Fraudes com certificação digital estão sendo reportadas em diversas oportunidades pela imprensa, para alertar aos usuários que o sistema não é soberano e que apresenta falhas na identificação dos reais usuários que “assinam” por meio dos certificados digitais.
Em pesquisa, realizada por advogados do escritório Schleder & Delevedove, encontrou-se diversos precedentes em que autoridades tiveram sua identidade digital fraudada.
Entre estes casos cabe destacar alguns, como o de um juiz que teve a identidade digital fraudada para que uma sentença fosse alterada; de funcionários relacionados a órgãos ambientais tiveram seus certificados clonados para que os fraudadores conseguissem a autorização de extração de madeira; e de funcionários aduaneiros que tiveram seus certificados utilizados por terceiros para a sonegação de impostos de importação.
No Brasil, o órgão responsável por regular a emissão de certificados digitais é o ICP-Brasil. Este foi criado com base em um modelo hierárquico de acordo com a Medida provisória 2.200-2 de 24 de agosto 29 de 2001, para garantir autenticidade, integridade e validade jurídica de documentos eletrônicos. O órgão é composto por: um Comitê Gestor, uma AC (autoridade certificadora) raiz, AC (autoridades certificadoras) e AR (autoridades de registro).
No país há registro de mais de 20 autoridades certificadoras encarregadas de identificar corretamente as pessoas e emitir o certificado digital. Quando comparada com a quantidade de emissão de certificados digitais (3,5 milhões por ano) os números oficiais do ICP-Brasil demonstram um pequeno percentual de fraude (0,0002%) por ano, mas os poucos casos revelam a fragilidade do sistema de certificação.
Os casos de fraudes em certificação digital que chegam na mídia são aqueles que atingem a identidade de autoridades públicas, que causam um dano a sociedade, por isso são facilmente identificadas pelo ICP-Brasil. A dificuldade de identificação da fraude se instaura quando fraudadores “roubam” a identidade de cidadãos comuns, pessoas que não utilizam certificados digitais para exercerem funções do dia-a-dia.
Para o sistema jurídico brasileiro, os certificados digitais têm a mesma função de assinaturas regulares, escritas em papel, pois servem para identificar e certificar quem é o sujeito que realizou o ato em que contém a assinatura. Assim como a falsificação de assinaturas, a fraude de certificados digitais é uma ferramenta perfeita para que criminosos se identifiquem como outras pessoas.
Com o certificado de pessoas comuns, os fraudadores criam empresas fantasmas, roubam dados pessoais, tomam créditos bancários, entre muitos outros golpes que podem ser praticados com o roubo de identidade de terceiros.
Como a fraude acontece na constituição do certificado digital, uma vez que o criminoso (fraudador) registra um certificado com a identidade de terceiro, os titulares da identidade “roubada” só conseguem identificar-se como vítimas da falsificação quando cientes que sofreram algum dano material ou moral.
Há casos recentes em que a vítima da fraude recebe várias ligações, para a confirmação de compras e abertura de linhas de crédito ou em virtude de emissão de cheques de alto valor, por empresas constituídas pelos fraudadores em seu nome.
Ou seja, com a identidade da vítima, os fraudadores registram um certificado digital para a pessoa física e fundam diversas empresas fantasmas (CNPJ’s), as quais os criminosos podem se utilizar para aplicar novos golpes.
Em casos como estes é difícil encontrar os responsáveis pela fraude original, mas caso a empresa (autoridade certificadora) não tenha tomado todas as cautelas exigidas, ao tempo da verificação das identidades dos sujeitos que solicitaram a emissão de certificação digital, pode ser responsabilizada pelos danos causados à vítima.