http://www.cic.unb.br/~rezende/sd.htm > lei e informática: e-Comércio

As possíveis leis de assinatura digital no Brasil

Desdobramentos da
1a. Conferência Internacional de Direito na Internet e na Informática
São Paulo, 6 e 7 de Novembro de 2000

Publicado em www.advogado.com.br em 30/11/00

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
29 de Novembro de 2000


Na 1a. Conferencia Internacional do Direito na Internet e da Informática no Brasil, promovida pela Associação das Nações Unidas e pelo Bradesco, foi anunciado no encerramento da conferência, de que seria enviada pelos organizadores correspondência a autoridades Brasileiras informando que a dita conferência havia nomeado, por aclamação de seu plenário, uma comissão consultiva para atuar no processo legislativo em prol da consolidação das leis sobre o comercio eletrônico no Brasil.

Engajei-me então, junto com quem se interessasse, num debate público virtual sobre o tema, iniciando-o com uma carta aberta a um dos nomeados pelos organizadores da conferência para a dita comissão, atendendo a seu convite para o debate aberto sobre os temas de que tratou em sua apresentação, feita ao plenário no final desta, por ocasião da abertura da conferência. Divulgada na web a referida carta, recebi alguns comentários e colocações de interessados no debate, oferecendo-me a oportunidade de melhorar a argumentação sobre pontos que estou tentando trazer à luz neste debate.

Os primeiros esclarecimentos que estes comentários suscitam, objeto deste artigo, dizem respeito ao alvo das críticas que lanço e comentários que faço naquela carta aberta, acerca dos projetos de lei sobre assinatura eletrônica atualmente em tramitação no Legislativo Brasileiro. Posso ter dado a impressão de estar defendendo o texto atual da proposta de lei da OAB, enquanto critico sua alternativa no projeto baseado no modelo proposto pela Uncitral. Mas apenas parte desta impressão concorda com minha intenção, que foi a de apontar o mérito no projeto da OAB e os riscos sociais no projeto da Uncitral.

É oportuno situar aqui o contexto de minhas críticas ao modelo proposto para legislação de comércio eletrônico pela UNCITRAL Electronic Commerce Model Law. A biblioteca do Senado dos EUA divulgou recentemente um relatório, produzido a pedido dos legisladores americanos, levantando questões conceituais relativas ao tema do comércio eletrônico encontradas na literatura. Este relatório classifica em três modelos as 76 leis e projetos de lei sobre assinatura digital examinadas. Há o modelo prescritivo, que legisla diretamente sobre o funcionamento de infra-estruturas de chaves púbicas, ou PKIs;  Há o modelo de critérios, que estabelece parâmetros de funcionalidade e confiabilidade, a serem alcançados por um mecanismo aceite como substituto da assinatura de punho. E há o modelo de outorga, que não estabelece métodos nem critérios, mas delega às partes o poder de decidir quais mecanismos serão aceitos.

A primeira de tais leis sancionada no mundo, a do estado de Utah, e a de países como a da Itália, a da Espanha e a da França, além do projeto da OAB, seguem o modelo prescritivo. Nesse modelo os riscos maiores estão na responsabilização total pela operação da chave privada ao seu titular, enquanto este precisa para isto contar com a intermediação de software cuja confiabilidade não sabe ou não pode aquilatar. A da Califórnia segue o modelo de critérios, com o risco adicional de vestir mecanismos falhos com um véu de confiança infundada, já que não sabemos ainda como medir confiança em implementações e ambientes onde operam os protocolos de autenticação digital. A Uncitral e a recem-promulgada lei federal dos EUA, a e-Sign, que se sobrepõe às leis estaduais nos EUA enquanto estas não estiverem uniformizadas, seguem o modelo da outorga. Nesse terceiro modelo os riscos acima descritos são acrescidos pelos potenciais abusos por agentes cujo poder econômico lhes permitam impor mecanismos que desequilibrem riscos e responsabilidades entre as partes, e onde o equilíbrio destes deveria ser o objetivo da lei.

   O que critico em minha carta é a tentativa de se descaracterizar a virtude do modelo prescritivo, nas críticas à proposta da OAB que tenho ouvido, principalmente naquela conferência, onde o modelo da Uncitral é apresentado como remédio para suas mazelas. Procuro mostrar que há problemas muito maiores e mais sérios que os apontados no projeto da OAB, escondidos no projeto que se apresenta como alternativa, segundo o qual quem poderia decidir o que substituirá a assinatura de punho em contratos eletrônicos é o mercado. Ou seja, quem detém o poder político e, em ultima instância, econômico. Não devemos nos iludir sobre a complexidade do tema, e supor que uma lei simples será necessariamente boa. Estamos navegando por mares nunca dantes navegados na esfera jurídica, onde o que se pretende tornar real é de natureza diáfana, ilusória.

O diapasão das críticas ao projeto da OAB, que apontam para a simplificação recomendada pela Uncitral, vibra um refrão. O de que a lei precisa apenas dizer o que é assinatura digital, e que o "sistema de assinatura", qualquer que seja ele, deve ser definido em regulamentação editada por critérios técnicos e por alguma "autoridade competente"; e não pela lei. O perigo do modelo de outorga está na sua crença implícita, qual seja, a da competência dos legisladores para separarem o conceito de assinatura digital dos tais "sistemas de assinatura digital".

