das anteriores definições se depreendem as seguintes características:
a) Identificativa: serve para identificar quem é o autor do documento
b) Declarativa: significa a assunção do conteúdo do documento pelo autor da firma. Sobretudo

quando se trata da conclusão de um contrato, a forma é o sinal principal que representa a vontade de obrigar-
se.
3- Probatoria: permite identificar se o autor da firma é efetivamente o que celebrou a ato de firmar o
documento.
1.2. Elementos da firma
Temos que distinguir entre:

a) Elementos formais: são aqueles materiais da firma que estão relacionados com os procedimentos
utilizados para firmar e ao grafismo mesmo da firma.
- A firma como sinal pessoal
A firma é representada como uma espécie de sinal distintivo e pessoal, já que deve ser posta pelo
punho e letra do firmante. Essa característca da firma manuscrita pode ser eliminada e substituída por outros
meioscomo por exemplo, na firma eletrônica.
- O animus signandi
b) Elemento intencional ou intelectual da firma: consiste na vontade de assumir o conteúdo de um

documento, que não deve ser confundido com a vontade de contratar.
c) Elementos funcionais
Tomando a noção de firma como o sinal ou conjunto de sinais, podemos distinguir um dupla função.
- Identificadora
A firma assegura a relação jurídica entre o ato firmado e a pessoa que o firmou.
A identidade da pessoa determina sua personalidade e os efeitos de atribuidos no campo dos direitos
e obrigações.
A firma manuscrita expressa a identidade, aceitação e a autoria do firmante. Não é um método de

autenticação totalmente confiável. No caso de ser reconhecido a firma, o documento poderia ter sido
modificado quanto ao seu conteúdo – falsificado- e no caso de que não existir a firma autografada parece
fica prejudicado outro meio de autenticação. Em caso de dúvida ou negativa deverá ser realizada competente
perícia caligráfica para seu esclarecimento.
-Autenticação
O autor do ato expressa seu consentimento e faz sua própria mensagem.Destacando:
- Operação passiva que não requer o consentimento, nem mesmo do próprio sujeito identificado.
- Processo ativo pelo qual algúem se identifica conscientemente bem como quanto ao conteúdo
subscrito atribuido ao mesmo.
1.3. Aspectos legais
A firma credita a autoria do documento subscrito normalmente ao final do mesmo e representa a

formalização do consentimento e a aceitação do exposto, e portanto originina direitos e obrigações. A firma
será válida sempre que não seja falsificada ou tenha sido obtido com engano, coação ou de qualquer outro
procedimento ilícito.
2.Firma digital (eletrônica)
As firmas digitais baseadas na criptografia assimétrica podem ser enquadradas em um conceito mais
geral de firma eletrônica, que não pressuõe necessariamente a utilização de tecnologias de cifrado
assimétrico, pois que geralmente, vários autores referem indistintamente da firma eletrônica ou de firma
digital.
Tem os mesmos encargos da firma manuscrita, porém expressa a identidade e a autoria, a

autenticação, a integridade, a data, a hora e a recepção, através de métodos criptográficos assimétricos de
chave pública (RSA, GAMAL, PGP, DAS, LUC, etc...), técnicas de selamento eletrônico e funções Hash, o
que faz com que a firma esteja em função do documento que se subscreve (não é constante), porém que seja
feita de forma absolutamente inimitável caso não possua a chave privada com a que esta encripitada,
verdadeira atribuição a identidade e autoria.
Para Y. POULLET a firma eletrônica supõe uma série de características assinaladas ao final do
documento. É elaborada segundo procedimentos criptográficos, e leva um resumo codificado de mensagem,
é a identidade do emissor e receptor.
Para DEL PESO NAVARRO assevera que firma eletrônica é um sinal digital representado por uma
cadeia de bits que se caracteriza por ser secreta, fácil de reproduzir e de reconhecer, difícil de falsificar e
transformar em função da mensagem e em função do tempo, cuja a utilização obriga a aparição do que se
denomina fedatário eletrônico ou telemático que será capaz de verificar a autenticidade dos documentos que
circulam através das linhas de comunicação, ao ter não somente uma informação informática, mas também
jurídica.
As firmas eletrônicas ou digitais consistem basicamente na aplicação de algoritmos de encriptação de

dados, desta forma, só será reconhecido pelo destinatário, que poderá comprovar a identidade do rementente,
a integridade do documento, autoria e autenticação, preservando o mesmo tempo a confidencialidade.
A seguridade do algoritmo está diretamente relacionada com seu tipo, tamanho, tempo de cifrado e a
violação do segredo.
Os criptosistemas de chave pública, são mais idôneos como firma digital, além disso tecnicamente
são muito resistentes, pois calcula-se que levaria muitos anos para que o computador mais potente pudesse
romper a chave. Seu mecanismo de segurança se baseia sobretudo no absoluto segredo das chaves privadas,
tanto na sua geração quando no armaenamento bem como na certificação da chave pública pela autoridade
certificadora.
Entre os objetivos da firma eletrônica está de a conseguir a mundialização de um modelo universal

de firma eletrônica.
2.1. Características da firma eletrônica
Das definiçõe anteriores podemos destacar as seguintes características:
- Deve permitir a identificação do signatário. Adentramos no conceito de "autoria eletrônica" como

forma de determinar que uma pessoa é quem diz ser.
- Não pode ser gerada por pessoa diversa da do emissor do documento, infalsificável e inimitável.
- As informações geradas a partir da assinatura eletrônica devem ser suficientes para poder validá-la,
porém insuficientes para falsificá-la
- A posivel intervenção o Notário eletrônico dará mario segurança ao sistema.
- A aposição de uma assinatura deve ser significativa e esteja relacionada de forma indissociavel ao
documento a que se refere.
- Não deve existir dilação de tempo nem lugar entre a aceitação pelo signatário e a aposição da
assinatura.
2.2.1. Nos Estados Unidos
No final da década de sessenta, o governo dos Estados Unidos publicou o Data Encryption Standard
(DES) para comunicações de dados sensíveis porém não classificados. Em 16 de abril de 1993, o governo
dos EE.UU anunciou uma nova iniciativa criptográfica com vistas a proporcionar a civis um alto nível e
segurança nas comunicações: projeto Clipper. Esta iniciativa baseou-se em dois elementos fundamentais:
a) Um chip cifrador a prova de qualquer tipo de análise ou manipulação (o Clipper chip o EES
(Escrowed Encryption Standard) e;
b) Um sistema para compartilhar as chaves secretas (KES -Key Escrow System) que, em
determinadas circunstâncias, outorgaria o acesso a chave mestra de cada chip e permitindo conhecer as
comunicações cifradas por ele.
Nos EE.UU é onde encontramos a mais avançada legislação sobre firma eletrônica, através do
projeto de standartização do NIST (The National Institute of Science and Technology. O NIST foi
introduzido no projeto Cpasone, o DSS (Digital Signature Standard) como uma espécie de standart da firma,
apesar do governo americano não ter assumido como stanadat sua utilização. O NIST promove a afirma
abandeira de equiparação da firma manuscrita a digital.
A lei de referência da firma digital, para os legisladores dos Estados Unidos da ABA (American Bar
Association), Digital Signature Guidelines, de 1 de agosto de 1996.
O valor probatório da firma tem sido admitido em Utah, primeiro estado a dotar-se de uma lei de
firma digital. A firma digital de Utah (Digital Signature Act Utah de 27 de fevereiro de 1995, modificado em
1996) se baseia em um "Criptosistema Assimétrico" definido como um algoritmo que proporciona um par
de chaves seguro.
Seus objetivos são os de facilitar o comércio por meio de mensagens eletrônicas confiáveis,
minimizar a incidências da falsificação de firmas digitais e a fraude no comércio eletrônico.
A firma digital é uma transformação de uma mensagem utilizando um criptosistema assimétrico, de

tal forma que uma pessoa que tenha a mensagem cifrada e a chave pública de quem a firmou, pode
determinar com precisão a mensagem em claro e se foi cifrada usando a chave privada que corresponde a
pública do firmante.
O Estado de Utah tem redação de um projeto de lei (The Act on Electronic Notarization) em 1997.
A California define a firma digital como a criação pelo computador de um identificador eletrônico
que inclue todas as caracteríticas de uma firma válida, aceitável, como a única capaz de comprovar-se
através de um só controle, entrelaçando-se com os dados de tal maneira que se houver modificação dos
dados a firma autoatiamente é invalidada levando-se em consideração o modelo universal adotado pelas
seguintes organizações:- The International Telecommunication Unión.- The American National Standards
Institute.- The Internet Activities Board.- The National Institute of Science and Technology.- The
International Standards Organization. Podemos fazer referência a: ABA, Resolution concerning the
CyberNotary: an International computer-transaction specialist, de 2 de agosto de 1994. The Electronic
Signature Act Florida, de maio de 1.996 que reconhece a equivalência probatória da firma digital com a
firma manual. E nesta lei é usado o termo "international notary" em vez de "cybernotary" utilizado em
outras leis nos EE.UU. The Electronic Commerce Act, de 30 de maio de 1997, que faz referência ao
cybernotary.
The Massachusetts Electronic Records and Signatures Act, de 1996, que reconhece todo o
mecanismo capaz de proporcionar as funções da firma manuscrita sem cingir-se a um tipo concreto de
tecnología.
2.2.2.Na Europa
A Comissão Europeia tem pretendido harmonizar os regulamentos de criptografia de todos os Estado

membros. Até o momento, só aluns países dispõem de leis sobre firma digital e ou cifrado.
Na Espanha
A legislação atual e a jurisprudência, são suficientemente amplas no esclarecimento do conceito e

firma manuscrita a firma digital ou a qualquer outro tipo de firma. O certo é que por razões de segurança e
para oferecer maior confiança aos usuários e juízes que julguem casos evolvendo a firma digital, há
necessidade de uma reforma da lei cujo o objetivo é o de equiparar a firma manuscrita a qualquer outro meio
de firma que cumpra as mesmas finalidades.
O artigo 3 da RD 2404/1985, de 18 de dezembro, ao regular os requisitos mínimos das faturas, não

exige que sejam firmadas. Bem é verdade que o Código de Comércio não exige, pela regra geral, para uma
eficácia do contrato ou da fatura, a firma nem nenhum outro signo de validade, apesar de muitos
ordenamentos jurídicos requererem que os documentos estejam firmados de forma manuscrita – de punho e
letra – como para da solenidade da transação de forma privada. Cremos que não existe inconveniente algum
em admitir a possibilidade de uma firma eletrônica.
A circular do Banco da Espanha 8/88 de 14 de junho criando o regulamento do Sistema Nacional de

Conpensação eletrônica, se converteu-se em um marco na proteção e segurança necessária na identificação
para o acesso a informática, ao indicar que a informação será cifrada, para que as entidades introduzam um
dado de autenticação com a informação de cada comunicação, o que é reconhecido a este método o mesmo
valor que o que um escrito firmado por pessoas com poder bastante para tal fim.
O artigo 45 da Lei 30/1992 do regime das Administrações públicas e do Procedimento

Administrativo Comum incorporou o emprego e aplicação dos meios eletrônicos na atuação administrativa
aos cidadãos Para sua regulamentação, o Real Decreto 263/199 de 16 de fevereiro, indica que deverão
adaptar-se as medidas técnicas que garantam a identificação e a autenticidade da vontade declarada, porém
não há nenhuma regulamentação legal para a "firma eletrônica".
Na Alemanha
A lei de firma digital regula os certificados de chaves e a autoridade certificadora. Permite o

pseudônimo, porém preve sua identificação real por ordem judicial. A firma eletrônica tem sido definiada
como selo digital, com uma chave privada associada a chave pública certificada por um certificador.
A lei de 19 de setembro de 1996 é o primeiro projeto de lei de firma digital na Europa e entrou em
vigor em 01 de novembro de 1996.
Na França
A França é um dos países que mais tem avançado em termos de legislação em matérias envolvendo a
informática.A reforma do Código Civil da República da França mediante a Lei n 2000-230 de 13 de março
de 2000, sobre adaptação do direito de prova as novas tecnologias da informação e relativa a firma
eletrônica introduziu imprantes modificações no Capítulo VI, Da prova das obrigações e do pagamento, em
seu artigos 1315 inciso 1 e artigo 1316 incisos 1 a 4.
O inciso mais importante a nosso ver foi o artigo 1316-1 que dispõe: L´écrit sous forme électronique
est admis en preuve au même titre que l´écrit sur support papier, sous réserve que puisse être dûment
identifiée la personne dont il émane et quíl soit établi et conservé dans des conditions de nature à en
garantir líntégrité. (O escrito em forma eletrônica será admitido como prova com igual força que o escrito
em suporte de papel, salvo reserva de que pode ser devidamente identificada a pessoa de que emana e que
seja gerado e conservado m condições que permitam garantir sua integridade.)
Como podemos observar da leitura do artigo, é atribuído força probatória ao documento eletrônico
nas mesmas circunstâncias que o escrito em suporte de papel, desde que observe três condições
fundamentais; a) identificação do autor do documento; b) o processo de geração do documento deve garantir
sua integridade; c) o processo de conservação do documento deve garantir sua integridade.
Na Itália
A lei nº 59 de 15 de março de 1997, é a primeira norma do ordenamento jurídico italiano que

reconhece o princípio da plena validez dos documentos informáticos baseando-se em solucões etrangeiras e
supranacionais.
O regulamento aprovado pelo Conselho de Ministros de 31 de outubro de 1997 define a firma digital
como o resultado do processo informático (validação) baseado em um sistema de chaves assimétricas ou
duplas, uma pública e uma privada, que permite ao subescritor transmitir a chave privada e ao destinatário
transmitir a chave pública, respectivamente, para verificar a procedência e a integralidade de um documento
informático ou de um conjunto de documentos informáticos (artigo 1º alínea b). No regulamento da firma
digital está baseado exclusivamente no emprego de sistemas de cifrado chamados assimétricos. Regulam a
lei e o regulamento entre outras coisas: A validez do documentos informático; o documento informático sem
firma digital; o documento informático com firma digital; os certificadores; os certificados, autenticação da
firma digital; o "cybernotary"; os atos públicos notariais; a validação temporal; a caducidade, revogação e
suspensão da chaves; a firma digital falsa; a duplicidade, cópia e extratos do documento e a transmissão do
documento.
O Reino Unido
Há um vivo debate sobre a possibilidade de regulamentação dos terceiros de confiança – TC. Existe
um projeto de lei sobre firma dgital e terceiros de Cofiança.
Nos Países Baixos
Se tem criado um organismo ministerial encarregado do estudo da firma digital. Na Dinamaca, Suiça
e Bélgica está sendo elaborado um projeto de lei sobre firma digital. Na Suécia organizou-se uma audiência
púlica sobre a firma digital em 1997.
Na Comunidade Europeia
O artigo 6 do Acordo EDI (Electronic Data Interchange) da Comissão das comunidades Europeias,
que determina a necessidade de garantia de origem do documento eletrônico, não atenta para a
regulamentação da firma eletrônica.
Não obstante PERALES VISCASILLAS acreditar que não exista inconveniente algum em admitir a
possibilidade de uma firma eletrônica ser apoiada nas seguintes circunstâncias:
a) A Confiabilidade da firma eletrônica é superior a da firma manuscrita;
b). A equiparação no ambito comecial internacional da firma eletrônica e da firma manuscrita
c) No contexto das transações EDI é habitual a utilização da conhecida como "firma digital" que é
baseada em algoritmos simétricos nos quais ambas as partes conhecem a mesma chave e os em "algoritmos
assimétricos" nos quais, pelo contrário, cada contratante tem uma chave diferente. No mesmo sentido Isabel
HERNANDO referindo-se aos contratos-tipo da EDI indica que se as mensagens EDI são transmitidas
mediante procedimentos de autenticação como a firma digital, estas mensagens terão entre as partes
contratantes o mesmo valor probatório que o acordado em documento escrito firmado.
A Comissão Europeia tem financiado numerosos projetos (INFOSEC, SPRI, etc.) cujo objetivo é a
investigação dos aspectos técnicos, legais e econômicos da firma digital.
A Comissão Europeia publicou em outubro de 1997 uma Comunicação ao Conselho, ao Parlamento

