Precisão e simplicidade nas leis para o ciberespaço

Precisão e simplicidade nas leis para o ciberespaço

QUI, 09 DE MAIO DE 2013 16:38


Quando se trata da formalização de um sistema regulatório para o ciberespaço, como equilibrar precisão com simplicidade?

Há uma clara tendência, sobretudo nesse novo espaço virtual de convivência que denominamos de ciberespaço, em favor da busca incessante pela precisão no texto de leis e regulamentações, como observa Chris Reed, Professor do Queen Mary College, Londres, autor do livro “Making Laws for Cyberspace” (Oxford University Press, 2012). Em seu artigo “How to Make Bad Law: Lessons from Cyberspace” (The Modern Law Review, 73(6):903-932, Nov 2010), Reed defende que a percepção do suposto benefício da tão cobiçada precisão, a saber, uma maior garantia quanto ao cumprimento, pode ser ilusória. O fato concreto é que leis demasiado complexas têm sérias desvantagens, em particular, o enfraquecimento de seu efeito normativo, além de maior risco da existência de contradição e da alta frequência de revisões e de alterações posteriores.

Com efeito, a busca pela precisão e pela certeza no texto da lei, que em geral se manifesta através de obrigações exaustivamente detalhadas em termos tão objetivos quanto possível, permeia a grande parte das legislações na área da Informática e das Comunicações. Justo numa área que tem experimentado uma evolução avassaladora nos últimos tempos. Uma consequência disso tudo, segundo Reed, é a degradação na qualidade do sistema de leis, no mínimo no que diz respeito à aderência ao princípio de que as regras de um sistema de leis devem ser amplamente eficazes no que concerne à consecução de seus objetivos.

Tome-se, por exemplo, o caso da lei americana “Computer Fraud and Abuse Act” (CFAA) de 1984 (com emendas em 1986, 1989, 1994, 1996, 2001, 2002, e 2008) com base na qual a justiça mandou prender e poderia condenar o jovem ativista da cultura livre Aaron Swartz a até 35 anos de prisão e multa de mais de um milhão de dólares pelo fato de ter compartilhado artigos em domínio público distribuídos sob cobrança pela revista científica JSTOR. Deprimido com a possibilidade de ter que cumprir uma pesada condenação por um ato em prol do acesso livre à informação, o jovem de apenas 26 anos cometeu suicídio em 11 de Janeiro deste ano causando grande consternação em toda a comunidade de tecnologia da informação nos Estados Unidos e no resto do mundo.

A morte de Aaron provocou protestos e reivindicações de legisladores, acadêmicos e usuários de internet em todo o espectro político por reforma na CFAA, incluindo muitos que achavam que Aaron deveria ter sido processado, mas não sob a CFAA e não sob a ameaça de penalidades tão duras. Em 02/04/2013, um grupo de 16 representantes de entidades de defesa dos direitos civis e de algumas universidades americanas, incluindo a American Civil Liberties Union, o Center for Democracy & Technology, a Electronic Frontier Foundation, a George Washington University, o Stanford Center for Internet and Society, enviou uma carta à Câmara dos Representantes declarando-se contrários a um projeto de lei supostamente programado para ser votado ainda em Abril para alterar a CFAA aumentando as penas e ampliando o escopo da conduta punível nos termos da lei.

Tal qual escrita atualmente, a CFAA impõe responsabilidade civil e criminal pelo acesso sem autorização ou “em excesso de autorização” a um computador protegido. Segundo os signatários da carta, a expressão “excede autorização” é vaga e tanto os litigantes civis quanto o governo têm pressionado as cortes a julgar como violação da CFAA sempre que alguém usa computadores de uma maneira que não é do agrado do proprietário do sistema. Isso significa que as empresas privadas estão efetivamente escrevendo leis federais na medida em que elaboram seus “termos de serviço”. Como resultado disso, casos de violação da CFAA têm sido interpostos contra usuários que violam os termos de serviço, funcionários que violam as políticas dos seus empregadores, e clientes que violam licenças de software.