O que é sistema? O que é conceito? O que é definição técnica? O que é lei, no ciberespaço? Creio, e creio também ser uma questão de bom senso, que a lei deva dizer o que seja seu objeto sempre que este objeto ainda não esteja na cultura da língua na qual a lei é escrita. A assinatura digital não está, pois temos vendedores e cientistas brandindo opiniões distintas, e bastante díspares nas suas funcionalidades e consequências, sobre o que seja. Nenhum idioma em uso hoje tem ainda assentado o que seja este objeto, e nada do que dizem ou venham a dizer advogados, juizes ou lobbistas poderá ocultar este fato. Se a lei não o fizer, ficará para a regulamentação dos critérios técnicos a definição do que seja o objeto dessa lei. E aí o problema passa a ser o inverso do que a crença implícita no modelo de outorga busca resolver, e onde mora o perigo de abuso do poder econômico, que levanto em minhas ponderações.

Você aceitaria as obrigações que lhe são atribuídas num contrato, se a reivindicação de sua anuência e vontade for levantada apenas a partir da estampa do seu nome ou da sua imagem ao final do texto que o descreve? Um sistema de assinatura digital cuja funcionalidade seja imprópria pode equivaler a isso. No ciberespaço a lei é o software, e devemos portanto conhecer sua lógica, se a ele formos delegar a representação de nossa vontade. Ao escolhermos que tipo de lei de assinatura digital queremos, decidimos qual caminho iremos tomar na encruzilhada em que estamos, no alvorecer de um processo de virtualização das interações sociais, cujo desfecho ainda não podemos vislumbrar. Temos que decidir entre dois caminhos. No primeiro, queremos preservar a tradição do direito, na qual a marca individual para identificar uma pessoa -- a definição lexical de "assinatura" -- que em contratos pressupõe a anuência e volição de quem tal marca identifica, é pela própria pessoa gerada e assim por ela mesma controlada a possibilidade de sua forja. No segundo, podemos abrir mão desse controle em nome do progresso, e passamos um cheque em branco ao capital, outorgando-lhe o poder de reinstituir a escravatura, num cenário onde ninguém conhecerá a origem das pretensões de confiança que será demandada dos cidadãos, no reconhecimento das marcas da sua vontade ou anuência em obrigações contratuais lavradas no éter.

O modelo proposto pela Uncitral é muito perigoso para os direitos individuais e muito bom para grandes empresas que atuam em alguns ramos da informática, principalmente no contexto do modelo de negócio de software predominante hoje. Confiança não pode ser imposta por lei. E as tentativas de induzi-la com truques semióticos custam fortunas por minuto ou por centímetro da atenção coletiva, ou para gerir seus efeitos colaterais, sendo sua eficácia temporária. Isso foi dito por mim, com justificativas, na carta aberta que deu início a esse debate ( http://www.cic.unb.br/~rezende/trabs/gesso.htm ) e numa série de artigos que venho publicando na grande imprensa e na web ( http://www.cic.unb.br/~rezende/segdadtop.htm ), como também pelo prof. Lessig em sua palestra naquela conferência, de forma infinitamente mais brilhante do que posso pretender. Pretendia naquela carta analisar o mérito das alternativas que se nos apresentam, do ponto de vista de quem quer defender, com argumentos, os interesses e direitos da cidadania. Mas meus argumentos ali terminaram por se concentrar na funcionalidade dos sistemas digitais autenticatórios. No que segue, busco reforçar minha intenção de oferecer uma análise do mérito nessas duas alternativas, agora sob um enfoque mais social.

Parte dos comentários que recebi procuraram me mostrar que a lei deve apenas definir o que significa e o que garante a assinatura digital. Concordo, como também  parece-me que concordam todos nesse debate, que a lei deve dizer o que significa assinatura digital. E creio estar aqui o xis da questão. Mas o fato do projeto da OAB estar indo possivelmente longe demais nos detalhes, não justifica a mudança de modelo para a lei, onde a definição de assinatura digital deixa de ser prescritiva para ser outorgada. Talvez não tenha sido claro o suficiente ao comunicar meu ponto de vista sobre o que a assinatura digital deva significar para a sociedade. Estou partindo do pressuposto de que devemos nos guiar pelo que a assinatura de punho hoje significa, isto é, de que queremos um conceito prático para assinatura digital, e do fato de que a mera citação lexical numa lei para o virtual nada significa, como irei mostrar. Estou também supondo que a lei deva refletir os interesses da sociedade, e não de apenas alguns de seus agentes privilegiados. Mas pelo que disse naquela conferência o Ministro do STF, Dr. Nelson Jobim, esta última presunção será ilusão ingênua. Se esta ilusão ingênua for irremediável, minha análise passa então a ter o tom de denúncia, tendo sido construída para poder ser também assim lida.