Europeu, ao Comitê Econômico e Social e ao Comitê das Regiões intitulado "Iniciativa Europeia de
Comércio Eletrônico", com um subtítulo de "Criar um Marco Europeu para a Firma Digital e o Cifrado"
O que pretende a Comissão Europeia é encontrar um reconhecimento legal comum na Europa sobre
firma digital, com o objetivo de harmonizar as diferentes legislações, para que esta carta tenha natureza e
eficácia legal perante os tribunais em matéria penal, civil e mercantil, para efeitos de prova, apercebimento e
autenticidade.
Para conseguir essa coerência europeia deverá, sem dúvida, passar pelo estabelecimento de uma
política europeia de controle suscitando o mínimo de conflitos com outras potências econômicas como o
EE.UU, Canadá e Japão.
2.2.3. No México
A utilização de certificados emitidos na rede de certificação digital em convênio com a Associação

nacional de Notariado Mexicano A. C. e Acertia. Com e que veiculam a uma pessoa determinada a um par
de chaves e necessária para dar segurança e fidelidade ao uso de firmas eletrônicas em comunidades amplas
e de grande escala. Assim se soluciona o problema da integridade, autenticidade e a recusa de sua origem.
O uso do par de chaves em princípio é único e tem base no sistema informático e apoio na geração
do certificado se considera imanipulável e para os casos de algum defeito na geração de chaves, os credores
das chaves serão responsáveis de algum defeito ocorrido.
O funcionamento do registro público de comércio nulifica a possibilidade de fraudes ou recusa das

transações em curso.
Surge como fonte geradora de obrigações a relação do notário e o particular no processo de

outorgamento de certificados digitais.
O papel do terceiro como testemunha eletrônico será capaz de desenvolver a forma de fazer negócios
na internet. Outorgando a certeza e segurança jurídica necessária para que as partes possam celebrar
contratos eletrônicos da mesma forma com que celebram os de forma escrita.
O contrato eletrônico cumpre com todos os elementos do contrato pelo que sua validade jurídica é
plena.
O notário público no México é o mais indicado para agir como testemunha eletrônica já que é uma
pessoa em que o Estado tem delegado sua faculdade de dar fé aos atos jurídicos.
No México com o conjunto de reformas legais aplicáveis ao comércio eletrônico, será possível a
firma eletrônica e assim desta maneira proporcionar o suporte legal necessário para seu funcionamento, sem
embargo de uma maior regulação em matéria de contratação eletrônica aonde se incluam temas como as
obrigações das partes, a participação de terceiro como testemunha, o objeto do contrato, os meios de
manifestação da vontade, a formação do contrato, a segurança e prova do contrato (firma eletrônica e
certificados digitais), a forma de execução do contrato, a legalidade da fatura eletrônica, formas de dinheiro
eletrônico, a forma de pagamento, e forma de resolução de conflitos.
2.2.4. No Brasil
No Brasil temos apenas e em tramitação o Projeto de Lei nº 3.173, de 1997 (PLS nº 22/97), aprovado
no Senado, em 13.5.97, na forma de um Substitutivo, encaminhado recentemente para a Câmara do
Deputados para revisão, nos termos do art. 65 da Constituição Federal que dispõe sobre os documentos
públicos e privados produzidos e arquivados em meio eletrônico, sua conservação, garantia de autenticidade,
oportunidade em que poderão ser eliminados e sua força probatória em juízo.
Na Justificação, o Senador Sebastião Rocha apregoa as vantagens da utilização do meio eletrônico,

que se constitui em um avanço tecnológico sem precedentes na história da humanidade, sendo, o atual
sistema de arquivamento de documentos, ultrapassado, na medida em que se constitui num mero
empilhamento de papéis repletos de microorganismos. Pela nova sistemática, a autenticidade dos
documentos poderá ser certificada pelo órgão de origem, com a identificação dos servidores responsáveis
pelo procedimento.
Porém muito ainda há para ser feito nessa seara daí a necessidade do estudo da legislação e doutrina
estrangeira no sentido de aprimorar nossos conhecimentos e implantar em nosso país as benfeitorias desses
estudos para a melhor convivência da sociedade digital.
2.2.5. A nivel internacional.
Nas Nações Unidas
A Comissão das Nações Unidas para o Direito Mercantil Internacional (CNUDMI-UNCITRAL) em

º
seu 24 período de sessões celebrado de 1991 encarregou ao Grupo de Trabalho denominado "Pagos
internacionais" o estudo dos problemas jurídicos relacionados ao intercâmbio eletrônico de dados (EDI:
Electronic Data Interchange).
O Grupo de Trabalho dedicou seu 14º período de sessões, celebrado em Viena de 27 de janeiro à 7 de
fevreiro de 1992, a este tema e elaborou um informe que foi levado a Comissão. Mencionado encontro
determinou a definição de firma e outros meios de autenticação que deveriam ser inseridos em convenções
internacionais.
Foi adotada por uma grande parte de países a definição ampla de "firma" contida na Convenção das
Nações Unidas sobre Letra de Cambio Internacionais e Pagamentos Internacionais, que dispõe: "o termo
firma designa a firma manuscrita, seu fac-símile ou uma autenticação equivalente efetuada por outros
meios". Pelo contrário, a Lei modelo sobre transferências internacionais de Crédito utiliza o conceito de
"autenticação" ou de "autenticação comercialmente razoável", prescindindo da noção de firma, afim de
evitar dificuldades que esta pode ocasionar, tanto a concepção tradicional deste termo como sua concepção
ampliada. Em seu 25º período de sessões celebrado em 1992, a Comissão examinou o informe do 1º Grupo
de Trabalho e rencomendou a preparação de uma regulamentação jurídica do EDI ao Grupo de Trabalho,
agora denominado Intercâmbio Eletrônico de Dados. O Grupo de Trabalho sobre Intercâmbio Eletrônico de
Dados, celebrou seu 25º período de sessões em Nova York de 04 a 15 de janeiro de 1993 em que foi tratada
a autenticação da mensagens EDI, com vistas a estabelecer um equivalente funcional com a ‘firma’.
O Plenário da Comissão das Nações Unidas para o Direito Mercantil Internacional (CNUDMI-
UNCITRAL), em junho de 1996 em seu 29º período de sessões celebrado em Nova York, examinou e
aprovou o projeto de Lei Modelo sobre aspectos jurídicos da EDI com base na Lei Modelo sobre comércio
eletrônico (Resolução Geral da Assembléia 51/162 de 16 de dezembro de 1996). O arigo 7 da Lei modelo
reconhece o conceito de firma. A Comissão recomendou ao Grupo de Trabalho, agora denominado "sobre
comercio eletrônico" que se ocupe em examinar as questões jurídicas relativas as firmas digitais e as
autoridades de certificação. A Comissão pediu a Secretaria que preparasse um estudo de antecedentes sobre
questões relativas as firmas digitais. O estudo da Secretaria ficou reconhecido no documento
A/CN.9/WG.IV/WP.71 de 31 de dezembro de 1996. O Grupo de Trabalho sobre Comércio Eletrônico
celebrou seu 31 periodo de sessões em Nova York de 18 a 28 de fevereiro de 1997 e tratou de fixar as
diretrizes sobre as firmas digitais publicadas pela American Bar Association. O Plenário da Comissão da
Nações Unidas para o Direito Mercantil Internacional, que celebrou seu 30 período de sessões em Viena de
12 a 30 de maio de 1997, examinou o informe do grupo de Trabalho, suas conclusões e recomendou a
preparação de um regime uniforme sobre as questões jurídicas da firma numérica e as entidades
certificadoras.
O artigo 7 da Lei Modelo sobre Comércio Eletronico (LMCE) regula o equivalente funcional de
firma, estabelecendo os requisitos de admissibilidade de uma firma produzida por meio eletrônico, que nos
dando um conceito amplo de firma eletrônica e dipondo que "quando a lei requerer a firma de uma pessoa,
esse requisito ficará satisfeito em relação a uma mensagem de dados quando: a) for utilizado um método
para identificar e para indicar que essa pessoa aprova a informação que figura na mensagem de dados; e, b)
se referido método é confiável e apropriado para os fins que se criou ou comunicou a mensagem de dados, a
luz de todas as circunstâncias do caso, incluindo qualquer ato pertinente".
O artigo 3 do projeto letra A do WP.71 indica que "uma firma digital aderida a uma mensagem de
dados deve ser considerar autorizada se for possível a sua verfificação de acordo com os procedimentos
estabelecidos por uma autoridade certificadora"
Na O.C.D.E.
A Recomendação da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) sobre

a utilização da criptografia (Guidelines for Cryptography Policy) foi apovada em 27 de março de 1997. Esta
Recomendação não tem força vinculante e assinala uma série de regras que os governos deveriam levar em
consideração na formulação da legislação sobre firma digital e terceiros de confiança, com o fim de impedir
a adoção de diferentes regras nacionais que poderiam dificultar o comércio eletrônico e a sociedade da
informação em geral.
Na Organização internacional de Normas ISSO
Na norma ISSO/IEC 7498-2 (Arquitetura de Seguridade de OSI) sobre a que descansam todos os
desenvolvimentos normativos posteriores, regula os serviços de segurança sobre confidencialidade,
integridade, autenticidade, controle de acessos e não repúdio. Através de sua subcomissão 27, SC 27,
trabalha em uma norma referente a firma digital.
2.3. Legalidade de documentos com firma digital
O principal problema diz respeito as legislações de muitos países que ainda impõem requisitos de
escrita e firma manuscrita como condição de validade e como condição de provas dos contratos e atos
jurídicos. Em conseqüência, partindo-se desse ponto de vista legal, e para que estes contratos tenham
validade a jursiprudência deverá interpretar o termo firma em sentido latu sensu equiparando a firma digital
a firma manuscrita.
Todavia não se tem provado a validez legal da firma digital e ninguém visa ante os Tribunais de
Justiça, não existindo por isso garantias jurídicas plenas para seu uso. Não obstante, a firma digital, através
do meios criptográficos seja considerada mais segura do que a firma manuscrita, já que não só comporta
autenticidade do documento firmado, sua integridade e a certeza de que não foi alterado em nenhuma de
suas partes.
Atualmente não existe problema legal para o uso da firma figital por um grupo de usuários, sempre
que estes firmem "manualmente" um acordo prévio acerca do uso em suas transações comerciais, assim
como o método de firma e os tamanhos (e valores) das chaves públicas a empregar.
3. Autoridade ou entidade de certificação das chaves
A crescente interconexão dos sistemas de informação, possibilitada pela geral aceitação dos sistemas
abertos, e cada vez maiores prestações das atuais redes de telecomunicação, obtidas principalmente pela
digitalização, estão potenciando formas de intercambio de informática impensáveis até poucos anos. Por sua
vez, ele esta conduzindo a uma avalanche de novos serviços e aplicações telemáticas, com um enorme poder
de penetração nas emergentes sociedades de informação. Assim o teletrabalho, a teleadministração, o
comércio eletrônico, etc.. estão modificando revolucionariamente as relações econômicas, administrativas,
laborais de tal forma que em poucos anos serão radicalmente distintas de como são agora.
Todas esses novas aplicações inseridas pela informática na sociedade não poderão ser desevolvidas
em sua plenitude se não forem dotadas de serviços e mecanismos de segurança confiáveis. Dentro desse
sistema de segurança que indicamos, para que qualquer usuário possa confiar em outro haveria a
necessidade de serem estabelecidos certos protocolos, especificamente, as regras de comportamento a
seguir. Existem diferentes tipos de protocolos onde há a intervenção de terceiros confiáveis (Trusted Third
Party, TTP, na terminologia inglesa). São eles:
a) Os protocolos arbitrados- neles uma TPC ou Autoridade de Certificação participa das transações
para assegurar que ambos os lados atuem segundo as pautas marcadas pelo protocolo.
b) Os protocolos notariais- neste caso a TPC, além de garantir a correta operação, também permite
julgar se ambas as partes atuaram por direito segundo a evidencia apresentada através dos documentos
firmados pelos participantes e incluídos dentro do protocolo notarial. E nestes casos, com a chancela do
notário na transação, poderá este atestar sua validade, posteriormente, em caso de disputa.
c) Os protocolos autoverificáveis- nestes protocolos cada parte pode verificar se a outra esta agindo
de má-fé, durante o transcurso da operação. A firma digital em si, é um elemento básico dos protocolos
autoverificáveis, nesse caso não será preciso a intervenção de uma Autoridade de Certificação para
determinar a validade de uma firma.
A Autoridade ou Enidade de Certificação deve reunir os requisitos que determinem a lei, além dos
conhecimentos técnicos e experiência necessária, de forma que se ofereça confiança, confiabilidade e
segurança. Deverá ser previsto o caso de desaparecimento do organismo certificador e criar algum registro
geral de certificação tanto nacional como internacional, que por sua vez fize-se regularmente auditorias nas
entidades encarregadas para justamente garantir seu funcionamento, emvirtude da carência de normas que
regulem a autoridade ou entidade de certificação.
Para uma certificação de natureza pública, o Notário, no momento de subescrever os acordos de

intercâmbio e validação de prova, pode gerar e entregar com absoluta confidencialidade a chave privada. O
documento WP.71 de 31 de dezembro de 1996 da Secretaria das Nações Unidas indica em seu parágrafo 44
que as entidades certificadoras devem seguir alguns critérios como:
a) Independência de recursos e capacidade financeira para assumir a responsabilidade pelo risco de

perdimento;
b) Experiência em tecnologias de chave pública e familiaridade com procedimentos de segurança

apropriadas que garantam a longevidade desses mecanismos;
c) Aprovação da equipamento e os programas;

d) Manutenção de um registro de auditoria e realização de auditorias por uma entidade independente;
e) Existência de um plano para caso de emergência, bem como programas de recuperação em casos
de desastres ou depósito de chaves;
f) Seleção e adminsitração de pessoal;
g) Disposições para proteger sua própria chave privada;
h) Segurança interna;
i) Disposições para suspender as operações, incluindo a notificação dos usuários;
j) Garantias e representações (outorgadas ou excluídas);
l) Limitação da responsabilidade;
m) Seguros;
n) Capacidade para a troca de dados com outras autoridades certificadoras;
o) Procedimentos de renovação (no caso de a chave criptográfica tenha sido perdida ou haja ficado
exposta).
Podem ainda, as autoridades de Cetificação emitir diferentes tipos de certificados, como:
a) Os certificados de identidade que são os mais utilizados atualmente dentro dos criptosistemas de
chave pública e ligam uma identidade pessoal (usuário) ou digital (equipe, softare, etc..) a uma chave
pública;
b) Os certifiados de autorização são aqueles que certificam outro tipo de atributos do usário distintos
a identidade.
c) Os certificados transnacionais são aqueles que atestam que algum feito ou formalidade aconteceu
ou foi presenciada por um terceiro;
d) Os certificados de tempo são aqueles que atestam que um documento existia em um instante
determinado de tempo.
O Setor de autoridades de certificação, até hoje, ncontra-se dominado por entidades privadas
americanas, já que já existiam iniciativas póprias na União Europeia que ultrapassam as fornteiras de seus
países de origem, ou seja, sem sair de outros Esatdos membros.
O termo TTP (Tercera Parte Confiable) a que antes nos referiamos nos indicam associações que
ministram uma amplo margem de serviços, frequentemente associados com o acesso legal a chaves
criptográficas. Ao que não se descarta que as TTP atue como autoridades de Certificação (AC), as funções
de ambas tem sido considerado progressivamente diferentes destacando-se a expressão AC para as
organizações que garantem a associação de uma chave pública a certa entidade, o que por motivos obvios
deveria excluir do conhecimento por parte de dita autoridade da chave privada, que é justamente o que supõe
deveria conhecer uma TTP.
A Comissão Europeia distingue entre:
Autoridades de certificação (AC): o serviço essencial é "autenticar a propriedade e as características

de uma chave pública, de maneira que resulte digna de confiança, e expedir certificados". Terceiros de
confiança (TC).
Oferecem diversos serviços, podendo gozar de acesso legítimo a chaves de cifrado. Uma TC poderia
atuar como uma AC.
O que a Comissão pretende é que as legislações sobre firma digital e AC/TC dos distintos países
membros é que:
Sejam baseadas em critérios comunitários delimitando suas tarefas – certificação ou administração

de chaves – e serviços podendo estabelecer-se prescrições técnicas comuns para as transações por realizadas
por intermédio da firma digital através de normas claras em matéria de responsabilidades (usuários frente a
AC) erros, etc...
3.1. Funções das autoridades de certificação
As funções de uma autoridade de certificação devem ser, entre outras, as seguintes:
a) Geração e registro de chaves;
b) Identificação de petições de certificados;
c) Emissão de certificado;
d) Armazenamento na AC de sua chave privada;
e) Manter as chaves vigentes e revogá-las;
f) Serviço de diretório.
3.2. Autoridades de certificação
A estrutura e o quadro de funcionamento das autoridades de certificação (public key infrastructure)

prevêem uma estrutura hierarquizada em dois níveis: O nível superior só será ocupado por autoridades
públicas, que é a que certifica a autoridade subordinada, normalmente privada.
Na Espanha
O Projeto CERES, em que participam o MAP, o Conselho Superior de Informática, o Ministério da

Economia e Fazenda e Correios e Telégrafos e contempla o papel da Fabrica Nacional da Moeda e Timbre
como entidade encarregada de prestar serviços que garantam a segurança e validez da emissão e recepção de
comunicações e documentos por meios eletrônicos, informativos e telemáticos.
Se pretende garantir a segurança e a validez na emissão e recepção de comunicações e documentos

por meios eletrônicos, informáticos e telemáticos a as relações entre órgãos da Administração Geral do
Estado e outras Administrações, e entre estes e os cidadãos, seguindo diretrizes de legislação prévia (Lei de
Regime Jurídico das Administrações Públicas e do Procedimento Administrativo comum, de 1992, e Real
Dereto 263/1996.
O objetivo desta autoridade de certificação, assim como as outras entidades comerciais de

certificação será o reconhecimento de todos os efeitos legais do certificado digital, o que ainda não se
contempla na legislação espanhola.
Os serviços oferecidos são:
Primários- Emissão de certificados, arquivo de certificados, geração de chaves, arquivo de chaves,

registro de feitos auditáveis.
Interativos- Registro de usuários e entidades, renovação de certificados, publicação de políticas e

modelos, publicação de certificados, publicação de listas de revogação e diretorio seguro de certificados.
De certificação de mensagens e transações – Certificação temporal, certificação de conteúdo,

mecanismos de não-repúdio (confirmação de envio e confirmação de recepção)
Da confidencialidade – suporte de mecanismos de confidencialidade, agente de recuperação de

chaves e recuperação de dados protegidos
Os notários através de seus colégios respectivos tem a função de adaptar seus modelos aos novo
tempo virtuais tornando acessível esse serviço público notarial a quem dele necessite.
Na Itália
A autoridade nacional de certificação é a AIPA (Autorità per lÍnformatica nella Pubblica