Infelizmente, alegam os signatários, a proposta em discussão é uma expansão significativa da CFAA num momento em que opinião pública está exigindo que a lei seja reduzida. A linguagem da lei reformulada seria problemática no mínimo sob os seguintes aspectos: (i) obliteraria a linha tênue entre ataques criminosos e usuários legítimos que são autorizados "a obter ou alterar a mesma informação", mas que o fariam de um modo ou com um motivo
desfavorecido pelo proprietário do servidor ou expresso em termos unilaterais de serviço ou acordos contratuais; (ii) aumentaria substancialmente as penas máximas para muitas violações para 20 anos ou mais, dando ao Ministério Público um pesado martelo para pendurar sobre indivíduos acusados de crimes de fronteira, e asseguraria que até mesmo pequenas infrações, com pouco ou nenhum dano econômico (que deveriam ser contravenções, no máximo) serão punidas como crime.
Um mês antes da carta supracitada, uma outra declaração de preocupação com o efeito negativo da CFAA sobre a inovação em tecnologia da informação foi enviada por um grupo de representantes de empresas de internet, autodenominado de “uma ampla gama de inovadores da internet”, à Câmara dos Representantes com o objetivo de apoiar os esforços liderados pela Deputada Zoe Lofgren para reformar a CFAA. Segundo eles, a questão é importante não apenas por causa da trágica morte de Aaron Swartz, mas porque a CFAA traz desestímulo à inovação e ao crescimento econômico por ameaçar os desenvolvedores e os empreendedores que criam tecnologia inovadora. Segundo seus signatários, é possível dissuadir os criminosos digitais sem criminalizar as violações contratuais inofensivas e sem impor a responsabilidade criminal a
desenvolvedores de tecnologias inovadoras.
Na busca por um equilíbrio entre precisão e simplicidade do texto da lei, tão apregoado por Chris Reed, parece emblemático o caso da CFAA. Segundo Reed, é comum haver, sobretudo quando se trata do ciberespaço, queixas de que uma lei não é suficientemente clara. E aí os legisladores se esforçam para elaborar leis altamente detalhadas. Mas aí surgem as queixas de que a lei é complexa demais para ser entendida. No final das contas, o que se deseja é um meio-termo. Portanto, uma abordagem alternativa à elaboração de leis que abordem o comportamento e as crenças humanas, ao invés de especificar o cumprimento a nível técnico, pode, segundo Reed, produzir uma lei que não é imediatamente implausível e que atende mais de perto a um teste de qualidade fundamentado nas “demandas da moralidade interna das leis” de Lon Fuller. O sacrifício da precisão excessiva e da certeza é mais do que compensado pela melhoria na capacidade dos sujeitos da lei de compreender as obrigações que lhes são impostas. Nesse caso, a expectativa é a de que o efeito normativo da lei será mais forte e que os objetivos da lei terão mais chances de serem alcançados.
Em suma, se os legisladores quiserem regular o comportamento dos cidadãos do ciberespaço em direções benéficas, a abordagem sugerida por Reed é a de se concentrar nos atores humanos, ao invés de focar nas atividades tecnológicas nas quais esses atores se engajam. E, para conseguir isso, as leis para o ciberespaço terão de: (i) identificar os comportamentos que possam surgir a partir da inovação que se deseja regular; (ii) decidir quais comportamentos devem ser incentivados e quais devem ser desestimulados; (iii) criar mecanismos para persuadir os atores humanos a se comportarem da forma desejada.



Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

A definição de conteúdo digital em computação em nuvem

A definição de conteúdo digital em computação em nuvem
SEG, 29 DE ABRIL DE 2013 13:53


As novas tecnologias de comunicação digital criaram um mundo virtual sem fronteiras geopolíticas, onde é possível a disseminação e o acesso dos mais diversos bens e serviços da indústria cultural, tecnológica e da informação.