Estou tentando argumentar que as bases legais da assinatura digital devam ser as chaves assimétricas, devido ao fato de que chave assimétrica é o conceito semiótico que torna possível aproximar o conceito de assinatura digital ao conceito de assinatura de punho, como praticado em contratos. E que chamar criptografia assimétrica de tecnologia é ruído mal intencionado. Mas quem defende o modelo de outorga para nossa lei simplesmente retransmite esse ruído, supondo que todos já saibam o que seja assinatura digital, ou que algo abaixo da lei é que nos irá instruir a respeito. Nem tudo que é virtual é tecnologia, e creio estarem os legisladores, juristas e técnicos que lhes assessoram, sendo excessivamente generosos ao avaliarem suas próprias competências para definirem a fronteira entre semiótica e tecnologia. E creio ainda haver grandes riscos sociais nessa generosidade.

Outro refrão da defesa do modelo de outorga questiona a autoridade de quem prega o caráter definitivo "do sistema" das chaves assimétricas. Novamente preciso esclarecer que nunca defendi o caráter definitivo do(s) sistema(s) de chaves assimétricas. O que aleguei ser definitiva, e repito, é a relação entre o controle de um certo tipo de fraude na autenticação digital e a funcionalidade da criptografia assimétrica. É definitiva por ser uma relação dedutiva e causal, no escopo de uma teoria matemática sobre a informação. Condeno, combato e repilo a classificação da criptografia assimétrica como sistema tecnológico, já que é conceito semiótico. Criptografia assimétrica quer dizer literalmente "escrita com ocultação não simétrica". Os três substantivos nesta definição lexical remetem respectivamente à linguagem, à cognição e à geometria, perenidades que  independem de qualquer ferramenta ou lei criada pelo homem, antecedendo e sobrevivendo a utilidade de nossos ordenamentos jurídicos e nossos sistemas tecnológicos. Tal conceito tem parentesco com outros que já conhecemos da semiótica, como o de escrita por alfabeto, o de escrita por ideograma, o de escrita numérica posicional -- com seus sistemas decimal e binário, e o de escrita numérica não posicional -- cujo sistema mais conhecido hoje é o romano.

Esse refrão diz ser ingênuo e arriscado pretender-se engessar um sistema tecnológico numa lei. O refrão do engessamento reflete as grandes confusões que surgem ao se chamar de sistema o que estou chamando de conceito. O que eu chamo de conceito para assinatura digital -- e que muitos restringem ao se referirem a sistema ou tecnologia de chaves assimétricas -- é deduzido do que se quer, no virtual, para que as necessidades atuais do mundo da vida continuem sendo atendidas. Estas necessidades só mudariam com a mudança do mundo da vida, e não me consta que a humanidade esteja ficando mais honesta, a ponto de amanhã ninguém mais precisar se preocupar com as possibilidades de sua marca pessoal de anuência ou intenção poderem ser forjadas em contratos eletrônicos, em má fé ou por negligência, por quem precisa verificar a validade dessas marcas.

O processo de se chegar, por necessidade, a um novo conceito semiótico, não é novidade. A escrita alfabética surgiu da necessidade de se facilitar o aprendizado da língua escrita, e foi alcançado através da vinculação dos seus sistemas à fonética da língua falada. A escrita numérica posicional foi derivada da necessidade de se facilitar na matemática o aprendizado e a automação, na qual os métodos para as operações aritméticas em seus sistemas fossem efetivos e fixos, para qualquer ordem de grandeza dos operandos. Mais ingênuo e arriscado do que reconhecer um novo conceito semiótico é pregar que o advento da tecnologia dissolverá a necessidade das pessoas se precaverem contra o egoísmo e a avareza de seus semelhantes. Dizer que criptografia assimétrica é conceito semiótico, e não tecnologia, é ingênuo e arriscado, mas por razões distintas daquelas apontadas pelos defensores da Uncitral. Dizê-lo hoje é como gritar que o rei está nu, tal qual o menino na fábula da roupa nova do rei.

O uso que se faz hoje da palavra "tecnologia" é divertido, mas também perigoso. Esta palavra vem sendo muito empregada para se dissimular o desconhecimento sobre o que se fala. E também para se propor um pacto de aceitação mútua desta dissimulação num diálogo. A crença de que sistema e conceito são a mesma coisa, de que semiótica e tecnologia é o mesmo, é ingênua e perigosa tanto para quem a oferece como para quem a aceita. Como também é ingênuo e perigoso dizer que não o são, pois poucos iriam entender e alguns interesses poderosos iriam ser contrariados. Entretanto, a diferença no tipo de ingenuidade e perigo, nesses dois atos opostos, está na qualidade da consciência em que se assenta a aceitação dos riscos decorrentes, por parte de quem neles se engaja.

