dissertação para a obtenção do grau de mestre em segurança ... · dissertação para a...
TRANSCRIPT
REGULAMENTO (EU) N.º 910/2014: QUE ALTERAÇÕES NA
CERTIFICAÇÃO ELETRÓNICA
AGOSTINHO AMARAL VALENTE
Dissertação para a obtenção do Grau de Mestre em
Segurança da Informação e Direito no Ciberespaço
Orientador: Prof. Dr. Eduardo Vera-Cruz Pinto
Coorientador: Prof. Dr. Carlos Manuel Costa Lourenço Caleiro
Júri
Presidente – Prof. Dr. Paulo Alexandre Carreira Mateus
Vogal - Prof. Dr. Eduardo Vera-Cruz Pinto
Vogal - Prof. Dr. Raquel Alexandra Jesus Gil Martins Brízida Castro
Vogal - Capitão-de-Fragata, Prof. Dr. Fernando Ribeiro Correia
Lisboa, 2015
1
Agradecimentos
Agradecimento muito especial às mulheres da minha vida.
A esposa Carla e
às filhas Raquel, Beatriz e Andreia.
2
Resumo
A Internet, o novo sistema neuronal eletrónico do planeta, mudou a sociedade humana,
transformou profundamente o modo como vivemos, como interagimos, como trabalhamos,
como nos relacionamos à escala mundial. A confiança está no centro da identidade digital e no
ambiente em linha, é fundamental para o desenvolvimento económico e social.
A falta de confiança, nomeadamente devido à consciência da incerteza jurídica, leva os
consumidores, as empresas e as autoridades públicas a hesitarem na realização do comércio
eletrónico e na adoção de novos serviços. A fim de oferecer serviços digitais, as empresas e as
administrações públicas precisam conhecer e diferenciar os prestadores de serviços em linha
de confiança e os não confiáveis no ciberespaço.
As autoridades públicas centraram-se nas necessidades nacionais e não levaram em
consideração a dimensão do mercado único da administração pública em linha impedindo a
interoperabilidade e reconhecimento mútuo. A Diretiva 1999/93/CE relativa a um quadro
comunitário para as assinaturas eletrónicas, não disponha de qualquer quadro geral
transnacional para transações eletrónicas seguras, fiáveis e simples que englobe a
identificação, a autenticação e as assinaturas eletrónicas.
Tornou-se fundamental a criação de um novo ato jurídico que fosse de carácter
obrigatório para todos os Estados Membros, através da identificação eletrónica e a aprovação
de serviços de confiança, para reforçar a segurança, interoperabilidade e a confiança nas
transações eletrónicas, em condições seguras entre os cidadãos, as administrações públicas e
as empresas. Aproveitando a fase da adaptação e implementação, aproveitar para regular os
serviços que não estão e são essenciais para o mercado único. O regulamento EU n.º
910/2014 contribui para a cibersegurança de modo a fomentar a prosperidade e os benefícios
sociais e económicos do ciberespaço.
Palavras-chave: Assinaturas eletrónicas, identificação eletrónica, serviços de confiança,
Regulamento, cibersegurança.
3
Abstract
The Internet, the new electronic neuronal system of the planet, changed human society
profoundly transformed how we live, how we interact, how we work, how we relate to the world
scale. Trust is at the heart of digital identity and the online environment, it is crucial for
economic and social development.
The lack of confidence, particularly because of the awareness of legal uncertainty leads
consumers, businesses and public authorities to hesitate in carrying out electronic commerce
and the adoption of new services. In order to offer digital services, companies and public
administrations need to know and differentiate the reliable online service providers and
unreliable in cyberspace.
Public authorities focused on national needs and have not taken into account the size of
the single market of the e-Government preventing interoperability and mutual recognition. The
Directive 1999/93 / EC on a Community framework for electronic signatures do not have any
transnational general framework for secure electronic transactions, reliable and simple covering
the identification, authentication and electronic signatures.
The creation of a new legal act which was mandatory character has become essential
for all Member States, through the electronic identification and approval of reliable services, to
enhance security, interoperability and trust in electronic transactions in a safe condition between
citizens, public administrations and businesses. Leveraging the phase of adaptation and
implementation, produce legislation to regulate the services that are not and are essential for
the single market. The Regulation No. 910/2014 contributes to US cyber security in order to
boost prosperity and social and economic benefits of cyberspace.
Keywords: electronic signatures, electronic identification, trust services, Regulation,
cybersecurity.
4
Índice Agradecimentos ............................................................................................................ 1
Resumo ........................................................................................................................ 2
Abstract ........................................................................................................................ 3
Lista de Figuras ............................................................................................................ 6
Lista de Tabelas ........................................................................................................... 7
Abreviaturas ................................................................................................................. 8
1. Introdução .............................................................................................................. 9
1.1 Motivação .................................................................................................................... 13
1.2 Objetivos ..................................................................................................................... 14
1.3 Estrutura do Documento ............................................................................................. 14
2. Atos jurídicos da União Europeia ......................................................................... 16
2.1 Atos Delegados ............................................................................................................ 17
2.2 Atos de Execução ........................................................................................................ 17
2.3 A decisão europeia ...................................................................................................... 18
2.4 Decisão com destinatário ............................................................................................ 18
2.5 Decisão sem destinatário ............................................................................................ 19
3. Assinatura eletrónica em Portugal ....................................................................... 20
3.1 Decreto-Lei n.º 290-D/99, de 2 de agosto .................................................................. 23
3.2 Decreto-Lei n.º 62/2003, de 3 de abril ........................................................................ 26
3.3 Decreto-Lei n.º 88/2009 de 9 de Abril ........................................................................ 28
3.4 Infraestrutura de Chaves Públicas ............................................................................... 30
4. Assinatura Eletrónica na União Europeia ............................................................. 33
4.1 A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho ................................. 33
4.1.1 Objetivo e âmbito de aplicação ........................................................................... 33
4.1.2 Os vários tipos de assinaturas eletrónicas previstos na Diretiva ........................ 34
4.1.3 O Mercado Interno .............................................................................................. 34
4.1.4 Reconhecimento legal ......................................................................................... 35
4.1.5 O desenvolvimento do mercado e as aplicações ................................................ 35
4.1.6 Normalização ....................................................................................................... 36
4.1.7 Desafios tecnológicos .......................................................................................... 36
4.1.8 Impacto da Diretiva noutra regulamentação ...................................................... 37
4.2 O Regulamento EU nº 910/2014 ................................................................................. 38
4.2.1 Níveis de garantia ................................................................................................ 41
5
4.2.2 Quadro de Interoperabilidade ............................................................................ 42
5. Serviços de confiança .......................................................................................... 44
5.1 Assinaturas eletrónicas ............................................................................................... 45
5.2 Selo eletrónico............................................................................................................. 46
5.3 Selos Temporais .......................................................................................................... 47
5.4 Serviços de envio registado eletrónico ....................................................................... 47
5.5 Serviços de certificados para autenticação de sítios web ........................................... 48
5.6 Documento eletrónico ................................................................................................ 48
5.7 Proteção dos dados, direitos e garantias .................................................................... 51
6. Serviços a regulamentar ...................................................................................... 53
6.1 Legislação a atualizar e criar para os seguintes serviços: ........................................... 54
6.1.1 Fatura eletrónica ................................................................................................. 54
6.1.2 Armazenamento de documentos eletrónicos ..................................................... 55
6.1.3 Assinatura eletrónica em dispositivos móveis .................................................... 55
6.1.4 Assinatura eletrónica realizada na Cloud ............................................................ 56
6.1.5 Emissão de certificados digitais para aplicações ................................................. 56
6.1.6 Receitas médicas eletrónicas .............................................................................. 56
6.1.7 Branqueamento de capitais ................................................................................ 57
7. O regulamento EU 910/2014 e a Cibersegurança ................................................ 58
7.1 O caso único da União Europeia ................................................................................. 61
8. Conclusão ............................................................................................................ 66
Bibliografia .................................................................................................................. 68
6
Lista de Figuras
Figura nº 1 - Conceito das assinaturas
Figura nº 2 - Marca de confiança «UE» para serviços de confiança qualificados, a cores
Figura nº 3 - Fluxo das transações eletrónicas
Figura nº 4 - Vantagens na utilização do eIDAS
7
Lista de Tabelas
Tabela 1: ETSI-The current standards for Certification and Other Trust Service Providers
Tabela 2: The standards for Certification and Other Trust Service Providers currently under
development or review in ETSI
8
Abreviaturas
eIDAS – identificação eletrónica e serviços de confiança para as transações eletrónicas no
mercado interno
eID- Identificação eletrónica
CEN - Comité Europeu de Normalização
ETSI - Instituto Europeu de Normas de Telecomunicações
EESSI - European Electronic Signature Standardization Initiative
ENISA - Agência da União Europeia para a Segurança das Redes e da Informação
ISO - Organização Internacional de Normalização
IDS - Intrusion detection system
IPS -Intrusion prevention system
PKI – Public Key Infrastructure
TFUE- Tratado sobre o Funcionamento da União Europeia
UE - União Europeia
UIT- União Internacional das Telecomunicações
9
1. Introdução
No final do século XX assistiu-se ao desenvolvimento da sociedade da informação a
um ritmo e uma intensidade nunca antes presenciada. As tecnologias de informação e
comunicações entraram praticamente em todas as áreas de atividade, sem que os cidadãos se
apercebessem da dimensão e penetração nos aspetos mais comuns da vida em sociedade.
Este novo motor tecnológico originou o desenvolvimento de novas atividades
económicas na prestação de serviços nas comunicações, no comércio eletrónico e em
múltiplas atividades integrantes da economia digital. Todas estas transformações trouxeram
consequências económicas, sociais e políticas, ultrapassando em velocidade e intensidade
todas as transformações até então vividas.
No ecossistema da tecnologia, os negócios sofreram diversas transformações e o
comércio electronico assume um papel protagonista no ambiente digital, repleto de mudanças
e que tem de dar resposta a um mercado que evolui de maneira constante e desenfreada.
A cultura jurídico-económica tradicional que se baseava na utilização de documentos
escritos em papel, na presença física dos intervenientes, vem requerer adaptações para o novo
modelo do comércio eletrónico, onde o valor da segurança jurídica, deve ganhar confiança
através da integridade, confidencialidade, autenticidade e não-repúdio das comunicações.
De forma a criar confiança nos utilizadores, os Sistemas e Estados fomentaram uma
multiplicidade de iniciativas de várias entidades de ação internacional, no sentido de criar um
enquadramento normativo que desse resposta às várias questões ligadas ao comércio
eletrónico. Desta forma, está a ser desenvolvido um quadro internacional orientador que deverá
ser seguido por legisladores nacionais.
Com a globalização, as transações económicas entre países tornaram-se fundamentais
e obrigatórias, pelo que se verificou a necessidade de criar meios jurídicos para autenticar
documentos e compromissos, criando um ambiente de segurança, mais que uma necessidade
tornou-se uma questão de ordem.
O comércio eletrónico é considerado um dos serviços mais promissores dentro do
governo eletrónico em termos de custo e eficiência.
Em Portugal, foi na década de 80 que as tecnologias da informação começaram a ter
maior relevância. Os investigadores portugueses começaram a enriquecer a sua formação no
estrangeiro, o que levou à produção de novos conhecimentos científicos e tecnológicos,
iniciando-se nesta fase uma abordagem estratégica, pelo poder político, em Portugal, do
fenómeno da Sociedade da Informação.
O conceito de Sociedade da Informação viria a surgir posteriormente aquando da
criação do Livro Verde Para a Sociedade da Informação em Portugal1, sendo definido como um
1 http://molar.crb.ucp.pt/cursos/P%C3%B3s-Gradua%C3%A7%C3%B5es/EE-
2007/Sess%C3%A3o%2019%20Janeiro/Livro%20Verde%20Sociedade%20da%20Informa%C3%A7%C3
%A3o.pdf
10
"modo de desenvolvimento social e económico em que a aquisição, armazenamento,
processamento, valorização, transmissão, distribuição e disseminação de informação
conducente à criação de conhecimento e à satisfação das necessidades dos cidadãos e das
empresas, desempenham um papel central na atividade económica, na criação de riqueza, na
definição da qualidade de vida dos cidadãos e das suas práticas culturais" (Livro Verde Para a
Sociedade da Informação em Portugal, 1997, p. 5).
A propósito destes acontecimentos, firmaram-se como um referencial que permitiu
aproximar Portugal a uma Sociedade da Informação, pois verificou-se um aumento das
capacidades dos cidadãos em geral na área tecnológica e o fomento da modernização dos
sistemas de tecnologias de informação nas Organizações e Administração Publica.
Se, por um lado, as novas tecnologias são dinamizadoras do desenvolvimento e
facilitam a comunicação e transmissão de dados, por outro, podem revelar-se um problema.
Um dos problemas e desafios decorrentes da centralização da informação e dos usos
sociais potenciados pelo incessante desenvolvimento das TIC corresponde à proteção da
informação de forma a não colocar em causa os direitos, liberdades e garantias dos cidadãos.
Verifica-se, assim, a necessidade crescente de harmonizar as potencialidades das
tecnologias de informação com a proteção de dados pessoais, configurando a necessidade de
medidas preventivas no sentido de garantir uma adequada proteção contra o tratamento
indevido de dados pessoais, de forma a criar um ambiente de confiança neste novo
ecossistema tecnológico. Nesta fase houve uma grande mudança de paradigma no uso das
telecomunicações, evoluiu-se de uma conceção mais fechada para uma conceção mais aberta
devido ao grande crescimento da internet e à generalização da acessibilidade aos respetivos
serviços ou aplicações aos próprios utilizadores domésticos.
Esta nova forma de estar no quadro das relações pessoais, institucionais e comerciais
vem abanar a cultura jurídico-económica tradicional, que estava assente no uso de
documentos escritos em papel e na presença dos intervenientes, pelo que toda essa base
conceitual ficou posta em causa com a nova realidade, onde os contratos, acordos e
transferências de documentos se podem realizar á distância por via eletrónica, sendo muito
direta e rápida mas, impessoal sem a necessária confirmação verbal, visual ou física.
A grande evolução tecnológica trouxe consigo, muitos benefícios e vantagens, embora
com algumas vulnerabilidades ou pontos fracos que serão sempre utlizados e aproveitados por
pessoas e organizações sedentas de tirar dividendos e proveitos dessas vulnerabilidades.
Neste novo ambiente tecnológico que cresceu sem controlo e sem medidas
regulamentares, pois era extremamente complexo e difícil de prever todas as suas
potencialidades e ao mesmo tempo produzir um conjunto de regras e boas praticas que
acompanhassem essas mais-valias de modo a criar um ambiente novo e de confiança.
O mundo digital cresceu e toda a sociedade, quer o sector privado quer o sector
público ficaram tecnologicamente dependentes, onde as vantagens foram sendo cada vez mais
potencializadas, trazendo vantagens e benefícios para a população. Por outro lado, a utilização
massiva da tecnologia veio trazer alguma insegurança e falta de confiança em determinados
11
serviços, quer por serem novos, quer por terem sido exploradas algumas falhas na segurança
dos mesmos.
No contexto do comércio eletrónico, os intervenientes ativos têm pouca possibilidade
de se certificar da identidade dos mesmos, a não ser aquela em que as partes declaram, o que
coloca em causa a aplicação de todas as regras legais e sociais que dependem da
identificação de uma pessoa em comunicação com outra. Além disso, a informação contida em
formato digital armazenada em qualquer dispositivo, pode eventualmente ser adulterada por
qualquer pessoa, tendo esta acesso autorizado ou não, o que põe em causa a sua integridade
e autenticidade, por conseguinte, o seu valor como meio probatório.
Estas fragilidades tornam-se cruciais quando a comunicação eletrónica tem um objetivo
juridicamente relevante, nomeadamente quando se destina a transmitir uma declaração de
vontade integrante de um negócio jurídico, contrato, ou de uma relação administrativa. Pelo
que deve ser exigido que a comunicação eletrónica ofereça as mesmas garantias que o
documento em papel, como seja:
- Garantia de autenticidade do documento, que seja possível identificar o autor e a sua
origem;
- Garantia de integridade do documento que permita determinar se o seu conteúdo foi
manipulado ou sofreu alguma alteração;
- Evidência cronológica, de modo a obter uma prova de existência relativamente à data
e hora em que um documento foi criado;
- Em alguns casos, quando um documento esteja ou deva estar assinado, garantir a
função de não-repúdio, ou seja, depois de um documento estar associado a um autor, este não
possa recusar a sua autoria.2.
A necessidade de inteira confiança dos parceiros em transações de comércio
eletrónico, ou em procedimentos administrativos conduzidos por via eletrónica, exige a certeza
da identidade da outra parte, bem como da inalterabilidade dos textos transmitidos, de forma a
eliminar o receio de fraudes através da simulação de identidades pessoais ou falsificação do
teor dos documentos, por parceiros ou terceiros de má-fé.
Assim, o valor fundamental da segurança jurídica, esteio basilar da confiança que
constitui a mola propulsora da adoção generalizada de qualquer forma de instrumental de
relacionamento entre os sujeitos de direito, privados e públicos, exige a adaptação ou alteração
dos textos legais baseados nas conceções tecnológicas tradicionais, ou a criação de normas
tendentes a contemplar certas questões que as tecnologias da informação colocam de forma
inovadora.