Dentre as tendências surgidas no meio tecnológico, temos a computação em nuvem, baseada na “virtualização” ou “digitalização” de recursos ou de serviços computacionais, disponíveis por meio de um provedor ou fornecedor, que podem ser utilizada por órgãos governamentais ou não governamentais, por empresas ou pessoas físicas, mediante o acesso a qualquer tempo, ou lugar, independente da localização geográfica do usuário. Daí a perspectiva de que em um futuro não muito distante a computação em nuvem funcione como uma “utilidade”, tal qual a eletricidade, a água e a telefonia.

Alguns autores entendem que as tecnologias existentes sobre as quais repousam os conceitos de computação em nuvem não são novas, tais como computação distribuída e acesso a recursos na base do pague-pelo-uso, representando tão-somente um modelo diverso de terceirização de serviços tecnológicos ou uma nova maneira de realizar negócios no ambiente virtual.

No entanto, nas palavras de John Hagel e John Seely Brown, computação em nuvem seria, “parte de uma terceira onda de disrupção tecnológica que primeiro ocorreu com o computador pessoal nos anos 1970’s” (“The disruptive architecture of the cloud,” Financial Times, Londres, 10/02/2011).

De fato, o crescimento da computação em nuvem é um dos principais avanços na história da computação. Ela tem expandido o acesso a altos recursos computacionais para todos os usuários que se utilizam das redes sociais como Facebook ou webmail, ou que compartilham fotos nos álbuns do Flickr e do Picasa. Pequenas e médias empresas hoje também desfrutam da possibilidade de ter acesso a altas capacidades de processamento até então reservadas a grandes corporações.

Todavia, na medida em que estes recursos e serviços computacionais evoluírem nesta plataforma, com o uso crescente de ‘conteúdos digitais’, surge a necessidade de uma nova camada de infraestrutura legal e comercial para solucionar os conflitos surgidos neste arcabouço de computação. Indubitavelmente, as preocupações relacionadas à proteção do consumidor e da segurança de dados, da validade dos contratos eletrônicos, da privacidade e da propriedade intelectual, não são apenas “desafios da nuvem”. Todas elas têm sido alvo de controvérsias no contexto do comércio eletrônico (e-commerce) ao menos por duas décadas. Entretanto, considerando que a computação em nuvem é um dos segmentos de maior crescimento da indústria da Tecnologia da Informação (TI), ela cria novos desafios ou no mínimo intensifica as dificuldades já existentes.

Urge observar que, a despeito da crescente importância do mercado da economia digital, em que a distribuição e o acesso ao ‘conteúdo digital’ têm se tornado um aspecto essencial da vida empresarial e do consumidor, até recentemente, a regulamentação desta matéria não despertava a atenção da maioria dos países industrializados. E embora nos últimos anos venha surgindo uma literatura acerca do ‘conteúdo digital’, permanece verossímil a observação de que na maior parte dos Estados-Membros da União Européia (UE), por exemplo, tem havido pouca ou praticamente nenhuma revisão das medidas legislativas já existentes para adequar as respectivas leis de proteção ao consumidor ao fornecimento do ‘conteúdo digital’.

No momento existe uma profunda incerteza no direito interno dos Estados-Membros da UE acerca das cláusulas dos contratos que envolvem o fornecimento e o uso de ‘conteúdo digital’. Seria o caso deste tipo de conteúdo ser considerado como serviço, como mercadoria, ou como algo sui generis? Acrescente-se que mais recentemente, os modos de acesso ao conteúdo digital envolvem, não apenas o meio tangível, como um programa de computador adquirido em CD, porém ainda a transferência (download), o streaming ou a computação em nuvem, que são meios intangíveis. Como o conteúdo digital cada vez mais se desloca para a nuvem, e, assim, deixa de ser fornecido em um meio físico, a incerteza se agrava sobremaneira.