Semiótica não é tecnologia. Conceito não é sistema. Conceito é um fenômeno linguístico, enquanto sistema ou tecnologia -- como normalmente empregado por quem defende o modelo de outorga -- é um fenômeno material. Peço aos defensores do modelo de outorga que reflitam, e se souberem como rebatam, mas não apenas ignorem, isso que estou dizendo! Criptografia assimétrica é conceito semiótico. Não é tecnologia. Tecnologia é o RSA, o El Gamal, o ECC, o DSA, as idéias matemáticas já descobertas para substanciar tal conceito, expressas na forma de protocolos e algoritmos. Ao contrário do conceito "assinatura digital", o conceito "semiótica" já está sedimentado nas nossas culturas e podemos confiar no dicionário para entendermos o seu significado, embora me recuse a citá-lo neste debate por uma questão de respeito ao rito do idioma. E insisto que a criptografia assimétrica é o único conceito que merece ser honestamente considerado como base da assinatura digital para uso em contratos, como estou tentando explicar, por ser o conceito deduzido das necessidades que a assinatura de punho sempre desempenhou para os contratos em papel, desde que estes surgiram no mundo da vida.

Para melhor entendermos o cenário deste debate, precisamos fazer um sobrevôo comparativo pela história. O uso de um novo algarismo para representar o nada -- o zero -- está na base da escrita numérica posicional. Este é o conceito único que permite a construção de tecnologias de automação da aritmética, como a calculadora atual e os computadores, substanciados em sistemas numéricos posicionais, tais como o binário dos computadores, o decimal dos árabes, e o vigesimal dos Maias, automatizados por suas tabuadas fixas. Em semelhança, o uso de segredo não compartilhado em uma das chaves de um par -- a privada e a sua inversa, pública -- está na base da criptografia assimétrica. Este é o único conceito que permite a construção de tecnologias que automatizam a lavra e a verificação de uma marca identificadora da autoria em documentos eletrônicos, que possa ser de fato pessoal e única, substanciadas em sistemas que mereçam por analogia serem chamados de "sistemas de assinatura digital", tais como o RSA, o ECC e o DSA, hoje conhecidos.

Um sistema de escrita numérica será posicional ou não, dependendo de como empregue o zero. Isso vale para qualquer sistema numérico, já inventando ou por inventar. Um sistema de autenticação digital será criptográfico se empregar segredos, que por sua vez será simétrico ou assimétrico, dependendo de como os empregue. Tal classificação se aplica aos sistemas de autenticação, já inventados ou não, e sobre isso não há o que se discutir com quem entende do assunto. A celeuma no caso da assinatura digital se concentra na adaptação lexical do conceito "assinatura" à esfera virtual, o que pressupõe conhecimento do que possa vir a ser uma marca pessoal única e virtual. Este conhecimento é necessário para a seleção competente do que o ordenamento jurídico poderia aceitar como substituto da assinatura de punho em contratos, dentre os possíveis métodos de autenticação de sequêncais binárias nas comunicações digitais, já inventados ou não, caso este ordenamento almeje preservar a jurisprudencia atual sobre contratos.

O conhecimento do que seja uma "marca pessoal única e virtual" não poderá ser omitido, nem sua referência delegada, em uma lei cujo objeto seja a assinatura digital, pois a eficácia e propósito da lei estariam assim irremediavelmente perdidos. A única justificativa para se legislar sobre assinatura digital à revelia deste conhecimento seria a decisão de se abandonar a jurisprudência atual do direito comercial, alternativa que não vi, ainda, defendida nas críticas ao projeto da OAB. Estou afirmando que este conhecimento é de caráter semiótico, e que a teoria matemática da informação está equipada para fornecê-lo, através do conceito que classifica as escritas passíveis de ocultação assimétrica, onde a capacidade da lavra da marca pessoal única é escondida enquanto a capacidade de sua leitura é revelada. E que tais sistemas já existem.

Vejamos como e porque, começando com uma comparação. Digamos que "Aeroplano" seja o conceito (e não um dos conceitos), anterior e motivador do trabalho de Santos Dummont e dos irmãos Wright, que classifica sistemas de transporte por flutuação no ar, que seja mais pesado que o ar. O conceito é, de início, uma desejada abstração da observação dos pássaros. A partir do conceito Aeroplano, eles e os engenheiros que os seguiram concluem que a única forma de substanciá-lo é através da contraposição à gravidade durante o arraste. Para tal conceituam "Asa", para substanciá-la nos sistemas que irão substanciar o Aeroplano. Se o conceito Asa é substanciado por uma grande hélice que gira, temos o nome "helicóptero" para classificar tais sistemas. Caso contrário temos o nome "avião". Balão, Foguete e o que vier a ser imaginado para transporte intergalático ou telepático, são outros conceitos, distintos do conceito Aeroplano. E por serem distintos do conceito Aeroplano é que seus sistemas não precisam substanciar o conceito Asa.

Autenticação é o transporte da confiança em significados. O chão é como o papel feito de celulose, e o ar é como a rede aberta de comunicação digital feita de bits, a internet. O conceito semiótico de Assinatura Digital surge como o de Aeroplano, desejado por abstração. Quem observa o uso da assinatura de punho e arquiteta o ciberespaço, conclui que a única forma com que a autenticação digital poderá controlar a dificuldade da forja por manipulação na verificação, num mundo virtual hostil, é pela posse única da representação binária do segredo autenticador. E assim Diffie & Hellmann conceituaram Criptografia Assimétrica na literatura acadêmica, num artigo pioneiro publicado em 1976 (os militares já o haviam feito em sigilo), nele abstraindo as qualidades necessárias para substanciar o conceito de Assinatura Digital ali proposto. Os sistemas de chave pública foram buscados e descobertos para substanciarem a criptografia assimétrica, possibilitando assim os sistemas de Assinatura Digital. As chaves assimétricas são, para este conceito original de Assinatura Digital, como as asas para o avião, ou como os zeros para a calculadora.