Amministrazione).
3.3. Autoridades privadas de certificação
Na Espanha
Existem focos privados de atividade, vinculados com a confiabilidade. A mais importante é a

denominada ACE (Agencia de Certificación Electrónica) que é formada pela CECA, SERMEPA, Sistemas
4B e Telefónica, que é uma Autoridade de Certificação corporativa do sistema financeiro espanhol, também
existindo como terceiro de confiança.
En Bélgica
Existe o Terceiro certificador chamado Systèeme Isabel, que oferece serviços certificadores a sócios
financeiros e comerciais. A Câmara de Comercio unida a empresa Belsign tem formado um Trusted Third
Party na qual a Câmara de Comércio exerce as funções de Registro e Belsign fica com as funções notariais..
Nos Estados Unidos
Utah Digital Signature Trust, One So. Main, Salt Lake City, Utah
ARCANVS, S.A. Sanders Lane, Kaysville, Utah
Na Internet
Existem servidores na internet conhecidos como "servidores de chaves" que recopiam as chaves de
milhares de usuários. Todos os servidores de chaves existentes no mundo compartem desta informação, pelo
que basta publicar a chave em um de propriedade desse servidor para que em poucas horas esteja disponível
para todos os usuários.
Conclusões
Este ensaio teve como um de seus objetivos o de demonstrar as importantes mudanças que tem
experimentado a firma desde suas origens até nosso dias e como devemos tratar de adaptar estas
transformações a realidade social e deixar a porta aberta para outros futuros avanços, bem como o
surgimento de novas tecnologias que sem dúvida virão.
As novas tecnologias da informação e das comunicações, unidas a outras técnicas dão confiabilidade
ao documento eletrônico e trazem consigo uma maior segurança mediante o desenvolvimento e extensão de
remédios técnicos e procedimentos de controle baseados na criptografia. Esta maior segurança poderá ser
alcançada com uma adequação normativa que nos conduza a uma autenticação eletrônica.
O maior entrave existente no que concerne as novas tecnologias da informação diz respeito a não
formação e adequação das pessoas e meios a realidade social.
A criação dos notários públicos eletrônicos nos levará a uma avanço e maior segurança com relação
a autenticação de documentos que circulem através das meios eletrônicos de comunicação assim como a
criação de um fichário público de controle com maiores garantias dos que as atuais.
Uma única Entidade de Certificação de âmbito universal é inviável, portanto deverão existir uma ou
várias redes de autoridades nacionais ou setoriais, interrelacionadas entre sí e que por sua vez devem servir
os usuários de suas circunscrições.
A firma digital, com as garantias exigidas para a necessária segurança jurídica, abrirá um promissor
caminho elastecendo e valorizando ainda mais a fé pública. Entre os objetivos da firma digital está o de
conseguir a universalizacão de um modelo de firma eletrônica que possa ser utilizado por uma expressiva
quantidade de países sendo elaborada por uma Diretiva Comunitária.
Por fim alertamos para que sejam tomadas como diretrizes para o desenvolvimento da firma digital
as seguintes conclusões expostas na IX Jornada Notarial Iberoamericana realizada em Lima, Peru que são as
seguintes:
a) Que o notário não pode permanecer alheios aos avanços tecnológicos que possam
e devem ser aplicados em sua atividade, na medida que melhore a prestação da função e
incremente seguridade jurídica.
b) Que o suporte informático em substituição ao suporte em papel possa ser

utilizado na prestação da função notarial, sempre que os avanços na segurança de sua
conservação, e da firma eletrônica, eliminam os atuais riscos, e que o conteúdo do
documento, com a intervenção do notário, seja assumida pelas partes, mediante sua firma
eletrônica e autorizado pelo notário com a sua.
c) As chaves públicas e privadas do notário não podem estar sujeitas a limites

temporais de caducidade das chaves dos outorgantes Não devem impedir a obtenção de
reproduções de documento.
d) Deve regular-se o documento público eletrônico, sua conservação (protocolo

eletrônico) e o sistema de translado de seu conteúdo às partes ou pessoas com direito a
conhecê-lo, sem que se possa acessá-lo através da rede sem a intervenção notarial.
e) Os sistemas de comunicação telemática devem servir para estreitar a

colaboração entre os notários dos países tradição romano-germânica, a fim de
incrementar a segurança jurídica no trafico internacional de documentos.
f) Os avanços informáticos devem servir para facilitar as relações entre os

serviços notariais e registrais.
g) O documento público eletrônico, autorizado por notário, deve poder gozar dos
mesmos efeitos legitimadores, executórios e probatórios dos documentos em papel".
Bibliografia
ALCOVER GARAU, Guillermo, "La firma electrónica como medio de prueba (Valoración jurídica
de los criptosistemas de claves asimétricas)", Cuadernos de Derecho y Comercio nº 13, abril 1994, Consejo
General de los Colegios Oficiales de Corredores de Comercio, Madrid. págs. 11 a 41.
ALVAREZ-CIENFUEGOS SUÁREZ, José María, "Las obligaciones concertadas por medios

informáticos y la documentación electrónica de los actos jurídicos", Informática y Derecho nº 5, UNED,
Centro Regional de Extremadura, Aranzadi, Mérida, 1994, págs. 1273 a 1298.
ALVAREZ-CIENFUEGOS SUÁREZ, José María, "Documento electrónico", Marco legal y

deontológico de la Informática, Mérida 19 de septiembre de 1997.
ASÍS ROIG, Agustín de, "Documento electrónico en las Administración Pública", en "Ámbito
jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo
General del Poder Judicial, Madrid, 1996, págs. 137 a 189.
BARRIUSO RUIZ, Carlos, "Interacción del Derecho y la Informática", Dykinson, Madrid, 1996.
BARRIUSO RUIZ, Carlos, " Contratación Electrónica", Marco legal y deontológico de la

Informática, Mérida, 17 de septiembre de 1997.
BARRIUSO RUIZ, Carlos, "La contratación electrónica", Dykinson, Madrid, 1998.
CAMPS LLUFRIÚ, Mateo; JOYANES AGUILAR, Luis; SANTAELLA LÓPEZ, Manuel "Aspectos
sociojurídicos de la contratación electrónica", XII Encuentro sobre Informática y Derecho, Instituto de
Informática Jurídica Facultad de Derecho de la Universidad Pontificia Comillas (ICADE), Madrid, 12 de
mayo de 1998.
CARRASCOSA LÓPEZ, Valentín; BAUZA REILLY, Marcelo; GONZÁLEZ AGUILAR, Audilio,

"El derecho de la prueba y la informática. Problemática y perspectivas", Informática y Derecho nº 2, UNED,
Centro Regional de Extremadura, Mérida, 1991.
CARRASCOSA LÓPEZ, Valentín; POZO ARRANZ, Asunción; RODRÍGUEZ DE CASTRO,

Eduardo Pedro, "Valor probatorio del documento electrónico", Informática y Derecho nº 8, UNED, Centro
Regional de Extremadura, Mérida, 1995, págs. 133 a 173.

Eduardo Pedro, "El consentimiento y sus vicios en los contratos perfeccionados a través de medios
electrónicos", Informática y Derecho nº 12, 13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida,
1996, págs. 1021 a 1037.
CARRASCOSA LÓPEZ, Valentín, "El documento electrónico o informático", Revista de

Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 43 a 46.
CARRASCOSA LÓPEZ, Valentín, "El documento electrónico como medio de prueba", en

Dogmática penal, política criminal y criminología en evolución de Carlos María Romeo Casabona (ed.),
Editorial Comares S.L., Centro de Estudios Criminológicos, Universidad de la Laguna, 1997, págs. 187 a
201.

Eduardo Pedro, "La contratación informática: el nuevo horizonte contractual. Los contratos electrónicos e
informáticos", Editorial Comares S.L, Granada, 1997.
CASTAÑO SUAREZ, Raquel, "El Real Decreto 263/1996, de 16 de febrero, por el que se regula la
utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado", X
años de encuentros sobre informática y Derecho 1996-1997, Facultad de Derecho e Instituto de Informática
jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1997, págs. 413 a 419.
CAVANILLAS MÚGICA, Santiago, "Introducción al tratamiento jurídico de la contratación por

medios electrónicos (EDI)", Actualidad Informática Aranzadi nº 10, enero de 1994.
CAVANILLAS MÚGICA, Santiago, "Régimen jurídico del intercambio electrónico de datos",

Encuentros sobre Informática y Derecho 1995-1996, Facultad de Derecho e Instituto de Informática Jurídica
de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1996, págs. 103 a 106.
DAVARA RODRÍGUEZ, Miguel Ángel, "Las telecomunicaciones y las Tecnologías de la

Información en la Empresa: Implicaciones Socio-Jurídicas", Informática y Derecho nº 1, UNED, Centro
Regional de Extremadura, Mérida, 1992, págs. 27 a 39.
DAVARA RODRÍGUEZ, Miguel Ángel, "El Intercambio Telemático de datos en las transacciones
comerciales. Su validez jurídica", Revista de Informática y Derecho, UNED, Centro Regional de
Extremadura, Mérida, 1995, págs. 58 a 60. Actualidad Informática Aranzadi nº 14, enero de 1995.
DAVARA RODRÍGUEZ, Miguel Ángel, "De las Autopistas de la Información a la Sociedad

Virtual", Aranzadi, 1996.
DAVARA RODRÍGUEZ, Miguel Ángel, "Manual de Derecho Informático", Aranzadi, Pamplona,

1997.
DAVARA RODRÍGUEZ, Miguel Ángel, "El documento electrónico, informática y telemático y la

firma electrónica", Actualidad Informática Aranzadi nº 24, Julio de 1997.
DAVARA RODRÍGUEZ, Miguel Ángel, "La sociedad de la información y el tratamiento de datos

de carácter personal", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto
de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1998, págs. 19 a 32.
DÁVILA MURO, José; MORANT RAMÓN, José Luis ;SANCHO RODRÍGUEZ, Justo, "Control
gubernamental en la protección de datos: proyecto Clipper", X años de encuentros sobre Informática y
Derecho 1996-1997, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de
Comillas (ICADE), Aranzadi, 1997, págs. 25 a 50.
DÁVILA MURO, José; MORANT RAMÓN, José Luis; SANCHO RODRÍGUEZ, Justo,
"Autoridades de certificación y confianza digital", Encuentros sobre Informática y Derecho 1997-1998,
Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE),
Aranzadi, 1998, págs. 159 a 184.
DOMÍNGUEZ, Agustín, "Transferencia electrónica de fondos y de datos. Protección jurídica de los

datos personales emitidos en una operación de pago electrónico", Encuentros sobre Informática y Derecho
1992-1993, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas
(ICADE), Aranzadi, Pamplona, 1993, págs. 117 a 132.
GALLARDO ORTIZ, Miguel Ángel, "Criptología; Seguridad Informática y Derecho. Leyes del
Ciberespacio", Informática y Derecho nº 4, UNED, Centro Regional de Extremadura, Aranzadi, Mérida,
1994, págs. 473 a 480.
GALLARDO ORTIZ, Miguel Ángel, "Firmas electrónicas mediante criptología asimétrica", Revista
de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 19 a 23.
GALLARDO ORTIZ, Miguel Ángel, "Informatoscopia y tecnología forense", en "Ámbito jurídico

de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo General del
Poder Judicial, Madrid, 1996, págs. 21 a 61.
GÓMEZ, José Manuel, "PGP 5", y World, Año II, número 2, febrero 1998.
GONZÁLEZ AGUILAR, Audilio, "EDI (Echange Data Informatics): Desafío de una nueva
práctica", Informática y Derecho nº 4, UNED, Centro Regional de Extremadura, Aranzadi, Mérida, 1994,
págs. 555 a 568.
HERNANDO, Isabel, "La transmisión electrónica de datos (EDI) en Europa (Perspectiva jurídica)",
Actualidad Informática Aranzadi nº 10, enero de 1994.
HEREDERO HIGUERAS, Manuel, " Valor probatorio del documento electrónico", Encuentros
sobre Informática y Derecho 1990-1991, Facultad de Derecho e Instituto de Informática Jurídica de la
Universidad Pontificia Comillas (ICADE), Aranzadi, 1991.
JULIÁ BARCELÓ, Rosa, "Firma digital y Trusted Third Parties: Iniciativas reguladoras a nivel
internacional", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de
Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1998, págs. 217 a 226.
LARRIEU, J. "Les nouveaux moyens de preuve: pour ou contre lídentification des documents
informatiques à des escrits sous seing privé", Cahiers Lamy du Droit de lÍnformatique, noviembre 1988,
Pantin.
LÓPEZ ALONSO, Miguel Ángel, "El Servicio EDI y su contratación", Informática y Derecho nº 12,
13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida, 1996, págs. 1039 a 1053.
MADRID PARRA, Agustín, "EDI (Electronic Data Interchange): Estado de la cuestión en

UNCITRAL", Revista de Derecho Mercantil nº 207 enero-marzo 1993. Madrid, págs. 115 a 149.
MADRID PARRA, Agustín, "Firmas digitales y entidades de certificación a examen en la

CNUDMI/UNCITRAL", Actualidad Informática Aranzadi nº 24, julio de 1997.
MELTZER CAMINO, David, "Comunicado sobre la experiencia obtenida por el Departamento de

Ingeniería y Arquitecturas telemáticas de la UPM en el desarrollo de un EDI seguro dentro del proyecto
EDISE", Encuentros sobre Informática y Derecho 1995-1996, Facultad de Derecho e Instituto de
Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1996, págs.
147 a 152.
MORANT RAMÓN, José Luis y SANCHO RODRÍGUEZ, Justo, "Garantías de la firma electrónica
de contratos y autenticación de las partes", Encuentros sobre Informática y Derecho 1992-1993, Facultad de
Derecho e Instituto de Informática Jurídica de la Universidad de Comillas (ICADE), Aranzadi, Pamplona,
1993, págs. 107 a 115.
MORANT RAMÓN, José Luis; DÁVILA MURO, Jorge; SANCHO RODRÍGUEZ, Justo,
"Registros públicos digitales: el tiempo y su veracidad", XII Encuentro sobre Informática y Derecho,
Instituto de Informática Jurídica Facultad de Derecho de la Universidad Pontificia de Comillas (ICADE),
Madrid, 11 de mayo de 1998.
NO-LOUIS Y CABALLERO, Eduardo de, "Internet, germen de la sociedad de la información",

Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de Informática Jurídica
de la Universidad de Comillas (ICADE), Aranzadi, 1998, págs. 227 a 242.
PAIVA, Mário Antônio Lobato de Paiva. A Mundialização do Direito Laboral. LEX- Jurisprudência
do Supremo Tribunal Federal. Ano 23, julho de 2001, n 271. Editora Lex.S/A, São Paulo-SP, páginas 05.
________. O e-mail como instrumento de divulgação sindical. Jornal Trabalhista Consulex, Ano
XVIII, n 863, Brasília 14 de maio de 2001, página 06.
________. A informatização da justa causa. Jornal Trabalhista Consulex, Ano XVIII, n 849, Brasília
05 de feveeiro de 2001, página 08.
________. Aspectos Legais na Internet. "O Liberal", página 02, caderno atualidades, 28 de setembro
de 2000.
________. Os crimes da informática. Jornal "O Liberal", página 02, caderno atualidades, 12 de
fevereiro de 2000.
________. O impacto da informática nas relações laborais. Repertório da jurisprudência da IOB. N

6, 2O. quinzena de março de 2001.
________. O Impacto da alta tecnologia e a informática nas relações de trabalho na América do

Sul. Justiça do Trabalho: Revista de Jurisprudência Trabalhista, nº 209, mio de 2001, HS Editora, página 7.
________. O Documento, a Firma e o Notário Eletrônico. Separata da Revista Trimestral de

Jurisprudência dos Estados. Vol. 181-182 Abr/Jun 2001 pag 39
________. O impacto da informática no direito do trabalho. Direito Eletrônico: A Internet e os

Tribunais, editora edipro, 1º edição 2001, página 661.
PEÑA MUÑOZ, José de la, "Hacia un marco Europeo para la firma digital y el cifrado", Revista SIC
(Seguridad en Informática y Comunicaciones) nº 28, febrero 1998, págs. 28 a 32.
PERALES VISCASILLAS, Mª del Pilar, "La factura electrónica", Actualidad Informática Aranzadi
nº 24, Julio de 1997.
PÉREZ LUÑO, Antonio-Enrique, "Manual de informática y derecho", Ariel Derecho, Barcelona,

1996.
PÉREZ LUÑO, Antonio-Enrique, "Ensayos de Informática Jurídica", Biblioteca de Ética, Filosofía

del Derecho y Política nº 46, México, 1996.
PESO NAVARRO, Emilio del, "Resolución de conflictos en el intercambio electrónico de

documentos", en Ámbito jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial,
Escuela Judicial/Consejo General del Poder Judicial, Madrid, 1996, págs. 191 a 245.
POZO ARRANZ, Mª Asunción y RODRÍGUEZ DE CASTRO, Eduardo Pedro, "Nueva Perspectiva

de la contratación ante las modernas tecnologías", Revista de Informática y Derecho, UNED, Centro
Regional de Extremadura, Mérida, 1995, págs. 11 y 12.
RIBAGORDA GARNACHO, Arturo, "Las Autoridades de Certificación en los nuevos servicios y

aplicaciones telemáticas". Ponencia en las Jornadas sobre Seguridad en Entornos Informáticos. Instituto
Universitario "General Gutiérrez Mellado", Madrid 9-12 de marzo de 1998.
ROUANET MOSCARDÓ, Jaime, "Valor Probatorio Procesal del Documento Electrónico",

