Certificados digitais: AR Eletrônica passa a exigir biometria e detecção de deepfake
Regras foram pulicadas pelo ITI e regulamentam emissão remota de certificados digitais.
O Instituto Nacional de Tecnologia da Informação (ITI) publicou nesta segunda, 4/5, a regulamentação da Autoridade de Registro Eletrônica (AR Eletrônica), que inaugura um modelo totalmente digital para emissão de certificados no Brasil, com forte ênfase em biometria, automação e prevenção a fraudes. Os termos estão na Instrução Normativa 36.
A principal mudança é a possibilidade de emissão de certificados digitais sem qualquer intervenção humana. Pela nova regra, todo o processo poderá ser realizado por meio de aplicativo em dispositivo móvel, com validação automática da identidade do usuário a partir de dados biométricos e biográficos.
O modelo exige que a validação seja feita com base em bases oficiais, como a Carteira de Identidade Nacional (CIN), a Identificação Civil Nacional (ICN) e a Carteira Nacional de Habilitação (CNH), além do sistema biométrico da própria ICP-Brasil. A norma determina que o reconhecimento biométrico tenha resultado positivo com nível de “altíssima probabilidade” para que o certificado seja emitido.
Para mitigar riscos, o regulamento impõe uma série de exigências tecnológicas. Entre elas estão mecanismos de detecção de vivacidade (liveness), capazes de identificar tentativas de fraude com uso de imagens ou vídeos manipulados, como deepfakes, além de sistemas de verificação da integridade do dispositivo utilizado pelo usuário. O aplicativo também deve garantir criptografia ponta a ponta e captura em tempo real de imagens e documentos.
Outro ponto central é que a emissão por AR Eletrônica será restrita a certificados de pessoa física e dependerá de autorização prévia do ITI para operação. Além disso, a chave privada do certificado deverá ser gerada e armazenada por um Prestador de Serviço de Confiança (PSC), o que reforça o controle sobre a segurança do processo.
A norma também estabelece restrições: pessoas expostas politicamente (PEPs) e autoridades do Judiciário e do Ministério Público não poderão utilizar a modalidade automatizada, devendo recorrer a outros meios de identificação.
Apesar da automação, o regulamento mantém uma estrutura robusta de rastreabilidade. Todo o processo deverá ser registrado, encadeado e armazenado em repositórios auditáveis, incluindo dados biométricos, validações e trilhas de auditoria.
