A primeira lei a tratar de assinaturas eletrônicas no Brasil foi a MP 2.200-2 de agosto de 2001, tratando das competências de gestão a infraestrutura de chaves públicas brasileira. Em 2015, o Decreto 8.539 veio para regulamentar o uso de assinaturas eletrônicas com e sem o uso de certificados emitidos na cadeia do ITI dentro do Poder Executivo Federal. Posteriormente, em 2020, foi publicada a MP 983, convertida em lei na forma da lei 14.063/2020 que define os tipos de assinatura eletrônica utilizados no Brasil e quais documentos podem ser assinados com cada procedimento, constituindo a lei mais abrangente em vigência sobre assinatura eletrônica de documentos brasileiros.

MP 2.200-2 de 2001

Embora o objetivo da MP 2.200 seja a criação do ICP-Brasil, ela dispõe, em seu Art. 10, que ela não visa alterar nem invalidar outros meios de assinatura eletrônica:

§ 2º  O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.

Desta forma, embora a MP 2.200-2 regulamente as assinaturas eletrônicas, ela delega a validade das mesmas para os princípios gerais dos contratos. Assim, não existe um formato legal único ou um conjunto de regras para a validação das assinaturas, ficando a cargo da jurisprudência definir a validade das mesmas.

Portando, delegou-se à definição das normas de aceitação dos documentos aos órgãos públicos, sendo este caso a caso até a edição de uma lei específica sobre assinaturas eletrônicas, que veio a ocorrer com a lei 14.063/2020

Assinaturas realizadas através do Autentique

O modelo de assinatura utilizado pelo Autentique é baseado em um processo de verificação auditável utilizado no ramo há mais de 25 anos e atende integralmente os requisitos específicos do eSignature Act americano e eIDAS da União Européia. Porém com alguns adicionais para tornar mais adaptado ao modelo de auditoria judicial brasileiro, como verificação de dados de CPF, data de nascimento e informações cadastrais do signatário.

Na legislação brasileira ela foi regulamentado como “assinatura eletrônica avançada”, nos moldes do Art. 4, II da Lei 14.063/2020. Dessa forma o Autentique pode ser usado tanto na iniciativa privada, quanto para documentos privativos dentro do Poder Público, sendo hoje utilizado para assinatura de documentos internos e acordos em conciliação realizados em tribunais superiores.

Dentro da esfera pública, a mesma lei estabelece 4 hipóteses em que o modelo de “assinatura eletrônica avançada” não poderia ser utilizado, sendo, para estas, necessário utilizar a “assinatura eletrônica qualificada” nos moldes do Art. 4, III da Lei 14.063. Estas hipóteses são:

Art. 5 […]

§ 2º É obrigatório o uso de assinatura eletrônica qualificada:

I - nos atos assinados por chefes de Poder, por Ministros de Estado ou por titulares de Poder ou de órgão constitucionalmente autônomo de ente federativo;

II - (VETADO);

III - nas emissões de notas fiscais eletrônicas, com exceção daquelas cujos emitentes sejam pessoas físicas ou Microempreendedores Individuais (MEIs), situações em que o uso torna-se facultativo;

IV - nos atos de transferência e de registro de bens imóveis, ressalvado o disposto na alínea “c” do inciso II do § 1º deste artigo;

V – (VETADO);

VI - nas demais hipóteses previstas em lei.

A exemplo do inciso VI é possível citar laudos e receitas médicas, que possuem legislação própria estabelecendo as regras para sua assinatura.

A verificação da autenticidade do documento se dá por uma tríplice de autenticações digitais, sendo aplicadas as cifras: MD5, SHA1 e SHA256 ao documento. A utilização de três cifras de bloco diferentes permite o aumento da segurança teórica do documento e redução da chance de colisão de hashs, garantindo a autenticidade do documento mesmo muito após sua prescrição visto que a segurança teórica do SHA256 é até o ano de 2086. Ela também protege contra ataques de Paradoxo do Aniversário e contempla o Princípio de Kerckhoffs.

A verificação da identidade das partes se dá por 3 vetores: Ao enviar um documento para assinatura é gerado um código único enviado por email e acessível apenas por aquele signatário no endereço de assinatura contido no endereço de email, acessando este link é verificado que o signatário está em posse daquele endereço de email. No procedimento de assinatura são requisitados os dados pessoais do signatário: Nome, Data de Nascimento e CPF. Por fim, são coletados dados de conexão da parte signatária: Endereço de IP, Geolocalização, identificadores do dispositivo e navegador e geolocalização, permitindo o cruzamento das informações judicialmente caso as assinaturas venham a ser questionadas. Alternativamente, também é possível gerar um link de assinatura enviado diretamente ao signatário, ao assinar por ele, o signatário precisará indicar um método de autenticação dentre acessar com uma conta do Facebook ou Google, confirmar um número de telefone via um token enviado por SMS ou confirmar um endereço de email.

Caso a assinatura venha a ser questionada, é possível cruzar os dados coletados pelo Autentique com os registros do provedor de internet do signatário e serviço de email ou redes sociais, oferecendo uma forma redundante de identificação. Ainda, métodos de rastreio de usuários dentro da plataforma permitem identificar caso a mesma pessoa acesse contas diferentes e assine documentos, permitindo identificar fraudes em que um usuário tente se passar pelo signatário ou possua acesso de mais de uma pessoa com dados distintos (em especial CPF). Este processo permite identificar, catalogar e remediar comportamentos suspeitos e interações irregulares com documentos.

Desta forma, para que a assinatura seja realizada, o agente precisa estar em posse do email da parte signatária e possuir seus dados pessoais de identificação. Mesmo que isso ocorra a verificação dos dados da conexão permitem identificar fraudes realizar a atribuição da assinatura.

Atente-se que a grafia da assinatura não é utilizada como forma de auditoria nas assinaturas realizadas pelo Autentique nem demais assinaturas digitais, sendo um elemento puramente estético personalizável pelo signatário e em nada interfere no processo de verificação das assinaturas.

Aceitação das assinaturas eletrônicas

Por regra, as assinaturas eletrônicas são aceitas para contratos e demais documentos particulares. Em se tratando de órgãos públicos, eles estão sujeitos às normas do Art. 5 da lei 14.063/2020 acima citado. Em todos os demais casos não há nenhum impedimento legal de aceitação nem existe nenhuma diferença de validade entre assinaturas realizadas eletronicamente e documentos assinados fisicamente.

Encontrou sua resposta?