Informática y Derecho nº 1, UNED, Centro Regional de Extremadura, Mérida, 1992, págs. 163 a 175.
ZAGAMI, Raimondo, "La firma digitale tra soggetti privati nel regolamento concernente. Atti,
documenti e contratti in forma elettronica", Il Diritto dellínformazione e dellínformatica. Anno XIII nº 6
novembre-dicembre 1997, Editore A. Giuffré, Milano, págs. 903 a 926.
http://dev.abanet.org/scitech/ec/isc/dsgfree.html. The American Bar Association Section of Science

and Technology.
http://www.Banesto.es. Ofrece los servicios de Tercero de Confianza a sus usuarios.
http://www.cohasset.com/elec_filing/pag10.html.
http://www.ilpf.org./digsig/intl.htm. Digital Signature Legislation.
http://www.ispo.cec.be/Ecommerce. "A European Initiative in Electronic Commerce"
http://www.itd.umich.edu/ITDigest/0797/news05.html. Digital Signature Laws.
http://www.kriptopolis.com. Criptografía, PGP y seguridad en Internet.
http://www.map.es/csi. Comité Técnico del Consejo Superior de Informática.
http://www.state.ut.us/web/commerce/digsig/dsmain.htm. Utah Digital Signature Program.
Sobre os autores
Mário Antônio Lobato de Paiva é membro da Union Internationale des Avocats (Paris, França), da
Federação Iberoamericana de Associações de Direito e Informática, da Associação de Direito e
Informática do Chile, do Instituto Brasileiro de Política e Direito da Informática e do Instituto
Brasileiro de Direito Eletrônico. É também assessor da Organização Mundial de Direito e
Informática (OMDI), integrante de la Red Mexicana de Investigadores del Mercado Laboral,
colaborador da Revista do Instituto Goiano de Direito do Trabalho, Revista Forense, do Instituto
de Ciências Jurídicas do Sudeste Goiano e Revista de Jurisprudência Trabalhista "Justiça do
Trabalho", da Revista Síntese Trabalhista, do Boletim Latino-americano da Concorrência.
Escreveu diversos artigos e os livros "A Lei dos Juizados Especiais Criminais" (Forense, 1999) e "A
Supremacia do advogado em face do jus postulandi" (LED, 2000).
Home-page: www.netcie.com.br/advocacia
José Cuervo
E-mail: [ não disponível ]
Sobre o texto:
PAIVA, Mário Antônio Lobato de; CUERVO, José. A firma digital e entidades de certificação . Jus
Navigandi, Teresina, ano 6, n. 57, jul. 2002. Disponível em:
<http://jus2.uol.com.br/doutrina/texto.asp?id=2945>. Acesso em: 30 abr. 2009.
Sobre a criação da ICP-Brasil
Pe
d
r
o
A
n
t
ô
n
i
o
D
o
u
r
a
d
o
d
e
R
e
z
e
n
d
e
p
r
o
f
e
s
s
o
r
d
e
C
i
ê
n
c
i
a
d
a
C
o
m
p
u
t
a
ç
ã
o
d
a
U
n
i
v
e
r
s
i
d
a
d
e
d
e
B
r
a
s
í
l
i
a
(
U
n
B
)
,
c
o
o
r
d
e
n
a
d
o
r
d
o
p
r
o
g
r
a
m
a
d
e
E
x
t
e
n
s
ã
o
U
n
i
v
e
r
s
i
t
á
r
i
a
e
m
C
r
i
p
t
o
g
r
a
f
i
a
S
e
g
u
r
a
n
ç
a
C
o
m
p
u
t
a
c
i
o
n
a
l
d
a
U
n
B
,
A
T
C
P
h
D
e
m
M
a
t
e
m
á
t
i
c
a
A
p
l
i
c
a
d
a
p
e
l
a
U
n
i
v
e
r
s
i
d
a
d
e
d
e
B
e
r
k
e
l
e
y
(
E
U
A
)
,
e
x
-
r
e
p
r
e
s
e
n
t
a
n
t
e
d
a
s
o
c
i
e
d
a
d
e
c
i
v
i
l
n
o
C
o
m
i
t
ê
G
e
s
t
o
r
d
a
I
n
f
r
a
e
s
t
r
u
t
u
r
a
d
e
C
h
a
v
e
s
P
ú
b
l
i
c
a
s
B
r
a
s
i
l
e
i
r
a
(
I
C
P
-
B
r
a
s
i
l
)
Índice: 1- Paralelos entre ICP-Brasil, Certificadora Raiz e o Banco Central; 2- Tecnologia adotada pela ICP-
Brasil; 3- A obrigatoriedade da Certificação; 4- Credenciamento de Certificadoras versus Confiabilidade das
Assinaturas; 5- A Certificação e a Validade Jurídica de Documentos.
Preâmbulo
Nos debates sobre a criação da Infra Estrutura de Chaves Públicas (ICP) do Brasil, alguns
questionamentos e dúvidas têm sido levantados com frequência. A maneira superficial com que têm sido
respondidos, pelo menos no espaço que ganham na imprensa imediata, nos motiva a oferecer esta reflexão.
Escolhemos cinco dentre os mais frequentes, para uma análise mais detalhada. A primeira questão que nos
chama a atenção, é sobre uma analogia que temos visto empregada por quem defende a criação desta ICP
através da Medida Provisória 2200.
1- Paralelos entre ICP-Brasil, Certificadora Raiz e o Banco Central
Esta analogia compara uma Autoridade Certificadora Raiz única a um Banco Central. Que pontos,
positivos e negativos, poderíamos considerar a respeito desta analogia, e desta centralização nas mãos de um
Poder Público? É tentador, mas uma falácia perigosa, pensar na AC Raiz como equivalente a um Banco
Central. A função de uma AC Raiz numa ICP é mais parecida com uma gráfica que imprime cédulas de
dinheiro, como a Casa da Moeda, do que com o Banco Central.
1.1 Confiança no controle da procedência e da circulação
A confiança no valor do dinheiro não vem só da identificação da origem de sua impressão, mas
também da chancela social que lhe confere valor legal de troca. A Casa da Moeda pode também imprimir
selos e moedas de outros países, o que não nos obriga a aceitá-los como forma de pagamento. Quem faz o
papel do Banco Central numa ICP são os protocolos implementados em softwares, destinados a realizarem
algum mecanismo de autenticação digital cuja verificação seja aberta. Um tal mecanismo é uma abstração
do que faz, do ponto de vista jurídico, a assinatura de punho em documentos de papel.
Até hoje, só sabemos como dar eficácia ao valor do dinheiro controlando a sua entrada e sua saída
de circulação, e permitindo a verificação pública de sua procedência. A circulação de moeda nova tem que
estar lastreada em produção equivalente de bens, para que a moeda mantenha seu valor mercatório, o de
meio de troca. Da mesma forma, até hoje só sabemos como implementar mecanismos juridicamente seguros
de autenticação digital com verificação aberta, através de infra-estruturas para o uso de pares de chaves
criptográficas assimétricas, pública e privada. A circulação de uma nova chave públca tem que estar
lastreada em acesso restrito ao seu par privado, por parte do titular da chave, para que as chaves assimétricas
mantenham seu valor autenticatório de natureza jurídica, o de representar intenções dos titulares.
Para obter a eficácia desejada, estes protocolos estabelecem regras rígidas para os softwares que vão
gerar pares de chaves, distribuir e verificar a titularidade de chaves públicas, validar assinaturas através do
uso de chaves públicas tituladas, e restringir ao titular o acesso à chave privada para a lavra de assinaturas
em documentos eletrônicos. Esses protocolos é que fundam uma ICP. O controle de circulação de chaves,
junto com a identificação de sua procedência, é que irão conferir valor a assinaturas, nomeando o autor em
um documento eletrônico. A certificação de uma chave pública é apenas um mecanismo (um dos protocolos)
destinado a possibilitar confiança na identificação da procedência da chave. Assim também, um processo
gráfico da Casa da Moeda é apenas um mecanismo destinado a possibilitar confiança na identificação da
procedência de cédulas de dinheiro. O controle de circulação das cédulas, junto com a identificação de sua
procedência, é que irão conferir-lhes valor, nomeando a quantidade monetária que representam em uma
troca.
Um acordo coletivo, para que as cédulas em circulação só tenham valor monetário caso a
procedência da cédula possa ser associada à chancela do Banco Central, é o que dá eficácia legal ao
dinheiro, como meio de troca, no mundo da vida. Da mesma forma, um acordo coletivo, para que
certificados de chave pública só validem assinaturas caso a procedência da chave possa ser associada à
chancela dos protocolos de uma ICP, é que pode dar eficácia legal à assinatura digital, como meio de
expressão de intenções dos titulares das chaves, no mundo virtual.
A casa da moeda é acionada por um motivo de ordem prática: se as qualidades gráficas do serviço
que oferece são diferenciadas, este serviço poderá prover a necessária identificação pública de procedência,
para as cédulas que representarão valor monetário. No acordo coletivo que dá valor à moeda, é essencial que
as únicas tais células a serem postas em circulação sejam as chanceladas (encomendadas e postas a circular)
pelo Banco Central. Há vantagens em que o Banco Central seja um só, para que os agentes econômicos
operem e contratem sob as mesmas regras. Mas não parece haver vantagem em que a gráfica das cédulas
seja única. Os EUA imprimem cédulas em várias cidades. O Brasil já imprimiu cédulas através da gráfica
inglesa Thomas de La Rue, e agora imprime pela nossa Casa da Moeda, e pela Casa da Moeda australiana as
notas de plástico de 10 reais. A competição entre gráficas que irão atender ao Banco Central é salutar, pois a
sociedade terá assim melhores chances de que a impressão de seu dinheiro se mantenha tecnologicamente à
frente dos falsificadores.
Para a eficácia de tal acordo são cruciais, além da correta escolha do procedimento de impressão,
que diminui as chances de dinheiro falsificado circular com facilidade, também a fiscalização dos
procedimentos de impressão e circulação, para que as quadrilhas e os ineptos não se infiltrem nas próprias
gráficas que servem ao Banco Central, ou no próprio Banco Central, empobrecendo o país.
Correspondentemente, seria vantajoso que tivéssemos apenas uma ICP, para que todos os softwares de
geração de chaves, de lavra e validação de assinaturas com pretensão legal, operassem e contratassem entre
si sob as mesmas regras. E não parece haver vantagem na certificadora raiz ser uma só, como tem nos
mostrado a evolução histórica da prática dos conceitos aqui em tela.
1.2 Valor jurídico de assinaturas digitais e valor monetário
Numa ICP que pretende dar validade jurídica às assinaturas digitais, toda a dinâmica monetária
encontra paralelos. Com relação à fiscalização dos procedimentos da certificadora, por exemplo: A
revogação de um certificado que dá valor legal às assinaturas por ele validadas, se aceita pelo chancelante
com data retroativa, poderia livrar qualquer Lalau ou Barbalho de qualquer encrenca com a Justiça. Nas
ICPs, o problema da identificação de procedência das chaves pode ser posto no certificado, um documento
eletrônico que associa uma chave pública ao nome do seu titular. O titular estaria dando valor autenticatório
à chave no certificado. Porém, se o nome junto à chave fosse o bastante, uma cópia xerox de uma cédula
circularia facilmente como dinheiro.
O problema da garantia da procedência do dinheiro é resolvido imprimindo-o com alguma técnica

especial, que o torna publicamente distinguível de simulacros impressos fora da chancela social, com outras
técnicas. Mas o certificado não é um impresso, e sim uma sequência de zeros e uns, representada numa
nuvem de elétrons. Se um certificado estiver assinado digitalmente, quem o assinou estaria assim oferecendo
garantias sobre a procedência da sua titulação. Mas esta autenticação no certificado apenas transfere o
desafio ao portador do certificado, para identificar a procedência desta garantia.
O acordo coletivo que dá valor ao dinheiro, materializado em leis, concebe a moeda como um meio
de troca com liquidez imediata e universal, em sua jurisprudência, na suposição de que todos possam
reconhecer estampas legítimas, por meio de seus próprios olhos, acessorados ou não por aparelhos. Por isso,
podemos dizer que a validade do dinheiro (sua procedência e controle de circulação) é verificada pelo olho
humano, equipado com a bagagem cultural do seu portador. Dinheiro que, assim verificado, dará valor
mercatório ao portador. Este valor corresponde à quantidade monetária identificada na cédula.
Uma ICP que pretende dar segurança jurídica a assinaturas digitais, encontra o mesmo desafio para
resolver, mas num plano mais abstrato e delicado do que o do Banco Central. Certificados precisam ter sua
validade (sua procedência e controle de circulação) verificáveis, para assim dar ao portador algum valor
autenticatório legal. Este valor corresponde à identificação de autoria de documentos cuja assinatura sejam
por ele validados, documentos cujo conteúdo possa espressar publicamente intenções deste autor. Para isso,
tem-se que se resolver o problema de como verificar a procedência de certificados. Fisicamente falando, um
certificado digital é uma nuvem de elétrons. E a procedência de elétrons não é verificável nem pelo olho
humano, nem por nenhum aparelho sofisticado, como ensina a física quântica. No mundo virtual, simulacros
são indistingúiveis de seus modelos, e o portador de um certificado precisa se valer então de outros meios
em sua bagagem cultural, que não sejam puramente eletrônicos ou imediatamente visuais, para verificar a
procedência de chaves públicas tituladas.
Uma estratégia é a de se postergar, enquanto possível, a ancoragem física necessária à verificação de

procedência de um certificado. Se alguém já tiver verificado a procedência de um primeiro certificado,
poderá usá-lo para autenticar a procedência de outros certificados, que tenham sido assinados pelo titular
deste primeiro. O portador dos novos certificados transfere assim, ao titular daquele primeiro certificado, a
responsabilidade em ancorar físicamente a identificação de procedência desses novos certificados. Esses
certificados assinados são como letras de cambio, ou cheques pré-datados. Na letra de câmbio, alguém
assina dizendo que garante pagar ao portador um tal valor monetário em uma tal data. E quem a recebe
como pagamento aceita tal garantia. Portando-se a letra de câmbio, pode-se com ela pagar a quem aceitar a
mesma garantia. No certificado assinado, alguém assina dizendo que garante ter verificado um tal fulano
mostrar que uma tal chave pública é dele. Portando-se o certificado, pode-se com ele validar assinaturas de
tal fulano, perante quem aceitar a mesma garantia.
Quem aceita uma assinatura em uma letra de câmbio, certamente confia que o assinante possui
colaterais para garanti-la. Tais assinantes são chamados de agentes financeiros. Quem aceita uma assinatura
em um certificado de chave pública confia de forma semelhante, e seus assinantes são as entidades
certificadoras. Mas quais seriam os colaterais de uma entidade certificadora? A resposta óbvia é: fidelidade
aos procedimentos que tangem à certificação, na ICP. Entre outros, o saber verificar corretamente se um tal
fulando tem mesmo um par de chaves criptográficas assimétricas, titulando corretamente a chave pública
dele.
Mas como saber, numa nuvem de elétrons, se uma entidade certificadora possui ou não seus
colaterais? Se apelarmos para o próprio mecanismo de certificação, empurramos a validação de assinaturas
para um processo recursivo. Para validar uma assinatura, a chave para isso deve estar autenticada por
assinatura, assinatura esta cuja chave de validação deve estar autenticada por assinatura, e assim por diante.
Este processo, que pode ser automatizado pelo protocolo de validação de assinaturas de uma ICP, terá
forçosamente que terminar numa chave que não é assinada, ou que é assinada por seu próprio par. Esta
chave de última instância é comumente chamada de chave raiz. Nas ICPs cujos protocolos exigem que as
chaves só circulem em certificados assinados, como aquelas que adotam o protocolo SSL, popularizado
pelos browsers, esta chave raiz precisa ser distribuída num certificado auto-assinado. Tal como um
certificado auto-assinado, o papel moeda é uma espécie de "letra de câmbio de última instância", um
contrato solene auto-colateralizado, como se tornou a moeda depois que os Bancos Centrais modernos
abandonaram o padrão ouro. Mas não é o único desta espécie.
O escambo e o contrato verbal são também formas de contratação de última instância, também auto-
colateralizados e legalmente válidos, embora não solenes, mas previstos no artigo 129 do código civil.
Assim também pode ser com os certificados. Alguém pode, usando um software apropriado, gerar seu par de
chaves e assinar, ele mesmo, um certificado da sua chave pública, entregando pessoalmente cópias a quem o
aceitar e quiser, por meio deste, contratar eletronicamente com o titular, pela rede. Estariam fazendo uma
espécie de escambo, em relação ao valor autenticatório de assinatura digital do titular do certificado. Uma lei
de comércio eletrônico que restrinja a validade jurídica das assinaturas digitais, àquelas cuja cadeia
autenticatória de chaves de validação termine numa única certificadora raiz, como podia ser interpretada a
primeira versão da MP2200, equivale a uma lei que invalida, no mundo virtual, qualquer contratação de
natureza comercial que não seja baseada em pagamento em moeda nacional única. Não está claro as
vantagens disto, principalmente em termos de custo. Não só de custo, mas também de segurança. A MP e as
normas inicialmente propostas não dizem como sua única certficadora raiz irá distribuir, de forma confiável,
o seu certificado auto-assinado por toda a base computacional instalada no território nacional que venha a
participar da ICP-Brasil.
1.3 Lições da História
Quem acompanha a história da prática desses conceitos sabe como fracassou, por razões
pragmáticas, a iniciativa de se promover, por meio de um acordo coletivo através do IETF (Internet
Engineering Task Force), a incorporação de uma ICP com certificadora raiz única ao conjunto de protocolos
TCP/IP. Esta inciativa, patrocinada por grandes empresas com a proposta dos protocolos PEM, era baseada
no modelo de árvore de confiança para a identificação da procedência de chaves. Mas a disponibilização de
uma ICP rudimentar alternativa, baseada no modelo de malha de confiança, por iniciativa do programador
Phill Zimermann através do software PGP, disseminou, a partir de 1991, o uso pioneiro da criptografia
assimétrica na internet, antes que o PEM pudesse ter chance de amdurecer -- através de testes em diversas
escalas -- e decolar. E posteriormente, os modelos de negócio em torno da certificação e do SSL vieram a
incorporar a certificação cruzada, pelos mesmos motivos de eficiência que popularizaram o PGP. Portanto,
as iniciativas globais bem sucedidas para ICPs adotam, todas, o modelo de malha com a livre certificação
cruzada, estando o sucesso do modelo de certificação em árvore restrito a empresas e organizações que já
possuem hierarquia rígida própria. E é fácil ver porque, quando se faz a analogia mais apropriada, do Banco
Central com o conjunto de protocolos que constui a ICP.
A chancela do Banco Central à moeda circulante, corresponde à fiscalização rigorosa dos