Os problemas e preocupações verificam-se à escala global, pelo que por esse facto
foram executadas uma multiplicidade de iniciativas de variadas entidades de ação
2 WERLANG, Felipe Carlos, Assinatura digital com reconhecimento de firma: um modelo de assinatura
digital centrado no usuário, Universidade Federal de Santa Catarina
Departamento de Informática e Estatística, Florianópolis, 2014;
12
internacional, no sentido de criar um enquadramento normativo para os diversos problemas e
questões relacionados com o sentido lato sensu do comércio eletrónico, originando, assim, a
criação de um quadro internacional orientador que auxilie e oriente legisladores nacionais.
A nível internacional, a UNICTRAL (Comissão das Nações Unidas para o Direito
Comercial Internacional)3 criou em 1996 a “Lei Modelo sobre Comércio Eletrónico
4” e em 2001
a “Lei Modelo Sobre Assinaturas Eletrónicas5”. A União Europeia, tem patrocinado e
desenvolvido diversas iniciativas, desde finais dos anos 80, com um vasto conjunto de estudos
preparatórios no âmbito do “TEDIS - Programa comunitário relativo à transferência eletrónica
de dados para uso comercial, que utilize as redes de comunicação"6, Seguidos de diversas
comunicações da Comissão7, e resultando com a publicação de vários diplomas de
regulamentação comunitária, como exemplo a Diretiva 1999/93/CE do Parlamento Europeu e
do Conselho, de 13 de Dezembro de 1999, relativa a um quadro legal comunitário sobre as
assinaturas eletrónicas8 e mais recentemente o REGULAMENTO (UE) N. o 910/2014 DO
PARLAMENTO EUROPEU E DO CONSELHO9 de 23 de julho de 2014 relativo à identificação
eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
Alguns países mais inovadores, também têm vindo a assumir as questões jurídicas da
realidade do comércio eletrónico, produzindo normas específicas destinadas a regular as
implicações deste ambiente tecnológico de comunicação de mensagens.
De realçar o facto de Portugal ter sido um dos países pioneiros na publicação de leis
nesta matéria (o terceiro da Europa, a seguir à Alemanha10
e à Itália11
), e não andar a reboque
3 Do original Inglês: United Nations Commission on International Trade Law
4 Disponível em: http://www.uncitral.org/pdf/english/texts/electcom/05-89450_Ebook.pdf (PDF) acesso
efetuado em 12/10/2015;
5 Disponível em: http://www.uncitral.org/pdf/english/texts/electcom/ml-elecsig-e.pdf (PDF) acesso
efectuado em 12/10/2015;
6 (1) Inclusivamente de carácter jurídico. Vd., p. ex., "TEDIS - Situation juridique des Etats Membres au
regard du Transfert Electronique de Données" - Comissão das Comunidades Europeias - estudo
elaborado pelo Escritório LODOMEZ-CROUQUET -Setembro 1989; e "TEDIS - Situation juridique des
Etats Membres de l'AELE au regard du Transfert Electronique de Données Commerciales" - Comissão
das Comunidades Europeias - estudo elaborado pelo escritório de advogados DUBARRY,
GASTONDREYFUS, LEVEQUE, LE DOUARIN, SERVAN-SCHREIBER & VEIL, sob a direcção de J.L.
LODOMEZ.
7 (2) “Uma Iniciativa Europeia sobre o Comércio Electrónico” – Comunicação da Comissão
(COM(97)157); “Para um Quadro Europeu para Assinaturas Digitais e Criptografia” – Comunicação da
Comissão (COM(97)503); e “Comércio Electrónico e Fiscalidade Indirecta” – Comunicação da Comissão
(COM(1998)374 final, de 17.6.1998).
8 J.O.C.E, L 13, de 19.1.2000.
9 Disponivel em http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32014R0910&from=EN
10 Artigo 3 – Signaturgesetz–SIG - da Lei federal que estabeleceu as condições gerais para serviços de
informação e comunicação (Informations- und Kommunikationsdienste-Gesetz – IuKDG), de 13.06.1997.
11 O art. 15, nº 2, da “Lei Bassanini” – Lei de 15.03.1997, nº 59
13
de todos os outros como de costume. Materializou essa iniciativa com a publicação do Decreto-
Lei nº 290-D de 2 de Agosto de 1999, referente aos documentos eletrónicos e às assinaturas
digitais, logo seguido do Decreto-lei nº 375, de 18 de Setembro de 1999, sobre a fatura
eletrónica12
.
É importante referir que o Decreto-lei nº 290-D/99 foi publicado antes da Diretiva
1999/93/CE relativa a um quadro legal comunitário sobre as assinaturas eletrónicas, pelo que
aquele diploma nacional, na sua versão inicial, não constituía formalmente a transposição
desta Diretiva para a ordem jurídica interna portuguesa. Contudo, os trabalhos preparatórios de
elaboração da Diretiva foram levados em consideração na redação do diploma nacional.
A Diretiva 1999/93/CE devia ser transposta para os ordenamentos nacionais dos Estados-
Membros até ao dia 19 de julho de.200113
. Em Portugal só veio a suceder a transposição do
DL 62, em de 3 de Abril de 2003. Este atraso não foi preocupante nem crítico, porque o
conteúdo normativo da Diretiva já estava amplamente consagrado no nosso ordenamento
interno espelhado no Decreto-lei nº 290-D/99, faltando apenas contemplar pequenos detalhes
para estabelecer uma transposição correta e completa.
1.1 Motivação
O presente trabalho centra-se na recente publicação do Regulamento Europeu n.º
910/2014 relativo à identificação eletrónica e aos serviços de confiança para as transações
eletrónicas no mercado interno, que revoga a Diretiva 1999/93/CE, neste período de transição
deste ato legislativo vinculativo, obriga os Estados-Membros a aplicarem todos os elementos
nele contido.
A nível interno existe legislação nacional e europeia que foi transposta e publicada de
forma a regular, e acompanhar a legislação europeia, mas em alguns casos essa transposição
não foi a mais correta, criando dúvidas e vazios legais, as quais são exploradas criando
problemas jurídicos e falta de confiança dos utilizadores nos serviços.
A justificação deste tema prende se com o facto de ser um marco importante na
legislação Europeia e Nacional.
12
Para mais detalhada análise destes diplomas, vd. MANUEL LOPES ROCHA, MIGUEL PUPO
CORREIA, MARTA FELINO RODRIGUES, MIGUEL ALMEIDA ANDRADE e HENRIQUE JOSÉ
CARREIRO, “Leis do Comércio Electrónico – Notas e Comentários”, Coimbra Editora, Coimbra, 2001.
13 (8) Sobre o estado e problemas da transposição da Directiva 1999/93/CE, vd. JOS DUMORTIER e
outros, “The Legal and Market Aspectas of Electronic Signatures”, ICRI – Interdisciplinary centre for Law &
Information Technology e Katholieke Universiteit Leuven, 2003, in
http://www.secorvo.de/publikationen/electronic-sig-report.pdf
14
O objeto deste Regulamento é a base para a sobrevivência dos serviços em linha, vem
reforçar e impor mecanismos para a identificação, autenticação eletrónica e serviços de
confiança a ser utilizados no espaço europeu.
A nível profissional desempenho funções nesta área, sendo importante perceber e
compreender a evolução dos sistemas de assinatura e identificação eletrónicos e os novos
serviços de confiança.
1.2 Objetivos
Na escolha do tema e o objetivo definido inicialmente foi o de compreender a evolução
e as alterações que o Regulamento EU n.º 910/2014 iria provocar nos sistemas de identificação
e autenticação eletrónica.
Compreender a legislação nacional e europeia sobre as assinaturas eletrónicas e a
evolução que sofreram quer ao nível legal quer tecnológico.
Com o avançar da leitura e pesquisa deu para compreender a transversalidade desta
temática a toda atividade eletrónica, serviços em linha e cibersegurança.
Com base na experiencia profissional e conhecimento adquirido, defini mais dois
objetivos que considero serem importantes para o trabalho que são:
Identificar as atividades que podem/devem ser reguladas neste âmbito das assinaturas
eletrónicas;
Sendo um Mestrado da Segurança da Informação e direito no Ciberespaço, que
contributos e mais-valias podem ser adquiridos neste Regulamento.
1.3 Estrutura do Documento
O trabalho está organizado da seguinte forma, no Capitulo I a Introdução, onde é feita
uma breve descrição das necessidades de criar ambientes seguros e de confiança.
No Capitulo II uma pequena descrição da natureza dos atos legislativos utilizados na
União Europeia para compreender o âmbito de cada um, quando são utilizados e o impacto
nos estados Membros, se é são vinculativos ou são linhas orientadoras.
No Capitulo III apresento o enquadramento e a evolução da legislação das assinaturas
eletrónicas em Portugal.
No Capitulo IV apresenta a evolução ao nível da União Europeia, desde o
aparecimento da Diretiva 1999/93/CE e com a recente publicação do Regulamento EU
910/2014.
No Capitulo V são apresentados e desenvolvidos mais ao detalhe os novos serviços
que o Regulamento apresenta.
15
No Capitulo VI talvez o mais importante do trabalho, é onde pretendo apresentar a nível
Nacional que atividades/serviços estão a utilizar a assinatura eletrónica e não existe legislação
que suporte e dê valor legal. Seria o aproveitar esta fase de transposição e adaptação ao
regulamento Europeu para corrigir o presente e tentar antecipar alguns serviços que possam
utilizar esta tecnologia e necessitar de valor legal.
O Capitulo VII é feito uma pequena introdução ao ciberespaço e cibersegurança e de
que forma toda esta regulamentação deste sector tecnológico contribui para um ambiente mais
seguro e de confiança para os cidadãos.
No fim apresento uma breve conclusão sobre o trabalho realizado.
16
2. Atos jurídicos da União Europeia
Para compreender a diferença, o objetivo e a finalidade dos diferentes atos jurídicos da
União Europeia, apresento uma breve descrição dos mesmos.
A União Europeia para conseguir alcançar os objetivos estabelecidos nos Tratados,
adota diferentes tipos de atos legislativos14
, alguns atos são vinculativos outros não, uns são
aplicáveis a todos os países da União Europeia, outros apenas a alguns deles.
O Tratado de Lisboa15
consagra várias modificações na tipologia dos atos jurídicos da
União Europeia, numa tentativa de esclarecimento e de simplificação, diminuiu o número de
instrumentos jurídicos colocados à disposição das instituições europeias, e veio permitir à
Comissão adotar uma nova categoria de atos, os atos delegados. Consegue reforçar ainda a
competência da Comissão na adoção de atos de execução. Estas duas alterações têm como
objetivo melhorar a eficácia da tomada de decisões a nível europeu e a aplicação destas
decisões.
Os atos jurídicos da UE são atos legislativos ou não legislativos adotados pelas
instituições europeias, consoante a sua natureza, estes atos podem ter um efeito jurídico
vinculativo.
Os atos legislativos delimitam explicitamente os objetivos, o conteúdo, o âmbito de
aplicação e o período de vigência da delegação de poderes, onde os elementos essenciais de
cada domínio são reservados ao ato legislativo e não podem, portanto, ser objeto de delegação
de poderes.
Antes da entrada em vigor do Tratado de Lisboa, as instituições europeias podiam
adotar catorze tipos de atos jurídicos, esta quantidade de atos era justificada pela antiga
estrutura em pilares da UE, pois cada pilar possuía os seus próprios instrumentos jurídicos.
O Tratado de Lisboa acaba agora com esta estrutura em pilares e define uma nova
classificação para os atos jurídicos, onde as instituições europeias passam a poder adotar
apenas cinco tipos de atos:
O regulamento: é um ato legislativo vinculativo, aplicável em todos os seus elementos
em todos os países da UE
A diretiva: é um ato legislativo que fixa um objetivo geral que todos os países da UE
devem alcançar. No entanto, cabe a cada país decidir dos meios para atingir esse
objetivo.
A decisão: só é vinculativa para os seus destinatários específicos (por exemplo, um
país da UE ou uma empresa), sendo-lhes diretamente aplicável.
14
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:ai0032
15 http://www.europarl.europa.eu/aboutparliament/pt/20150201PVL00008/O-Tratado-de-Lisboa
17
A recomendação: não é vinculativa. Uma recomendação permite às instituições dar a
conhecer os seus pontos de vista e sugerir uma linha de conduta sem contudo impor
uma obrigação legal aos seus destinatários
O parecer: é um instrumento que permite às instituições fazer uma declaração de
forma não vinculativa, ou seja, sem impor qualquer obrigação legal aos seus
destinatários. Um parecer não é vinculativo, pode ser emitido pelas principais
instituições da UE (Comissão, Conselho, Parlamento), pelo Comité das Regiões ou
pelo Comité Económico e Social. Quando está ser elaborada uma legislação, os
comités emitem pareceres sobre essa legislação consentâneos com o seu ponto de
vista especificamente regional, económico ou social.
2.1 Atos Delegados
O Tratado de Lisboa cria uma nova categoria de atos jurídicos: os atos delegados. O
legislador delega assim na Comissão o poder de adotar atos que alteram os elementos não
essenciais de um ato legislativo.
Por exemplo, os atos delegados podem incluir certos pormenores técnicos ou constituir
uma modificação posterior de determinados elementos de um ato legislativo. O legislador
poderá assim concentrar-se na orientação política e nos objetivos sem entrar em debates
demasiado técnicos.
No entanto, esta delegação tem restrições rigorosas, pois só a Comissão pode ser
autorizada a adotar atos delegados. Para além disso, o legislador fixa as condições nas quais
esta delegação pode ocorrer. O artigo 290.º do Tratado sobre o Funcionamento da UE
determina assim que o Conselho e o Parlamento podem revogar uma delegação ou atribuir-lhe
uma duração limitada no tempo.
2.2 Atos de Execução
O Tratado de Lisboa reforça também as competências de execução da Comissão, a
aplicação da legislação europeia no território dos Estados-Membros incumbe, por princípio, aos
Estados-Membros, no entanto, determinadas medidas europeias necessitam de uma aplicação
uniforme na EU, nestes casos, a Comissão pode então adotar os atos de execução relativos à
aplicação de tais medidas.
Até à entrada em vigor do Tratado de Lisboa, a competência de execução cabia ao
Conselho que delegava, então, à Comissão, a adoção dos atos de execução, agora o
artigo 291.º do Tratado sobre o Funcionamento da UE reconhece a competência de
princípio da Comissão. Assim, as medidas europeias que necessitem de uma aplicação
uniforme nos Estados-Membros autorizam diretamente a Comissão a adotar os atos de
execução.
18
Paralelamente, o Tratado de Lisboa reforça igualmente os poderes do Parlamento em
relação ao controlo das competências de execução da Comissão. Com efeito, enquanto as
modalidades deste controlo eram, anteriormente, decretadas pelo Conselho, elas são agora
adotadas pelo processo legislativo ordinário16
, em que o Parlamento está em pé de igualdade
com o Conselho.
2.3 A decisão europeia
A decisão é um instrumento jurídico à disposição das instituições europeias para a
implementação das políticas europeias. A decisão é um ato obrigatório que pode ter um
alcance geral ou estar dirigida a um destinatário específico.
A decisão é um ato jurídico que pertence ao direito derivado da União Europeia (UE).
É, portanto, adotada pelas instituições europeias com base nos tratados fundadores, em
função das situações, a decisão pode estar dirigida a um ou vários destinatários, podendo
também não designar qualquer destinatário.
Um ato obrigatório em todos os seus elementos.
O artigo 288.º do Tratado sobre o Funcionamento da UE define a decisão como sendo
um ato obrigatório em todos os seus elementos, não podendo portanto ser aplicada de forma
incompleta, seletiva ou parcial.
A decisão é adotada após um processo legislativo, é então, um ato legislativo adotado
pelo Conselho e o Parlamento de acordo com o processo legislativo ordinário ou um processo
legislativo especial.
Por oposição, a decisão é um ato não legislativo quando é adotada unilateralmente por
uma das instituições europeias. A decisão remete então para uma norma decretada pelo
Conselho Europeu, pelo Conselho ou pela Comissão em casos específicos que não sejam da
competência do legislador.
2.4 Decisão com destinatário
A decisão pode estar dirigida a um ou vários destinatários. Tem um alcance
estritamente individual, sendo apenas vinculativa para os seus destinatários.
Os destinatários de uma decisão podem ser os Estados-Membros ou particulares. Por
exemplo, a Comissão utiliza as decisões para aplicar sanções às empresas que tenham
participado em cartéis ou cometido abusos de posição dominante.
Para entrar em vigor, a decisão deve ser notificada ao interessado. Em princípio, este
procedimento consiste no envio de uma carta registada com aviso de receção. A decisão pode
também ser publicada no Jornal Oficial, apesar de esta publicação não dispensar a notificação
que é a única possibilidade de tornar o ato oponível ao destinatário.
16
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:ai0016
19
2.5 Decisão sem destinatário
Desde a entrada em vigor do Tratado de Lisboa, a decisão deixou de designar
necessariamente um destinatário. A decisão passou assim a ter uma definição mais lata,
tornando-se no instrumento de base no domínio da Política Externa e de Segurança Comum. O
Conselho e o Conselho Europeu podem assim adotar decisões relativas:
Aos interesses e aos objetivos estratégicos da União;
Às ações a levar a cabo pela União a nível internacional;
Às posições a tomar pela União acerca das problemáticas internacionais;
Às modalidades de aplicação das ações e das posições da União.
