| Posted on | No Comments |

valor legal da assinatura eletrónica

Efeitos legais das assinaturas eletrónicas!

Porque é que apenas a assinatura eletrónica qualificada tem um efeito legal equivalente ao de uma assinatura manuscrita (artigo 26º do eIDAS) de acordo com a legislação europeia? e porque é que apenas os documentos eletrónicos que lhes seja aposta uma assinatura eletrónica qualificada têm força probatória (artigo 3º do Decreto-Lei 12/2021) de acordo com a legislação nacional?

Para responder a estas duas questões, importa abordar certos aspetos (técnicos e jurídicos) referidos na legislação europeia (e nacional) sobre as assinaturas eletrónicas.

O eIDAS, no artigo 3º, define globalmente o que é uma assinatura eletrónica e caracteriza também os vários tipos de assinaturas. Assinatura eletrónica avançada (AdES), é caracterizada como uma assinatura eletrónica, que obedece a quatro requisitos. Esses requisitos são caracterizados a seguir, de forma muito resumida:

  1. Tem de permitir associar de forma inequívoca, a assinatura ao assinante (signatário);
  2. Tem de possibilitar identificar o signatário;
  3. A assinatura só pode ser feita com intenção e ação do signatário;
  4. Ser detetável qualquer alteração depois do documento estar assinado.

Como se pode ver, estes requisitos estão estabelecidos de forma genérica, por essa razão permanecem ser válidos ao longo do tempo, sem necessidade de serem alterados, mesmo que aconteçam mudanças nas tecnologias que os suportam.

No atual estado da arte, estes requisitos podem ser cumpridos utilizando técnicas baseadas em criptografia assimétrica (ou de chave pública), designadamente, através de assinaturas digitais.

De forma resumida, nas assinaturas digitais, a cada utilizador estão associadas duas chaves (uma publica e outra privada), que são números (de elevada dimensão) que estão matematicamente interligados. A chave privada, é utilizada para assinar digitalmente e a chave pública é utilizada para identificar o signatário (para além de verificar a assinatura ).

É também importante referir que a assinatura não é realizada sobre totalidade dos dados, mas sim sobre uma representação dos mesmos, através de um outro instrumento, as funções de hash. Este mecanismo, para além de ser utilizados diretamente na assinatura, também nos vai permitir verificar e garantir que os dados estão íntegros e que não foram modificados após ter sido feita a assinatura.

Pelo descrito, podemos concluir que no presente a assinatura digital cumpre todos os requisitos da AdES.

Na figura seguinte temos uma representação da chave privada (a preto) e da chave publica (a branco) que está incorporada numa estrutura de dados (certificado) que contem a informação necessária para identificar a pessoa (signatário).

Depois desta brevíssima abordagem, vamos então entrar nos fatores que permitiram a atribuição do valor legal às assinaturas eletrónicas.

No mesmo artigo, o Regulamento define:

assinatura eletrónica qualificada (QES), como uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica.

Pela definição, podemos concluir que uma QES e uma AdES com requisitos adicionais.

Vamos então analisar que medidas adicionais é necessário aplicar e que requisitos são esses que permitem que seja reconhecido valor probatório às QES.

Para ter essa garantia, teremos de incrementar a segurança do requisito “identificar o signatário” e da garantia de “intenção de assinar”.

Uma vez que as QES, são obrigatoriamente baseadas em certificados qualificados, o requisito “identificar o signatário” é levado ao extremo, uma vez que estes certificados apenas podem ser emitidos por prestadores qualificados de serviços de confiança (QTSP), ou seja, entidades que estão “qualificadas/credenciadas” e sujeitos a regimes de fiscalização muito exigentes.

A atribuição de um certificado qualificado a um utilizador é precedida de um processo de validação da identidade através da presença física, cara-a-cara (ou método equiparado) do titular desse certificado. Quando um certificado qualificado é atribuído a determinada pessoa, considera-se fidedigno, que pertence efetivamente à pessoa, estando acima de qualquer suspeita.

A figura seguinte representa graficamente o QTSP e o certificado qualificado.

Relativamente ao requisito relacionado com a “intenção de assinar”, que na prática se traduz por garantir que os dados de criação de assinaturas estão sob o controlo exclusivo do titular, a forma de aumentar essa garantia de segurança, passou pela exigência que guardar (de forma segura) esses dados de criação (chave privada) num dispositivo em hardware com chip criptográfico, devidamente certificado, designado por dispositivo qualificado de criação de assinaturas.

A figura seguinte representa esse salto qualitativo de garantia. Na primeira imagem temos apenas a chave privada (que está guardada em software, num ficheiro protegido por palavra passe, genericamente, com a extensão .PFX ou .P12) e na segunda temos a mesma chave com proteção adicional num dispositivo criptográfico (como por exemplo no Cartão de Cidadão)

Com a utilização de dispositivos de criação de assinaturas, os dados que permitem criar assinaturas estão, devidamente seguros e só podem ser utilizados com ação direta do seu titular, garantindo que quando uma assinatura é colocada num documento, com recurso a um dispositivo certificado, a probabilidade de ter sido outra pessoa a fazer-se passar pelo titular é extremamente remota.

Para concluir:

O Legislador considerou (e materializou) que se for cumprido um nível muito elevado de garantia na capacidade “identificar o signatário” e se houver certezas sobre a real “intenção de assinar” de um signatário, essa assinatura eletrónica tem valor legal equiparado à assinatura manuscrita.

Acresce que essa equiparação não fica restrita apenas a um território, passa a ter validade transfronteiriça, sendo obrigatoriamente reconhecida por todos os Estados-Membros da união europeia.

[1] eIDAS – Regulamento (UE) n. ° 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014 , relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE

[2] AdES – Advanced Eletronic Signature

[3] QES – Qualified Electronic Signature

[4] QTSP – Qualified Trust Serrvice Providers

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: O conteúdo está protegido !!