procedimentos de impressão ou cunhagem e de distribuição de dinheiro novo, e de destruição de cédulas
velhas e dinheiro falso apreendido. Da mesma forma, o estrito cumprimento dos procedimentos de
certificação, chancelarão o valor autenticatório dos certificados que uma entidade certificadora vier a
assinar. Estes procedimentos são os de identificação do titular, de assinatura de certificados, de distribuição
da chave pública da certificadora, e o de divulgação da revogação de chaves comprometidas. Para facilitar a
distribuição de suas chaves públicas auto-assinadas, as certificadoras comerciais pioneiras se associaram às
produtoras de sistemas operacionais. Os browsers distribuidos com esses sistemas já carregam a chave
pública destas certificadoras. As produtoras dos sistemas operacionais monitoram a qualidade dos serviços
oferecidos por estas certificadoras, com exigências sobre seus procedimentos de identificação,
armazenamento e operação. E como contrapartida distribuem os browsers, integrando neles todos os
protocolos de que um usuário comum necessita para participar desta ICP: O gerador e armazenador de
chaves e certificados, já incluindo no seu repositório os certificados auto-assinados de suas parceiras, o
solicitador de certificação e de certificados, o verificador de assinaturas e o controlador da lavra de
assinaturas em documentos.
Certificados auto-assinados, inevitáveis numa ICP, são um dos seus dois calcanhares de aquiles.
Qualquer um pode nomear-se Napoleão Bonaparte num certificado auto-assinado. Do ponto de vista prático,
o problema da confiabilidade na distrubuição de certificados auto-assinados em escala global foi até agora
melhor equacionado no modelo de negócio das certificadoras comerciais pioneiras, que se associaram aos
produtores de software básico para distribuir neles seus certificados auto-assinados, junto com toda a
funcionalidade necessária para que seus usuários possam participar de uma ICP.
O que a MP2200 parece estar fazendo é botar o carro à frente dos bois. Nomeia uma única "casa da
moeda virtual": a única certificadora que distribuirá certificados auto-assinados para chancela legal de
cadeias autenticatórias de chaves de validação de assinaturas, aquelas cadeias nele terminadas. Nomeia um
comitê gestor, controlado pelo dono desta "casa da moeda", com poderes de aprovar as normas e
procedimentos de operação e fiscalização desta certificadora raiz única, e das outras certificadoras. O comitê
gestor que irá normatizar os procedimentos que constituem a ICP-Brasil, será feito do mesmo estofo de
quem precisa imprimir o nosso "dinheiro assinatura digital", o certificado auto-assinado da certificadora raiz.
É como se a Casa da Moeda ditasse as normas do Banco Central, e também fosse a única responsável pela
fiscalização de ambas.
Mas o mais grave no texto da MP é que este poder, de ditar normas e fiscalizar, inclui o de
homologar software. Num cenário que vincule esta homologação à validade jurídica de documentos
eletrônicos, isto equivale ao poder de aprovar o estatuto e as normas deste Banco Central virtual às
escondidas. Isto porque os softwares que produzirão lavra e validação de assinaturas com valor legal,
materializarão em sua lógica interna os protocolos que constituem o mecanismo autenticatório deste novo
tipo de assinatura. Justamente o que mais precisa ser, de forma aberta e transparente, analisado, debatido,
calibrado, revisado, justificado e integrado a outros mecanismos semelhantes hoje em operação no mundo
virtual, ficará escondido, esacamoteado dentro da lógica de programas, hoje na sua grande maioria
comercializados de forma totalmente opaca, com acesso público vedado à sua versão em "linguagem
humana", em código fonte.
Com o Banco Central de verdade, as regras monetárias precisam ser claras, para que os agentes
financeiros possam operar com segurança jurídica. Inclusive as regras sobre quais procedimentos do Banco
Central devem ser sigilosos. E de como os mecanismos de proteção a este sigilo precisam ser publicamente
monitorados. Exemplos são os mecanismos de decisão sobre intervenções em mercados financeiros. Da
mesma forma deve ser com uma ICP que pretenda dar segurança jurídica a seus participantes. Regras sobre
o sigilo envolvendo a geração do par de chaves e a guarda da chave privada, sobre transparência em relação
aos processos de certificação e revogação, são essenciais para esta segurança. Com o poder de homologar
software, e não os protocolos e algoritmos da ICP, há um perigo enorme de se transferir excessivo poder ao
segmento monopolizante da industria de software, sobre a qual governos em todo o mundo tem se mostrado
impotentes para exercer qualquer controle social. E pior, alguns deles tem preferido se submeter a alianças
estratégicas obscuras com este segmento, com sinergias ainda mais obscuras.
1.4 Bússolas que norteiam leis sobre o virtual
Poderíamos encontrar uma justificativa para esta postura arriscada, no fato de estarmos tratando de
algo muito novo, e ninguém saber ainda como as coisas irão funcionar. Toda esta incerteza, mãe de riscos e
perigos, é motivo para que a lei fosse guiada não pela bússola que norteia a cobiça, que aponta em direção às
necessidades de mercados tecnológicos emergentes, cujos agentes não conhecem limites de ambição e de
crédito financeiro, mas pela bússola da segurança social, que aponta em direção oposta a qualquer
obrigatoriedade ou opacidade contornáveis, para que as leis de mercado possam funcionar em favor do
equilíbrio social.
Se o legislador não sabe quais regras de fiscalização à atividade de certificação deveriam ser
impostas, se guiado pela bússola da segurança social não estaria seguindo o modelo da certificação em
árvore, que dá direito a apenas uma certificadora distribuir certificados auto-assinados legalizadores das
representações virtuais da vontade humana. Um dos graves problemas com o modelo da certificação em
árvore é que ele cria uma necessidade recursiva de auditoria e fiscalização. Quem irá auditar a certificadora
raiz? Quem ira fiscalizar estes auditores? Seria a própria certificadora raiz? Seria o Congresso, que sequer
consegue aprovar em dois anos uma lei de comércio eletrônico? Com o modelo de malha de confiança, cada
um pode tentar distribuir seus certificados auto-assinados a quem queira neles confiar, podendo amplificar o
alcance de sua circulação com a certificação cruzada. A certificação cruzada, que dá eficiência ao processo
de distribuição da chave pública de uma certificadora, serve também para pulverizar os riscos decorrentes do
problema recursivo da auditoria e fiscalização.
As certificadoras se ocupariam de fiscalizar umas às outras, em troca da certificação cruzada de suas

chaves públicas, e o próprio mercado regularia assim a qualidade da certificação, evitando o surgimento de
pontos de atração para focos de corrupção, onipresentes em qualquer hierarquia de outorga, como é o
modelo da certificação em árvore. Nenhum dos dois modelos que tivesse sido adotado pela ICP-Brasil --
árvore ou malha -- poderia evitar a distribuição de certificados auto-assinados, comumente chamados de
certificados-raiz, a menos que submetam suas chaves públicas à certificação por certificadoras comerciais
pioneiras hoje operantes, associadas aos produtores de software. E se vamos ter que instalar novos
certificados auto-assinados em nossos computadores, por que então achar que algum vindo numa nuvem de
elétrons, pretensamente de um órgão burocrático de Brasília, teria sua procedência mais confiável do que,
por exemplo, algum que foi gerado no cartório da esquina? Nenhum dos dois modelos privilegia o impasse
do magistrado que precise construir, quando preciso, seu livre convencimento sobre o valor probante de
documentos digitalmente assinados.
Um browser como o Netscape ou o Outlook pode hoje aceitar um certificado auto-assinado no seu
chaveiro, mas vai perguntar ao usuário se ele está seguro da identificação do seu titular. Esta segurança pode
vir de qualquer ancoragem física que identifique sua procedência, a menos do próprio certificado. Pode vir
de uma relação pessoal de confiança entre o usuário do browser e quem lhe entrega o certificado, ou de uma
publicação do seu "fingerprint" num diário oficial (para aqueles cujo software chaveiro puder calcular e
exibir o hash dos certificados que recebe), ou de uma distribuição de disquete por uma fonte de sua
confiança, etc. Mas não do próprio certificado auto-assinado, ou da importância política do nome que nele
consta para identificar sua suposta procedência. O certificado auto-assinado é um dos dois calcanhares-de-
aquiles das ICPs, e a MP2200 parece não mostrar preocupação do seu autor em relação aos problemas de
segurança na distribuição global do certificado auto-assinado da única certificadora raiz que criou.
É também inócuo dizer, ou insinuar, que a confiança na titularidade de um certificado auto-assinado

só pode ser obtida através da sua distribuição junto com o software que irá usá-lo. Esta é apenas a forma
mais conveniente, e talvez mais eficaz em escala global. Mas não necessariamente em escala local, pois
temos tido mostras escabrosas de problemas de confiabilidade nos softwares distribuídos hoje em escala
global. Certamente não será a de menor custo, além do que, deve-se considerar ainda o outro calcanhar de
aquiles das ICPs, diretamente relacionado ao software que lhe faz par, quase sempre a ele integrado. Este
segundo calcanhar de aquiles são os problemas de segurança e confiabilidade afetos ao manuseio da chave
privada, pelo software que lavra assinaturas. Estes são tão graves quanto a inevitabilidade de certificados-
raiz, e hoje, potencialmente mais graves. A distribuição de um certificado falso com o nome de uma
certificadora raiz é mais facilmente detectado do que o vazamento de uma chave privada. No final, é o juiz
que precisa firmar livremente seu convencimento sobre o valor probante de docuentos eletrônicos, com ou
sem certificadora raiz única, da forma como faz hoje com os de papel.
1.5 O cenário de hoje
O ambiente mais em uso hoje para o manuseio de chaves, para lavra da assinatura própria e
validação de assinaturas alheias, é um browser rodando sobre o sistema operacional Windows. Este é um
ambiente computacionalmente promíscuo e inseguro, no sentido de que são inúmeras as possibilidades de
embuste para o vazamento desta chave, algo que passa agora a ter grande valor: o poder de lavrar
assinaturas, pelas quais responderão na justiça o seu titular. A própria arquitetura do sistema operacional é
indefensável, e não será um novo produto antivirus e uma nova campanha publicitária que mudarão este
cenário. Mesmo se armazenada só em disquete, a chave privada estará vulnerável enquanto transita do meio
magético para memória, levada por um programa que compartilha com outros um ambiente computacional
promíscuo, para a operação de lavra de assinaturas em nome do seu titular.
A única forma de se proteger a chave privada contra os riscos desta promiscuidade é confinado-a,
junto com o software que irá operá-la, a uma plataforma dedicada. Como por exemplo, a um cartão
inteligente. E os sistemas que confinam chaves privadas estão ainda em sua infância, pelo descompasso
entre demanda e oferta de capacidade computacional neles embutida. Mas já existem sistemas pioneios,
como o da federação de bancos da França. Agravando o cenário o usuário ainda pode, com o poder de
homologação do software outorgado a um comitê político, ver-se obrigado a usar um software que ele não
conhece, e não sabe avaliar o grau de proteção que lhe oferece. Novamente, a bussola escolhida pela MP não
irá lhe favorecer. Para favorecê-lo, a MP poderia tratar da homologação de protocolos e algoritmos, ao invés
da homologação de software. Se assim o fizesse, certamente dificultaria aos fornecedores de software a
dissimulação ou ocultação de vulnerabilidades e "portas de fundo", intencionais ou não, nos seus produtos.
Um software para ICP é como um advogado, quem irá intermediar a vontade dos titulares,
representados através de chaves criptográficas. O usuário precisa ter liberdade de escolha, pois as
consequências desta escolha poderão ser de sua responsabilidade jurídica. A homologação de software no
contexto da MP, caso tenha caráter mandatório, será um grave risco para a cidadania. O contrário se daria
caso sua autoridade fosse a de homologar os protocolos da ICP, dificultando a presença de mecnismos
embusteiros em suas caixas pretas. A única utilidade prática para uma autoridade central, um comitê gestor,
em relação à defesa dos direitos civis de quem se ver obrigado a participar da ICP criada pela MP2200, que
se ponham em rota de colisão com a segurança do negócio de quem queira explorar os mercados dela
oriundos, seria para a tarefa de inspecionar a integridade e a robustez dos mecanismos de assinatura digital
oferecidos ao mercado, sua adesão aos padrões e procedimentos estabelecidos, e para fiscalizar as atividades
das ceritificadoras comerciais públicas e privadas no cumprimento destas normas de operação.
Principalmente com relação à lista de revogação de certificados, que só pode dar segurança jurídica
à ICP se puder ser ancorada em um procedimento físico externamente auditável, para dificultar revogações
retroativas. Tais processos físicos podem ser muitos simples, como a exigência da publicaçào do
"fingerprint" do certificado num diário oficial, para dar validade jurídica à sua revogação. Ocuparia uma
linha de coluna quíntupla do jornal, por cada certificado. Mas nada disto está na norma proposta. Por esses
motivos, parece que este comitê desempenharia melhor suas funções se fosse um comitê técnico,
trabalhando com critérios gerais, objetivos e de natureza científica, claramente delineados na lei, e cujos
efeitos fossem o de equilibrar riscos e responsabilidades entre participantes da ICP-Brasil. E não um comite
de viés político, que poderia, com a homologação a seu bel prazer, introduzir o monopólio de caixas-pretas
indevassáveis em software de código inauditável, onde botões escondidos para embustes poderiam funcionar
como moeda de troca pelo direito desse monopólio.
Na primeira proposta de normatização, oferecida a debate pelo comitê gestor, não havia nenhuma
referência, em suas 306 páginas, à auditoria externa dos procedimentos e protocolos que constituem a ICP-
Brasil, o que anula completamente a eficácia desta norma. O Banco Central é dirigido por quem entende de
economia, e externamente fiscalizado por quem entende de política. Por que com a ICP-Brasil o critério
seria diferente? Por que a ICP-Brasil precisa ser gerida por critérios políticos, através de quem detem
conhecimentos limitados da semiótica possibilitada pela critpografia assimétrica, como um carro à frente dos
bois, à maneira da atabalhoada criação da ICP-Brasil via medida provisória?. A resposta que nos parece
mais plausível para esta pergunta, remete à escolha da bússola que guiou a criação da lei.
2- Tecnologia adotada pela ICP-Brasil
Outra questão que suscita dúvidas frequentes, é sobre a tecnologia a ser adotada pela ICP-Brasil. Se
ela está estabelecida pela MP, ou se será definida pelo Comitê Gestor da ICP. E se o objetivo do texto da lei
é estabelecer reserva de mercado para tecnologia criptográfica nacional, como teriam argumentado os que
defendem a nomeação do CEPESC como órgão de assessoria técnica do comitê gestor.
2.1 O que é tecnologia de assinatura?
Na primeira versão da MP está escrito que o comitê gestor irá homologar softwares para a ICP. Mas
sem nenhum critério pré-estabelecido. Softwares cuja lógica esteja opaca ao usuário podem fazer qualquer
sistema criptográfico passar-se por assimétrico, escondendo assim vulnerabilidades ou embustes. Como a
criptografia é uma ciência de poder, sua regulamentação serve justamente para controlar poderes. O que
poderia estar por trás de limitações do uso legal da criptografia, a formas e modalidades restritas, é o
objetivo de se proteger intenções de alguns agentes envolvidos, contra intenções de outros. Nas restrições de
modalidade, este poder pode equilibrar riscos. Nas restrições de forma, tende a ocultá-los. As preferências
de quem com elas justifica a escolha do órgão de assessoramento técnico na MP são restrições de forma.
A tecnologia de uma ICP com pretenção de oferecer segurança jurídica precisa oferecer, a quem for
ser identificado através dela, a capacidade de controlar a dificuldade da falsificação desta identificação, por
intermédio do mecanismo verificador desta identidade. Os direitos de propriedade industrial desta tecnologia
não devem obstaculizar a verificação desta capacidade, quer pelo comitê gestor, quer por usuário nela
interessados. Tal critério seria uma restrição de modalidade, útil aos objetivos de segurança jurídica para o
comércio eletrônico. Se entendermos como tecnologia os protocolos que constituem a ICP, esta restrição
seria um critério sadio somente se for externamente auditável, pois a técnica autenticatória precisa ser
transparente para aspirar tal pretenção. E mesmo que critérios técnicos sadios apareçam na norma proposta,
um comitê gestor de viés político poderá amanhã modificar esta norma para critérios com restrição de
forma, que permita conluios, embustes nos softwares e outra dinâmica de riscos e poderes.
Se a lei falasse explicitamente em homologação de "tecnologia", ao invés de "software", como