De acordo com quadro legislativo da União Europeia e também pelo histórico,
compreende-se e aceita-se o motivo da escolha do regulamento como ato legislativo
vinculativo.
A experiência da Diretiva não obteve o resultado esperado, com a escolha pelo
Regulamento pretende-se obter maior interoperabilidade, reforçar a confiança nas transações
eletrónicas no mercado interno criando uma base comum para a realização de interações
eletrónicas em condições seguras entre os cidadãos, as empresas e as autoridades públicas,
aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios
eletrónicos e o comércio eletrónico na União.
20
3. Assinatura eletrónica em Portugal
Em Maio de 1997, o Governo Português, publicava o Livro Verde para a Sociedade da
Informação17
, na sequência dessa promulgação e de uma "correção" posterior, o Governo
apresentou uma pequena "agenda digital" contendo a enunciação das leis que se propunha
fazer aprovar como veículo de construção da Sociedade da Informação.
Portugal foi um dos países pioneiros na publicação de leis nesta matéria (o terceiro da
Europa, a seguir à Alemanha e à Itália, através da publicação do Decreto-Lei nº290-D, de 2 de
Agosto de 1999, referente aos documentos eletrónicos e às assinaturas digitais procurando
sublinhar a importância verdadeiramente transcendente da assinatura eletrónica e do seu
enquadramento legal para o desenvolvimento do comércio eletrónico.
A validade da assinatura eletrónica em determinados documentos, e em especial sobre
a necessidade de saber se, em determinadas áreas de atividade específicas, os documentos
eletrónicos ou com assinatura eletrónica mantém todos os seus requisitos de validade e
fidedignidade.
Foi na resolução do Conselho de Ministros n.º 115 de 1 de Setembro de 1998, que
determinou a definição do regime jurídico aplicável aos documentos eletrónicos e assinatura
digital, como um dos objetivos a alcançar no âmbito da Iniciativa Nacional para o Comércio
eletrónico, necessário à plena afirmação do comércio eletrónico.
As redes eletrónicas abertas, como a Internet, têm assumido uma importância
crescente na vida quotidiana dos cidadãos e dos agentes económicos, proporcionando uma
teia de relações comerciais globais.
Para aproveitar da melhor forma estas oportunidades, torna-se imperioso criar um
ambiente seguro para a autenticação eletrónica, porque as comunicações e o comércio
eletrónico exigem assinaturas eletrónicas e serviços a elas associados que permitam a
autenticação eletrónica dos dados.
As assinaturas eletrónicas possibilitam ao utilizador de dados enviados
eletronicamente que verifique a sua origem (autenticação), bem como se os dados foram
entretanto alterados (integridade).
Deste modo é essencial abordar a questão da assinatura em ambiente eletrónico de
modo a trazer segurança jurídica a este meio, pois nos casos em que as comunicações
eletrónicas visem produzir algum efeito jurídico relevante, nomeadamente declarações de
vontade aquando da celebração de negócios jurídicos, seja no âmbito administrativo seja no
âmbito contratual, é essencial a existência de confiança entre as partes envolvidas e para tal a
certeza de identidade da outra parte e a garantia de integridade dos documentos transmitidos,
sendo a verificação destes fatores condição sine qua non para que, sob o ponto de vista
técnico e jurídico, estejam reunidas as condições para que se avance para uma generalização
17 http://homepage.ufp.pt/lmbg/formacao/lvfinal.pdf
21
o meio eletrónico como meio eleito pelos sujeitos de Direito para estabelecer relações de uma
forma segura.
O valor probatório dos documentos eletrónicos depende entre outros requisitos, do da
assinatura pelo seu autor. Realmente, decorre do art.º 373º, nº 1, do Código Civil, que os
documentos particulares devem ser assinados pelo seu autor.
Um documento não assinado não tem legalmente valor superior a qualquer outro meio
de prova comum, sujeito a livre apreciação do julgador, isto é, não pode de modo nenhum
atingir a força probatória plena que cabe aos documentos particulares assinados cuja letra e
assinatura, ou só assinatura, sejam consideradas verdadeiras (art.º 376º Código Civil).
Apesar de o conceito de assinatura não estar definido na nossa lei, é tido como aceite
que a assinatura é um método de identificar alguém e de mostrar a sua concordância com
determinado facto, objeto ou conteúdo. Devendo consistir num sinal distintivo e único por parte
do autor, pelo qual a pessoa se torna identificável perante os outros, e que certifique
indubitavelmente a vontade do signatário18
.
Um dos problemas que se levantam na utilização de diferentes formas de autenticação
eletrónicas é precisamente o valor legal que é atribuído por cada legislador aos diferentes tipos
de assinaturas eletrónicas que varia de país para país, sendo que por vezes o
desconhecimento geral e não familiarização com os termos e conceitos técnicos dispostos nas
diversas legislações causa assim alguma incerteza e insegurança jurídicas aos possíveis
utilizadores dos meios de comunicação eletrónicos para realizar transações, daí que seja
importante a realização de estudos deste âmbito de modo a esclarecer possíveis questões que
se levantem, sejam estas do foro tecnológico ou jurídico.
Os diferentes tipos de assinatura eletrónica oferecem diferentes níveis de segurança,
por conseguinte receberam diferentes tipos de valor legal por parte dos legisladores nacionais.
Sendo que, a assinatura digital foi generalizadamente a solução adotada por grande
parte das entidades, por satisfazer os requisitos que uma assinatura eletrónica deve
preencher19
, as vantagens proporcionadas pela utilização de uma assinatura digital devem ser
as seguintes:
- Suscetível de ser verificável pelo recetor: quem recebe a mensagem deve ser capaz
de reconhecer e validar, de uma forma fiável, a validade de uma assinatura, seja por si mesmo
ou com a ajuda de terceiros que atuem como validadores.
- Difícil de falsificar: ainda que seja verdade que a segurança dos algoritmos
responsáveis por uma assinatura nunca é absoluta, deve ser comparado o esforço tecnológico
e económico a realizar de modo a comprometer uma assinatura. A título de exemplo o esforço
necessário a realizar para quebrar um cripto-sistema de assinatura digital que empregue uma
18
No mesmo sentido ANDRADE, Francisco Pacheco, Da contratação electrónica – em particular da
contratação electrónica inter-sistémica inteligente, Tese Doutoramento, Universidade Do Minho, 2008;
19 Segundo Gallardo Carracedo na obra Seguridad en redes telemáticas, Madrid, McGraw Hill 2004.
22
chave de 2000 bits, chegamos à conclusão que pode ser muito mais segura uma assinatura
digital do que que uma assinatura manuscrita.
- Identificar o signatário: autentique de forma unívoca quem assinou a mensagem, e
deve permitir detetar qualquer possível alteração ocorrida sobre os dados assinados.
- Se una à mensagem formando um todo: uma assinatura que conste num documento
não deve poder ser transferida para outro.
- Garantir a função de não repúdio: quem acede ao documento assinado adquire uma
prova, demonstrável perante terceiros, de que o documento foi assinado por quem se afirma
como signatário, e sobre a autenticidade da origem do documento tal como relativamente à
integridade do mesmo.
- Permita incluir informação adicional ao texto: que a assinatura possa ser
complementada com selos temporais, informações relativas à identidade dos signatários etc.
- Afete a mensagem no seu todo: a assinatura eletrónica deve garantir a integridade da
mensagem, e a alteração de um só bit da mensagem original produziria uma assinatura
totalmente diferente.
A legislação atualmente em vigor atribuíra estatuto legal equivalente à assinatura
manuscrita às assinaturas eletrónicas quando estas assentem numa tecnologia de assinatura
associada a um certificado confiável, o que demonstra a importância da certificação digital no
atual estado da arte da autenticação eletrónica.
A validade da assinatura eletrónica em determinados documentos, e em especial sobre
a necessidade de saber se, em determinadas áreas de atividade específicas, os documentos
eletrónicos ou com assinatura eletrónica mantém todos os seus requisitos de validade e
fidedignidade.
Em Portugal foram publicados os seguintes diplomas no âmbito da assinatura
eletrónica:
Decreto-Lei n.º 290-D/99, de 2 de agosto (Alterado e republicado pelo Decreto-Lei n.º
88/2009, de 9 de abril (que altera e republica também o Decreto-Lei n.º 116-A/2006, de
16 de junho)
Decreto-Lei n.º 62/2003, de 3 de abril (Altera o Decreto-Lei n.º 290-D/99, de 2 de
Agosto, que aprova o regime jurídico dos documentos eletrónicos e da assinatura
digital)
Decreto-Lei n.º 165/2004, de 6 de julho (Altera o artigo 29.º do Decreto-Lei n.º 290-
D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos eletrónicos e da
assinatura digital, na redação que lhe foi dada pelo Decreto-Lei n.º 62/2003, de 3 de
Abril)
23
Decreto Regulamentar n.º 25/2004, de 15 de julho (Regulamenta o Decreto-Lei n.º 290-
D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos eletrónicos e da
assinatura digital)
Decreto-Lei n.º 88/2009, de 9 de abril (que procede à quarta alteração ao Decreto-Lei
n.º 290-D/99, de 2 de Agosto, que estabelece o regime jurídico dos documentos
eletrónicos e da assinatura digital, e à primeira alteração ao Decreto-Lei n.º 116-
A/2006, de 16 de Junho, que cria o Sistema de Certificação Eletrónica do Estado)
Só com a análise de todos os diplomas referidos, numa lógica de conjunto, será possível
averiguar da possibilidade de os documentos emitidos poderem sê-lo eletronicamente, e a sua
assinatura ser igualmente digital.
3.1 Decreto-Lei n.º 290-D/99, de 2 de agosto
Dos diplomas referenciados assume particular importância o Decreto-Lei n.º 290-D/99,
de 2 de agosto, por ter sido o primeiro a determinar a definição do regime jurídico aplicável aos
documentos eletrónicos e assinatura digital
Atendendo à importância que a troca de informação por meios eletrónicos tem
assumido à escala global, Portugal deu o primeiro passo no âmbito da Iniciativa Nacional para
o Comércio Eletrónico, regulamentando os documentos e atos jurídicos, e facilitando o
comércio e os atos comerciais em diversos aspetos.
A ideia subjacente a esta evolução é de desmaterialização dos processos em termos
judiciais, administrativos e até empresariais.
Para aferirmos da possibilidade de utilização da tecnologia a favor da emissão de
determinados documentos eletrónicos, mesmo quando lhes queremos conferir autenticidade,
importa conhecer e distinguir alguns conceitos legais.
Assim, para efeitos do Decreto-Lei 290-D/99 de 2 de agosto, e conforme elencado no
artigo 2.º do referido diploma entende-se por:
Documento eletrónico: documento elaborado mediante processamento
eletrónico de dados;
Assinatura eletrónica: resultado de um processamento eletrónico de dados
suscetível de constituir objeto de direito individual e exclusivo e de ser utilizado
para dar a conhecer a autoria de um documento eletrónico ao qual seja aposta,
de modo que:
i) Identifique de forma unívoca o titular como autor do documento;
ii) A sua aposição ao documento dependa apenas da vontade do titular;
iii) A sua conexão com o documento permita detetar toda e qualquer
alteração superveniente do conteúdo deste;
24
Assinatura digital: processo de assinatura eletrónica baseado em sistema
criptográfico assimétrico composto de um algoritmo ou série de algoritmos,
mediante o qual é gerado um par de chaves assimétricas exclusivas e
interdependentes, uma das quais privada e outra pública, e que permite ao
titular usar a chave privada para declarar a autoria do documento eletrónico ao
qual a assinatura é aposta e concordância com o seu conteúdo, e ao
declaratário usar a chave pública para verificar se a assinatura foi criada
mediante o uso da correspondente chave privada e se o documento eletrónico
foi alterado depois de aposta a assinatura;
Chave privada: elemento do par de chaves assimétricas destinado a ser
conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital
no documento eletrónico, ou se decifra um documento eletrónico previamente
cifrado com a correspondente chave pública;
Chave pública: elemento do par de chaves assimétricas destinado a ser
divulgado, com o qual se verifica a assinatura digital aposta no documento
eletrónico pelo titular do par de chaves assimétricas, ou se cifra um documento
eletrónico a transmitir ao titular do mesmo par de chaves;
O documento eletrónico é um documento elaborado mediante processamento
eletrónico de dados que não necessita de ser impresso para ter validade,
sendo que as partes podem convencionar que o documento elaborado
eletronicamente e transmitido por via eletrónica tem a validade de documento
original.
No que concerne à sua força probatória, o documento eletrónico satisfaz os requisitos
de forma legal escrita sempre que o seu conteúdo seja suscetível de ser representado como
declaração escrita.
Já quanto à assinatura digital, a mesma tem a força probatória de documento particular
assinado (original) desde que a assinatura digital esteja certificada por uma entidade
credenciada.
Porém, interessa saber o que é a assinatura digital, que ao contrário do que o nome
indica, não é uma mera “digitalização” da assinatura original.
Porém o n.º 4 do artigo 3.º do Decreto-Lei 290-D/99, de 2 de agosto, que “O disposto
nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e
integridade de documentos eletrónicos, incluindo a assinatura eletrónica não conforme com os
requisitos do presente diploma, desde que tal meio seja adotado pelas partes ao abrigo de
válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento”.
Ou seja,
Caso as partes entendam que assim deve ser, e estejam de acordo quanto a essa
matéria, podem livremente estipular que as comunicações e documentos transmitidos e
assinados eletronicamente têm valor de documento particular, escrito e assinado, podem as
25
partes adotá-lo, sendo tal estipulação válida e não podendo nenhuma das partes invocar
qualquer nulidade daí decorrente.
Nesta matéria, o que deve ser acordado, no âmbito do contrato celebrado é que as
partes dispensam a certificação digital, e que são válidas as comunicações e os documentos
transmitidos a partir de determinada plataforma eletrónica que tenham em comum, ou através
de determinado correio eletrónico.
Está portanto garantida a fidedignidade dos documentos ao abrigo do n.º 4 do artigo
3.º, sempre que as partes assim o acordem, independentemente da certificação legal ser
adotada.
Nas relações comerciais não costuma exigir-se a certificação digital do documento ou a
assinatura eletrónica. Porém, nos casos de clientes mais exigentes, tal pode ser solicitado, e
nessa medida nada obsta a que seja solicitado o certificado digital, e a empresa – ou o
empresário – possa passar a certificar todos os documentos e comunicações transmitidos
eletronicamente, conferindo-se assim mais certezas aos documentos.
Porém, caso as partes acordem nesse sentido, pode ser contratualizada a sua
dispensa, sendo que a não existir a certificação, deve proceder-se de acordo com o artigo 3.º,
n.º 4 do Decreto-Lei 290-D/99 de 2 de agosto, para que nenhuma possa vir retirar valor a
qualquer documento transmitido eletronicamente.
Se não tiver sido contratualizada a dispensa da certificação digital ou a garantia de
outro meio de certificação da genuinidade do documento, pode qualquer das partes questionar
a validade do documento e a autenticidade do seu conteúdo.
Uma das grandes criticas que os legisladores dos diversos países e instituições tem
sido alvo assenta na questão da neutralidade tecnológica, que deve sempre empregada na
criação de uma lei20
, o que se tem revelado uma missão um pouco difícil, como é o exemplo da
primeira legislação sobre a matéria em Portugal, o DL nº 290-D/99 de 2 de Agosto, que veio
estabelecer o regime jurídico para os documentos eletrónicos e assinatura eletrónica, apenas
abordava, na sua primeira versão, o conceito de “assinatura digital” onde manifestamente se
observa uma opção do legislador para a utilização desta tecnologia como forma de
autenticação, fechando a porta à utilização de outro tipo de assinatura eletrónica.
A assinatura digital utiliza técnicas de criptografia assimétrica que assentam na
utilização de um par de chaves criptográficas assimétricas e matematicamente relacionadas,
uma chave privada secreta que deve estar exclusivamente na posse do signatário e sobre a
qual este deve manter controlo absoluto sendo utilizada para assinar um conjunto de dados e
uma chave pública que permite ao destinatário validar autenticidade de uma assinatura e a
integridade de uma mensagem.
O par chave pública/privada é gerado por um algoritmo matemático que assegura que
a assinatura apenas poderá ser verificada pela chave pública se tiver sido criada com a
correspondente chave privada.
20
De acordo com esta ideia: ALI, Rajab, Technological Neutrality, Lex Electronica, vol. 14 n°2, 2009;
26
O regime constante do Decreto -Lei n.º 290- D/99, de 2 de Agosto, embora muito
detalhado na regulamentação da natureza da certificação eletrónica e dos documentos e atos
jurídicos eletrónicos, bem como do acesso à atividade de certificação eletrónica, carecia da
previsão um quadro sancionatório adequado ao exercício da fiscalização pelas autoridades
administrativas competentes à semelhança do que acontece noutros ordenamentos jurídicos
3.2 Decreto-Lei n.º 62/2003, de 3 de abril
O decreto-lei veio compatibilizar o regime jurídico da assinatura digital estabelecido no
Decreto-Lei n.º 290-D/99, de 2 de Agosto, com a Diretiva n.º 1999/93/CE, do Parlamento
Europeu e do Conselho, de 13 de Dezembro, relativa a um quadro legal comunitário para as
assinaturas eletrónicas.