Entretanto, este fato não tenha nada a ver com a qualidade do transporte pelo ciberespaço que queiramos escolher para nossas confianças. Podemos querer viajar de navio, trem, avião, balão ou foguete. Mas se quisermos que nossa confiança preserve o controle que o remetente detém sobre a dificuldade da sua forja através dos mecanismos de verificação, como ocorre através do papel com a assinatura de punho, teríamos que escolher o transporte que seja possível, através de bits, para esse tipo de confiança. O fato de que só haverá um tipo de transporte possível neste caso decorre da escolha do tipo de confiança que queremos transportar. Este fato, de que chaves assimétricas representam, se quisermos ter este tipo de confiança nos bits, o mesmo que as asas para o avião ou os zeros para a calculadora, decorre da interpretação, apontada por Diffie & Hellman, de teoremas da teoria matemática da informação, demonstrados há mais de 50 anos por Claude Shannon.

A utilidade da teoria matemática que sustenta estes fatos vem sendo testada pelas tecnologias das telecomunicações, desde a invenção do transístor. Se algum dos teoremas da teoria da informação estiver errado, teríamos que jogar fora todos os tratados técnicos em que estão baseadas as tecnologias da telecomunicação. Devemos nos lembrar de que a matemática se distingue das outras ciências por prescindir de sustentação empírica. Suas teorias se sustentam apenas por coerência interna. Esta é a razão pela qual as teorias matemáticas não são refutáveis, como são as suas utilidades. E o sucesso das tecnologias digitais é forte indício de que a teoria da informação, em que também se baseia a criptografia moderna, é útil, e de que seus teoremas estão isentos de erros de lógica ou de interpretação. Se não estiverem, o poder preditivo da teoria deveria esbarrar em inconsistências na sua utilização, como aconteceu à Mecânica Celeste de Newton, guiando Einstein na formulação de seu refinamento, as suas duas teorias da Relatividade. E até hoje este poder não esbarrou em inconsistências. Porem, com as oportunidades do comércio eletrônico surgiram novos atores no palco. Eles se apropriaram do termo "assinatura digital" e puseram-se a espalhar confusão e medo para benefício próprio. São marqueteiros, lobbistas e prepostos com seus discursos sobre tecnologias, usando uma estratégia bem conhecida e popular de marketing para a indústria da informática, o FUD (Fear, Uncertainty and Doubt). Para esses novos atores, o conceito semiótico de assinatura digital é "apenas uma das tecnologias".

De volta à teoria da informação, ela afirma que o controle do custo da forja na verificação demanda posse única de segredo. Este fato se traduziu semioticamente no conceito de Criptografia Assimétrica, como base para mecanismos de autenticação digital que almejem este controle para o autor. Por isso, todo sistema de autenticação digital que almeje herdar esta qualidade das assinaturas de punho, deve prescrever chaves criptográficas assimétricas para quem confia na teoria. Como esta qualidade é pedra de toque para o equilíbrio, na jurisprudência do direito comercial, entre riscos e responsabilidades das partes, uma lei sobre tais sistemas deveria responder à questão crucial que este equilíbrio demanda, qual seja, se a sociedade manterá ou não esta qualidade autenticatória nas suas interações virtuais. Para isso a lei terá que definir o que seja assinatura digital, em um nível de detalhe suficiente para respondê-la. E para respondê-la, não basta a adjetivação do que está no dicionário, pois na esfera virtual tudo é simulacro, as replicações de bits são indistinguíveis e o conceito de originalidade -- implícito em "marca pessoal" -- é dissolvido pelo adjetivo, fazendo surgir, desse vácuo, a ambiguidade. E sobre as ambiguidades léxicas a estratégia FUD tem grande sucesso, a ponto se tornar explosiva ao alcançar a esfera jurídica.

Uma lei que proíbe aviões de pousarem nas estradas não precisa explicar o que é avião, pois o conceito já é parte das culturas civilizadas. Da mesma forma, uma lei fiscal não precisa explicar o que é sistema decimal para descrever erros contábeis, pelo mesmo motivo. Mas tal não ocorre com a assinatura digital, como também não ocorre, por exemplo, com o conceito monoteísta de deus. Assim como a ambiguidade desse último conceito dá aos fanáticos de religiões monoteístas alimento para guerras ideológicas em torno do significado do deus único, a ambiguidade lexical de "assinatura digital" transformou-se num cavalo de batalha pelo controle ideológico da revolução digital, onde novas liberdades ameaçam velhos poderes e novos poderes encurralam velhas liberdades. Quem ainda não percebeu isso deve refletir, pois as revoluções são impiedosas com os incautos. E quem já percebeu e mesmo assim defende o modelo de outorga da Uncitral, estaria sendo ingênuo ao supor, e tolo ao insinuar, que a camuflagem em legalês desse conflito possa ser definitiva ou eficaz, quando tal camuflagem estaria na verdade apenas protegendo uma bomba relógio. O cenário fomentado pela Uncitral seria bem pior do que o de leis que delegassem aos aviões o direito de pousar na lua, ou que justificassem a aprovação das contas do município de São Paulo nas recentes administrações, pois tais leis seriam apenas inócuas e inúteis.

