4- Tipos mais simples de Fraude e Ofuscação do seu Risco
Quem procura examinar as possibilidades de fraude numa ICP tende a suspeitar que a fraude mais simples possível consiste no "roubo" da chave privada da vítima, para a assinatura de documentos forjados em seu nome. Mas não é. Tecnicamente, o termo correto para este tipo de incidente é "vazamento", pois o ato não priva o dono da chave de "posse" do objeto em questão. O que constitui um complicador jurídico, pois o exemplar vazado pode ser usado sem que o titular disso suspeite. Normalmente a chave privada reside em um arquivo cifrado por senha, no diretório do browser ou no registro do sistema operacional.
Em 70% dos casos de escolha de senha, esta cifragem pode ser quebrada por crackers (hackers criminosos), usando programas que aplicam ataques de dicionário em tais cifragens. E quando a senha for robusta, o atacante pode se valer de programas cavalos-de-tróia, amplamente difundidos no mundo do cibercrime e facilmente implementáveis na linguagem de comunicação de processos do Windows (VBscript), também uma linguagem de programação de conteúdo ativo no Internet Explorer e no Outolook, para interceptarem furtivamente do teclado a digitação da senha e o acesso ao chaveiro do navegador, transmitindo-as ao atacante, até através de carona em conexões a sites insuspeitos.
E aqui está o nó de um novo golpe branco contra a cidadania, perpetrável por meio de leis de assinatura digital obtusas em que poderiam se encaixar como luva objetivos não confessáveis, mencionados na seção anterior. Segundo a letra do artigo 1 da MP2200, esta lei teria sido promulgada
"para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras."
Tudo bem, se for para garantir tudo isto. Mas falta explicar como, o que fica para os atos normativos da autoridade gestora, conforme o artigo 3 da mesma MP:
"A função de autoridade gestora de políticas [será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República".
Estamos, portanto, diante de um dos três Poderes reescrevendo, na prática, parte significativa de um novo Código Civil. Ao menos o princípio de contrapesos dos três Poderes, basilar na democracia moderna, foi aqui desprezado. Será que isso é mesmo assunto para lei provisória, que pode ser mudada a cada mês com uma canetada? Mas tudo bem, se for em boa causa. O motivo apresentado pelos defensores da MP2200 para este desprezo é o de que o Legislativo tem sido muito lento para decidir estas coisas tão urgentes. Tudo bem, se, ao final, se estiver buscando a manutenção da segurança jurídica, isto é, o equilíbrio de riscos e responsabilidades nas práticas sociais intermediadas pelo virtual. Podemos até ignorar que a morosidade do Legistalivo, que vinha debatendo o tema com a socieade há mais de dois anos, possa ter sofrido a inflluência do próprio Executivo para praticar esta morosidade.
O que se vê então, até aqui, no trabalho dos que tomaram para si toda esta autoridade e responsabilidade? O que deste trabalho primeiro se depreende é uma preocupação muito maior com a segurança do negócio do pedágio a ser cobrado, do cidadão e da Justiça, para trânsito de valores jurídicos no espaço virtual, do que com a segurança jurídica do cidadão e dos agentes sociais subrepresentados nesse novo jogo de poder. Apesar da linguagem pomposa e cheia de tecnicismos dessas normas sugerir ao leigo o contrário. Cito em meus artigos vários indícios de que, como estou aqui afirmando, esta forma de pedágio não é adequada à segurança jurídica da assinatura eletrônica.
O que significa, por exemplo, a linguagem da MP2200 que diz
"garantir a validade jurídica ... das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais"? O que significa "aplicações habilitadas"?
Habilitadas por adesão de sua lógica a padrões públicos de interoperabilidade, por critérios técnicos que capacitem garantias de segurança computacional aos elos do sistema onde atuam, por critérios burocráticos, por critérios indiretos de discriminação forçada por padrões proprietários, ou por combinação desses? Ainda não sabemos o que virá a ser isso na prática, no escopo da ICP-B. Mas já o sabemos na Inglaterra. Lá, na prática, só funcionam aplicações "habilitadas" pelo padrão de fato introduzido pelo produtor de software que licenciou a operação e a custódia de todos as bases de dados do governo britânico, a maior empresa do mundo, recém condenada em última instância por práticas monopolistas predatórias. Só o navegador dela consegue interoperar com os servidores dessas bases de dados usando sistema de assinatura. Da mesma forma como acontece hoje com alguns serviços do internet banking da Caixa Econômica Federal.