Em conformidade com a referida diretiva e com desenvolvimentos legislativos nos
Estados-Membros da União Europeia, é adotada uma terminologia tecnologicamente neutra, as
referências que traduziam a opção pelo modelo tecnológico prevalecente, a assinatura digital
produzida através de técnicas criptográficas, são eliminadas.
A expressão «assinatura digital» é substituída, consoante os casos, por «assinatura
eletrónica qualificada» ou por «assinatura eletrónica qualificada certificada por entidade
certificadora credenciada». As referências a «chaves privadas» são substituídas por «dados de
criação de assinatura» e as referências a «chaves públicas» são substituídas por «dados de
verificação de assinatura».
O presente decreto-lei estabelece três modalidades de assinaturas eletrónicas: a
assinatura eletrónica, a assinatura eletrónica avançada e a assinatura eletrónica qualificada,
que correspondem a diferentes graus de segurança e fiabilidade.
Introduzem-se, correspondentemente, novas definições no artigo 2.º e são reforçados
os deveres das entidades certificadoras que emitem certificados qualificados.
A avaliação e certificação da conformidade dos produtos de assinatura eletrónica
utilizados na prestação de serviços de assinatura eletrónica qualificada por uma entidade
certificadora ou na criação e verificação de assinatura eletrónica qualificada é atribuída a
organismos de certificação.
Para além do mais, visando assegurar uma melhor e maior fiscalização destas
entidades pelos titulares e por terceiros, criou-se um registo junto da autoridade credenciadora,
que, ainda que tenha um carácter meramente declarativo, é obrigatório para as entidades
certificadoras que emitem certificados qualificados.
Mantém-se a possibilidade de as entidades certificadoras que emitem assinaturas
eletrónicas especialmente seguras e fiáveis, as assinaturas eletrónicas qualificadas, solicitarem
a sua credenciação junto da autoridade credenciadora. As assinaturas eletrónicas qualificadas
emitidas por uma entidade certificadora credenciada têm a força probatória de documento
particular assinado, nos termos do artigo 376.º do Código Civil, enquanto as restantes
modalidades de assinatura eletrónica são livremente apreciadas pelo tribunal.
27
Clarifica-se o regime aplicável às assinaturas eletrónicas de pessoas coletivas ao
admitir-se expressamente que pessoas coletivas possam ser titulares de um dispositivo de
criação de assinatura. Todavia, o presente decreto-lei não estabelece, em matéria de
representação das pessoas coletivas, um regime diverso do resultante das disposições que
regulam especialmente esta questão.
Dentro da posição adotada de neutralidade das tecnologias em relação ao direito, cabe
à entidade certificadora verificar se a assinatura garante a intervenção das pessoas singulares
que, estatutária ou legalmente, representam a pessoa coletiva.
As disposições relativas aos certificados de outros Estados são, igualmente, alteradas
para assegurar a livre circulação dos produtos de assinatura eletrónica no mercado interno.
As alterações introduzidas nas definições, onde:
Assinatura eletrónica: resultado de um processamento eletrónico de dados suscetível
de constituir objeto de direito individual e exclusivo e de ser utilizado para dar a conhecer a
autoria de um documento eletrónico;
Assinatura eletrónica avançada: assinatura eletrónica que preenche os seguintes
requisitos:
i) Identifica de forma unívoca o titular como autor do documento;
ii) A sua aposição ao documento depende apenas da vontade do titular;
iii) É criada com meios que o titular pode manter sob seu controlo exclusivo;
iv) A sua conexão com o documento permite detetar toda e qualquer alteração
superveniente do conteúdo deste;
Assinatura digital: modalidade de assinatura eletrónica avançada baseada em
sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o
qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais
privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do
documento eletrónico ao qual a assinatura é aposta e concordância com o seu conteúdo e ao
destinatário usar a chave pública para verificar se a assinatura foi criada mediante o uso da
correspondente chave privada e se o documento eletrónico foi alterado depois de aposta a
assinatura;
Assinatura eletrónica qualificada: assinatura digital ou outra modalidade de
assinatura eletrónica avançada que satisfaça exigências de segurança idênticas às da
assinatura digital baseadas num certificado qualificado e criadas através de um dispositivo
seguro de criação de assinatura;
28
O Decreto-lei no seu Artigo n.º 7 que refere que Assinatura eletrónica qualificada
1 - A aposição de uma assinatura eletrónica qualificada a um documento eletrónico
equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e
cria a presunção de que:
a) A pessoa que apôs a assinatura eletrónica qualificada é o titular desta ou é
representante, com poderes bastantes, da pessoa coletiva titular da assinatura
eletrónica qualificada;
b) A assinatura eletrónica qualificada foi aposta com a intenção de assinar o
documento eletrónico;
c) O documento eletrónico não sofreu alteração desde que lhe foi aposta a
assinatura eletrónica qualificada.
2 - A assinatura eletrónica qualificada deve referir-se inequivocamente a uma só
pessoa singular ou coletiva e ao documento ao qual é aposta.
3 - A aposição de assinatura eletrónica qualificada substitui, para todos os efeitos
legais, a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.
4 - A aposição de assinatura eletrónica qualificada que conste de certificado que esteja
revogado, caduco ou suspenso na data da aposição ou não respeite as condições dele
constantes equivale à falta de assinatura.
3.3 Decreto-Lei n.º 88/2009 de 9 de Abril
O plano tecnológico constitui um dos pilares da agenda de mudança levada a cabo
pelo XVII Governo Constitucional para mobilizar a sociedade portuguesa para os desafios de
modernização. O Governo da altura definiu como prioridade para as políticas públicas a adoção
de um conjunto de iniciativas de modernização tecnológica que tiveram por objetivo facilitar a
vida dos cidadãos e a atividade das empresas, bem como aumentar a disponibilidade e
melhorar a qualidade dos serviços públicos.
O esforço qualitativo das políticas públicas adotadas permitiu a Portugal evoluir e
acompanhar os mais desenvolvidos no quadro internacional, em termos de inovação e de
modernização tecnológicas.
Um dos domínios em que Portugal alcançou, de forma mais acelerada, resultados mais
evidentes foi na implementação de uma infra -estrutura de chaves públicas plenamente apta a
assegurar mecanismos de autenticação digital de identidades e assinaturas eletrónicas
qualificadas.
Nesse sentido, foi crucial, a criação, através do Decreto -Lei n.º 116 -A/2006, de 16 de
Junho, do Sistema de Certificação Eletrónica do Estado, tanto no plano institucional como
técnico, para assegurar a unidade, a integração e a eficácia de uma hierarquia de confiança
que garantisse a segurança eletrónica e a autenticação digital forte das transações eletrónicas
29
realizadas entre os vários serviços e organismos da Administração Pública e entre o Estado e
os cidadãos e as empresas.
O Sistema de Certificação Eletrónica do Estado veio igualmente permitir desenvolver e
potenciar um conjunto de programas públicos para a promoção das tecnologias de informação
e comunicação e a introdução de novos processos de relacionamento em sociedade, entre
cidadãos, empresas, organizações não-governamentais e o Estado, com vista ao
fortalecimento da sociedade da informação e do governo eletrónico. Por outro lado, o acesso
generalizado dos cidadãos e das empresas à Internet, bem como o dinamismo da atividade
empresarial e da sociedade civil na incorporação das novas tecnologias de informação e
comunicação, veio criar novas necessidades e desafios à distribuição e prestação de bens e
serviços por entidades privadas através de meios eletrónicos.
Sem deixar de lado a necessidade de manter uma arquitetura estável para o Sistema
de Certificação Eletrónica do Estado, assente em critérios que assegurem o seu bom
funcionamento e que não deixem de promover a sua racionalidade económica e a eficácia e
eficiência na prestação de serviços de certificação eletrónica.
Este Decreto-Lei, foi ao encontro da evolução tecnológica em Portugal e, ao mesmo
tempo garantir uma melhor proteção jurídica da utilização das novas tecnologias de informação
e comunicação nos sectores público e privado, procede -se à quarta alteração ao Decreto -Lei
n.º 290 -D/99, de 2 de Agosto, que estabelece o regime jurídico dos documentos eletrónicos e
da assinatura digital.
Por outro lado, o regime constante do Decreto-Lei n.º 290-D/99, de 2 de Agosto,
embora muito detalhado na regulamentação da natureza da certificação eletrónica e dos
documentos e atos jurídicos eletrónicos, bem como do acesso à atividade de certificação
eletrónica, carecia da previsão um quadro sancionatório adequado ao exercício da fiscalização
pelas autoridades administrativas competentes à semelhança do que acontece noutros
ordenamentos jurídicos. Com efeito, a desejável massificação da utilização de certificados
digitais qualificados, tanto para efeitos de autenticação como para efeitos de assinatura
eletrónica qualificada, com a força probatória que passa a ser reconhecida aos documentos
eletrónicos correspondentes, exige que se introduza um conjunto de sanções com um efeito
simultaneamente preventivo e persuasivo do estrito cumprimento das normas legais pelas
entidades certificadoras que operem neste mercado.
30
3.4 Infraestrutura de Chaves Públicas
Figura nº 1 – Conceito das assinaturas
Os diferentes tipos de assinatura eletrónica oferecem diferentes níveis de segurança,
obtendo assim diferente de valor jurídico por parte do legislador.
É importante compreender as assinaturas eletrónicas, pois elas assentam
principalmente em dois conceitos, o jurídico que se refere as diferentes modalidades de
assinaturas eletrónicas e o conceito tecnológico que são as assinaturas digitais.
A assinatura digital para ser realizada como está determinado na sua definição é
obrigatório a existência de uma entidade externa, designada de Public Key Infrastructure (PKI),
Infraestrutura de Chaves Públicas (ICP).
Uma PKI é uma combinação de produtos hardware e software, politicas, pessoas e
procedimentos, normas e técnicas que asseguram as principais bases de segurança na troca
de dados eletrónicos, criando uma estrutura cujo objetivo é garantir a autenticação, não-
repudio, confidencialidade, integridade e controlo de acessos nas mais diversas atividades em
linha.
Uma PKI tem como principal objetivo associar as chaves públicas e privadas, utilizadas
pela tecnologia de criptografia assimétrica, mais conhecida por criptografia de chave pública, a
determinadas identidades, sejam estes indivíduos ou organizações, introduzindo o certificado
digital21
.
21
“É um conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observância à
Recomendação Internacional ITUT X.509, que se destina a registrar, de forma única, exclusiva e
intransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina
31
O certificado digital é um elemento principal de uma PKI pois assume o papel de
“identidade digital ” sendo a forma utilizada para verificar a identidade de uma parte (seja esta
uma pessoa singular ou coletiva, máquina ou aplicação),num processo de comunicação
eletrónico, que estabelece uma relação única, exclusiva e intransferível através da associação
da assinatura digital de um utilizador à correspondente chave pública.
Os certificados digitais podem ter diversas aplicações podendo usados para
confirmação da identidade na web, correio eletrônico, transações em linha, redes privadas
virtuais, transações eletrônicas, informações eletrônicas, cifrar as chaves de sessão, assinatura
de documentos com verificação da integridade de suas informações, etc.
Uma PKI é constituída por:
Entidades Certificadoras (EC), que têm a responsabilidade de emitir e revogar
certificados, ou seja o ciclo de vida de um certificado.
As EC oferecem dois tipos de serviços22
, os nucleares e os suplementares.
Consideram-se serviços nucleares:
Serviço de Registo: tem como objetivo verificar e garantir a identidade
do titular. O “output” deste serviço será passado para o Serviço de
Geração de Certificados.
Serviço de Geração (emissão) de Certificados: tem como objetivo
gerar e emitir certificados, previamente validados pelo Serviço de
Registo.
Serviço de Disseminação: tem como objetivo disponibilizar os
certificados aos titulares.
Serviço de Gestão de Revogações: tem como objetivo processar os
pedidos de revogação e implementar as ações necessárias. O
resultado deste serviço será difundido através do Serviço sobre o
Estado das Revogações.
Serviço sobre o Estado das Revogações: tem como objetivo,
disponibilizar informação sobre o estado das revogações dos
certificados às partes confiantes. Este serviço pode ser disponibilizado
em tempo real (Online Certificate Status Protocol (OCSP)) ou através
de atualizações periódicas regulares (Certificate Revocation List
(CRL)).
Os serviços suplementares são os seguintes:
ou aplicação.”
http://www.iti.gov.br/images/twiki/URL/pub/Certificacao/Glossario/Glossario_ICP_Brasil_Versao_1.2_novo-
2.pdf
22 ETSI TS 101 456 Policy requirements for certification authorities issuing qualified certificates
32
O Serviço de Fornecimento do Dispositivo Seguro de Criação de
Assinaturas (Secure Signature Creation Device (SSCD)): tem como
objetivo preparar e fornecer o respetivo dispositivo ao titular do
certificado.
O Serviço de Validação Cronológica: tem como objetivo, a geração e
distribuição de “tokens” de validação cronológica, de forma a ligar
criptograficamente os dados com valores de tempo seguros.
As entidades de certificação podem ser de dois tipos, as EC de Raiz que emitem
diretamente os seus certificados, sendo as primeiras entidades da cadeia de certificação, e as
entidades de certificação intermediárias, cujos certificados são emitidos indiretamente pelas EC
de Raiz.
As Autoridades de Registo – AR’s (Registration authorities - RA), sendo a sua função
a de autenticar a identidade do individuo através de método idóneo para o efeito, submetendo
depois o pedido de certificado para uma EC.
Os repositórios, são as estruturas responsáveis pelo armazenamento da informação
relativa a uma PKI, sendo os repositórios mais importantes as CRL’s;
A Autoridade de Validação (Validation authority – VA), cuja função é a de comprovar
a validade dos certificados digitais;
A Autoridade de selos temporais (TimeStamp Authority – TSA), entidade encarregue
de atestar a existência de um documento em determinado instante de tempo;
Pode também existir uma Autoridade de Atributos (Atribute Authority – AA),
autoridades encarregues de criar certificados de atributos,
Declaração de Práticas de Certificação (CPS).
Políticas de certificação.
33
4. Assinatura Eletrónica na União Europeia
4.1 A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho
Na sequência do primeiro anúncio de uma proposta de legislação no domínio das
assinaturas eletrónicas, numa comunicação intitulada “Garantir a segurança e a confiança nas
comunicações eletrónicas, contribuição para a definição de um quadro europeu para as
assinaturas digitais e a cifragem”23
, foi publicada, em 1998, a proposta de Diretiva propriamente
dita.
Diversos Estados-Membros tinham já criado ou proposto legislação nacional sobre
assinaturas eletrónicas, que consideraram um pré-requisito para o crescimento do comércio
eletrónico e uma importante exigência política para assegurar a confiança nas transações
eletrónicas.
Numa perspetiva comunitária, as medidas legislativas nacionais e as suas exigências
divergentes poderiam vir a impedir o efetivo estabelecimento do mercado interno,
nomeadamente nas áreas dependentes de produtos e serviços associados às assinaturas
eletrónicas. A preocupação subjacente às medidas de harmonização propostas era evitar
disfunções do mercado interno numa área considerada crítica para o futuro das transações
eletrónicas na economia europeia. Um dos requisitos fundamentais era clarificar o estatuto
jurídico das assinaturas eletrónicas, a fim de assegurar a sua validade legal, que foi
frequentemente questionada.
A Diretiva foi adotada pelo Parlamento Europeu e pelo Conselho em 13 de Dezembro
de 1999 e os Estados-Membros aplicaram os princípios gerais da Diretiva24
.
4.1.1 Objetivo e âmbito de aplicação
O objetivo principal da Diretiva foi criar um quadro comunitário para a utilização das
assinaturas eletrónicas, permitindo a livre circulação transfronteiras de produtos e serviços
associados às assinaturas eletrónicas, assegurando um reconhecimento legal mínimo destas.
A Diretiva não incide na celebração e na validade de contratos ou outras obrigações
legais estabelecidas pelo direito nacional ou comunitário respeitante à forma dos contratos.
Também não afeta as regras e limitações referentes à utilização de documentos,
previstas no direito nacional ou comunitário25
. Consequentemente, a Diretiva não afeta
23
COM(97) 503 de 8 de Outubro de 1997
24 http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A31999L0093
25 A presente diretiva não procura harmonizar a prestação de serviços no que diz respeito à
confidencialidade da informação quando estes são abrangidos por disposições nacionais em matéria de
ordem pública ou de segurança pública;
34
disposições nacionais que exigem, por exemplo, a utilização de papel para determinado tipo de
contratos, além disso, a Diretiva não exclui a possibilidade de as partes num sistema fechado
negociarem as condições específicas de utilização de assinaturas eletrónicas nesse sistema.
4.1.2 Os vários tipos de assinaturas eletrónicas previstos na Diretiva
A Diretiva incide em três formas de assinatura eletrónica.
A primeira é a forma mais simples de “assinatura eletrónica”, a que é dado um sentido
muito lato, serve para identificar e autenticar dados.
Pode ser tão simples como a assinatura de uma mensagem de correio eletrónico com
o nome do remetente ou a utilização de um código PIN. A autenticação, para ser uma
assinatura, deve referir-se a dados, não devendo ser utilizada como método ou tecnologia
apenas para a autenticação de uma entidade.