expresso em frequentes questionamentos, não estaria ainda dizendo nada. Como hoje usada, a palavra
"tecnologia" não diz muita coisa. Principalmente quando o assunto é criptografia. Hoje, a função semiótica
mais comum da palavra "tecnologia" é o estabelecimento tácito de um pacto, para escamotear a ignorância
mútua em relação ao objeto do diálogo. Criptografia é conceito semiótico, não é tecnologia. A criptografia é
a ciência dos algoritmos e protocolos criptográficos, que por sua vez são códigos e formas de discurso
destinados ao exercício do controle semântico. Suas tecnologias são as soluções para implementação desses
algoritmos e protocolos. São as plataformas computacionais e os sistemas operacionais que as irão
materializar e onde irão operar, e os ambientes e técnicas de programação e de engenharia com os quais
serão produzidos.
Se levarmos ao pé da letra o que seriam as tecnologias da assinatura digital, estaríamos falando das
plataformas para implementação e para interoperabilidade de algoritmos e protocolos criptográficos. É tolice
pensar-se em assinatura digital sem criptografia, pois assinatura não é apenas identificação. Identificação é
convencer-se de que se reconheceu algo. Autenticação é convencer outrem de que se reconheceu algo.
Assinatura é convencer outrem de que se reconheceu algo, algo que representa uma promessa de alguém. No
cenário das redes de comunicação fechadas, como a das comunicações militares ou de órgãos sensíveis do
poder executivo, onde alguma hierarquia do mundo da vida organiza e controla a infraestrutura, a semântica
e o tráfego de informações que nela flui, poder-se-ia pensar em reserva de mercado das tecnologias,
qualquer que venha a ser a tecnologia e o motivo. Esta hierarquia nos permite ali pensar em identificação,
autenticação e assinatura como semioticamente equivalentes, onde a criptografia dela se vale para oferecer
segurança ao sigilo da comunicação, justamente o sigilo global que mantém a rede fechada, e onde a batalha
por esta segurança é ferozmente técnica e onerosa.
Mas numa ICP, a criptografia é necessária para outro propósito, para outra função semiótica. Não só
para identificar seus agentes mas, principalmente, para um tipo especial de autenticação, capaz de
representar com segurança as intenções de seus agentes, onde a batalha pela segurança é jurídica, através da
busca do equlíbrio de riscos e responsabilidades. Justamente o equilíbrio que manteria a rede aberta, já que
seu contexto semiótico é oposto ao anterior. É o de uma rede global e aberta, a internet. Este equilíbrio
buscado é no sentido dos aspectos legais das atividades comerciais e das relações sociais, sentido que
deveria ser a bússola desta ICP. A proteção ao sigilo na comunicação, possibilitada por uma tal ICP, é
apenas um bonus ou acessório, pois, para a sua segurança jurídica, o sigilo que interessa é pessoal, e não
global. É para a geração e o armazenamento das chaves privadas, dentro da esfera de acesso de seu titular.
No cenário de uma ICP que busca dar segurança jurídica às práticas sociais conduzidas através de
uma rede global e aberta, a reserva de mercado não faz sentido, como veremos. A internet é formada pela
adesão a padrões abertos, formatos e protocolos digitais sem dono e sem fronteiras. Inventar outros padrões
para comunicar-se através da internet é colocar-se fora dela, numa rede virtual privada que a utiliza como
suporte. A menos que se tenha cacife para impor sobre ela seus próprios padrões "na marra", passando-se
por cima de todos os RFCs e recomendações do IETF (Internet Engineering Task Force). E esta pretenção
de "saltar etapas" não é fácil de ser realizada.
Nem mesmo a Microsoft pôde ainda impor na marra seus padrões à internet. Isto porque, embora
domine 90% dos sistemas operacionais e browsers no lado cliente na internet, ela ainda não domina o
mercado dos servidores Web, onde detém hoje apenas 20%, com seu produto IIS. O que não a impede de
tentar, como mostra sua experiência piloto na Inglaterra (veja em
http://www.jb.com.br/jb/papel/cadernos/internet/2001/06/06/jorinf20010606001.html), e como irão mostrar
suas aventuras com o ASP e o XP. A única faceta da tecnologia que faria sentido o Brasil tentar, por força
de lei, reservar para si no comércio eletrônico, no sentido preciso do termo "tecnologia", seriam as
plataformas de hardware. Mas esta estratégia já foi tentada nos anos 80 com a lei da informática, e
abandonada, por ter se mostrado ineficiente, para não se dizer um tiro pela culatra.
Quem chama algoritmo ou protocolo criptográfico de tecnologia, está sendo impreciso. Mas, para
bem esclarecer, podemos supor que se está falando não só das plataformas, mas também de algoritmos,
protocolos criptográficos e suas implementações como se fossem tecnologias, quando se defende a MP2200.
No sentido em que códigos e formas de discurso com características semióticas mensuráveis especiais sejam
tecnologias. É possível que quem escreveu a MP estivesse tentando reservar mercado para algoritmos e
protocolos criptográficos, desenvolvidos no Brasil por pesquisadores do CEPESC. Se a intenção tiver sido
esta, vamos examiná-la.
2.2 Protocolos-como-tecnologia
Examinemos primeiro uma possível reserva de mercado para "tecnologia", referente apenas a
protocolos criptográficos. Protocolos criptográficos modernos são formas de diálogo entre agentes
interessados em obter certos efeitos protetores nas comunicações que ensejem estabelecer entre si, por meio
digital. Dependendo da natureza e formato da comunicação desejada, os efeitos protetores desejados podem
combinar, nas mais variadas receitas, necessidades de sigilo, garantias de integridade, provas documentais e
expressões de intenção ou vontade dos interlocutores. Exemplos de protocolos criptográficos abertos, hoje
em uso para o comércio eletrônico de varejo na internet, são o SSL (proposto pela Netscape e adotado pelo
IETF como parte do IPSec), e o SET (proposto pela Visa, MasterCard e IBM).
Tais protocolos são como roteiros pré estabelecidos para a interpretação de mensagens, visando a
escolha, a inicialização e a operação conjunta e concomitante de rotinas criptográficas, cujo efeito na
comunicação posterior seja a obtenção das proteções requeridas pelo objetivo e forma da comunicativa
pretendida. São procedimentos preliminares que dão importância a certas formas de diálogo digital. E
novamente, para serem destinados ao uso na internet, se forem impostos fora do "acordo comum" que
constitui a própria internet, caracaterizarão um uso privado desta. Não terão caráter público como têm hoje,
por exemplo, o uso da lingua portuguesa no texto das leis brasileiras, o uso de serviços oferecidos pelo
Estado, tais como a Justiça e a Segurança Pública, e a própria internet.
Não faz sentido impor-se por lei um protocolo criptográfico privado, com o objetivo de fazê-lo ter
caráter público, em detrimento de outros que já ganharam aceitação pública pelo que oferecem em termos de
garantias, disponibilidade, funcionalidade e custo, simplesmente porque alguém com a mão na caneta do
presidente da república, e conhecimentos limitados de semiótica, acha que algum protocolo privado
ofereceria melhor segurança jurídica ou vantagem para o cidadão, para o Estado brasileiro ou para ambos.
Custo e segurança jurídica seriam problemáticos, pois certamente um tal protocolo não terá passado pelo
mesmo crivo evolutivo de seleção natural que constitui o processo das RFCs, com longos e abertos debates
técnicos, testes práticos e refinamentos em várias escalas, que todo padrão sobrevivente deste processo tem
que passar, para compor o que é a internet de hoje.
Investimento maciço e apoio técnico formidável não são garantias de sobrevivência neste crivo,
como exemplifica o PEM, a primeira tentativa de se estabelecer uma ICP com certificadora raiz única na
internet. Todos que militam na espinhosa área da segurança na internet sabem que protocolos criptográficos
para uma rede aberta são muito difíceis de terem sua robustez avaliada, e que a melhor forma até hoje
conhecida de fazê-lo tem sido através do seu uso intensivo em regime de produção, no "campo de batalha".
Qual a sabedoria de uma lei que despreza esta valiosa bagagem da cultura humana, conquistada a duras
penas?
2.3 Algoritmos-como-tecnologia
A próxima possível interpretação, é a de que a intenção do autor da MP tenha sido o de estabelecer

reserva de mercado para algoritmos criptográficos. Se os protocolos são como peças teatrais, os algoritmos
criptográficos são como personagens. Diferentemente dos protocolos numa rede aberta, a robustez dos
algoritmos criptográficos pode, principalmente se seu uso for destinado a proteger sigilo, ter algo a ganhar
com o bloqueio do conhecimento público de seus detalhes. Mas somente se esses detalhes puderem ser
ocultados de quem pretenda atacá-lo. Porém, o cenário da internet não contempla a hipótese deste controle.
Quem vier a distribuir um algoritmo criptográfico em software executável, para uso em protocolos
destinados ao comércio eletrônico de varejo, ou para outro uso público através da internet, não poderá
selecionar de antemão quem irá botar a mão neste software, com base no que suponha serem suas intenções
em relação ao software. Este impasse nos leva à questão crucial, sobre a eficácia da ocultação da lógica
interna do software por meio do bloqueio de acesso à sua forma "humana", em código-fonte. O que este
bloqueio realmente protege? Este é o assunto favorito de meus artigos, mas aqui não haverá espaço e tempo
para tratá-lo. Temos que nos ater aqui aos algoritmos-como-tecnologia.
Mesmo que o autor da MP tenha a pretenção de promover a segurança jurídica da ICP controlando o
acesso à lógica interna dos seus algoritmos criptográficos, está em jogo algo ainda mais crucial do que esta
possiblidade. Para que as garantias oferecidas por um protocolo criptográfico tenham tal efeito, proteções
como a autenticação e a prova documental para expressão de intenções precisam ter sua eficácia verificável
por terceiros. A identificação do autor, a de sua lavra e a de sua intenção em documentos eletrônicos,
precisam portanto ser públicas. Esta necessidade dos protocolos da ICP descarta, de saída, a imensa maioria
dos algoritmos criptográficos conhecidos. Os algoritmos ditos simétricos não poderão oferecer estas
proteções, por não oferecerem, ao identificado, controle sobre a dificuldade que um verificador qualquer
teria para forjar esta identificação, a partir do mecanismo público de verificação.
Os algoritmos que podem oferecer este controle ganham o nome de assimétricos. São raríssimos,
pois precisam exibir uma qualidade universal, a de não possibilitarem, a nenhum outro algoritmo eficaz, a
dedução do segredo identificador (a chave privada) a partir de sua referência de validação (a chave pública).
São conhecidos hoje, basicamente, apenas dois, ambos em domínio público. E como um deles (RSA), o
primeiro a ser descoberto e o mais simples conhecido, permite também ao titular das chaves controlar o
custo da quebra de seu sigilo, quando usado para este fim, seu uso indiscriminado tem sido alvo de
resistência ideológica por todos os serviços secretos em operação no mundo de hoje, pois implica na perda
de controle, por parte desses serviços, sobre o custo da interceptação de comunicações privadas, a sua
atividade meio.
Para legitimação do comércio eletrônico, o valor jurídico dos documentos eletrônicos é o que
interessa. E portanto, uma lei com este objetivo só deveria se ocupar de conceitos criptográficos envolvendo
a criptografia assimétrica, em modo autenticatório. Ao tratar de criptografia, deve fazer restrições de
modalidade que busquem equilibrar riscos e responsabilidades, em defesa de quem precisa confiar em
estranhos para intermediar sua própria inteligência e vontade na esfera virtual. Restrições que, por sinal,
nada tem a ver com engessamento de tecnologia. A menos que se queira escolher, justamente, tecnologias
embusteiras. A semiótica dos algoritmos simétricos pressupõe que a identificação mútua e segura entre
interlocutores já tenha ocorrido, justamente o problema que a assinatura digital precisa resolver. O uso
semiótico da biométrica como tecnologia de assinatura digital seria um exemplo de embuste, pois tal uso
implementa um tipo de criptografia simétrica, que propicia proteções especiais à geração de chave única do
titular, mas não o controle pelo assinante da dificuldade da forja de sua assinatura.
Usada como método de autenticação com verificação pública, a biométrica só protegeria contra
fraudes o verificador, desequilibrando riscos. A biométrica seria, outrossim, extremamtente útil com
semiótica adequada. Como assessória em ICPs sadias, no controle de acesso à chave privada, por exemplo,
pois o titular e seu chaveiro já se identificaram previamente e se confiam. Em outras palavras, a biométrica
pode ser útil e eficaz, por exemplo, para autenticar a autoria de documentos em uma rede fechada, onde a
confiança do identificado na intenção sadia do dono da rede, implícita no seu uso autenticatório, submete-se
naturalmente à esfera do Direito Civil. Mas não o será para expressar publicamente a intenção do
identificado numa rede global e aberta, onde a validade jurídica deste uso autenticatório pressupõe que tal
confiança se dê numa esfera de última instância, porquanto um "assinante biométrico" não pode controlar a
dificuldade da forja de sua identificação, através da manipulação do processo de validação de sua
"assinatura biométrica".
O discurso que associa criptografia assimétrica a engessamento tecnológico pode ser rastreado à
postura ideológica dos serviços de espionagem, que teriam ganho novos aliados. E quem o repete como
papagaio nem sempre sabe a quem está servindo, ao contribuir para furar este disco. Este disco é posto a
girar explorando-se o medo, na incereteza inerente ao caráter absoluto da universalidade das assimetrias dos
algoritmos RSA e DSA. Mas existem 2350 anos de história da Matemática a lhes outorgar universalidade
relativa, cuja eventual insuficiência seria muito menos provável do que falsificações, embustes e ataques de
outras naturezas, dirigidas aos protocolos e não ao algoritmo, possíveis em qualquer sistema de autenticação
eletrônica.
Depois de expirada sua patente nos EUA o RSA está, há menos de um ano, em domínio público em
todo o mundo, e é o personagem central em todos os protocolos critpográficos para uso em rede global e
aberta, como o SSL, o PGP, o SET, etc. O RSA é agora, sob qualquer jurisprudência, um legado científico
da humanidade, e não uma "tecnologia proprietária" a merecer adjetivações com tinturas ideológicas, nem
mesmo a de "estrangeira". É uma lista de cinco fórmulas que cabem num guardanapo de papel, estranhas
apenas a quem quiser desdenhar o aprendizado matemático que leva à sua compreensão. Os novos aliados
naturais dos serviços secretos, na batalha ideológica para demonizá-lo e vilipendiá-lo, seriam empresas que
não podem mais lucrar com direitos de monopólio sobre ele, ou controlar seu uso. Assim, não faz sentido a
MP querer substituir os dois algoritmos assimétricos de domínio público conhecidos, por algoritmos
desconhecidos. A menos que, como diz com fina ironia o professor Michael Stanton, em sua coluna no
Estadão de 9/7/01, o CEPESC tenha descoberto algum novo algoritmo assimétrico, e esteja mantendo-o em
sigilo, para torná-lo assim ainda mais robusto.
Até onde se tem notícia, a pesquisa desenvolvida pelo CEPESC tem obtido resultados práticos
apenas com geradores randômicos e algoritmos simétricos, nenhum deles de domínio público. Mas a
arquitetura de geradores randômicos é difícil de se esconder na internet, e os algoritmos simétricos são
inúteis para mecanismos sadios de assinatura digital. Os algoritmos simétricos são apenas acessórios úteis a
uma ICP, para mecanismos de proteção à guarda da chave privada ou ao sigilo das comunicações, que
"pegam carona" nos protocolos da ICP com os chamados "envelopes digitais". Estes acessórios podem
enriquecer a funcionalidade de softwares para uma ICP, mas nada afetam o seu núcleo -- sua função
autenticatória -- em relação à segurança jurídica que dela se almeja. O que torna inócua a intenção de se
estabelecer reserva de mercado para algoritmos do CEPESC para as ICPs, se o objetivo da MP for mesmo a
segurança jurídica do comércio eletrônico no Brasil.
Por outro lado, é mais fácil ao produtor esconder, e mais difícil para a vítima encontrar, embustes
em um software cuja lógica interna naõ tem caráter público. Embustes que comprometem a robustez de
algoritmos e protocolos afetados, e das proteções que tais protocolos buscam oferecer, permitindo a quem o
plantou, ou conhece as "portas de fundo" para sua execução, falsificar assinaturas de forma perfeita e
indetectável, ou violar o sigilo do titular. Daí porque uma lei que busca equilibrar riscos e responsabilidades
não deve forçar ninguém a usar nenhum mecanismo opaco para substituir sua assinatura de punho. Daí
porque uma tal lei deva permitir ao participante de uma ICP verificar se tais mecanismos lhe oferecem
algum controle sobre a dificuldade de forja desse novo tipo de assinatura, ou se este mecanismo esconde a
possibilidade de embustes, para exercer em seu melhor juízo a sua escolha de mecanismo. Só podemos
confiar em técnicos para fornecermos a melhor proteção possível, se esta proteção for contra acidentes
tecnológicos, onde a intenção humana esteja fora de cena. Mas contra fraudes e embustes, contra o lado
sombrio da natureza humana, a melhor proteção possível é a própria vigilância, com ou sem a tecnologia em
cena.
Num software cuja lógica interna o usuário ou um perito de sua escolha não possa ter acesso, pode-
se muito bem esconder um "botão macetoso" para obtenção de chaves "privadas" alheias, sem que isto esteja
previso na lei, no manual do software, ou nas palavras oficiais dos produtores, intermediadores e agentes
que lucram com a disseminação e a dependência coletiva a essas caixas pretas. Se a lei diz que um órgão de
espionagem do poder executivo é o único agente apto a verificar, em nome do cidadão ou da empresa
usuária de software da ICP, se a caixa preta intermediadora da sua vontade poderá ou não trair o rótulo de
confiança nela colada por decreto, o cidadão ou a empresa deveria ter pelo menos o direito de recusar este
mecanismo, em favor do seu próprio punho e de sua própria caneta para expressar sua própria vontade, caso
assim o deseje, livre de discriminções por esta escolha.
2.4 Software-como-tecnologia
Resta examinarmos a última interpretação possível da criptografia-como-tecnologia. A única para a

