Em seu pronunciamento após o pedido de demissão do cargo de ministro da Justiça, o ex-juiz Sergio Moro afirmou que foi surpreendido quando viu que sua assinatura digital havia sido utilizada na edição de sexta-feira (24) do Diário Oficial da União no texto que oficializa a exoneração do diretor-geral da Polícia Federal, Maurício Valeixo. Se isso aconteceu, a segurança digital do Planalto pode estar comprometida.

Isso porque pode ter existido fraude na geração de um novo certificado digital. Assim, seria possível que terceiros pudessem ter acesso à assinatura do ex-ministro para rubricar este e qualquer outro documento.

Para entender melhor a questão é preciso explicar que uma assinatura digital só pode ser utilizada pela pessoa que emitiu um certificado digital. Trata-se de um processo rigoroso de autenticação e que é feito com uma certificadora digital, a ICP Brasil, em conjunto com a empresa pública de tecnologia Serpro ou com órgãos como a Receita Federal.

Dito isso, há duas formas de explicar como uma assinatura digital pode ter sido utilizada indevidamente, segundo especialistas. A primeira – e mais factível – é de que a assinatura poderia ter sido utilizada por um assistente, uma secretária ou por qualquer pessoa de confiança de Moro com uma cópia do certificado digital.

Conforme apurado pela EXAME, políticos do alto escalão do governo costumam deixar estes tokens físicos (e suas senhas de acesso) em posse de assistentes ou de secretários para a assinatura de documentos. "O certificado digital é pessoal e intransferível", afirma Marcelo Buz, diretor presidente do Instituto Nacional de Tecnologia da Informação.

Guardadas as devidas proporções, é como permitir que outra pessoa tenha acesso ao seu e-mail e possa enviar mensagens. “Não é um processo correto e nem é tão comum”, afirma Ricardo Tavares, professor e especialista em segurança digital. Isso porque ao deixar o token com uma pessoa, há uma quebra de segurança e que não é permitida pelas unidades de certificação. “Não é um caso de ataque malicioso. Trata-se da utilização indevida.”

A outra possibilidade seria a geração de um novo certificado digital para que a assinatura fosse feita. Ou seja, foi criada, com o consentimento dos órgãos responsáveis, uma nova certificação digital para que a assinatura do ministro fosse feita no Diário Oficial.

Neste caso, os órgãos responsáveis pela criação de certificados digitais estariam envolvidos em um escândalo que colocaria em xeque os processos de segurança digital adotados na esfera pública. “Isso é algo muito grave e quebra toda a confiança no sistema”, diz Tavares, que é coordenador do curso de pós-graduação em segurança cibernética da Faculdade Impacta.