É no conflito pelo significado da ambivalente "marca pessoal única e virtual" onde mora o perigo da lei de assinatura digital ser excessivamente aberta. Seria muito arriscado e ingênuo desprezar o perigo na outorga desta significação às partes envolvidas no equilíbrio de riscos e responsabilidades do direito comercial, como numa lei que delegasse à raposa a guarda do galinheiro. A instabilidade deste equilíbrio seria inevitável, como busco explicar, a começar pela falta de critérios, ou de critérios uniformes, para os direitos de repúdio a pretensas fraudes. No caso da eleição presidencial americana deste ano, uma crise institucional foi deflagrada justamente por insuficiências e conflitos nos estatutos eleitorais estaduais, no que tange aos direitos e ritos de arbitragem para repúdios à validade do registro de intenção do eleitor, quando este registro é intermediado por máquinas.

No caso da assinatura digital, onde nossa intenção em relação a obrigações contratuais estarão sendo intermediadas por máquinas e software, algo pior acontece. O modelo proposto pela Uncitral é perigosamente ambíguo na definição do seu objeto, e busca uma solução alexandrina para o nó górdio decorrente desta ambiguidade através da "uniformização" dos direitos de repúdio que propõe. Ali se sugere, no seu artigo 13, que o ônus da prova de forja ou de conduta cautelosa recaia sobre o suposto titular da assinatura, em confronto com a jurisprudência tradicional na sua quase totalidade, refletindo o jogo e a enorme pressão de forças de mercado. Este violento desatar do nó górdio, em sistemas permitidos por tais leis a compartilharem segredos, não é nenhuma ficção conspiratória e está mesmo escrita num modelo legislativo baseado na outorga, proposto por uma comissão da ONU a seus países membros, e que conflita por exemplo com a seção 15 do código americano Electronic Transactions Act (CWTH) de 1999, que rejeita o artigo 13 da Uncitral e determina a imputabilidade da assinatura somente perante autorização de seu titular, sendo o governo americano seu maior lobbista. (veja em  http://firstmonday.org/issues/issue5_8/mccullagh/index.html )

Quaisquer que sejam, entretanto, as disposições de uma lei sobre direitos e ritos de arbitragem ao repúdio de assinaturas digitais, ela será falha nos casos em que a segurança e confiabilidade do ambiente computacional onde assinaturas são produzidas e verificadas não puder ser aquilatado. E aqui, além das dificuldades técnicas relativas à confiabilidade dessa aferição, há um problema muito maior, no choque direto com a jurisprudência que vem se formando sobre os direitos autorais de quem vende licenças de uso de software. O cenário onde estas duas jurisprudências se intersectam desenha um abismo, para quem quiser enxergar. É desnecessário dizer que tal abismo trará muita insegurança e custos indiretos à cidadania, atrelados a muitas oportunidades para advogados, mas é oportuno dizer que seria tolice, ou miopia avarenta, dos advogados daí ignorarem sua própria condição de cidadãos.

Na carta aberta que iniciou este debate procurei dizer que precisamos, primeiramente, decidir se nossa lei de assinatura digital deverá ou não presumir que o assinante detenha algum controle sobre a dificuldade da forja de sua assinatura, como dispositivo para preservação daquele equilíbrio. Se acharmos que sim, a lei deve deixar isso claro. Disse, e explico aqui o motivo, que o simples translado do dicionário sobre o que seja assinatura, acrescida de adjetivações virtualizantes para o texto da lei, escamoteia ambiguidades, ambivalências e conflitos sem esclarecer nada, e mais ainda se esse texto outorgar ao mercado o poder de significar tais adjetivações, como quer a Uncitral. A adjetivação de "marca pessoal única" com a qualidade "virtual" cria problemas do tipo que surge quando se adjetiva o conceito "deus" com a qualidade "único", pois a nova qualidade do sujeito se choca com aquelas que o definem. Não teria, um deus supremo, o poder de compartilhar sua deidade?

Assim como o deus único não está claro no oriente médio, e sobre a sua significação se luta, sobre o conceito de assinatura digital haverá muita luta, pois todos os problemas de legitimidade decorrentes da ambígua adjetivação do substantivo, com seus conflitos metafísicos, estariam sendo grosseiramente ignorados pelo modelo de outorga, principalmente quanto aos direitos de repúdio. E quanto mais tarde for travada esta luta, maior será sua violência, mesmo que simbólica, como estampado pela crise eleitoral americana de 2000. Para resolver as ambiguidades da "marca pessoal única e virtual" é que a lei deve ser prescritiva. E se o legislador defende o modelo de outorga, devemos cobrar dele justificativas pelo custo social bola-de-neve para a gestão das ambiguidades, imposto à cidadania por seu modelo. E denuncio desde já como farsa o aceno ao progresso, à guisa de tal justificativa, amparado pela análise que ofereço como contribuição ao debate sobre a lei que queremos.