qual poderia ser eficaz uma reserva de mercado numa ICP. Se a intenção do autor da MP foi a de criar
reserva de mercado para implementações de protocolos e algorimos abertos, em uso na internet, e
consequentemente de domínio público, para privilegiar um segmento da industria de software brasileira que
opera o modelo de negócio proprietário, as consequências da eficácia desta reserva podem ser desastrosas
para o usuário, pois esta reserva só atingirá seu objetivo com eficácia se vier conjugada ao bloqueio de
acesso ao código fonte dos seus programas.
E esta conjugação daria oportunidades, estímulos e tentações para o surgimento do comércio dos
privilégios das "portas de fundo" das caixas pretas. Um cenário deveras perigoso, pois a possível intenção de
se criar este novo mercado clandestino de poder oculto seria indistinguível, nas medidas e ações políticas
necessárias ao seu sucesso, daquele de se privilegiar um segmento de mercado para a indústria do software
proprietário, brasileira ou não. Principalmente se a assessoria técnica para a homologação do software para a
ICP é delegada a orgão de inteligência do poder executivo cuja missão conflita, em interesses, com os
direitos de cidadania, como mostram manuais de espionagem recentemente apreendidos pelo ministério
público no Pará, conforme divulgado pelo Jornal do Brasil na semana de 5/7/01. Esta indistinguibilidade é o
risco maior que corre a sociedade, ao aceitar os argumentos oficialmente apresentados por quem defende o
texto atual da MP2200.
Resta então indagarmos se teríamos algo a ganhar com restrições de forma sobre o uso da
criptografia, numa lei de comércio eletrônico. Creio que sim. Se o comitê gestor desambiguasse as duas
possíveis intenções no privilégio que busca criar, no exercício de seu poder homologador para a ICP-Brasil,
dando preferência não necessariamente a protocolos inventados, algoritmos descobertos, ou softwares
implementados no Brasil, mas sim àqueles cuja licença de uso não obstaculizasse a inspeção, por quem se
interessasse, do código fonte e da lógica de seus programas. Se o software for sofisticado e útil, pode-se tê-
lo livre e mesmo assim ganhar muito bem com serviço e expertise em torno dele, sem overhead por
cobrança e policiamento da licença de uso, independentemente de sua origem. Das 180 empresas de capital
aberto no mundo que operam o modelo do software livre, a terceira maior tem sede no Brasil e vai muito
bem nos negócios.
Esta desambiguação de intenções serviria não só para buscar preservar o equilíbrio de riscos e
responsabilidades da jurisprudência tradicional sobre contratação, em defesa do cidadão e da empresa,
usuários de software da ICP, mas também e principalmente, para estimular a indústria brasileira de software
a se desprender do modelo de negócio do software proprietário, que já mostra sinais de fadiga e cuja
sobrevida está sendo alavancada por uma política artificiosa de liberalidade no direito industrial, em direção
a perigosos critérios globais cada vez mas vagos para a patenteabilidade de idéias. Patente é direito de
monopólio industrial, e não pode ser confundido com proteção à obra intelectual, um direito autoral.
Em http://www.wired.com/news/politics/0,1283,46126,00.html, temos um exemplo vivo de como

esta liberaildade pode ser transformada em arma político-ideológica, cerceadora da liberdade humana e da
evolução científica e tecnológica em nossa civilização. O escritório de patentes dos EUA acaba de conceder,
em 24/07/01, a patente de numero 6,266,704 ao serviço de inteligência da marinha americana, de um
protocolo de roteamento em camadas, destinado à anonimização de interlocutores ao longo dos pontos
intermediários do tráfego na internet. Precisamos ler nas entrelinhas, pois este episódio abre um precedente
muito estranho. As leis de patente concedem o direito de monopólio para exploração de invenções úteis,
inéditas e não óbivas, ao seu inventor.
2.5 Software-como-ideologia
E o que é uma invenção? Na jurisprudência americana, o conceito exclui leis da natureza. Na

brasileira, exclui fórmulas matemáticas. Os problemas com a patente 6,266,704 começam com a
patenteabilidade. Em que sentido um formato de diálogo pode ser considerado uma invenção? A
materialização deste protocolo anonimizador sem dúvida só poderá ocorrer, em forma operacional, dentro
do escopo de um formalismo matemático assaz abstrato. O segundo problema ocorre na avaliação de sua
originalidade. A concessão desta patente provocou reações iradas entre os participantes da Conferência
sobre Segurança Computacional da Usenix, onde foi anunciada, de pesquisadores que estariam publicando,
deste 1981, artigos científicos sobre as técnicas cobertas pela patente.
O matemático David Chaum, por exemplo, havia naquele ano publicado o artigo "Untraceable
Electronic Mail, Return Addresses and Digital Pseudonyms" na prestigiosa revista científica
Communications of the ACM. Lance Cottrell, que agora dirige um serviço de anonimização na internet, a
partir de www.anonymizer.com, escreveu parte do sistema Mixmaster no início dos anos 90, e discussões
sobre técnicas similares são discutidas em listas de segurança desde então. O terceiro problema é a potencial
diferença de critérios em relação à originalidade. Uma leitura descuidada para reconhecer, em descrições de
invenções escritas em legalês, conhecimento que já está em domínio público, e uma leitura rigorosa para
enquadrar pretensos infratores de direitos de propriedade intelectual, adquiridos em processos obscuros, que
tramitam em segredo. O direito de monopólio do governo americano, expresso na patente 6,266,704, poderá
ser usado, numa leitura jurídica agora mais liberal do que venha a ser "equivalêcia de idéias", para controlar
o uso de anonimizadores na internet.
Agentes com poder político podem estar exercendo pressão sobre a burocracia técnica, para se
apoderarem de invenções alheias com o intuito ou efeito de controlar seu uso, de forma a perpetuar ou
ampliar seu poder. Como uma pirataria oficial, às avessas. Se o ministério da saúde brasileiro tem tomado a
iniciativa, inclusive em foros internacionais e com sucesso, de contestar a universalidade de certas diretrizes
jurisprudenciais emanadas das forças da globalização, em relação a questões de fronteira do direito de
propriedade intelectual, por que o Ministério da Ciência e Tecnologia não pode seguir-lhe o exemplo?
Razões não faltam, pois as consequências da inação nesta esfera podem ser ainda mais nefastas, a longo
prazo, do que na área da saúde.
Esta política industrial globalizadora, ancorada numa extema liberalidade sobre o direito de
monopólio, que busca perpetuar um modelo de negócio baseado na maximização da avareza, modelo sob o
qual paira a ameaça de obsolescência com as novas liberdades gestadas na revolução digital, fere todas as
jurisprudências do direito de propriedade intelectual consolidadas até o início da década de 80 no mundo, e é
um jogo de sinergia desequilibrante, no qual o Brasil só tem a perder. O escritório de patentes americano,
com a universlização de sua jurisdição e viés político lastreado no fundamentalismo de mercado, imostos ao
mundo pelo rolo compressor da globalização, poderá agir como no passado agiam os tribunais da inquisição,
durante a contra-reforma.
É como se a globalização abrigasse as mesmas forças que se organizaram na contra-reforma, para

resisitir a explosão de liberdade humana desencadeada pela revolução de Gutemberg, reeditada hoje uma
oitava acima na escala semióica pela revolução digital. E não devemos ser ingênuos a ponto de ignorarmos
ser este um dos motivos, e futuro foco de intrasigência, do governo americano em seu lobby pela ALCA e
outros acordos internacionais de livre comércio. A aridez e a complexa tecnicalidade desta batalha
ideológica, talvez seja motivo de não a ouvirmos ainda vocalizada como exemplo do desequilíbrio de forças
no jogo da globalização, que ameaça estilhaçar a cidadania e contra o qual se protesta em Seatle,
Washington, Davos e Genova. Neste confronto, o segmento monoplista da industria do software não poderá
permanecer eternamente no papel de vaca sagrada.
A indústria de software, em um mundo equilibrado e sadio, pode muito bem ganhar dinheiro
vendendo serviços e suporte, competindo sem privilégios na promoção de inovações, sem precisar para isto
sufocar o direito de cidadãos, com capacidade técnica e intenção de cooperar, para distribuir suas
inteligências sinergizadas em software livre. Mas o segmento monopolista desta indústria resiste às forças
evolutivas que agem no seu modelo de negócio, forças que ameaçam desagregar seu poder político,
acumulado pela pressão exercida sobre o processo legislativo em todo o mundo, para estender a proteção de
segredo industrial a conceitos e idéias implementáveis em software, em modelos de negócio, e em outras
Orwellices que beiram à auto-titulação de posse da Verdade e da Moral.
Esta resistência explica a insistência desse lobby para que se mantenha, nesse tipo de lei, uma porta
aberta para novas tecnologias, mas através de um discurso que enfia no mesmo saco conceitos semióticos e
teconologias. Se novos sistemas opacos não tiverem aceitação como alternativa às ICPs de protocolos
abertos, baseadas em conceitos e mecanismos que sabemos como funcionam, a lógica do jogo indica que
veremos o comitê gestor sofrer pressões para homologar apenas novos sistemas opacos. E pelo perfil atual
do comitê, a lógica do jogo indica, também, como ele tenderia a reagir a este tipo de pressão: de forma
prejudicial à cidadania, no equilíbrio de riscos e responsabilidades que o Direito deveria almejar, também na
esfera virtual.
3- A obrigatoriedade da Certificação
Outra dúvida frequente é sobre a obrigatoriedade da certificação, e sobre o objeto da certificação. A

pergunta geralmente é feita em termos da obrigatoriedade da certificação para um documento eletrônico que
necessite de validade jurídica perante terceiros.
É necessário reiterar, quantas vezes for necessário, que a certificação não é para documentos em
geral, e sim para o documento que faz circular a chave pública destinada a validar a assinatura de um alguém
ou algo, em outros documentos. A assinatura digital é produzida misturando-se, em um algoritmo
criptográfico assimétrico, o par privado desta chave e o documento. O documento se torna assinado quando
esta mistura é aposta a ele. A validação reverte o processo, a partir da chave pública e da mistura que está
aposta ao documento. Ao falar da certificação obrigatória para documentos, o que se tem é algo ambíguo.
Pode-se querer dizer que a assinatura no documento só terá validade legal se a chave que a validar for
certificada por certificadora credenciada na ICP. Pode-se também querer dizer que um certificado de chave
pública (que é, em si, um documento) só terá validade legal se for assinado por uma certificadora
credenciada. Esta segunda hipótese nada diz da validade, do ponto de vista jurídico, dos documentos cuja
assinatura o certificado vier a validar, do ponto de vista dos protocolos da ICP.
Parece que algum tipo de obrigatoriedade era um dos pontos obscuros da primeira versão da MP, e
que teria sido abolida na sua primeira reedição. Mas nunca se sabe como vão sair as próximas reedições. E
enquanto o Congresso não decidir sobre o assunto, talvez não valha a pena tentar interpretar passagens
obscuras desta provisória lei. Sobre a integridade, a autenticidade, e a segurança de documentos e transações
eletrônicas, a primeira versão da MP nada dizia. Só fazia ilações que as rogam. Não estabelecia critérios
objetivos para sua presunção, mas apenas critérios subjetivos. Se esta rogação for interpretada como
presunção, a obrigatoriedade vai depender de como se interpreta o resto da lei.
4- Credenciamento de Certificadoras versus Confiabilidade das Assinaturas
Outra dúvida frequente é acerca da relação entre certificação credenciada e confiabildade da

assinatura, do ponto de vista do usuário final. E do custo embutido no credenciamento, ou na necessidade do
credenciamento da certificadora, para a validade jurídica das assinaturas que o certificado validar.
4.1 Para que serve a certificação
A certificação, caso seus procedimentos de identificação sejam rigorosos e bem fiscalizados, serve
apenas para controlar o risco de identificação incorreta do titular de uma chave. E caso não sejam, só servirá
para gerar lucros à certificadora. A identificação incorreta do titular de um certificado leva à identificação
incorreta do autor de documentos que o certificado valida, mas a identificação incorreta do autor pode
também ocorrer pelo outro calcanhar de aquiles das ICPs. Se alguém conseguir copiar a chave privada do
titular, poderá assinar qualquer documento de forma perfeita, em nome do titular. A certificação nada pode
prevenir, ou fazer a respeito do vazamento da chave privada, chave que deve estar sob a possibilidade acesso
únicamente por seu titular, para que o mecanismo autenticatório funcione como concebido.
A certificadora, outrossim, pode contribuir para controlar as consequências do comprometimento da

chave privada, divulgando a revogação de certificados que tenha um dia assinado. Mas se a revogação não
for fisicamente ancorada e bem fiscalizada, também criará falsa presunção de confiabilidade, seja ou não a
certificadora credenciada. E se o credenciamento da certificadora implicar em efeitos legias para a
revogação, agrava-se o contexto, pois falhas de fiscalização nos procedimentos de revogação implicam em
insegurança jurídica, pelo risco de fraudes que anulariam provas documentais legítimas, por meio de
revogações retroativas. A segurança é uma corrente tão forte quanto seu elo mais fraco. O credenciamento
cria aparência de confiabilidade pela presunção de fidelidade aos procedimentos corretos, o que poderia ou
não estar ocorrendo como parte do processo de credenciamento. E a falsa presunção, sem auditoria externa,
seria pior do que a percepção real de uma confiabilidade precária. Portanto, a certificação credenciada não
aumentaria a confiabilidade, mas apenas criaria, na maioria dos casos, uma aparência de confiabilidade.
O artigo 1 da MP corre o risco de funcionar como propaganda enganosa, induzindo o cidadão a

acreditar que a certificação credenciada de sua chave pública dará segurança jurídica, não só à sua assinatura
digital, mas também aquelas nas quais ele decide confiar. Esta propaganda será nociva para o cidadão que
não souber avaliar o grau de vulnerabilidade das chaves privadas nos computadores dos titulares. O usuário
estará acreditando-se seguro na ICP, enquanto alguém pode estar enviando scripts embusteiros pela rede
para copiar chaves privadas e falsificar documentos em nomes alheios, sem que os titulares percebam. E
pior, se a certficiação credenciada tiver o efeito de dar fé pública à assinatura validada pelo certificado, e não
apenas à certificação, o ônus da prova de que não foi o titular quem assinou um documento falso, e sim
alguém que teria copiado ou usado indevidamente sua chave privada, recairá sobre ele, o titular vítima da
fraude. A primeira versão da MP era ambígua em relação à presunção de validade legal de assinaturas, cuja
chave de validação tenha sido certificada na ICP. Como será reeditada a cada trinta dias enquanto não for
aprovada, não se pode firmar idéia de como estará esta ambiguidade ao final do processo.
4.2 O CEPESC na ICP-Brasil aumentaria sua confiabilidade?
Outra aparência de confiabilidade muito perigosa nesta MP, é sobre a assessoria técnica que irá
receber o comitê gestor da ICP-Brasil. O diretor do CEPESC teria divulgado uma nota de esclarecimento,
circulada pela rede, justificando a nomeação deste órgão para esta assessoria técnica, alegando tratar-se de
uma competente instituição governamental de pesquisa em segurança das comunicações, e insinuando
vantagens e seguranças decorrentes das possiveis "preferências tecnológicas" aqui aludidas, possibilitadas
por esta assessoria.
O diretor-geral da Federação Brasileira dos Bancos - Febraban, Sr. Hugo Dantas Pereira, antigo
diretor executivo de varejo, serviços bancários, tecnologia e infra-estrutura do Banco do Brasil, e que em
julho foi nomeado um dos representantes da sociedade civil no Comitê Gestor da ICP-Brasil, teria
defendido, em evento patrocinado pela OAB em 26 de julho para debater a MP2200, a adoção de uma
Certificadora raiz única e a dependência da assessoria técnica do CEPESC, alegando serem o CEPESC e as
agências militares os únicos centros de expertise em criptografia no país. Esta ilação, vindo de uma figura
pública tão importante, conspurca a estatura profissional de brasileiros ilustres que centralizam ampla
bagagem de conhecimento criptográfico, como o Dr. Paulo Barreto, e de outros não tão ilustres. O Dr
Barreto, que trabalha na empresa brasileira Scopus, é o criptoanalista da equipe belga vencedora do
concurso promovido pelo NIST para escolha do próximo padrão americano aberto de cifra simétrica, o AES,
num concurso onde participaram mais de duzentas empresas de todo o mundo, e que durou mais de dois
anos. O NIST é o equivalente americano do Inmetro, assessorado em assuntos criptográficos pela NSA, o
maior centro de criptoanálise do mundo.
Um grupo de alunos meus expos, no stand do Ministério da Educação e Cultura na Fenasoft de