Na lei italiana, os critérios são conhecidos e claros, estando neles visível a busca do equilíbrio que representa a segurança jurídica dos signatários digitais. A lei só estabelece a validade jurídica e a presunção de autoria de documentos assinados por chaves privadas em torno das quais os critérios de segurança computacional na sua geração, guarda e operação melhor aproximam dos seus equivalentes na jurisprudência do processo clássico da assinatura de punho. Na qual o tabelião precisa, por exemplo, avaliar se o signatário estava, no ato da assinatura, em gozo de suas capacidades. Tal busca de equivalência envolve, pelo menos mas não apenas, hardware dedicado (por exemplo, cartão inteligente).
Na lei brasileira, dos atos normativos do comitê gestor da ICP-B, que parecem se preocupar muito mais com a segurança do negócio do pedágio do que com a segurança jurídica dos titulares das chaves, emanam efeitos desequilíbrantes na teia jurídica que por sua vez podem induzir nefastas influências, que passo a listar. Como explicado antes, por razões semiológicas que escapam ao legislador e aos operadores do Direito, e que discuto em alguns dos meus artigos, na esfera virtual o conceito de ônus da prova resulta muito próximo ao conceito de sentença condenatória. Por isso, em transações virtuais do governo e comércio eletrônicos, os riscos decorrentes de fraudes podem ser, na prática, transferidos para o interlocutor sobre o qual recaia o ônus da prova de fraude. Por sua vez, consolida esta transferência o descaso na norma jurídica com os elos da corrente da segurança operacional dos sistemas de assinatura digital onde esses intelocutores atuam.
Assim, vigindo norma jurídica que, como parece ser o caso do artigo 10 da MP2200-2, imputa ao titular da chave que verifica uma assinatura o ônus da prova de fraude sempre que esta titulação esteja registrada por certificadora credenciada, duas tendências surgirão naturalmente da lógica de poder desta vigência. Monopólios, grandes agentes econômicos e estatais tenderão a demandar, do cidadão comum ou do agente social que com ele precise transacionar, a forma eletrônica de transacionar e a certificação credenciada de sua chave pública. Tenderão certamente a eliminar alternativas. Se a lei proibir esta eliminação eles irão dificultá-las, como faz a Receita Federal com a declaração de renda via formulário em papel, e como estão fazendo os bancos com alguns dos serviços que prestam, ou com a tentativa de circunscreverem a jurisdição do Código de Defesa do Consumidor em exclusão aos serviços bancários.
Esta demanda sofrerá menos resitência do leigo se ele for importunado ao mínimo para aceitar novos riscos. Como 19 entre 20 já usam o navegador e o sistema operacional da Microsoft, e os pacotes de "desenvolvimento integrado" para a "nova geração de serviços web" estão empurrando as empresas e os desenvolvedores de sistemas de informação para o círculo de controle semiológico (padrões proprietários) desta mesma empresa, sem que as normas para credenciamento na ICP-B especifiquem qualquer critério ou patamar de proteção à chave privada em posse do titular no varejo, a tendência é cairmos todos na vala comum da insegurança jurídica.
E se o acesso a serviços universais for inviablizado a softwares concorrentes, como está acontecendo na CEF e na Inglaterra, nos veremos impedidos de nos proteger, por iniciativa própria, desses novos riscos a que estaremos sendo forçados a nos expor. Neste caso, estaremos sendo obrigados a gerar um par de chaves e certificá-lo em certificadora credenciada, a operar a chave privada em ambiente no qual não exercemos controle adequado sobre riscos, ao mesmo tempo em que somos forçados a arcar com o ônus da prova de uso indevido desta chave. O cidadão só irá aceitar isso se achar que a conveniência compensa os riscos, mas dificilmente irá acreditar que este cenário corrresponde, para ele, a uma escravidão consentida a um grande irmão.
Não devemos nos esquecer de que os módulos de segurança dos softwares da Microsoft são inauditáveis, e de que há indícios copiosos de abuso desta opacidade para fins de espionagem e de controle semiológico sobre seus usuários, e pior, de falhas estruturais comprometedoras da segurança desses usuários que não poderão nunca ser efetivamente corrigidas, a menos de mudanças na filosofia da arquitetura desses softwares. Porém, mundanças que inviablizariam tal controle semiológico sobre usuários, controle sobre o qual assenta a segurança do negócio da empresa, e portanto, mudanças cuja ocorrência não devemos esperar como voluntárias ou irresistíveis. Este assunto perpassa os autos do processo em que a empresa foi condenada por danos sociais decorrentes de prática monopolista predatória, e que revisito com frequência em meus artigos, como por exemplo, "Sapos Piramidais nas Guerras Virtuais".