Diferentemente dos conceitos "avião" e "sistema decimal", os conceitos "assinatura digital" e "deus único" não estão, por razões racionais, justificadas e óbvias, sedimentados nas nossas culturas. E por isso o dicionário não ajudará a entendê-los. Nem ao cidadão, nem ao legislador, e nem à autoridade a quem competir o credenciamento de seus sistemas. Na batalha ideológica em torno do conceito "assinatura digital", marqueteiros e lobbistas o estão empregando hoje para descrever sistemas onde o assinante não detém nada do controle sobre a forja (veja http://www.cic.unb.br/~rezende/trabs/biometrica.htm.), num momento em que todos deveriam se acautelar das consequências sociais da privação deste controle. E no qual temos nossas apreensões voltadas, e atenções distraídas, ao aceno que tais prestidigitadores semânticos fazem à ameaça posta pelos "hackers".

Quem achar exagerado este alerta, deve refletir sobre o caso recentemente levantado por um telejornal, na semana de 23/11/00, envolvendo uma empresa que vende informações sobre históricos de crédito no Brasil, sem nenhuma fiscalização efetiva. Quem garante que o seu nome não pode ser injusta e impunemente enlameado por um cliente anônimo desta empresa? Quais são as condições para o exercício do seu direito de repúdio aos dados cadastrais sobre sua pessoa, que a empresa mantém e fornece a seus clientes, e aos quais você não tem acesso? Como você poderá saber se, ou provar que, seu nome esteve injustamente manchado durante um período pretérito? Apenas a palavra do dono do banco de dados lhe bastaria?  Ele permitiria a você ou a um perito de sua confiança examinar as linhas de código-fonte de seus programas? Alguma lei poderia obrigá-lo a isso? A julgar pelos problemas que a fiscalização dos partidos políticos enfrentou com as duas votações eletrônicas gerais que o Brasil já conduziu, parece que não, pois os direitos autorais do software tem sido sustentados como superiores aos da cidadania, pelos magistrados do TSE. (veja em  http://www.votoseguro.org )

O papel do criptógrafo nesse debate é dizer até que ponto, e como, as qualidades essenciais que a assinatura de punho oferece ao direito comercial podem ser replicadas na esfera virtual. Dessas qualidades essenciais, a principal é o controle que o assinante exerce sobre a capacidade da marca que cria para identificar-se, poder identificá-lo de forma aceitavelmente segura PARA ELE. Todo criptógrafo sabe que, na esfera virtual, esse controle só é possível através do uso de chaves criptográficas assimétricas, observadas as devidas cautelas em sua sistematização, óbvias ou não. Eles podem, para quem quiser ouvir, explicar o porquê, mas não podem forçar ninguém a acompanhar o raciocínio. Podem seguir explicando que, caso suas razões escondam erros hoje desconhecidos, nos teoremas que vinculam controle de fraude na verificação à posse do segredo identificador, legados tecnológicos muito mais arraigados e abrangentes do que sistemas de assinatura digital, simpáticos ao equilíbrio, precisarão ser revistos. O argumento central na defesa do modelo de outorga para leis de assinatura digital ignora maquiavelicamente todo este contexto. Tal argumento, de que AMANHÃ pode surgir algo que não temos hoje, e portanto devemos deixar os donos do microfone decidirem o que é HOJE melhor para eu e tu e ele, parece copiado da obra ficcional de George Orwell, "1984",  e sobre isso refletirei ao concluir este artigo.

Parece-me que o debate em que me engajei se concentra em torno da linha da virtude entre a lei de assinatura digital ser "muito aberta" ou "muito fechada".  Entendo estar a origem do estrabismo aí surgido, entre as visões de quem defende o modelo prescritivo e quem defende o modelo de outorga, no fato da semiótica não entrar no horizonte do discurso desses últimos. Entendo também que aí reside suas dificuldades em acompanhar os argumentos dos criptógrafos que defendem o modelo prescritivo, com procuro fazer. Os que defendem o modelo de outorga não conseguem enxergar a falácia na sua lógica, como apontada por quem os critica, pois esta falácia é neutralizada por leis superiores às do raciocínio, no referencial semântico de onde percebem o mundo. Agem como autômatos, conduzidos pelas leis do mercado, ali sacrossantas.

Alguém observou que as opiniões apresentadas pelos palestrantes daquela conferência foram unânimes na defesa do modelo de outorga. Quem pensa assim não deve ter entendido a mensagem do prof. Lessig, que traz o peso de sua autoridade, de jurista assistente de ministra da corte suprema e professor de direito constitucional de uma das mais importantes universidades americanas, em Harvard. E mesmo que o prof. Lessig não tivesse discursado naquela conferência, a opinião unânime dos outros palestrantes tem uma explicação simples. Quem patrocinou o evento e os convidou, tem interesses de que o processo legislativo para o comércio eletrônico siga determinado caminho, sobre cujo trajeto me atrevo a especular ao final deste artigo. A forma de legitimação da tal comissão consultiva nela criada, por aclamação pós-anunciada, fornece-me a primeira pista para esta especulação. Quem quiser ouvir opiniões quase unânimes e contrárias, em foros dedicados ao tema, deve portanto procurar outros eventos, como o Simpósio anual de Segurança na Informática organizado pelo Instituto Tecnológico da Aeronáutica, promovido por entidades como a Sociedade Brasileira de Computação.