1998, a primeira implementação de uma ICP em software livre feita no Brasil, e a empresa deles hoje
desenvolve software criptográfico para uso na internet, inclusive para uma das nossas forças armadas. Outro
grupo de alunos meus venceu, com um software criptográfico, o primeiro concurso nacional para escolha do
melhor plano de negócios para comércio eletrônico no Brasil, o E-cobra 2000, concorrendo com mais de
setecentas empresas.O Programa de Extensão Universitária em Criptografia e Segurança Computacional da
UnB, que só é divulgado na internet e cujos cursos ministro, tem demanda expontânea e já recebeu como
alunos, em metade de suas turmas, analistas e programadores deste grande banco onde trabalhou o Sr.
Pereira, que incluiu suas matrículas em seus planos de capacitação técnica. Não só analistas deste banco,
mas também de empresas de segurança computacional que prestam serviços a 80% dos bancos brasileiros,
peritos da Polícia Federal, do Itamarati, de outros órgãos do poder executivo e de outras entidades onde
alguém busca levar a sério a criptografia.
O diretor-geral da Febraban só poderia estar correto em sua ilação, se o sentido de expertise a que se
refere restringir-se à criptologia aplicada, empregada na construção de mecanismos restritos à proteção do
sigilo e à interceptação das comunicações de interesse próprio. Leia-se, espionagem e contra-espionagem.
Mas este é o sentido de expertise em criptografia que nada tem a contribuir para equilíbrar riscos e
responsabilidades numa ICP legitimadora do comércio pela internet. Justamente o contrário. Alguém já
ouviu falar de alguma ferramenta de segurança, de algum protocolo ou algoritmo distribuído na internet para
proteger os internautas, que tenha sido desenvolvido pelo FBI, NSA, KGB, Scotland Yard ou CEPESC? A
pesquisa científica desenvolvida nas universidades e nos centros de pesquisa das empresas de informática, é
que tem tentado contribuir para a segurança na internet, estudando a vulnerabildide de protocolos e de
softwares hoje em uso disseminado na rede, e propondo caminhos, soluções e evoluções.
A pesquisa que os serviços estatais de espionagem fazem não é para proteger ninguém na internet,
mas apenas os interesses a que servem. O estado da arte da espionagem moderna tem entrado na internet
para promover o cerco eficiente à privacidade individual e a espionagem industrial, com o Echelon, e está na
moda seus porta-vozes dizerem que o motivo de estarem invadindo o domínio da espionagem comercial
privada, é expor a corrupção de empresas que subornam e oferecem propina em licitações públicas,
interceptando suas comunicações. Moda que não inclui a discussão dos critérios para esta exposição. O que
este tipo de expertise tiver a oferecer, será sempre em detrimento da privacidade e de outras direitos de
cidadania. E a sociedade precisa ponderar que tipo de preço e que tipo de risco quer pagar pela virtualização
dos seus processos sociais, com um pouco mais de sensatez e profundidade do que tem feito o diretor-geral
da Febraban. É a sociedade que precisa decidir quais macacos quer em quais dos seus galhos.
5- A Certificação e a Validade Jurídica de Documentos
Outra pergunta recorrente, é se os serviços prestados por empresas como a VeriSign, já não estariam
hoje garantindo a validade de documentos eletrônicos.
5.1 O que a certificação garante?
A validade da assinatura num documento eletrônico, para o conjunto de protocolos de uma ICP, é
uma coisa. A validade de um documento eletrônico assinado, para o corpo de leis de um país, é outra,
segunda coisa. E o que a Verisign vende é uma outra, terceira coisa. O que a Verisign vende é uma especie
de apólice de seguro. Esta apólice diz o seguinte. Quando houver um tipo de documento eletrônico chamado
certificado digital, contendo dados de uma chave pública e de seu titular, assinado pela Verisign, este estará
expressando um contrato de apólice de seguro ao portador. A apólice cobrirá danos causados pela
interpretação incorreta destes dados, rastreáveis à negligência da empresa, até o limite de valor monetário
estipulado em um outro documento, chamado Verisign Policy Statement.
O certificado assinado quer dizer o seguinte: alguém ou algo apresentou à Verisign uma chave
pública para um determinado algoritmo criptográfico assimétrico, dizendo ser seu titular (possuidor, em sua
intimidade, do par privado desta chave), junto com credenciais que indicam ser este alguém ou algo
identificável pelo nome que consta no certificado como sendo o de seu titular. De posse da chave pública da
Verisign e de uma cópia de um tal certificado, qualquer usuário poderá confirmar, mediante validação da
assinatura digital da Verisign neste certificado, se o nome do titular e sua chave publica, nele constantes, são
os mesmos apresentados por ocasião da assinatura do certificado (na ocasião em que a Verisign o teria
assinado).
Vale lembrar que cópias de um certificado de chave pública são distribuídas pelo interessado em ter
a sua assinatura em um outro documento validada por meio dele (supostamente o titular), e não por quem
assina o certificado (a certificadora). Quem certifica uma chave pública apenas verifica a titularidade do
solicitante, a prova protocolar da posse do par desta chave pelo mesmo, assina e entrega ao solicitante o
certificado assinado. Se for comprovada a negligência da Verisign em verificar corretamente a identificação
deste titular, segundo as regras que ela estabelece para si para aquele tipo de certificado conforme divulgado
em sua Policy Statement, a Verisign promete ressarcir o usuário lesado, por prejuízos causados pela falsa
identificação do titular ou pela falsidade da chave, até a quantia estipulada neste Policy Statement.
5.2 Um caso ilustrativo
Vamos examinar um caso hipotético, em que o documento seja um programa de computador, o

"softX".
A Verisign recentemente assinou um certificado de chave pública para alguém que se dizia
funcionário da Microsoft, e que forneceu evidências consideradas suficientes para a Verisign assinar,
dizendo ser a Microsoft o titular daquela chave pública. Meses depois a Microsoft percebeu que ninguém da
empresa poderia estar com o par daquela chave, e pediu para que aquele certificado fosse revogado. A
Verisign atendeu ao pedido. Os procedimentos de identificação da Verisign não teriam sido cem por cento à
prova de falsidade ideológica, pois a Verisign reconheceu que, neste caso, teria havido falha na identificação
do titular, quem teria apresentado documentos de identificação falsos. Mas passou-se algum tempo entre a
certificação e a revogação. O resultado é que existe o par daquela chave em algum lugar, sob o controle de
um desconhecido, que pode estar assinando digitalmente programas validáveis pelo Windows como tendo
sido originados na Microsoft.
Vamos agora voltar às questões sobre validade do documento. Se alguém instalar um programa no
seu PC windows, acreditando ser um programa Microsoft, mas um programa que tenha sido assinado por
aquela chave, o windows vai dizer que o programa é mesmo Microsoft original. Digamos que este programa
seja o "softX". A autoria do documento "softX" pela Microsoft terá validade protocolar na ICP de que
participa aquele PC windows e a Verisign, até a data de expiração de seus certificados. Num primeiro
cenário, se a pessoa entrar na lista de revogação da Verisign para saber se aquela assinatura da Microsoft no
"softX" teria chances de pretender validade jurídica, poderá então perceber que não, pois o certificado usado
para validar a assinatura da Microsoft no "softX", naquela ICP, teria sido revogado por falsidade ideológica
na sua titulação., E que o programa "softX" pode ser um software embusteiro.
Num segundo cenário, se tudo isto estiver ocorrendo antes da Microsoft ter dado o grito e pedido a
revogação daquele certificado, cuja cópia apareceu no computador do usuário para validar a assinatura no
"softX", este usuário terá sido ludibriado, apesar de sua cautela em consultar a lista de revogações da
Verisign. E se houver uma lei que dá validade jurídica a assinaturas validadas pelos protocolos da ICP, por
certificados daquele tipo, a Microsoft será legalmente responsável pelo "softX", enquanto este certificado
não for revogado. A Microsoft poderá acionar judicialmente a Verisign, por prejuízos a ela imputáveis por
terceiros, perpetrados pelo "softX" entre a data de assinatura daquele certificado e data de sua revogação,
desde que consiga provar em juízo a negligência da Verisign.
No primeiro caso, se a consulta à lista de revogação da Verisign for posterior à instalação do

"softX", e o "softX" tiver causado estragos no seu sistema, o usuário não terá direito a reparação alguma,
arcando com os prejuízos decorrentes de ter confundido validade protocolar na ICP com validade jurídica.
Por outro lado, mesmo que a ICP queira automatizar a consulta à lista de revogação durante a validação das
assinaturas, para equiparar a validade protocolar e a jurídica, exigindo que certificados contenham um link
para a lista onde estaria registrada sua possível revogação, e que adequada lógica nos programas e
protocolos de validação a consultem durante uma validação, como ficariam as responsabilidades quando a
validação precisar ser feita fora da internet, ou quando o acesso via TCP/IP à lista de revogação estiver
bloqueado por algum motivo acidental e a validação requeira prazo, ou quando o software no servidor que
responde a consultas à lista de revogação apresentar falhas intermitentes, suspeitada por quem consulta a
lista e negada por quem a mantem?
No segundo caso, o usuário terá que provar três coisas.
1) que "softX" é um programa embusteiro,
2) que quando da instalação do "softX" no seu PC o certificado em questão não havia sido revogado,
e
3) que o "softX" foi quem lhe causou os danos apontados, cuja compensação deseja pleitear,
limitada ao teto constante no Verisign Statement Policy para aquele tipo de certificado.
Se a data em que acionar a justiça for anterior à revogação do certificado, o réu terá que ser a
Microsoft. Se posterior, a Verisign. E a terceira das provas será muito difícil de ser aceita, por qualquer uma
dessas duas empresas, já que há, em média, 3000 bibliotecas de funções com ligação dinâmica (DLLs) em
um tal sistema, que podem ser acionadas por qualquer programa, DLLs que podem fazer, em princípio,
quase qualquer coisa com os bits do sistema.
Mesmo que as três provas tivessem sido produzidas pela vítima e aceitas numa ação judicial, haveria
ainda um possível terceiro cenário, caso a Verisign não admitisse falsidade na identificação do titular do
certificado que assinou. Se ela acreditasse que quem obteve aquele certificado foi mesmo um funcionário da
Microsoft, e que este funcionário teria deixado a chave privada correspondente vazar para fora da empresa
em que trabalha, e depois destruído sua cópia da chave privada e registros de sua requisição de certificação,
a questão sobre quem deve ser o réu nesse caso poderia se tornar um objeto de disputa judicial entre
Microsoft e Verisign, enquanto o usuário do "softX" aguarda para saber se terá ou não seus prejuízos
ressarcidos, em que montante e por quem.
Em que sentido a Verisign estaria garantindo a validade de documentos? Devolvo a pergunta, pois a
resposta é subjetiva.
5.3 ICP, Certificação e Jurisprudencia brasileira
E no Brasil? O problema com a lei brasileira é que, se a certificadora for uma entidade pública, a sua
responsabilidade civil e penal por negligência tem que ser total. E não sabemos ainda como calcular o custo
atuarial da certificação, neste caso, pois não temos ainda tabelas de custas processuais e frequências de
incidentes. E se a atividade da certificação comercial, credenciada ou não, não for regulamentada com
critério, podemos nos ver numa guerra de "perueiros da certificação", onde cada um que abrir a sua ganha o
mais que puder, antes de pedir falência na primeira ação civil, por emissão falsa ou por interdição
fiscalizadora.
Não sabemos sequer quais serão os procedimentos de identificação para a certificação comercial,
que controlariam os riscos da falsidade ideológica. A certificadora exigirá a presença do titular, com carteira
de identidade e CPF? E as RGs e CPFs falsos, vendidos no centro de qualquer cidade grande, onde farão cair
as responsabilidades? Ou será que bastará um e-mail para se obter um certificado de certificadora
credenciada? Ou será que o regulamento dirá que o titular precisa comparecer à certificadora e apresentar
documentos legítimos, mas na certificadora Eduardo Jorge bastará passar um e-mail dizendo-se amigo de
fulano?
Não sabemos quais tipos de certificado esta MP estará abrangendo. O titular pode ser uma pessoa,
um software, ou uma empresa? No caso de uma empresa, a distribuição de responsabilidades jurídicas entre
empregado e empresa no manuseio da chave privada, deverá ser definida na titulação? Ou será matéria
jurídica circunscrita à empresa? Neste último caso, as práticas contratuais da empresa poderão ter
precedência à premissa da posse única da chave privada, necessária à segurança jurídica da ICP? As ICPs
são frutos de uma experiência de organização social ainda muito nova e complexa, com interfaces delicadas
nos campos da filosofia do Direito e de várias outras ciências, como a Matemática, a Engenharia e a
Semiótica. E que tangem à forma de poder mais importante do futuro, o controle sobre a qualidade da
informação.
Não podemos por isso saber de antemão como irá evoluir nossa ICP. Ninguém sabe ainda como vai
evoluir nenhuma ICP no mundo. Apesar disto, a MP2200 parece estar mais preocupada em apontar quais
agentes políticos vão dar rumo a esta evolução, do que com uma estratégia de princípios gerais para o
Direito brasileiro e outras ciências abordarem os desafios e obstáculos técnicos que irão guiar esta evolução.
O primeiro ensaio desta abordagem é perigosamente simplista, delegando seu rumo à asseossoria do seriço
de espionagem do poder executivo, com justificativas pífias e risíveis publicamente oferecidas, se não
orwellianas, sem maiores debates na sociedade a respeito.
E novamente, é necessário esclarecer que está havendo uma ênfase exagerada na MP com o
resultado formal da certificação, antes de se conhecer os procedimentos da ICP, que darão realidade prática
a este resultado formal. E se o que se quer desta realidade prática for mesmo a segurança jurídica do
comércio eletrônico no Brasil, as prioridades estão sendo invertidas pelo espírito desta lei provisória. Os
riscos maiores a esta segurança não estão na identificação de quem apresenta uma chave pública para
certificação, onde pode haver falsidade ideológica, assunto da certificação. Um usuário de certificados que
seja cauteloso poderá, se quiser, verificar a procedência destes por meios externos aos protocolos da ICP. O
problema maior está na guarda da chave privada. A certificadora mantém listas de revogação de certificados,
mas quem copia ou usa indevidamente uma chave privada para falsificar documentos, não produzirá com
isso um sumiço ou uma mancha na chave, sinalizando a necessidade da sua revogação.
Chaves criptográficas são sequências de símbolos. E o titular quase certamente só irá perceber que
alguém tem a cópia de sua chave privada, ou que esta foi usada indevidamente, quando for comunicado que
tem problemas com a Justiça, momento em que a revogação não lhe servirá para nada, pois a revogação não
pode ser retroativa. Se pudesse, ninguém nunca iria pegar os novos Estevãos, Lalaus e Barbalhos da vida,
operando eletronicamente. O controle do registro de data em um documento eletrônico é algo cuja
credibilidade, assim como a procedência de chaves criptográficas, requer alguma âncora no mundo da vida.
Uma ICP pode apenas preservar esta credibilidade, mas nunca gerá-la. A impressão que fica é que esta lei
quer antes repartir o lucro ou o poder na movimentação de um novo tipo de confiança, antes que se saiba
como esta nova confiança pode ser produzida e mantida.
Sobre o autor
Pedro Antônio Dourado de Rezende
Home-page: www.cic.unb.br/docentes/pedro/sd.htm
Sobre o texto:
REZENDE, Pedro Antônio Dourado de. Sobre a criação da ICP-Brasil . Jus Navigandi, Teresina, ano
6, n. 54, fev. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=2705>. Acesso
em: 30 abr. 2009.

DocumentoEletrônico AssinaturaDigital

Enviado por

Direitos autorais:

Formatos disponíveis

DocumentoEletrônico AssinaturaDigital

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DocumentoEletrônico AssinaturaDigital

Enviado por

Direitos autorais:

Formatos disponíveis

Atividade Legislação de TI e Gestão de Contratos

Documento eletrônico - Rodrigo

O documento eletrônico e a assinatura digital.

Texto extraído do Jus Navigandi

A utilização e aceitação jurídica do documento eletrônico é crescente, independentemente da

Com certeza, a volatilidade e a ausência de traço personalíssimo do autor fragilizam o documento

As dificuldades, no campo probatório, do "documento eletrônico puro" (desprovido de técnicas,

II. ASSINATURA DIGITAL

Como funciona a assinatura digital (baseada na criptografia assimétrica) de um texto ou mensagem

Subsiste, entretanto, o problema da autenticidade (autoria). Portanto, a sistemática da assinatura

Assim, a função básica da entidade ou autoridade certificadora está centrada na chamada

2. Edição de Decreto pelo Governo Federal

Com a edição do Decreto n. 3.587, de 5 de setembro de 2000, foi instituída a Infra-Estrutura de

3. Projeto de Lei submetido à consulta pública pelo Governo Federal

4. Apresentação de substitutivo para apreciação de Comissão Especial da Câmara dos

Em relação à assinatura digital, o Substitutivo adotou o sistema baseado na criptografia assimétrica,

5. Edição da Medida Provisória 2.200

A organização da ICP-Brasil, a ser detalhada em regulamento, comporta uma autoridade gestora de

À AC Raiz, primeira autoridade da cadeia de certificação, compete emitir, expedir, distribuir,

6. Aprovação de substitutivo (com alterações) pela Comissão Especial da Câmara dos

Como afirmamos, o problema da identificação e da integridade dos documentos eletrônicos

II - Atos processados em juízo;

III - Documentos públicos ou privados;

Código de Processo Civil:

"Art. 368. As declarações constantes do documento particular, escrito e assinado, ou somente

"Art. 371. Reputa-se autor do documento particular:

I - aquele que o fez e o assinou;

II - aquele, por conta de quem foi feito, estando assinado;

I - enunciam o recebimento de um crédito;

"Art. 383. Qualquer reprodução mecânica, como a fotográfica, cinematográfica, fonográfica ou de

Parágrafo único. Impugnada a autenticidade da reprodução mecânica, o juiz ordenará a realização de

I - lhe for contestada a assinatura e enquanto não se Ihe comprovar a veracidade;

II - assinado em branco, for abusivamente preenchido.

(6) "ARROLAMENTO - CERTIDÃO NEGATIVA DE TRIBUTOS FEDERAIS - Obtenção por

Vistos, relatados e discutidos estes autos de AGRAVO DE INSTRUMENTO n° 105.464-4/ 7, da

O julgamento teve a participação dos Desembargadores RICARDO BRANCATO (Presidente, sem

São Paulo, 17 de março de 1999.

O agravo comporta provimento.

Os elementos dos autos demonstram que o inventariante atendeu à exigência de comprovação de

A expedição da referida certidão é fruto da evolução tecnológica e se amolda ao espírito

São Paulo, 04 de março de 1999.

(7) "Instrução Normativa SRF nº 86, de 22 de Outubro de 2001

Parágrafo único. As empresas optantes pelo Sistema Integrado de Pagamento de Impostos e

Art. 3º Incumbe ao Coordenador-Geral de Fiscalização, mediante Ato Declaratório Executivo

§ 2º A critério da autoridade requisitante, os arquivos digitais poderão ser recebidos em forma

Parágrafo único. A autenticidade e integridade serão garantidas pela execução de procedimentos

IV. LISTA DE LINKS

Artigo ASPECTOS JURÍDICOS DO DOCUMENTO ELETRÔNICO.

Autor: José Henrique Barbosa Moreira Lima Neto.

Artigo O DOCUMENTO ELETRÔNICO COMO MEIO DE PROVA.

Autor: Augusto Tavares Rosa Marcacini.

Artigo VALIDADE JURÍDICA DE DOCUMENTOS ELETRÔNICOS. CONSIDERAÇÕES

Autor: Aldemario Araujo Castro.

Representação gráfica da assinatura digital

Figura recuperada da pág. 25 da obra Assinatura Digital de Marlon Marcelo Volpi

Representação gráfica da assinatura digital II

Exemplo de MENSAGEM ASSINADA DIGITALMENTE

Exemplo de INDICAÇÃO DE ALTERAÇÃO da mensagem depois de assinada digitalmente