ICP-Brasil evolui na segurança de emissão de certificados digitais

Durante a última década, a quantidade de certificados digitais emitidos no Brasil alcançou números expressivos. Só nos últimos três anos, foram emitidos mais de cinco milhões de certificados no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, confirmando a autonomia do Estado em programar e executar cronogramas de adequação a esta tecnologia por parte do empresariado brasileiro. Exemplos como o Conectividade Social ICP, a Nota Fiscal Eletrônica – NF-e e o Processo Judicial Eletrônico – PJ-e corroboraram decisivamente para a massificação da certificação digital ICP-Brasil em serviços públicos essenciais ao cidadão. 

No entanto, ao passo em que crescem as emissões, aumentam as tentativas de fraudes ao sistema nacional de certificação digital ICP-Brasil. Ocorre que no Brasil a emissão do documento de identidade, popularmente conhecido como RG, ainda apresenta determinadas vulnerabilidades. Como a emissão de certificados digitais é realizada com base neste documento, o Instituto Nacional de Tecnologia da Informação – ITI instituiu Grupo Técnico de Trabalho em 2011 para avaliar e produzir um estudo sobre Prevenção e Combate a Fraude na emissão do Certificado Digital, propondo medidas para aumentar a segurança no processo de solicitação e conferência da identidade do indivíduo. 

O relatório produzido por este Grupo de Trabalho foi submetido ao Comitê Gestor da ICP-Brasil. Com a aprovação, determinou-se que durante a convalidação dos dados biográficos do cidadão que requere seu certificado, o agente de registro deverá solicitar, preferencialmente, a Carteira Nacional de Habilitação – CNH e verificar os dados mediante consulta às bases dos órgãos responsáveis pela CNH. Caberá ainda às Autoridades Certificadoras – ACs implementar formas sistematizadas de consulta e validação de um ou mais dados biográficos da cédula de identidade apresentada pelo requerente, baseando-se nas normas e regras dos órgãos emissores do documento de identidade.

Agora, está em andamento o projeto piloto de Autoridade de Registro Biométrica – AR Biométrica, que visa garantir elevada segurança no processo de emissão do certificado digital ICP-Brasil, especialmente com relação à identificação inequívoca dos requerentes nas Autoridades de Registro – ARs.   A AR Biométrica tem por principio que os Institutos de Identificação dos Estados – IIs tenham suas bases digitalizadas ou informatizadas para que se realizem consultas. Assim, a validação das informações prestadas pelo requerente ao certificado digital ICP-Brasil ocorre eletronicamente a partir do acesso às informações biométricas contidas no banco de dados dos IIs.  

O projeto já está em funcionamento no Distrito Federal. Até o momento, a eficiência do sistema de verificação online da impressão digital teve 95% de sucesso, considerados altos para os padrões internacionais. O tempo de atendimento, mesmo com todos os requisitos de segurança para comunicação entre AR e II da Polícia Civil do DF, ficou abaixo de vinte segundos, incluindo os procedimentos de o cidadão fornecer seu RG e esse ser digitado na tela do software, a escolha do dedo a ser comparado e a captura da imagem, o envio das informações para o II/PCDF e o devido  retorno, com todas as informações biográficas e biométricas, da verificação realizada. 

Atualmente, para a emissão do certificado, o solicitante tem que ir a AR por ele escolhida para confirmar os dados informados durante a solicitação pela internet, devendo apresentar documentos pessoais, como a cédula de identidade, por exemplo. A ideia é que a AR Biométrica, além de confirmar se as informações conferem com as que foram apresentadas, realize a consulta aos dados biométricos do requerente que estão disponíveis no Instituto de Identificação, resultando em um processo de identificação mais ágil e seguro.