A segunda forma de assinatura eletrónica definida na Diretiva é a “ assinatura
eletrónica avançada ”. Esta forma de assinatura tem de obedecer aos requisitos definidos no
n.º 2 do artigo 2.°. A Diretiva é tecnologicamente neutra, mas na prática, esta definição refere-
se essencialmente a assinaturas eletrónicas assentes numa infraestrutura de chave pública
(PKI).
Este sistema utiliza tecnologia de cifragem para assinar dados, exigindo uma chave
pública e uma chave privada.
Por último, no n.º 1 do artigo 5.°, é citada uma terceira forma de assinatura eletrónica
que a Diretiva não denominou especificamente, mas que será designada “assinatura eletrónica
qualificada”. Trata-se de uma assinatura eletrónica avançada baseada num certificado
qualificado e produzida por um dispositivo seguro de criação de assinaturas, devendo obedecer
aos requisitos constantes dos Anexos I, II e III.
O “ signatário ” é identificado na Diretiva como “uma pessoa singular que detém um
dispositivo de criação de assinaturas e o utiliza em seu próprio nome, ou em nome da pessoa
singular ou coletiva ou da entidade que representa”. Embora a Diretiva não determine que a
assinatura eletrónica tem de dizer respeito a uma pessoa singular, o signatário de uma
assinatura eletrónica qualificada (n.º 1 do artigo 5.° da Diretiva) tem de ser uma pessoa
singular, dado que esta forma de assinatura é considerada o equivalente da assinatura
manuscrita.
4.1.3 O Mercado Interno
Para promover a emergência do mercado interno dos produtos e serviços de
certificação e assegurar que um prestador de serviços de certificação estabelecido num
Estado-Membro possa fornecer serviços noutro Estado-Membro, o artigo 3.° determina que o
acesso ao mercado não estará sujeito a autorização prévia.
Para garantir que os prestadores de serviços de certificação que emitem certificados
qualificados destinados ao público cumprem os requisitos estabelecidos nos anexos, os
35
Estados-Membros têm de instituir sistemas adequados de supervisão. Não foram impostas
quaisquer exigências aos sistemas de supervisão. Os Estados-Membros aplicaram diferentes
modelos que, até agora, têm funcionado essencialmente no respetivo país de origem e não
mostraram ser fonte de entraves. No entanto, o crescimento dos serviços de certificação
transfronteiras foi afetado pelas divergências entre os sistemas dos Estados-Membros.
No que respeita à oferta transfronteiras de serviços de certificação no mercado interno,
não pode ser imposta qualquer restrição à oferta de serviços de certificação com origem noutro
Estado-Membro.
4.1.4 Reconhecimento legal
O n.º 2 do artigo 5.° estabelece o princípio geral do reconhecimento legal de todos os
tipos de assinatura eletrónica previstos na Diretiva.
Os Estados-Membros devem assegurar que as assinaturas eletrónicas qualificadas (n.º
1 do artigo 5.°) obedecem aos requisitos legais das assinaturas manuscritas e são admissíveis
como meio de prova para efeitos processuais do mesmo modo que as assinaturas manuscritas
o são em relação aos documentos tradicionais.
4.1.5 O desenvolvimento do mercado e as aplicações
Havia alguma esperança de que a adoção da Diretiva ajudasse o mercado das
assinaturas eletrónicas a arrancar. No geral, o objetivo da legislação não foi de criar procura no
mercado e a Diretiva não foi exceção. No entanto, a Diretiva deveria proporcionar maior
segurança jurídica na utilização de assinaturas eletrónicas e serviços associados, neste
sentido, a Diretiva poderia oferecer uma plataforma de confiança que permitiria o arranque do
mercado.
Desde a publicação até aos dias de hoje, podemos concluir que o arranque foi muito
lento.
As duas aplicações dominantes das assinaturas eletrónicas relacionam-se com a
administração pública em linha e os serviços pessoais de banca eletrónica. Muitos Estados-
Membros e diversos outros países europeus lançaram aplicações de administração pública em
linha ou planeavam faze-lo na altura. Algumas destas aplicações baseavam-se na utilização de
bilhetes de identidade eletrónicos, em que este poderia ser utilizado como documento de
identificação e como meio de acesso em linha a serviços públicos para os cidadãos. Na maioria
dos casos, estes bilhetes de identidade integram as três funções: identificação, autenticação e
assinatura.
A outra grande aplicação das assinaturas eletrónicas foram os serviços pessoais da
banca eletrónica. Nestes serviços, a maioria dos sistemas de autenticação assenta em senhas
(passwords) de utilização única e sinais especiais ( tokens ), ou seja, na forma mais simples de
assinatura eletrónica, nos termos da Diretiva. Muitas aplicações de banca eletrónica estão a
utilizar estas tecnologias apenas para a autenticação do utilizador, mas a assinatura eletrónica
36
de transações aumentou de forma considerável. Nos serviços de banca eletrónica entre
empresas e de compensação interbancária, é mais corrente a utilização de cartões inteligentes,
por se considerar que oferecem um nível de segurança mais elevado.
Simultaneamente, o espectro de serviços que exigem um nível de autenticação
correspondente à forma simples de assinatura eletrónica está a ser alargado em diversos
Estados-Membros.
4.1.6 Normalização
O n.º 5 do artigo 3.° da Diretiva permite que a Comissão estabeleça e publique os
números de referência de “normas largamente reconhecidas”[8] para produtos de assinatura
eletrónica. Consequentemente, presume-se que um produto de assinatura eletrónica obedece
aos requisitos estabelecidos na alínea f) do Anexo II e no Anexo III quando está em
conformidade com aquelas normas.
A Comissão conferiu um mandato às organizações europeias de normalização para
elaborarem normas nesta matéria. Foi criada a EESSI ( European Electronic Signature
Standardisation Initiative ), com membros do CEN/ISSS e do ETSI, que elaborou normas para
produtos e serviços de assinatura eletrónica.
Desde então os trabalhos de normalização tiveram em conta a evolução tecnológica
mais recente, dado que os utilizadores transferem a sua chave de assinatura eletrónica de
dispositivo para dispositivo, neste mundo interligado.
4.1.7 Desafios tecnológicos
Não existe explicação simples para o facto de o mercado das assinaturas eletrónicas
não se ter desenvolvido mais rapidamente, mas o certo é que o mercado está a enfrentar uma
série de desafios técnicos. Um problema, muitas vezes assinalado, que poderá contribuir para
a lentidão do arranque das assinaturas eletrónicas avançadas ou qualificadas na Europa é a
complexidade da tecnologia PKI.
A vantagem, frequentemente sublinhada, da PKI reside no facto de esta tecnologia
utilizar o sistema dos “terceiros de confiança”, graças ao qual Partes que nunca antes se
encontraram podem confiar uma na outra para efeitos de transações na Internet. No entanto,
tudo indica que, em muitas das atuais aplicações, os fornecedores de serviços estão pouco
interessados em permitir que os seus clientes utilizem o seu dispositivo de autenticação para
outros serviços, essencialmente por questões de responsabilidade.
Existem fatores que podem explicar o lento arranque se dever a ausência de
disposições, na Diretiva, sobre critérios para os serviços de verificação de assinaturas
eletrónicas a fornecer pelo prestadores de serviços de certificação, ao utilizador final e de
disposições respeitantes ao reconhecimento mútuo dos prestadores.
A falta de interoperabilidade técnica a nível nacional e transfronteiras é outro obstáculo
à aceitação das assinaturas eletrónicas no mercado, tendo dado origem a muitas ilhas
37
"isoladas" de aplicações de assinatura eletrónica em que os certificados só podem ser
utilizados numa única aplicação.
Atualmente, no ambiente PKI, o cartão inteligente é o dispositivo de criação de
assinaturas mais utilizado, dado que permite guardar com segurança a chave privada. Esta
tecnologia é dispendiosa e exige investimentos na infraestrutura física (p. ex., distribuição de
cartões e leitores de cartão). Há já algumas alternativas ao cartão inteligente que podem ser
utilizadas para guardar com segurança a chave criptográfica.
Outra razão prática para a relutância na implantação das aplicações de assinatura
eletrónica é o facto de o arquivamento dos documentos com assinatura eletrónica ser
considerado demasiado complexo e incerto. A obrigação legal de manter os documentos
durante um período que poderá ser superior a 30 anos exige tecnologia e procedimentos
onerosos e complexos para assegurar a legibilidade e a verificação de que tais períodos são
respeitados.
4.1.8 Impacto da Diretiva noutra regulamentação
Embora a procura de sistemas assentes na tecnologia PKI não possa ser criada por
medidas legislativas, a Comissão continua a considerar que a introdução das assinaturas
eletrónicas é um fator importante para desenvolver os serviços da sociedade da informação e
incentivar um comércio eletrónico seguro.
Algumas Diretivas e decisões recentemente adotadas introduzem as assinaturas
eletrónicas e fazem referência à Diretiva 1999/93/CE.
A Diretiva 2001/115/CE reconhece a possibilidade de as faturas serem enviadas
eletronicamente. Neste caso, a autenticidade da origem das faturas e a integridade do seu
conteúdo devem ser garantidas mediante, por exemplo, assinaturas eletrónicas avançadas.
As Diretivas relativas aos contratos públicos, que entraram em vigor a 30 de Abril de
2004, completam o quadro legislativo para a utilização das assinaturas eletrónicas em
contratos públicos.26
A Decisão 2004/563 da Comissão relativa a documentos eletrónicos e digitalizados.
A Diretiva introduziu segurança jurídica no que respeita à admissibilidade geral das
assinaturas eletrónicas, a transposição da Diretiva para o direito dos Estados-Membros veio
dar resposta à necessidade de reconhecimento legal das assinaturas eletrónicas.
A utilização das assinaturas eletrónicas qualificadas foi muito inferior ao que se
esperava, na altura o mercado, estava pouco desenvolvido. Atualmente, mais utilizadores
dispõem de certificado eletrónico, para assinarem documentos ou transações no ambiente
digital, tal como fazem com os documentos em papel.
26
Directiva 2004/17/CE do Parlamento Europeu e do Conselho, de 31 de Março de 2004, relativa à
coordenação dos processos de adjudicação de contratos nos sectores da água, da energia, dos
transportes e dos serviços postais.
38
A utilização das assinaturas eletrónicas nos serviços de administração pública em linha
atingiu um volume apreciável, sendo um importante elemento catalisador. O papel estratégico
das aplicações de administração pública em linha é reconhecido na iniciativa i201027
, que
promove a implantação e a utilização eficiente das TIC nos sectores privado e público. A
necessidade de meios de identificação eletrónicos seguros para o acesso e utilização de
serviços públicos é essencial para cidadãos e empresas para promover a utilização das
assinaturas eletrónicas.
4.2 O Regulamento EU n.º 910/2014
Com o princípio de a Europa ter de explorar todas as fontes de crescimento a fim de
sair da crise, criar empregos e recuperar a sua competitividade. Restaurar o crescimento e a
criação de emprego na União constitui o objetivo da Estratégia Europa 2020. Além disso, o
contexto digital tornou-se uma parte do espaço público onde se estabelecem novas formas de
comércio transfronteiras e estão a ser criadas oportunidades de negócio para as empresas
europeias na economia digital global, a par do desenvolvimento de mercados inovadores e da
interação social e cultural.
Criar confiança no ambiente em linha é fundamental para o desenvolvimento
económico, a falta de confiança leva os consumidores, as empresas e as administrações a
hesitarem em realizar transações por via eletrónica e em adotar novos serviços.
A Agenda Digital para a Europa identifica os obstáculos existentes ao desenvolvimento
digital da Europa e propõe legislação sobre assinaturas eletrónicas (Ação-chave 3) e sobre o
reconhecimento mútuo da identificação e da autenticação eletrónicas (Ação-chave 16), tendo
em vista o estabelecimento de um quadro legal claro que acabe com a fragmentação e a falta
de interoperabilidade, melhore a cidadania digital e previna a cibercriminalidade.
A adoção de legislação que garanta o reconhecimento mútuo da identificação e da
autenticação eletrónicas em toda a UE e a revisão da Diretiva relativa às assinaturas
eletrónicas constituem igualmente ações fundamentais do Ato do Mercado Único, para a
realização do mercado único digital.
O Roteiro para a Estabilidade e o Crescimento sublinha o papel fundamental que o
futuro quadro legal comum relativo ao reconhecimento e à aceitação mútuos da identificação e
da autenticação eletrónicas através das fronteiras terá no desenvolvimento da economia digital.
A legislação da UE em vigor sobre a matéria, nomeadamente a Diretiva 1999/93/CE
relativa a um quadro comunitário para as assinaturas eletrónicas, contempla essencialmente a
assinaturas eletrónicas. A UE não dispõe de qualquer quadro geral transnacional e
27
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0229:FIN:EN:PDF
39
transectorial para transações eletrónicas seguras, fiáveis e simples que englobe a identificação,
a autenticação e as assinaturas eletrónicas.
O objetivo é melhorar a legislação existente e torná-la extensível ao reconhecimento e
à aceitação mútuos, a nível da UE, dos sistemas de identificação eletrónica notificados e de
outros serviços de confiança eletrónicos conexos essenciais.
A proposta baseia-se no artigo 114.º do TFUE, que diz respeito à adoção de regras
para eliminar os obstáculos existentes ao funcionamento do mercado interno. Os cidadãos, as
empresas e as administrações poderão beneficiar do reconhecimento e da aceitação mútuos
da identificação, da autenticação e das assinaturas eletrónicas e de outros serviços de
confiança através das fronteiras, quando necessário para aceder, e concluir os procedimentos
ou transações eletrónicos.
Um regulamento é considerado o instrumento jurídico mais adequado, devido à sua
aplicabilidade direta, em conformidade com o artigo 288.º do TFUE, um regulamento, ao
instaurar um conjunto harmonizado de regras essenciais que contribuem para o funcionamento
do mercado interno, reduzirá a fragmentação do quadro legal e fornecerá maior segurança
jurídica.
Os 52 artigos do novo regulamento abrangem diversos aspetos das transações eletrónicas:
a) Estabelece as condições em que os Estados-Membros reconhecem e aceitam os
meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de
um sistema de identificação eletrónica notificado de outro Estado-Membro;
b) Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às
transações eletrónicas;
c) Institui um quadro legal para,
Serviços de confiança:
- Assinaturas eletrónicas,
- Os selos eletrónicos,
- Os selos temporais,
- Os serviços de envio registado eletrónico,
- Os serviços de certificados para autenticação de sítios web.
E os documentos eletrónicos,
Uma vez que muitos Estados-Membros já implementaram sistemas de identificação
eletrónica (baseadas em tecnologias muito diferentes, ou seja, que vão desde passwords a
smart cards), a experiência mostra que as medidas nacionais criaram de facto barreiras à
40
interoperabilidade das assinaturas eletrónicas ao nível da UE e produzem atualmente o mesmo
efeito na identificação e na autenticação eletrónicas e nos serviços de confiança associados.
Torna-se, assim, necessário que a UE crie um quadro que facilite a interoperabilidade
transfronteiras e melhore a coordenação dos sistemas nacionais de supervisão. Este princípio
visa proteger investimentos realizados, mas também é importante para os Estados-Membros,
onde a identificação eletrónica não pode ser abordada no regulamento proposto da mesma
forma genérica que os outros serviços eletrónicos de confiança, dado que a produção de meios
de identificação é uma prerrogativa nacional.
O regulamento proposto cria condições de igualdade para as empresas que prestam
serviços de confiança, ao passo que as diferenças existentes atualmente nas legislações
nacionais criam muitas vezes incerteza jurídica e ónus adicionais.
A segurança jurídica é significativamente reforçada através da obrigação clara, para os
Estados-Membros, de aceitarem os serviços de confiança qualificados, o que criará mais
incentivos para que as empresas estendam a suas atividades a outros países.
O regulamento é muito escasso em detalhes o que seria importante para os técnicos,
por exemplo, requisitos concretos para a segurança e interoperabilidade, está mais preocupado
com os detalhes legais, sendo demasiado escasso sobre os aspetos jurídicos importantes. O
regulamento contém vários “gatilhos” para a Comissão poder refinar os requisitos através de
atos de execução.
Por exemplo, uma empresa poderá participar por via eletrónica num concurso público
lançado pela administração de outro Estado-Membro sem que a sua assinatura eletrónica fique
bloqueada devido a requisitos nacionais específicos e problemas de interoperabilidade.
Assim também, uma empresa terá a possibilidade de assinar contratos por via
eletrónica com uma congénere estabelecida noutro Estado-Membro sem recear a imposição de
requisitos legais diferentes para os serviços confiança como os selos eletrónicos, os
documentos eletrónicos ou os selos temporais.
Um outro caso: um aviso de incumprimento será enviado de um Estado-Membro para
outro com a certeza de que é legalmente válido em ambos os Estados-Membros. Por último, o
comércio em linha será mais fiável quando os compradores tiverem meios para verificar que
estão realmente a aceder ao sítio Web do comerciante da sua escolha em vez de um sítio Web
eventualmente falso.
A existência de meios de identificação eletrónica mutuamente reconhecidos e
assinaturas eletrónicas generalizadamente aceites facilitará a oferta transfronteiras de
numerosos serviços no mercado interno e permitirá que as empresas desenvolvam as suas
atividades fora de portas sem encontrarem obstáculos nas interações com as autoridades
públicas.
