Regulamentação do ITI define regras para emissão sem intervenção humana e reforça exigências de segurança
Certificados digitais – O Instituto Nacional de Tecnologia da Informação (ITI) divulgou nesta segunda-feira (4) as normas que disciplinam a chamada Autoridade de Registro Eletrônica (AR Eletrônica). A medida inaugura um modelo integralmente digital para a emissão de certificados no país, com ênfase em automação, uso de biometria e mecanismos de prevenção a fraudes. As diretrizes constam na Instrução Normativa nº 36.
A principal novidade é a autorização para emissão de certificados digitais sem participação humana direta. Pelo novo formato, todo o procedimento poderá ser realizado por meio de aplicativo em dispositivos móveis, com validação automática da identidade do usuário baseada em dados biométricos e biográficos.
LEIA: Novo sistema subverte física das marés para gerar energia limpa
O processo deverá utilizar bases oficiais, como a Carteira de Identidade Nacional (CIN), a Identificação Civil Nacional (ICN) e a Carteira Nacional de Habilitação (CNH), além do sistema biométrico da ICP-Brasil. A regulamentação exige que o reconhecimento biométrico alcance nível de “altíssima probabilidade” para que a certificação seja liberada.
Para reduzir riscos, a norma estabelece uma série de requisitos tecnológicos. Entre eles, estão mecanismos de verificação de vivacidade (liveness), capazes de identificar tentativas de fraude com imagens ou vídeos manipulados — como deepfakes —, além de ferramentas que avaliem a integridade do dispositivo utilizado. O aplicativo também deverá assegurar criptografia de ponta a ponta e captura em tempo real de documentos e imagens.
Outro ponto relevante é que a emissão via AR Eletrônica será limitada a certificados de pessoa física e dependerá de autorização prévia do ITI para funcionamento. Além disso, a chave privada deverá ser gerada e armazenada por um Prestador de Serviço de Confiança (PSC), ampliando o controle sobre a segurança do processo.
A regulamentação também impõe restrições: pessoas politicamente expostas (PEPs), assim como integrantes do Judiciário e do Ministério Público, não poderão utilizar o modelo automatizado, devendo recorrer a outros métodos de identificação.
Mesmo com a automatização, o normativo mantém exigências rigorosas de rastreabilidade. Todas as etapas do processo precisarão ser registradas, encadeadas e armazenadas em repositórios auditáveis, incluindo dados biométricos, validações realizadas e trilhas de auditoria.
(Com informações de Convergência Digital)
(Foto: Reprodução/Magnific/pressfoto)