Minha sugestão aos legisladores Brasileiros é para que não se deixem levar pelo canto da sereia do modelo de outorga, como recomendou enfaticamente o prof. Lessig. Esta bela jovem nasceu com a sina de se transformar em medusa. Sigamos o exemplo dos países europeus que já se definiram a respeito, e mantenhamos o espírito do projeto da OAB, que é o de tentar trasladar o significado maior da assinatura, da jurisprudência atual do direito comercial para a esfera virtual. Para isso basta que a lei, qualquer que venha a ser, contenha duas prescrições:

  • A do uso de chaves criptográficas assimétricas para lavra e verificação de assinaturas digitais, nos contextos onde seu uso pressuponha anuência ou vontade do assinante em engajar-se em obrigações contratuais reconhecíveis através de sua lavra.
  • A exigência, para credenciamento de sistemas de assinatura digital, de que o acesso público à lógica dos programas que geram e manipulam chaves criptográficas, através do seu código-fonte, não seja  impedido por cláusulas contratuais de licença de uso desses programas.
  •     A negligência quanto à primeira dessas prescrições transformará o organismo designado para regulamentar e fiscalizar os "sistemas de assinatura digital" num balcão de negócios (mais um!), onde se mercadejarão a recusa de riscos e responsabilidades e a criação de novos mercados cartoriais, para os grandes atores da virtualização dos processos sociais. O destino alternativo para os custos, riscos e responsabilidades decorrentes desta jogatina será inevitavelmente a cidadania. Este cenário é bastante plausível pois a criptografia assimétrica já é bem comum. São hoje de domínio público os seus sistemas já descobertos, cujo uso já está assentado em padrões também abertos, inclusive com implementações em software livre, e que não poderão portanto gerar ganhos adicionais por direitos de patentes, nem justificativas para a exclusividade, a quem os implemente. Daí a estultice da tecnologia engessada, que busca nos amedrontrar com o risco da perda de eficácia dos sistemas de chaves assimétricas pelo avanço da tecnologia, risco cuja real dimensão e plausibilidade analiso na carta aberta  iniciadora deste debate. A negligência quanto à segunda prescrição dará a este órgão um alicerce de areia para seus estatutos, principalmente sobre os direitos e ritos de arbitragem, cujo efeito para os direitos da cidadania serão também nefastos, de natureza semelhante ao daqueles que emergiram na crise eleitoral americana de 2000.

    Depois da descoberta do alfabeto nenhuma linguagem humana, que buscasse expressão escrita, dele prescindiu. Depois da descoberta do zero, como conceito para a escrita numérica posicional, todas as práticas contábeis civilizadas acabaram por adotar seus sistemas. Por um motivo simples e definitivo: o das vantagens funcionais em relação à sua alternativa. Quem, ou qual máquina, faz hoje contas em algarismos romanos? O computador é baseado no sistema binário desde a invenção do transístor. Os romanos relutaram durante mais de 300 anos em adotar o sistema decimal introduzido na Europa pelos árabes, mas foram finalmente vencidos pelo caos de surtos inflacionários. Eles foram vítimas de um ruído parecido com o que hoje ouvimos sobre o perigo do gesso na tecnologia, pois não admitiam que um "povo bárbaro" pudesse inventar um sistema melhor que o deles.

    Como em Roma, energúmenos hoje relutam em admitir que a descoberta dos sistemas de escrita assimetricamente ocultável, feita há vinte e dois anos por matemáticos que se valeram do legado de 2350 anos de história desta ciência, possa ser um avanço qualitativo em relação ao que a criatividade empresarial seja capaz de nos oferecer, para a segurança coletiva de quem interage numa rede digital global e aberta. Qual será o custo social a ser cobrado, pela empáfia e ganância dos que se julgam espertos, para a aceitação social deste fato? Estaremos dispostos a abdicar do "coletivo" nesta segurança e retroceder à barbárie, como já está ocorrendo no mundo da vida, na periferia do capitalismo, em nome da coletivização da avareza? Talvez o livro do Apocalipse, em seu capítulo 2 versículo 17, esteja profetizando sobre o roteiro desta estória.

    Espero ter fornecido argumentos suficientes a favor da imperiosa necessidade do processo legislativo brasileiro abordar as questões levantadas pela análise aqui oferecida, qualquer que venha a ser o texto da lei, se quisermos preservar a autonomia e a maior das dignidade humanas, a liberdade, nesta nova sociedade que estamos moldando para o futuro.


    Brasília, 29 de Novembro de 2000
    Pedro Antonio Dourado de Rezende
    v.6