Na prática, estaremos perante melhorias significativas de eficiência tanto para as
empresas como para os cidadãos no cumprimento de formalidades administrativas. Por
exemplo, um estudante terá a possibilidade de se inscrever por via eletrónica numa
41
universidade estrangeira, um cidadão de apresentar a sua declaração fiscal em linha a outros
Estados-Membros ou um doente de aceder aos seus dados de saúde em linha.
O regulamento separa corretamente as noções de identificação e assinatura, o primeiro
representa a identificação de uma pessoa singular ou coletiva que atue (normalmente no início
de uma transação eletrónica), enquanto que o último conclui uma transação através da
assinatura de um documento, o equivalente a uma assinatura manuscrita.
4.2.1 Níveis de garantia
São apresentados os níveis de garantia que se basearam nos projetos-pilotos como o
STORK QAA e na ISO29115. Os níveis de garantia deverão caracterizar o nível de confiança
de um meio de identificação eletrónica na determinação da identidade de uma pessoa,
garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem
essa identidade foi atribuída. O nível de garantia depende do nível de confiança que os meios
de identificação eletrónica conferem a respeito da identidade declarada ou reivindicada por
uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e
autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de
identificação eletrónica e o procedimento para produzir esses meios) e os controlos técnicos
aplicados.
O Regulamento define os níveis de garantia como:
1. Os sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.
o 1,
especificam os níveis de garantia reduzidos, substanciais e/ou elevados para os meios
de identificação eletrónica neles produzidos.
2. Os níveis de garantia reduzidos, substanciais e elevados cumprem,
respetivamente, os seguintes critérios:
a) O nível de garantia reduzido corresponde a um meio de identificação
eletrónica, no contexto de um sistema de identificação eletrónica, que confere
um nível de confiança limitado relativamente à identidade declarada ou
reivindicada por determinada pessoa, e que se caracteriza por referência a
especificações técnicas, normas e procedimentos conexos, nomeadamente
controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração
indevida da identidade;
b) O nível de garantia substancial corresponde a um meio de identificação
eletrónica, no contexto de um sistema de identificação eletrónica, que confere
um nível de confiança substancial relativamente à identidade declarada ou
reivindicada por determinada pessoa, e que se caracteriza por referência a
42
especificações técnicas, normas e procedimentos conexos, nomeadamente
controlos técnicos, cuja finalidade é reduzir substancialmente o risco de
utilização ou alteração indevida da identidade;
c) O nível de garantia elevado corresponde a um meio de identificação
eletrónica, no contexto de um sistema de identificação eletrónica, que confere
um nível de confiança relativamente à identidade declarada ou reivindicada por
determinada pessoa mais elevado do que os meios de identificação eletrónica
com o nível de garantia substancial, e que se caracteriza por referência a
especificações técnicas, normas e procedimentos conexos, nomeadamente
controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida
da identidade.
4.2.2 Quadro de Interoperabilidade
A interoperabilidade técnica entre os diferentes sistemas de identificação eletrónica
será baseado num Quadro Interoperabilidade, com base no trabalho realizado no projeto
cofinanciado UE, STORK28
.
As metas de segurança que devem ser preenchidas pelo quadro baseiam-se nos
requisitos e as expectativas da parte interessada neste quadro:
- O prestador de serviços exige autenticidade / integridade da identificação dos
dados da pessoa que recebeu, e a fim de cumprir as suas obrigações da
proteção de dados, exige também a confidencialidade dos dados recebidos de
identificação pessoal;
- O cidadão espera confidencialidade dos seus dados de identificação pessoal
e também espera que os operadores do quadro respeitem a sua privacidade.
Para cumprir estes requisitos, de forma a proporcionar evidências e responsabilidade
mandatadas pelo regulamento, é necessária criar uma autenticação completa em todo o
processo, para gerar uma cadeia de responsabilidade e Confiança.
A interoperabilidade é fundamental e esta deve garantir as propriedades da segurança.
O quadro para a interoperabilidade transfronteiriça deve fornecer:
- Confidencialidade dos dados de identificação pessoal;
- Autenticidade / integridade dos dados de identificação pessoal;
28
https://www.eid-stork.eu
43
- Garantir a identificação dos terminais da comunicação.
Princípios para o quadro da interoperabilidade
• A neutralidade tecnológica;
• Requisitos de alto nível - outras especificações a definir com os Estados-Membros;
• Implementação de referência pela Comissão;
• Implementação das especificações técnicas dos Estados-Membros.
Elementos do quadro de interoperabilidade
• Requisitos técnicos mínimos;
• Conjunto mínimo de dados de identificação de pessoa;
• Normas operacionais comuns;
• Referência aos níveis de garantia e mapeamento.
O regulamento diz respeito a identificação de pessoas singulares, pessoas coletivas e
pessoas singulares que representam as pessoas jurídicas, a identificação é definida como a
identificação única de uma pessoa. Por conseguinte, deve ser definido um conjunto de dados
interoperável, garantindo a identificação única.
44
5. Serviços de confiança
O regulamento estabelece um quadro legal geral para a utilização dos serviços de
confiança, não é criada uma obrigação geral de utilização dos mesmos nem de instalação de
um ponto de acesso para todos os serviços de confiança existentes.
Só deverão cumprir os requisitos, os serviços de confiança prestados ao público com
consequências para terceiros.
O Regulamento define como serviço de confiança, um serviço eletrónico geralmente
prestado mediante remuneração, que consiste:
a) Na criação, verificação e validação de assinaturas eletrónicas, selos
eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados
relacionados com estes serviços; ou
b) Na criação, verificação e validação de certificados para a autenticação de
sítios web;
c) Na preservação das assinaturas, selos ou certificados eletrónicos
relacionados com esses serviços;
Um Serviço de confiança qualificado é um serviço de confiança que satisfaça os
requisitos aplicáveis estabelecidos no presente regulamento;
Figura nº2- Marca de confiança «UE» para serviços de confiança qualificados, a cores 29
A confiança nos serviços em linha e a respetiva conveniência é essencial para que os
utilizadores tirem pleno partido dos serviços eletrónicos e os utilizem de maneira consciente.
29
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:OJ.L_.2015.128.01.0013.01.POR
45
Foi criada a marca de confiança «UE» que identifica os serviços de confiança
qualificados prestados pelos prestadores qualificados de serviços de confiança. Esta marca
distingue claramente os serviços qualificados de outros serviços de confiança, contribuindo
desta forma para a transparência no mercado.
A utilização da marca de confiança «UE» pelos prestadores qualificados de serviços de
confiança deverá ser voluntária e não deverá implicar qualquer outro requisito além dos
previstos no presente regulamento.
Os efeitos legais dos serviços de confiança deverão ser definidos pelo direito nacional,
salvo disposição em contrário do presente regulamento.
O presente regulamento cria uma obrigação de reconhecer um serviço de confiança,
este só pode deixar de ser reconhecido se o destinatário da obrigação não o puder ler ou
verificar por motivos técnicos que escapem ao controlo direto do destinatário.
Os Estados-Membros podem manter ou criar, em conformidade com o direito da União,
disposições nacionais em matéria de serviços de confiança, na medida em que esses serviços
não se encontrem totalmente harmonizados pelo presente regulamento. Contudo, os serviços
de confiança que cumpram o regulamento deverão gozar da liberdade de circulação no
mercado interno.
O Regulamento apresenta um quadro legal para os seguintes serviços de confiança:
- Assinaturas eletrónicas;
- Selos eletrónicos;
- Selos temporais;
- Serviços de envio registado eletrónico;
- Serviços de certificados para autenticação de sítios web.
E os documentos eletrónicos.
5.1 Assinaturas eletrónicas
As assinaturas eletrónicas são utilizadas apenas pelas pessoas naturais.
O regulamento contempla os seguintes tipos de assinatura:
Assinatura eletrónica, os dados em formato eletrónico que se ligam ou estão
logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo
signatário para assinar;
Assinatura eletrónica avançada, uma assinatura eletrónica que obedeça aos
requisitos estabelecidos no artigo n.º 26.
46
Assinatura eletrónica qualificada, uma assinatura eletrónica avançada criada por um
dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado
qualificado de assinatura eletrónica.
Para garantir a segurança jurídica no que respeita à validade da assinatura, é essencial
especificar os componentes da assinatura eletrónica qualificada que deverão ser avaliados
pelo utilizador que procede à validação. Além disso, a especificação dos requisitos aplicáveis
aos prestadores qualificados de serviços de confiança que podem prestar serviços qualificados
de validação a utilizadores que não desejem ou não possam efetuar eles mesmos a validação
das assinaturas eletrónicas qualificadas deverá incentivar os setores públicos e privado a
investirem em tais serviços. Ambos os setores deverão tornar a validação das assinaturas
eletrónicas qualificadas fácil e conveniente para todas as partes a nível da União.
5.2 Selo eletrónico
Os selos eletrónicos deverão servir de prova da emissão de um documento eletrónico
por determinada pessoa coletiva, certificando a origem e a integridade do documento.
O regulamento define os seguintes formatos:
- Selo eletrónico, os dados em formato eletrónico apenso ou logicamente
associado a outros dados em formato eletrónico para garantir a origem e a
integridade destes últimos;
- Selo eletrónico avançado, um selo eletrónico que obedeça aos requisitos
estabelecidos no artigo 36.º.
- Selo eletrónico qualificado, selo eletrónico avançado criado por um dispositivo
qualificado de criação de selos eletrónicos e que se baseie num certificado
qualificado de selo eletrónico.
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em
processo judicial a um selo eletrónico pelo simples facto de se apresentar em formato
eletrónico ou de não cumprir os requisitos dos selos eletrónicos qualificados.
O selo eletrónico qualificado beneficia da presunção da integridade dos dados e da
correção da origem dos dados aos quais está associado.
Os selos eletrónicos qualificados baseados em certificados qualificados emitidos num
Estado-Membro são reconhecidos como selos eletrónicos qualificados em todos os outros
Estados-Membros.
Além de autenticarem o documento produzido pela pessoa coletiva, os selos
eletrónicos podem ser utilizados para autenticar qualquer bem digital da pessoa coletiva, como
um código de software ou um servidor.
Para as transações em que é exigido o selo eletrónico qualificado de uma pessoa
coletiva, deverá ser igualmente aceitável a assinatura eletrónica qualificada do respetivo
representante autorizado.
47
5.3 Selos Temporais
O regulamento define dois tipos de selos temporais:
- Selos temporais, que contem os dados em formato eletrónico que vinculam
outros dados em formato eletrónico a uma hora específica, criando uma prova
de que esses outros dados existiam nesse momento;
- Selo temporal qualificado, consiste num selo temporal que satisfaça os
requisitos estabelecidos no artigo 42.º.
Para garantir a segurança dos selos temporais qualificados, o regulamento deverá
exigir a utilização de um selo eletrónico avançado ou da assinatura eletrónica avançada ou de
outros métodos equivalentes.
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em
processo judicial a um selo temporal pelo simples facto de se apresentar em formato eletrónico
ou de não cumprir os requisitos do selo temporal qualificado.
O selo temporal qualificado beneficia da presunção da exatidão da data e da hora que
indica e da integridade dos dados aos quais a data e a hora estão associadas.
O selo temporal qualificado emitido num Estado-Membro é reconhecido como selo
temporal qualificado em todos os Estados-Membros
5.4 Serviços de envio registado eletrónico
O serviço de envio registado eletrónico, consiste num serviço que torne possível a
transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos
dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja
os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada.
O serviço qualificado de envio registado eletrónico, é um serviço de envio registado
eletrónico que satisfaça os requisitos estabelecidos no artigo 44.º.
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em
processo judicial aos dados enviados e recebidos com recurso a um serviço de envio registado
eletrónico pelo simples facto de se apresentarem em formato eletrónico ou de não cumprirem
todos os requisitos do serviço qualificado de envio registado eletrónico.
Os dados enviados e recebidos com recurso a um serviço qualificado de envio
registado eletrónico beneficiam da presunção legal de integridade dos dados, do envio pelo
remetente identificado e da receção pelo destinatário identificado dos dados e da exatidão da
data e hora de envio e receção dos dados indicados pelo serviço qualificado de envio registado
eletrónico.
48
5.5 Serviços de certificados para autenticação de sítios web
Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de
um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio.
Estes serviços contribuem para a criação de segurança e confiança na realização de
negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido
autenticados. A prestação e utilização dos serviços de autenticação de sítios web são
inteiramente voluntárias. Contudo, para que a autenticação de sítios web venha a constituir um
meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o
crescimento no mercado interno, serão definidos requisitos mínimos em matéria de segurança
e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados.
Um certificado de autenticação de sítio web é um atestado que torne possível
autenticar um sítio web e associe o sítio web à pessoa singular ou coletiva à qual o certificado
tenha sido emitido;
Certificado qualificado de autenticação de sítios web é um certificado de autenticação de sítios
web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos
estabelecidos no anexo I.
5.6 Documento eletrónico
Um documento eletrónico é qualquer conteúdo armazenado em formato eletrónico,
nomeadamente texto ou gravação sonora, visual ou audiovisual.
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em
processo judicial a um documento eletrónico pelo simples facto de se apresentar em formato
eletrónico.
Os documentos eletrónicos são importantes para o futuro desenvolvimento das
transações eletrónicas transfronteiriças no mercado interno, reforçando o princípio segundo o
qual não podem ser recusados efeitos legais a um documento eletrónico pelo facto de se
apresentar em formato eletrónico garantindo que que nenhuma transação eletrónica é rejeitada
pelo facto de o documento se apresentar em formato eletrónico.
De uma forma resumida apresento dois casos de estudo utilizados pela UE para demonstrar a
vantagens de todo o ecossistema tecnológico.
49
Caso de estudo 1
Neste caso é apresentada uma visão global e integrada dos novos serviços de
confiança.
O cenário é um cidadão que se encontra noutro pais que não o seu e pretende
submeter o “IRS”. No portal web encontra a marca de confiança da EU, onde solicita a
autenticação ao utilizador, através da sua identificação eletrónica, consegue aceder aos
serviços autenticando-se de forma segura, de seguida assina eletronicamente o documento se
for pessoal singular utiliza a assinatura eletrónica, se for pessoa coletiva utiliza o selo
eletrónico. Para garantir a hora de submissão é colocado um selo temporal onde fica validade a
hora e data, utiliza para garantir a integridade, confidencialidade e não repudio o serviço de
entrega de serviço registado, sendo posteriormente guardado em formato eletrónico,
conservando o seu valor probatório, para o futuro.
Figura nº 3 - Fluxo das transações eletrónicas 30
Caso de estudo 2
A próxima imagem apresenta as vantagens da identificação eletrónica e os serviços de
confiança para as transações eletrónicas no mercado interno, sobre uma empresa Sueca que
30
CAB_Forum-eIDAS-Fiedler-09-2014
50
pretende concorrer a um concurso publico na Croácia. Apresenta as vantagens devido á
simplicidade, rapidez e redução de custos com a utilização dos serviços de confiança
Figura n.º 4 - Vantagens na utilização do eIDAS 31
31
Euritas Summit 2015_Innovation pt. 2_SBORDONI
51
5.7 Proteção dos dados, direitos e garantias
O regulamento não impõe o uso da identificação eletrónica, nem dos serviços de
confiança.
Os princípios chave da identificação eletrónica são:
Soberania dos Estados-Membros para usar ou introduzir meios de identificação
eletrónica;
Reconhecimento transfronteiriço obrigatório somente para aceder aos serviços
públicos;
Autonomia completa para o sector privado;
Princípio da reciprocidade contando com os níveis de garantia definidos;
Quadro de interoperabilidade;
Cooperação entre os Estados-Membros
Princípios-chave relativos aos serviços de confiança
Não discriminação nos tribunais dos serviços de confiança eletrónicos versus,
os seus equivalentes em papel;
Efeitos jurídicos específicos associados a serviços de confiança qualificados;
Normas técnicas não-obrigatórias garantindo presunção de conformidade;
A neutralidade tecnológica.
O regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à
proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do
Conselho.
Tendo em conta o princípio de reconhecimento mútuo estabelecido pelo regulamento, a
autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas
dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder
acesso ao serviço em linha em causa. Além disso, os requisitos previstos na Diretiva 95/46/CE
em matéria de confidencialidade e segurança do tratamento dos dados deverão ser
respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.
O tratamento de dados pessoais 32
é inerente à utilização de sistemas de identificação
e, em certa medida, à prestação de outros serviços de confiança (por exemplo, no caso das
assinaturas eletrónicas). Será necessário proceder ao tratamento de dados pessoais para
estabelecer uma ligação fidedigna entre os meios de identificação e autenticação eletrónica
utilizados por uma pessoa singular (ou coletiva) e essa pessoa, a fim de confirmar se a pessoa
por detrás do certificado eletrónico é realmente quem alega ser. Por exemplo, as identificações
eletrónicas e os certificados eletrónicos dizem respeito a pessoas singulares e incluem um
32
http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:C:2013:028:FULL&from=EN
52
conjunto de dados que representam inequivocamente essas pessoas. Por outras palavras, a
criação, verificação, validação e tratamento desses meios eletrónicos referidos no artigo 3.º, n.º
12, da Proposta implicarão, em muitos casos, o tratamento de dados pessoais e,
consequentemente, a proteção dos dados torna-se relevante.
