Dados divulgados pela consultoria Fortinet estimam que o Brasil foi alvo de mais de 8,4 bilhões de tentativas de ataques cibernéticos no último ano. Os números impressionam ainda mais quando somados às notícias divulgadas no início do ano de que informações de mais de 223 milhões de brasileiros tenham sido encontrados para venda em fóruns na internet, entre eles o número de CPF, nome completo, informações sobre Imposto de Renda, fotos de rosto, renda, escolaridade e mais. 

Em meio às notícias quase diárias de novos vazamentos de dados e golpes aplicados aos cidadãos, a Receita Federal do Brasil passou a permitir que a declaração pré-preenchida do Imposto de Renda 2021, contendo informações sensíveis e sigilosas do contribuinte, possa ser acessada com mecanismos de autenticação mais frágeis e através de cadastro no Portal Gov.br – plataforma do Governo Federal que centraliza serviços públicos online dos mais diversos fins. 

Até o ano passado, a declaração pré-preenchida era disponibilizada apenas aos contribuintes que utilizassem as assinaturas eletrônicas qualificadas, realizadas com uso de um certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – par de chaves criptográficas, cuja chave privativa fica em custódia e posse única de seu titular, normalmente armazenadas em um token e emitidas para o usuário após um criterioso processo de confirmação de identidade. 

Esse critério de segurança adicional é necessário e bem-vindo, uma vez que a declaração pré-preenchida funciona como um rascunho que traz informações como rendimentos, deduções, bens, direitos, dívidas e ônus reais, a partir do Imposto de Renda do ano anterior e coletadas de outras declarações fiscais e contábeis, como a Declaração do Imposto de Renda Retido na Fonte, Declaração de Informações sobre Atividades Imobiliárias e Declaração de Serviços Médicos. É como se a Receita fizesse uma varredura em prestadores de serviços e reunisse os informes automaticamente para o contribuinte. Tratando-se de informações pessoais sensíveis, como veio a reiterar a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), esses dados só eram liberados automaticamente caso o contribuinte confirmasse a sua identidade de forma segura e confiável, autenticação que também é necessária para os contribuintes que declaram altos valores. 

De acordo com as informações divulgadas pela Receita Federal, a declaração pré-preenchida em 2021 pode ser utilizada pelos contribuintes que acessam o portal Gov.br com o nível "prata" e "ouro", formas de autenticação com níveis de segurança inferiores por consistirem na confirmação automatizada do cadastro do usuário em outras bases de dados. Ou seja, informações fiscais sob sigilo poderão ser acessadas por mecanismos que tomam por base o uso de dados que foram alvo de vazamento e que, portanto, não estão sob controle exclusivo de seus titulares e podem ser alvos de fraudes e uso indevido. 

E a situação se agrava. Mesmo que o contribuinte prefira proteger os seus dados e as suas informações sigilosas utilizando-se do nível mais seguro de assinaturas eletrônicas (a assinatura eletrônica qualificada), em que as chaves privativas estão em seu controle exclusivo, é obrigado a passar por uma plataforma intermediária. Isso se deve ao fato de que diversos serviços públicos, inclusive o e-CAC da Receita Federal do Brasil, exigem que o cidadão realize o cadastro e acesso através do portal Gov.br, mesmo quando utiliza a assinatura qualificada, por estarem centralizados neste portal único. Com isso, o cidadão é privado de utilizar a forma mais segura de autenticação e assinatura, a única que está sob seu exclusivo controle, para subsidiar a alimentação de bases públicas e terceirizar o controle sobre as suas próprias credenciais diretamente para o Estado. 

O país conta hoje com três tipos de assinaturas eletrônicas estabelecidas para o relacionamento do cidadão com o Governo: a assinatura eletrônica simples, a avançada e a qualificada, sendo que esta última deve ser admitida independentemente de cadastramento prévio, conforme consta na Lei. As outras assinaturas eletrônicas (simples e avançadas) são válidas e podem facilitar o acesso dos cidadãos aos serviços públicos eletrônicos. Porém, é imprescindível existir compatibilidade entre a sensibilidade e o grau de sigilo das informações tratadas no serviço com o nível de segurança e confiabilidade requisitados para a confirmação de identidade do usuário.

O Brasil, e mais especificamente as bases públicas, têm sido alvos de ataques cibernéticos, como mostra o relatório da Fortinet, citado anteriormente. Logo, no contexto de vazamento de dados de mais de 223 milhões de pessoas, não há como assegurar que a terceirização do controle de credenciais eletrônicas do cidadão para o Estado venha a proteger efetivamente a identidade digital e as informações pessoais e sensíveis do cidadão. 

Mais do que educar os cidadãos para que não sejam vítimas de golpes na internet e muni-los de ferramentas que garantam a sua segurança e privacidade, é necessário garantir a autonomia e liberdade de escolha do usuário sobre como proteger os seus dados pessoais e a sua manifestação de vontade. Combater a vulnerabilidade dos cidadãos na rede é permitir que possam utilizar o nível de assinatura eletrônica que se sentirem mais seguros, desde que respeite o nível mínimo estabelecido, sem condicioná-lo a cadastros adicionais para compartilhamento de informações.

Thaís Covolato é coordenadora do Comitê de Identidades Digitais da Camara-e.net, principal entidade multissetorial da América Latina