Tal cenário de insegurança computacional, por sua vez, justifica a necessidade jurídica da possibilidade da revogação de chaves, bem como a expectativa de sua ocorrência frequente. Estão previstas, nas normas ditadas pelo comitê gestor da ICP-B, dois tipos de revogação: por iniciativa do titular ou do certificador. A revogação por iniciativa do titular se destina a amenizar o desequilíbrio jurídico decorrente das possibilidades de vazamento de sua chave privada. Amenizar, e não neutralizar, pois a inicativa do titular em revogar sua chave presume-se decorrente de suspeita da quebra indevida do sigilo de sua chave, ao passo que este quebra normalmente é sorrateira, pois sua chave "continuará onde sempre esteve". Tais peculiaridades fazem com que, na prática e no caso geral, tal suspeita só se materialize perante o conhecimento da ocorrência de fraude, para as quais a revogação será inóqua, a menos que retroaja. E se puder retroagir, a norma estará escancarando a porta para o tipo de fraude que trataremos em seguida.
Por sua vez, a revogação por iniciativa do certificador se destina a amenizar o desequilibrio jurídico decorrente de possivel falsidade ideológica na titulação da chave. E novamente: amenizar, e não neutralizar, pelos mesmos motivos. A supracitada norma não especifica detalhes das exigências documentais e processuais a serem cumpridas para o registro da revogação de chaves pelas certificadoras credenciadas. Apenas da padronização de sua divulgação em meio eletrônico. Nesta omissão estão as brechas para o tipo de fraude descrito abaixo, que parece ser o mais grave possível. E por fim, a frequência de revogações que se pode esperar do uso disseminado de chaves assimétricas em ambientes computacionalmente promíscuos, por usuários a ele forçados sem a devida aculturação aos seus riscos e consequências, servirá para melhor escamotear esse tipo de fraude.
5- O Perigo de Erosão Jurídica na Datação de Revogações
Diferentemente dos mecanismos jurídicos ou computacionais de proteção, os riscos são transitivos. Riscos se contaminam e se retroalimentam, como no cenário que vamos aqui descrever. Um corrupto em potencial que precise, por exemplo, emitir ordens de pagamento digitalmente assinadas para cometer atos ilícitos, ordens essas que constituem prova de conduta irregular do assinante, irá buscar uma forma de se livrar da autoria das mesmas, assim que surtam o efeito desejado, como o de fazer algum dinheiro mudar de lugar. Tendo praticado um tal ato, ele em princípio poderá aguardar até que o rastro eletrônico deste ato produza acusação de ilícito, para então argumentar que sua chave teria sido usada indevidamente, fato do qual teria tomado conhecimento pela acusação mesma. Este argumento justificaria um possível pedido de revogação de sua chave, mas não o livraria das pesadas responsabilidades decorrentes do paragrafo único do artigo 10 da MP, se a revogação não retroagir.
Ao avaliar os riscos a que estará exposto ao praticar ilícitos por meio de documentos eletrônicos, o corrupto em potencial estará examinando a possibilidade de, se e quando uma eventual acusação de ilícito lhe for dirigida, poder obter da sua certificadora a revogação de sua chave com data anterior à do documento que estaria consubstanciando tal imputação, sem que tal retroação seja publicamente admitida. Seria como se ele já não estivesse mais usando aquela chave na ocasião. Se puder revogar assim, estaria obtendo garantias de impunidade na medida em que a retrodatação da revogação seja, publicamente, apenas uma hipótese indemonstrável. Ele poderá então ir fraudando com esta chave até ser acusado, safar-se da acusação e continuar as fraudes com uma nova chave.
Além de obter também, de quebra, a possibilidade de reverter a imputação de ilícito sobre quem vier a lhe acusar, pois o acusador se poria, com sua "prova", como principal suspeito de ter lhe provocado as suspeitas de vazamento de sua chave, suspeitas que o teriam levado a revogar sua chave na data que consta da sua revogação. Mesmo se o acusador tiver o cuidado de, antes de decidir anexar tal documento aos autos do processo, verificar, junto à certificadora do signatário suspeito, que aquela chave de assinatura estava em vigor na data de assinatura do documento.
E mesmo se o acusador tiver o cuidado extra de anexar aos autos a lista de revogação desta certificadora, assinada por ela e com data posterior à do documento probante do ilícito, mostrando que a revogação em questão não constava naquela data, a certificadora poderá produzir para a defesa, e sustentar como legítima, uma outra lista assinada com mesma data onde consta a revogação em questão. Esta sustentação seria inatacável devido à blindagem contra auditoria externa que lhe dá a MP2200-2, na forma do "foro privilegiado" da auditoria interna, e o acusador poderia neste caso se ver acusado de também fraudar a certificadora.