53
6. Serviços a regulamentar
A abordagem nacional para a transposição e implementação do novo quadro legal do
Regulamento (EU) n.º 910/2014 relativo à identificação eletrónica e aos serviços de confiança
para as transações eletrónicas no mercado interno, deve ser encarada como uma oportunidade
para analisar todo o ecossistema tecnológico que necessita de assinatura eletrónica e o valor
probatório dos atos realizados, por forma a colmatar as lacunas existentes ou as dúvidas que
prevalecem na lei portuguesa, dando aso a varias interpretações e uso indevido das mesmas,
com prejuízo para determinadas entidades, estado e para o cidadão.
Face à evolução tecnológica, as necessidades dos cidadãos, a qualidade dos serviços
em linha oferecidos pelos diversos fabricantes e a capacidade engenhosa de diversos players
de mercado em explorar lacunas ou aspetos menos claros da lei para regular o mercado
nacional, é fundamental que neste período, fase de adaptação e implementação do
Regulamento Europeu, todos os responsáveis diretos nesta matéria, sejam o Estado, entidades
supervisoras e entidades certificadoras.
Estas entidades devem colaborar, produzir e promulgar legislação que contribua para a
confiança e credibilização de todo este ecossistema legal das assinaturas eletrónica, através
da autenticação e identificação eletrónica para garantir o valor probatório dos documentos
assinados.
O ato legislativo europeu do regulamento é de aplicação direta em todos os estados
membros, resolve logo grande parte do problema, mas várias questões se levantam sobre a
forma e formato para implementar todos os novos conceitos e serviços que são apresentados,
a sua ligação com outra legislação nacional que terá que ser modificada para dar suporte às
novas alterações introduzidas.
Uma metodologia possível para a realização desta tarefa será a criação de grupos de
trabalho multidisciplinares, com pessoal técnico e juristas de forma a compreender todo o
contexto global do regulamento não deixando duvidas na interpretação e na produção dos
conteúdos dos artigos que vierem a ser exarados. Neste grupo de trabalho deverão fazer parte,
a Entidade Supervisora a Autoridade Nacional de Segurança, o Organismo do Estado com
responsabilidades diretas neste âmbito, o Centro de Gestão da Rede Informática do Governo
(Ceger), Presidência do Conselho de Ministros e outros Organismos que a Tutela considere
serem fundamentais, nomeadamente a Autoridade Tributária no que diz respeito às faturas
eletrónicas.
Numa fase posterior, quando a base e as linhas orientadoras estiverem definidas para
um âmbito mais alargado deverão ser convidadas as entidades certificadoras nacionais para
com base no seu conhecimento e experiência criar legislação Nacional autêntica e doutrinária,
não devendo esta ser omissa nem dar espaço para abusos e exploração de omissões.
Ao longo dos anos e desde a publicação do Decreto-lei nº 290-D/99, a tecnologia
evoluiu e a capacidade e arte de explorar as omissões na lei também, aproveitando este
54
panorama de transposição e adaptação ao Regulamento (EU) n.º 910/2014, pelo que é
importante criar ou atualizar legislação doutrinária em diversos serviços.
6.1 Legislação a atualizar e criar para os seguintes serviços:
6.1.1 Fatura eletrónica;
6.1.2 Armazenamento de documentos eletrónicos;
6.1.3 Assinatura eletrónica em dispositivos móveis;
6.1.4 Assinatura eletrónica realizada na Cloud;
6.1.5 Emissão de certificados digitais para aplicações comerciais;
6.1.6 Receitas médicas eletrónicas;
6.1.7 Branqueamento de capitais.
Apresenta-se uma breve explicação de cada um que passos devem ser dados para a sua
elaboração.
6.1.1 Fatura eletrónica
No caso da fatura eletrónica, existe atualmente legislação, a Diretiva do IVA e faturação
eletrónica – Diretiva do Conselho 2006/112/EC e da sua correção Conselho (EU) 2010/45/EC,
verifica-se de forma muito clara que na primeira diretiva os Estados-Membros podiam ao abrigo
do n.º 2 do artigo 233.º optar por assinaturas eletrónicas avançadas baseadas em certificados
qualificados, ou optar por simples assinaturas eletrónicas avançadas baseadas em certificados
não qualificados.
Este direito de opção justificava-se plenamente, uma vez que à data (no ano de 2006)
em muitos Estados-Membros não existiam ainda entidades certificadoras credenciadas, logo
não existia sequer a possibilidade de oferta de certificados qualificados.
Dada a maturidade alcançada no setor de certificação eletrónica com a existência de
várias entidades certificadoras por estado membro e Trusted List publicadas por cada Estado
membro como o caso do Estado Português, a Comissão entendeu retirar o direito de opção
sobre o tipo de certificado digital, especificando que tem de ser adotada obrigatoriamente para
cumprir os requisitos de fatura eletrónica um certificado qualificado – Eletronic advanced
signature based on a qualified certificate and created by a secure signature creation device …
“, tal como definido no n.º 2 do artigo 233, da Eu Council 2010/45/EC.
Se atendermos a que só os certificados qualificados dispõem de valor probatório legal
compreende-se esta opção da Comissão Europeia como sendo a mais acertada.
A generalidade dos Estados-Membros transcreveu na íntegra o texto da diretiva onde se prevê
expressamente o requisito de um certificado qualificado, para as assinaturas eletrónicas, foi
55
estabelecido na legislação destes países que faturas eletrónicas emitidas por países terceiros
da EU devem estar assinadas eletronicamente com base num certificado qualificado, sob pena
de essas faturas não serem reconhecidas.
No caso Português o legislador definiu o requisito de uma assinatura eletrónica
avançada, não especificando qual o tipo de certificado que tem de ser utilizado para cumprir os
requisitos da faturação eletrónica.
É importante proceder a uma retificação para ficar de acordo com a lei.
6.1.2 Armazenamento de documentos eletrónicos
Vivemos numa sociedade tecnológica, que fomenta e incentiva a desmaterialização do
papel, temos toda uma infraestrutura e capacidade de certificação eletrónica avançada, mas
como resultado final é necessário imprimir os documentos em papel e guarda-los, é necessário
legislação de forma a regular esta atividade para que estes documentos preservem as suas
propriedades e valor legal.
A desmaterialização de documentos em papel, é fundamental pois oferece benefícios
imediatos e permite às empresas aliviar os seus colaboradores de tarefas consumidoras de
tempo e recursos para lhes atribuir antes tarefas com um maior valor acrescentado.
6.1.3 Assinatura eletrónica em dispositivos móveis
A mobilidade é umas principais características e vantagens do avanço tecnológico,
vivemos em rede, podemos aceder a diversos serviços a qualquer hora em qualquer lugar.
Para não ser um obstáculo a estas comodidades e vantagens dos dispositivos móveis
é fundamental criar condições para serem realizadas transações em segurança.
Os dispositivos móveis devido ao seu uso maciço e as aplicações que utilizam,
tornaram-se o principal alvo dos ataques cibernéticos, explorando as vulnerabilidades e falhas
quer do hardware quer do software criado.
Para o uso destes equipamentos na assinatura eletrónica qualificada é fundamental
implementar os perfis de segurança adequados, com requisitos de segurança para que seja
criado confiança e segurança nesta forma de acesso.
É importante definir os perfis de proteção para o uso desta tecnologia, onde ficaram alojados
os certificados do utilizador, no lado do servidor ou no dispositivo do utilizar, fundamental é
garantir as condições de segurança e de acordo com a Lei em vigor.
Deverá ser criada legislação que especifique em que ambientes e que condição será
válida a assinatura produzida pelos dispositivos móveis.
56
6.1.4 Assinatura eletrónica realizada na Cloud
O regulamento faz referência a este cenário, mas não apresenta desenvolvimentos
devido à falta de especificações técnicas por falta de experiencia, mas vão ser elaboradas com
base em pilotos e casos de estudo.
Esta é uma realidade que está presente e vai continuar, deve-se acompanhar em
termos de legislação para se reduzir riscos e evitar a fraude e roubos de dados e identidade.
Numa primeira abordagem é fundamental compreender a cloud e que tipos de serviços
se pretende, ou seja na assinatura eletrónica, devem se verificar os mesmos requisitos de
segurança naqueles observados quando o cidadão controla todo o processo. Quando o
processo de assinatura é feito do lado do servidor, em que condições, como está a segurança
do canal de transmissão e todo o sistema de recursos da aplicação.
Deve ser elaborada legislação que enquadre esta nova realidade e permita criar
segurança e confiança no sistema global.
6.1.5 Emissão de certificados digitais para aplicações
Atualmente na nossa legislação não existe um enquadramento legal para os
certificados não qualificados, pessoas mal-intencionadas, com poucos recursos técnicos e com
relativa facilidade podem produzir certificados e vende-los no mercado a preços reduzidos,
enganando as pessoas. Todas estas atividades podem contribuir para a insegurança, ataques
e credibilidade de todo o sistema.
É necessário esclarecer e legislar este ambiente para aumentar a liberdade e confiança
nos acessos ao ciberespaço.
6.1.6 Receitas médicas eletrónicas
No serviço das receitas medicas, o médico passará a prescrever as receitas fazendo
uso do Cartão de Cidadão. As aplicações que realizam este processo, ao acederem aos dados
do cartão do cidadão, de que forma o fazem? Só acedem aos dados que necessitam?
recolhem todos os dados disponíveis? os dados depois de usados ficam guardados em cache
de forma permanente ou não?
Cada vez mais, deve-se arranjar enquadramento para todo o tipo de aplicações
(middleware) que interaja com sistema de identificação como o cartão do cidadão, quer ao
nível tecnológico quer legal. Tecnologicamente, para a utilização destas aplicações deveria
estar bem definido que dados são necessários e que método utiliza para a recolha dos
mesmos. O que se pode fazer com os dados, se estes são apagados ou ficam guardados em
cache no computador.
57
Toda a utilização do cartão do cidadão deveria ter enquadramento legal.
A nível nacional deveria existir um organismo (laboratório) que fizesse-se testes e
aprovasse as aplicações que interagem com o cartão do cidadão, ou outro sistema de
identificação, para que cumprisse os requisitos de segurança e protegesse os dados pessoais
dos cidadãos.
Existem no mercado inúmeros perfis de proteção para diversos dispositivos, equipamentos
e aplicações que podem e devem servir de guia para realizar um trabalho mais eficiente e
rápido.
6.1.7 Branqueamento de capitais
A Lei n.º 25/2008, de 05 de Junho 33
, estabelece medidas de natureza preventiva e
repressiva de combate ao branqueamento de vantagens de proveniência ilícita e ao
financiamento do terrorismo.
Para preencher a declaração de atividade via eletrónica, é obrigatório o uso de certificado
eletrónico qualificado, deve ser enquadrado e normalizado o ambiente onde são realizadas as
operações para garantir a integridade, autenticidade e confidencialidade dos prestados.
33
http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=991&tabela=leis&so_miolo=
58
7. O regulamento EU n.º 910/2014 e a Cibersegurança
Atualmente, nos termos do direito da União Europeia, os cidadãos gozam de uma série
de direitos que são relevantes para o ambiente digital, tais como a liberdade de expressão e
informação, a proteção dos dados pessoais e da privacidade, exigências de transparência,
serviço telefónico universal, serviços de Internet funcionais e uma qualidade de serviço mínima.
Ao longo das duas últimas décadas, a Internet e, mais geralmente ciberespaço teve um
enorme impacto em todas as áreas da sociedade.
A nossa vida diária, os direitos fundamentais, as interações sociais e economias
dependem das tecnologias de informação e comunicação a funcionar sem problemas. Um
ciberespaço aberto e livre promoveram a inclusão política e social a nível mundial, quebrou as
barreiras entre países, comunidades e cidadãos, permitindo a interação, partilha de
informações e ideais a um nível global. Esta realidade tem proporcionado um fórum de
liberdade de expressão e exercício de direitos fundamentais, onde as pessoas dispostas em
procurar e defender sociedades mais democráticas e justas.
Tradicionalmente, a maioria das organizações têm-se focado na aquisição de soluções
de proteção do perímetro, ou "fronteiras" das infraestruturas críticas através da implantação de
firewalls, deteção (IDS) e prevenção de intrusões (IPS) e software antivírus.
Estas ferramentas são importantes e necessárias para proteção, eles são insuficientes
e limitados para um ambiente que deve permitir o acesso seguro e respeitar os direitos dos
cidadãos.
Os direitos fundamentais, da democracia e do Estado de Direito precisam de ser
protegidos no ciberespaço contra os incidentes, atividades maliciosas e uso indevido. A nossa
liberdade e prosperidade dependem cada vez mais uma Internet segura e inovadora, que se
vai desenvolver e potenciar no sector privado fomentando o seu crescimento para toda a
sociedade, onde os governos têm papel preponderante e crucial.
Para ciberespaço34
poder permanecer aberto e livre, os mesmos princípios, normas e
valores que a UE defende no ambiente normal também devem ser aplicados nos ambientes em
linha.
34
2 Duas definições: “Cyberspace is an operational domain framed by use of electronics to […] exploit
information via interconnected systems and their associated infra structure.” (NYE Jr., "Cyber Power",
2010, p. 3) citando KUEHL, Daniel T. “From Cyberspace to Cyberpower: Defining the Problem,” in
KRAMER, Franklin D. – STARR, Stuart and WENTZ, Larry K. eds., Cyberpower and National Security
(Washington, D.C.: National Defense UP, 2009); ou “ [...] a global domain within the information
environment consisting of the interdependent network of information technology infrastructures, including
the Internet, telecommunications networks, computer systems, and embedded processors and controllers.
” Origin: Cyberspace Operations, Air Force Doctrine Document 312, 15 July 2010 pp. 1. Disponível em
http://cryptome.org/dodi/AFDD3-12.pdf.
59
O termo ciberespaço é utilizado para descrever sistemas e serviços ligados quer
diretamente ou indiretamente para as redes de Internet, telecomunicações e informática.
A vida moderna depende do desempenho apropriado, adequado e confidencial do
ciberespaço. Assim, a cibersegurança é importante para todos os Estados, porque se esforça
para garantir que o ciberespaço continua a trabalhar quando e como seria de esperar, mesmo
sob ataque.
A cibersegurança35
é uma questão de política nacional, porque o uso ilícito de
ciberespaço pode ter impactos na economia, saúde pública, segurança e atividades de
segurança nacional, todos os serviços que suportam a vida das sociedades.
Os governantes têm a responsabilidade de conceber uma estratégia cibersegurança,
promovendo a cooperação quer no sector local, nacional e global, sempre em parceria e
cooperação com o sector privado, pois este opera e detém partes significativas do ciberespaço,
nunca abdicando do seu papel de liderança.
A cibersegurança não é um problema apenas do departamento de informática, é da
responsabilidade de todos, sem exceção.
O governo deve reforçar os seus próprios sistemas de informação tanto para proteger
dados sensíveis e estabelecer canais de informações seguras. Governo deve liderar este
esforço, fornecendo os incentivos e a necessária liderança para incentivar as indústrias a
adotar padrões e práticas adotadas pela comunidade mundial de segurança.
Extrapolando estes desafios a nível mundial não será fácil, mas será necessário para
satisfazer os imperativos físicos e económicos essenciais para a segurança a nível global.
Três áreas prioritárias em que os governos e as indústrias deverão cooperar e trabalhar
juntos para estabelecer uma maior segurança cibernética incluem:
• Gestão da Identidade
• Serviços eletrónicos públicos seguros
• Governação Corporativa de Segurança da Informação
Cada uma dessas áreas é um pilar eficaz na abordagem de segurança cibernética e
quando tomado como um todo, vai promover o governo e a indústria cooperação e adoção em
escala global
35
“Cyber security now clearly comes under the purview of diplomats, foreign policy analysts, the
intelligence community, and the military.” (CAVELTY M. D., "The militarisation of cyber security as a
source of global tension", 2012, p. 112) ou “Cyber-security commonly refers to the safeguards and actions
that can be used to protect the cyber domain, both in the civilian and military fields, from those threats that
are associated with or that may harm its independent networks and information infrastructure. Cyber-
security strives to preserve the availability and integrity of the networks and infrastructure and the
confidentiality of the information contained therein.[C-I-A]” (HIGH REPRESENTATIVE/VICE PRESIDENT,
2013, p. 3)
60
A Internet aumentou muito as oportunidades de fazer negócios com potenciais clientes
e parceiros numa sociedade "sem rosto". A natureza sem rosto dessas transações introduziu
novas vulnerabilidades e fez a necessidade de identidades digitais seguras.
A Identidade digital pode fornecer a garantia de identidade necessária para o acesso a
uma comunicação segura ao sistema de aplicação. Uma identidade digital é uma identidade
eletrónica garantida por um certificado digital. A gestão do ciclo de vida e emissão de
certificados digitais podem ser fornecidas através de Infraestrutura de chave pública (PKI).
A PKI faz a gestão de forma eficiente e eficaz dos certificados digitais e tem sido
provado ser altamente interoperável, escalável e fácil gestão, sendo a PKI é um elemento
fundamental da identidade digital segura, fornecendo a base para transações seguras do
comércio eletrónico e governo eletrónico.
Vários países da União Europeia incluindo Portugal, têm esta infraestrutura de chave
pública, em funcionamento, com bons resultados.
