AR Eletrônica e o risco de implosão silenciosa da ICP-Brasil

Por Priscila Figueiredo e Leticia Menezes *

Nas próximas semanas, poderemos ter mudanças que colocam em risco a segurança de assinaturas digitais em contratos, procurações e documentos oficiais no Brasil. Em março de 2026, o Comitê Gestor da ICP-Brasil discutirá a implementação de um modelo de emissão automatizada de certificados digitais baseado exclusivamente em autosserviço e validação por meio de bases públicas, tecnicamente nomeado como “AR Eletrônica”.

O tema exige atenção imediata.

O Brasil possui, desde 2001, um marco legal claro sobre assinaturas digitais. A Medida Provisória nº 2.200-2 instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e estruturou um sistema hierárquico de confiança que combina tecnologia, governança e responsabilidade institucional. Esse modelo foi concebido para garantir autenticidade, integridade e não repúdio com base em critérios públicos auditáveis. A identificação do titular sempre ocupou posição central nesse desenho.

A MP 2.200-2/2001 prevê que a identificação ocorra mediante comparecimento pessoal do usuário ou por outra forma que assegure nível de segurança equivalente. A expressão “equivalente” precisa ser compreendida à luz da arquitetura do sistema. A equivalência envolve não apenas ferramentas tecnológicas, mas também governança, rastreabilidade e responsabilização assistida.

A proposta da “AR Eletrônica” desloca o modelo para validação exclusivamente automatizada, com confirmação de identidade baseada em consultas a bases públicas. Esse movimento altera a lógica da identificação assistida que caracteriza a cadeia de confiança da ICP-Brasil.

Defensores do autosserviço apontam que modelos presenciais também estão sujeitos a fraude. O argumento é verdadeiro, porém incompleto.

No ecossistema da ICP-Brasil, desvios identificados geram revogação de certificados, auditorias extraordinárias, suspensão de credenciamentos e aplicação de sanções. A rede opera com mecanismos de correção institucional. Há governança e capacidade de resposta.

O cenário é distinto quando se trata de vazamento de dados biométricos ou de bases públicas. Eventos dessa natureza têm se tornado recorrentes no país. A biometria exposta em um vazamento de dados transforma-se em vetor permanente de risco. Impressões digitais e reconhecimento facial não são credenciais substituíveis. Uma vez comprometidos, acompanham o cidadão por toda a vida.

Transferir o núcleo da validação de identidade para confirmação biométrica desassistida, ou seja, sem a interação de um agente treinado e habilitado no ecossistema regulado, significa elevar o risco estrutural do usuário em um ambiente destinado às assinaturas de maior robustez jurídica.

A implementação da AR Eletrônica, nos moldes exclusivamente automatizados, implicaria redução do padrão de exigência associado às assinaturas eletrônicas qualificadas. O movimento produziria um rebaixamento funcional que aproxima indevidamente a assinatura qualificada das assinaturas avançadas previstas na Lei nº 14.063/2020, cuja aplicação foi desenhada para interações com entes públicos e para contextos que admitem menor rigor formal.

Caso o objetivo seja ampliar o acesso da população a mecanismos digitais de menor complexidade para relações administrativas ou atos de menor criticidade, o ordenamento já dispõe das assinaturas eletrônicas do tipo “avançadas” para essa finalidade. O sistema também admite assinaturas privadas não reguladas, fornecidas por prestadores de serviços mediante concordância das partes, solução plenamente adequada para situações em que o grau máximo de robustez não se mostra necessário.

A ICP-Brasil ocupa posição distinta. Seu papel legal é o de assegurar o nível mais elevado de segurança jurídica para atos e negócios que demandam prova reforçada de autoria e integridade. Descaracterizar esse patamar por via infralegal compromete a coerência interna do sistema e altera sua função no ordenamento.

O debate possui, ainda, dimensão econômica relevante.

Dados oficiais do Instituto Nacional de Tecnologia da Informação indicam, em fevereiro de 2026, a existência de 42.916 agentes de registro, 21 autoridades certificadoras de primeiro nível, 100 de segundo nível, 2.212 autoridades de registro, além de prestadores de serviços de suporte, carimbo do tempo, confiança e biometria.

A certificação digital qualificada constitui atividade econômica regulada, exercida majoritariamente pela iniciativa privada sob fiscalização estatal. O modelo brasileiro combinou livre iniciativa com padrões técnicos rigorosos e supervisão pública. Esse arranjo fomentou investimento contínuo em tecnologia, auditoria e segurança da informação ao longo de mais de duas décadas.

A expansão de um modelo estatal automatizado que se aproxime funcionalmente da assinatura qualificada pode produzir esvaziamento gradual desse ecossistema. A discussão ultrapassa a esfera tecnológica e alcança a neutralidade concorrencial e a liberdade econômica.

A Constituição estabelece que o Estado pode explorar atividade econômica em hipóteses específicas e mediante fundamento legal. Alterações estruturais que afetem um mercado regulado consolidado exigem debate transparente, análise de impacto regulatório consistente e, se necessário, deliberação legislativa.

Digitalização de serviços públicos é agenda legítima e necessária. A ampliação da eficiência administrativa é objetivo compartilhado. O ponto sensível reside na redefinição do padrão das assinaturas qualificadas sem discussão legislativa expressa e sem sequer uma análise profunda de impacto regulatório.

A ICP-Brasil representa ativo institucional construído ao longo de 25 anos. Sua robustez decorre da combinação entre tecnologia, participação privada credenciada, auditoria e validação assistida. Alterações nessa engrenagem repercutem sobre segurança jurídica, ambiente concorrencial e confiança social.

O Comitê Gestor da ICP-Brasil assume, neste momento, responsabilidade histórica. A decisão sobre a AR Eletrônica é mais que apenas operacional: envolve a preservação da arquitetura que sustenta o modelo brasileiro de certificação digital.

A sociedade civil, o setor produtivo, especialistas técnicos e formuladores de política pública precisam participar desse debate. Mudanças estruturais não devem ocorrer por deslizamento regulatório.

Confiança digital constitui patrimônio institucional construído ao longo de décadas e qualquer alteração em sua arquitetura exige prudência regulatória, transparência decisória e compromisso inequívoco com a segurança jurídica que sustenta o modelo brasileiro de certificação. Reformas podem fortalecer o sistema quando conduzidas com análise técnica consistente e debate público qualificado; reformulações infundadas, ao contrário, tendem a fragilizá-lo de forma estrutural, sobretudo porque, em matéria de confiança digital, as consequências de uma escolha institucional equivocada costumam ser permanentes.

* Priscila Figueiredo e Leticia Menezes são coordenadoras do Comitê de Identidades Digitais Confiáveis da Câmara Brasileira da Economia Digital.