Como o réu se beneficia em caso de dúvida, o acusador teria feito papel de palhaço e o corrupto ganho impunidade e oportunidade de capitalização política, por ter sido "vítima de maliciosa perseguição". Este jogo não seria novidade, já existindo com os documentos de papel. A diferença é que, com o papel, o jogo é de astúcia processual, arbitrado pela jurisprudência dos códigos de processo. Ao passo que, como armado pelo cenário das normas em vigor para os documentos eletrônicos, vira um jogo de cartas marcadas onde o poder Judiciário poderia ser fácil presa ou cúmplice de logro pela manipulação de opacidades e desequilíbrios de natureza semiológica.
Dependendo do contexto e do modo como faça sua avaliação, o potencial corrupto poderá estar estimulando o conluio com certificadoras, legisladores e gestores, para que a norma impossibilite a detectação de retroação em revogações. O avaliador dos riscos de corrupção pode agir então como corruptor, se expuser a relação risco/benefício deste conluio não em público, como estou tentanto fazer aqui, mas reservadamente para o alvo certo, no contexto adequado de pressões subjetivas e indiretas. A indemonstrabilidade da retroação de revogações pode ser alcançada, por exemplo, impedido-se a auditoria externa sobre os processos e procedimentos das certificadoras credenciadas.
Sinais compatíveis com as hipóteses deste cenário estão estampados nas normas da ICP-Brasil, que insiste em ignorar os riscos na opacidade e na falta de garantias públicas no processo de revogação. Quanto mais despercebidas e desimpedidas puderem ocorrer estas hipotéticas interações nefastas, mais difícil será reverter seus efeitos. Nem mesmo a inexperiência ou limitações no domínio técnico do legislador justificam esta coincidência, pois ela certamente irá atrair a má fé alheia, até a exploração pelo crime organizado, se ignorada.
A única entidade fora do governo que tem defendido publicamente o espírito e o texto da MP 2200 tem sido a Febraban, através do seu diretor-geral. Certamente porque sua vigência pode implicar em menos riscos para esta entidade. Acontece que a gama de riscos não diminui quando o documento se desmaterializa do papel para migrar para o ciberspaço. As capacidades da Justiça para investigar e julgar ficam prejudicadas com esta migração, a começar pela complexificação do valor probante de documentos e da tipificação de crimes. Se há mais riscos no geral, e menos para a Febraban em sua avaliação, obviamente o saldo repousa com seus potenciais demandantes judiciais. A saber, o cidadão, o correntista, e o braço do Estado que fiscaliza suas atividades.
Mas será que o cidadão será mesmo obrigado a correr novos e graves riscos? Na medida em que vier a ser obrigado a gerar chaves sob o regime da ICP-B para transacionar com instituições que prestam serviços universais, sim, em vista do exposto sobre o ônus da prova digital. Sinais do que virá já podemos ver nas práticas discriminatórias da Caixa Econômica Federal e do INSS. O equilíbrio jurídico na presença de normas que explicitem presunção de valor jurídico de assinatura digital depende de uma delicada e minunciosa ponderação das condições implicadas pelo ônus da prova digital, onde qualquer obrigatoriedade é potencialmente desestabilizante. A iniciativa da Febraban em questionar, no STF, a jurisdição do Código de Defesa do Consumidor sobre serviços bancários, código que poderia se opor ao cerne do efeito pretendido pela MP2200, é um péssimo sinal para o consumidor/usuário dos seus serviços. E também para o poder fiscalizador exógeno do Estado, que passa a correr novos riscos, na medida em que lhe seja vedada a normatização e a auditoria nos processos de revogação de chaves conduzidos pelas certificadoras credenciadas pela ICP-B.
Se o Cidadão for impedido, na sua necessidade de acesso a serviços universais, de se proteger desses novos riscos por conta própria, através da livre escolha do ambiente computacional através do qual irá operar na jurisdição da ICP-B, isto é, da livre escolha dos "aplicativos de suporte e habilitados" para os padrões e formatos supostamente públicos que a constituem, a exemplo do que ocorre na Inglaterra e com alguns serviços da Caixa Econômica Federal, e ao mesmo tempo impedido de usar a alternativa de tinta e o papel, a exemplo de alguns serviços de recolhimento de tributos do INSS, a segurança jurídica na esfera virtual será natimorta, como natimorto viria o rei de Angolmois, de acordo com a décima centúria de Nostradamus, numa estrofe ancorada à última eclipse solar do segundo milênio (72).