A segurança é fundamental para o acesso em tempo real de dados, comunicação e
colaboração. Segurança permite aos governos oferecer novos serviços em linha, informações
confidenciais de intercâmbio com empresas e outras organizações governamentais e realizar
transações de maior valor. Simultaneamente, esta fundação segurança protege os ativos do
governo contra ataques internos e externos.
Os governos deram início a projetos de governo eletrônico como forma de oferecer
melhores serviços aos seus constituintes e encaminhar uma maior eficiência nos processos de
negócios. Ao incorporar a segurança nos projetos do governo eletrónico, os benefícios podem
ser consideravelmente maiores, porque permite aos governos alcançar:
Redução dos custos das transações;
Processos de negócios mais eficientes;
Âmbito alargado para cidadãos, empresas e outros governos;
Fornecimento de novos produtos e serviços;
Capacidade de oferecer novos serviços mais rapidamente;
Maior confiança no governo;
Melhoria dos investimentos;
Melhores condições locais para o crescimento económico.
Diversos Governos de vários Países, já perceberam como a segurança e as
identidades digitais podem potenciar e acelerar os benefícios derivados de governo eletrónico.
Os desafios de segurança do século XXI exigem a cooperação internacional e
colaboração numa escala sem precedentes, incluindo a promoção de fortes medidas de
segurança cibernética para proteger os sistemas de governo e de TI corporativos e, finalmente,
a economia mundial.
61
7.1 O caso único da União Europeia
A união Europeia é a primeira e única região do mundo com:
- Politicas;
- Tecnologia;
- Legislação;
- Regras;
- Interoperabilidade.
A estratégia da EU para a Cibersegurança36
está definida e delineada, o regulamento
EU n.º 910/2014 vem dar um forte contributo para a cibersegurança em todas as suas
vertentes.
Numa abordagem simples e direta o regulamento preenche e cumpre os pontos
elencados em cima, porque partir do documento base serão produzidas políticas e
procedimentos nos diversos provedores de serviços dos Países da União Europeia.
A tecnologia que está a ser desenvolvida e produzida para fazer face aos novos
requisitos, com preocupações de segurança logo no processo de conceção e desenvolvimento.
A preocupação com as técnicas e algoritmos criptográficos mais robustos e seguros, os
formatos de transferência de dados mais interoperáveis e seguros.
Deve ser exigido um nível de segurança mínimo para as tecnologias, redes e serviços
digitais em todos os Estados-Membros.
São sobejamente conhecidas as vantagens da conformidade de produtos e serviços
com as normas internacionalmente reconhecidas e com as boas práticas reconhecidas. A
adoção de um conjunto de normas estabelece a utilização de uma taxonomia e cria um
referencial de medida que permite a avaliação e a fiscalização do seu objeto. Desta forma, a
normalização reduz ambiguidades, facilita a comunicação e a cooperação entre agentes, sejam
eles entidades privadas ou Estados, para além de promover o ambiente de confiança
necessário à interoperabilidade e à cooperação
A legislação que está a ser elaborada por forma a cobrir todas áreas de interesse para
os cidadãos, organizações e Países de forma a trabalharem e cooperarem em ambientes mais
seguros.
Alguma da legislação já produzida:
Regulamento (EU) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23
de julho
36
http://www.consilium.europa.eu/pt/policies/cyber-security/
62
Relativo à identificação eletrónica e aos serviços de confiança para as
transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE.
Regulamento de Execução 2015/1501 da Comissão de 8 de setembro
Estabelece o quadro de interoperabilidade, nos termos do artigo 12º, nº 8, do
Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à
identificação eletrónica e aos serviços de confiança para as transações eletrónicas no
mercado interno.
Regulamento de Execução 2015/1502 da Comissão de 8 de setembro
Estabelece as especificações técnicas mínimas e os procedimentos para a
atribuição dos níveis de garantia dos meios de identificação eletrónica, nos termos do
artigo 8º, n.º 3, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do
Conselho relativo à identificação eletrónica e aos serviços de confiança para as
transações eletrónicas no mercado interno.
Decisão de Execução 2015/1505 da Comissão de 8 de setembro
Estabelece as especificações técnicas e os formatos relativos às listas de
confiança, nos termos do artigo 22º, n.º 5, do Regulamento (UE) n.º 910/2014 do
Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de
confiança para as transações eletrónicas no mercado interno.
Decisão de Execução 2015/1506 da Comissão de 8 de setembro
Estabelece especificações relativas aos formatos das assinaturas eletrónicas
avançadas e dos selos eletrónicos avançados para reconhecimento pelos organismos
públicos nos termos dos artigos 27º, n.º 5, e 37º, n.º 5, do Regulamento (UE) n.º
910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e
aos serviços de confiança para as transações eletrónicas no mercado interno.
São chamadas a intervir diversas autoridades em cada Estado Membro a cooperarem
entre si e depois com a UE, desde as Entidades Supervisoras, Autoridades da Proteção de
Dados, Autoridades Nacionais de Cibersegurança, ENISA, ETSI37
, todas a trabalhar para o
mesmo objetivo.
O regulamento prevê ainda a obrigatoriedade, para certo tipo de empresas e
organizações, de comunicar a ocorrência de ciberincidentes significativos de segurança, à
Entidade Supervisora Nacional de cada Estado Membro e esta à ENISA, como define o Art.º nº
19.
A ENISA é a entidade responsável, por criar, desenvolver e partilhar pelos Estados
Membros, uma plataforma Web onde é definida a taxonomia, metodologias, fluxos e entidades
participantes (está em fase final de testes, onde no inicio do próximo ano será realizado o
piloto).
37
https://portal.etsi.org/TBSiteMap/ESI/TrustServiceProviders.aspx
63
O ETSI tem grande experiencia na elaboração de standards na área dos serviços de
certificação eletrónica, como revelam as seguintes tabelas.
Tabela 1: The current standards for Certification and Other Trust Service Providers
EN 319 403
v2.2.2
Trust Service Provider Conformity Assessment -
Requirements for conformity assessment
bodies assessing Trust Service Providers
TS 119 403 v2.1.1
and v1.1.1
EN 319 411-2
Policy requirements for certification authorities issuing
qualified certificates TS 101 456
EN 319 411-3
Policy requirements for Certification Authorities issuing
public key certificates
Note: Excludes web site certificates based on CAB Forum
requirements.
TS 102 042
TS 102 042
Policy requirements for Certification Authorities issuing
public key certificates
Note: Includes requirements for web site certificates
based on CAB Forum requirements.
For other Non-
qualified
certificates use EN
319 411-3
TS 102 023 Policy requirements for time-stamping authorities
TS 102 158
Policy requirements for Certification Service Providers
issuing attribute certificates usable with Qualified
certificates
TS 119 412-2
Profiles for Trust Service Providers issuing certificates;
Part 2: Certificate Profile for certificates issued to natural
persons TS 102 280
EN 319 412-5 Profiles for Trust Service Providers issuing certificates;
Part 5: Extension for Qualified Certificate profile TS 101 862
TS 119 612
Tabela 2: The standards for Certification and Other Trust Service Providers currently
under development or review in ETSI
List of upcoming ETSI standards
Reference Short Title Replaces
EN 319 401 v2.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
General Policy Requirements for Trust Service
Providers EN 319 401
EN 319 411-1 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
Policy and security requirements for Trust Service
Providers issuing certificates; Part 1: General
Requirements
TS 102 042 EV &
Baseline policies
EN 319 411-3
64
List of upcoming ETSI standards
Reference Short Title Replaces
16) Note: Incorporates requirements for web site
certificates with requirements previously specified in
319 411-3
EN 319 411-2 v2.0.6
(Update - under EN approval
procedure from 2015-06-
18 until 2015-10-16)
Policy and security requirements for Trust Service
Providers issuing certificates; Part 2: Requirements
for trust service providers issuing EU qualified
certificates
Note: Extends requirements in part 1 with specific
requirements for EU qualified certificates
EN 319 411-2
EN 319 421 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Policy and Security Requirements for Trust Service
Providers issuing ElectronicTime-Stamps TS 102 023
EN 319 412-1 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Certificate Profiles; Part 1: Overview and common
data structures
EN 319 412-2 v2.0.15
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Certificate Profiles; Part 2: Certificate profile for
certificates issuedto natural persons TS 119 412-2 & TS
102 280
EN 319 412-3 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Certificate Profiles; Part 3: Certificate profile for
certificates issued to legal persons
EN 319 412-4 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Certificate Profiles; Part 4: Certificate profile for web
site certificates issued to organisations
EN 319 412-5 v2.0.12
(under EN approval procedure
from 2015-06-18 until 2015-10-
Certificate Profiles; Part 5: QCStatements EN 319 412-5 v1.1.1
& TS 101 862
65
List of upcoming ETSI standards
Reference Short Title Replaces
16)
EN 319 422 v1.0.0
(under EN approval procedure
from 2015-06-18 until 2015-10-
16)
Time stamping protocol and electronic time-tamp
profiles TS 101 861
A nível interno de cada Estado Membro, as Autoridades Supervisoras elaboram
também as suas normas, caso assim o entenda. Todos os prestadores de serviços de
confiança são alvo de auditorias externas, onde o auditor é independente e realiza a auditoria
segundo as normas e regulamentos em vigor, criando uma base de confiança em todo o
sistema.
Existe uma responsabilidade e compromisso de partilha entre os intervenientes deste
ecossistema tecnológico.
A interoperabilidade entre todos os sistemas dos diversos Estados Membros,
cumprindo requisitos, regras e politicas, com redes e sistemas mais seguros, aliados a
utilizadores responsáveis com mais confiança no sistema global, vem fomentar e potenciar as
medidas da cibersegurança e para poder participar e coabitar no ciberespaço de um modo
mais seguro.
66
8. Conclusão
O presente trabalho tinha como objetivo, conhecer o Regulamento EU n.º 910/2014 e as
alterações que introduzia a nível nacional, face á legislação mais antiga, a Diretiva 1999/93/CE,
sobre as assinaturas eletrónicas.
O Regulamento permitirá transações eletrónicas seguras e sem entraves nos Estados-
Membros da UE, tornando mais fácil e mais seguro, para identificação, autenticação, assinar
documentos e verificar a autenticidade documentos em linha, para os cidadãos, administrações
públicas e empresas nos diferentes países.
Este novo quadro é a primeira lei da UE a exigir aos Estados-Membros o reconhecer
das identificações eletrônicas emitidas noutros Estados-Membros, servindo como um passo
muito importante no sentido proteção dos dados pessoais, da simplificação e potenciar a
economia digital no sentido do mercado único digital. É um regulamento que visa capacitar um
sistema de reconhecimento voluntário mútuo e confiança progressiva administrações públicas
entre sistemas de identificação eletrónica e de serviços de confiança dos Estados-Membros.
Garantir maior segurança jurídica na utilização dos serviços de confiança através das
fronteiras, aumentando o nível de harmonização necessário para assinatura eletrónica e os
serviços de confiança em linha, tais como, serviço de envio registado eletrónico, selos
temporais, selos eletrónicos e serviços de autenticação web.
A abordagem legislativa é tecnologicamente neutra e aberta à inovação, sendo o
objetivo de fornecer a base para a interoperabilidade transfronteiriça e intersectorial, com
formas fortes de identificação e autenticação. O regulamento eIDAS não obriga os Estados-
Membros da UE a introduzir, cartões de identidade nacionais, cartões de identidade eletrônicos
ou outras soluções de identificação eletrónica, em vez disso, fornece um mecanismo, e as
condições regulamentares, para o reconhecimento mútuo e da interoperabilidade entre
sistemas de identificação eletrónica utilizados a nível nacional para o acesso, no mínimo,
serviços públicos em linha.
A abordagem a este tema está no início, porque tem uma grande transversalidade para
todo o ecossistema tecnológico, compreender a sua importância e perceber o impacto que esta
terá quando entrar em vigor no próximo dia 1 de julho de 2016.
A leitura do estado da legislação nacional sobre o tema foi importante para conseguir
compreender e identificar os serviços que necessitam de enquadramento legal (capitulo 6),
aquando da criação do grupo de trabalho para a discussão da implementação do regulamento,
serão apresentados. O estudo aprofundado destes serviços vai continuar.
Seria importante e fundamental Portugal ter um organismo que testasse e aprovasse
as aplicações que interagem com os sistemas de identificação eletrónica, porque os dados
pessoais são muito importantes, estamos a falar de outrem poder vender a casa, assinar o
papel do divórcio e realizar todo tipo de transações no mundo digital sem que o próprio tenha
conhecimento.
67
Todas as aplicações que interagem com o cartão de cidadão um outro sistema de
identificação, deveriam ter um tratamento específico, quer em termos de requisitos de
usabilidade e fundamentalmente de segurança.
A UE com estes regulamentos está a criar condições para aumentar a segurança do
ciberespaço, com legislação, normas, tecnologia e interoperabilidade dos sistemas, criando
sistemas mais seguros, fiáveis e de confiança.
O objetivo do trabalho foi alcançado, por questões de tempo não foi possível
aprofundar como desejado os serviços que utilizam a assinatura eletrónica.
68
Bibliografia
ANDRADE, Francisco, Assinatura Electrónica para “agentes de software”?, in “Estudos
em Homenagem ao Professor Doutor Heinrich Ewald Hörster”, Almedina, 2012, págs.
565 – 581;
ANDRADE, Francisco, Consideração Jurídica das Assinaturas Dinâmicas no
Ordenamento Jurídico Português in in Memórias do XVI Congresso Ibero Americano de
Derecho e Informática, Quito, 2012;
ARAÚJO, Francisco, Autoridades de Certificação: importância e necessidade par uma
infra-estrutura de chave pública (PKI), trabalho apresentado no Mestrado em Ciência
da Informação, à disciplina de Segurança da informação, 2011.
CORREIA, Miguel Pupo, Assinatura electrónica e certificação digital, in Direito da
Sociedade da Informação, Coimbra Editora, 2006
CORREIA, MIGUEL PUPO, “Sociedade de Informação e Direito: A Assinatura Digital”,
Revista de Derecho Informático, n.º 12;
DURANTI, Luciana, ROGERS, Corine, Trust in digital records: An increasingly cloudy
legal area, in Computer Law & Security Review, 28, 2012;
FORDER, Jay, The inadequate legislative Response to e-signatures, in Computer Law
& Security Review,26, 2010;
HUNT, Ray, Technological Infrastructure for PKI and digital certification, in Computer
Communications, 24, 2001;
MONTEIRO, Jorge Sinde, Assinatura electrónica e certificação, In Direito da sociedade
da informação, Coimbra, Coimbra Editora, 1999-2003;
MOURÃO, Licurgo, ELIAS, Gustavo, FERREIRA, Diogo. A imprescindibilidade da
assinatura eletrônica, da assinatura mecânica e da certificação digital para a
administração pública Brasileira, in Revista do Tribunal de Contas do Estado de Minas
Gerais, v.73 nº4, 2009;
PATSOS, Dimitrios et al. The status of National PKIs – A European Overview, in
information Security Technical Report, 2010;
SULLIVAN, Clare, Digital identity – The legal person? in Computer Law &Security
Review, 2009;
69
ANDRADE, Francisco Carneiro Pacheco de, “A Assinatura Dinâmica face ao Regime
Jurídico das Assinaturas Electrónicas”, Scientia Iuridica, Tomo LIII, n.º 299, 2004;
[EU182/2011] Regulation (EU) No 182/2011 of the European Parliament and of the
Council of 16 February 2011 laying down the rules and general principles concerning
mechanisms for control by Member States of the Commission’s exercise of
implementing powers.
[EU910/2014] Regulation (EU) No 910/2014 of the European Parliament and of the
Council of 23 July 2014 on electronic identification and trust services for electronic
transactions in the internal market and repealing Directive 1999/93/EC.
Decreto-Lei n.º 88/2009, de 9 de Abril;
Decreto Regulamentar n.º 25/2004, de 15 de Julho;
Decreto-Lei n.º 165/2004, de 6 de Julho;
Decreto-Lei n.º 62/2003, de 3 de Abril;
Decreto-Lei n.º 290-D/99, de 2 de agosto;
http://molar.crb.ucp.pt/cursos/P%C3%B3s-Gradua%C3%A7%C3%B5es/EE-
2007/Sess%C3%A3o%2019%20Janeiro/Livro%20Verde%20Sociedade%20da%20Infor
ma%C3%A7%C3%A3o.pdf
http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32014R0910&from=EN
http://www.uncitral.org/pdf/english/texts/electcom/ml-elecsig-e.pdf (PDF)
J.O.C.E, L 13, de 19.1.2000.
http://www.uncitral.org/pdf/english/texts/electcom/05-89450_Ebook.pdf (PDF)
Artigo 3 – Signaturgesetz–SIG - da Lei federal que estabeleceu as condições gerais
para serviços de informação e comunicação (Informations- und
Kommunikationsdienste-Gesetz – IuKDG), de 13.06.1997.
O art. 15, nº 2, da “Lei Bassanini” – Lei de 15.03.1997, nº 59
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:ai0032
http://www.europarl.europa.eu/aboutparliament/pt/20150201PVL00008/O-Tratado-de-
Lisboa
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:ai0016
70
GALLARDO CARRACEDO na obra Seguridad en redes telemáticas, Madrid, McGraw
Hill 2004.
ALI, RAJAB, Technological Neutrality, Lex Electronica, vol. 14 n°2, 2009;
ZABA, Stefek, Digital Signature legislation: The first 10 years, in Information Security
Technical Report, 2006;