Por tal razão, em outubro de 2011, a Comissão Européia publicou uma Proposta de Regulamentação relativa a um "direito comercial europeu comum", denominada na língua inglesa de “Common European Sales Law – CESL”. A CESL busca proporcionar um novo regime do direito contratual aplicável a todos os 27 Estados-Membros, trazendo harmonização ao direito de compra e venda na União Européia. O âmbito de aplicação material da proposta CESL inclui, contudo, apenas três tipos de contratos, a saber, compra e venda de produtos, fornecimento de conteúdos digitais e prestação de serviços relacionados a um dos dois tipos de contrato anteriores (ou a uma combinação de ambos). A expressa inclusão das normas relativas à oferta de contratos de fornecimento de ‘conteúdo digital’ representa, sem dúvida, um dos aspectos mais inovadores desta nova proposta de regulamentação.

O referido regulamento de maneira implícita observa algumas das questões de grande importância para o contínuo desenvolvimento dos serviços de nuvem e da defesa do consumidor digital na Comunidade Européia. A proposta CESL segue a abordagem de que um regime sui generis se faz necessário para os contratos de ‘conteúdo digital’. O texto deliberadamente abandona a dicotomia de categorização do conteúdo digital como “produto” versus “serviço”, ou ainda como bem “tangível” versus “intangível”, que têm estado presente nos contratos eletrônicos até o momento. Assim, afastando essas classificações estreitas e construídas para o universo dos contratos realizados com bens materiais e tangíveis, a proposta foi capaz de estender a grande maioria dos direitos e garantias aplicados aos contratos de compra e venda de produtos aos contratos de fornecimento de ‘conteúdo digital’ que venham a envolver o uso da computação em nuvem.

No entanto, a proposta CESL foi recebida com forte oposição por parte de diversos organismos profissionais no Reino Unido e de outros países na Europa. Uma objeção que parece, de fato, pertinente foi suscitada pela Law Society of England and Wales, que desafiou a aplicabilidade da CESL para alguns serviços em nuvem.

Em estudo intitulado “On the Applicability of the Common European Sales Law to some Models of Cloud Computing Services”, realizado em parceria com o Professor Chris Reed, do “Centre for Commercial Law Studies”, Queen Mary, Londres e publicado no portal da Social Science Research Network (SSRN, http://ssrn.com/abstract=2254993), defendemos a aplicabilidade da CESL a alguns serviços de nuvem quando envolve o fornecimento de ‘conteúdo digital’. Questionamos se os provedores de serviços em nuvem serão persuadidos a adotar esse instrumento opcional em suas transações em nuvem transfronteiriças. Argumentamos que a CESL será acolhida pelos provedores somente se essa escolha reduzir a incerteza de seus contratos de nuvem.

Reconhecendo que a precisão técnica é inatingível numa área de atividade que está mudando tão rapidamente, concluímos que, para que haja efetivamente a desejada redução da incerteza, alguns aspectos devem ser considerados:

(a) A proposta CESL é passível de ser aplicada apenas para alguns serviços em nuvem. O mero fornecimento de “Infraestrutura como Serviço” (IaaS) e de “Plataforma como Serviço” (PaaS) não se enquadra no escopo da CESL. Porém, ela ainda é capaz de regular muitas fontes de “Software como Serviço” (SaaS).
(b) Aquelas fontes de SaaS que permitem ao usuário armazenar, gerar, modificar ou comunicar os seus próprios conteúdos, fogem do âmbito da CESL. Em contrapartida, fontes de SaaS que concedem ao usuário acesso a conteúdo produzido por outros, e que pode ser consumido à vontade, estão nitidamente dentro da guarida da CESL. Neste particular, tal possibilidade facilita a redução da incerteza.
(c) No entanto, há um debate legítimo sobre o quanto de SaaS que provê apenas streaming de conteúdo, poderá ser inserido no escopo da CESL. Esta incerteza é definitivamente preocupante.

Não obstante todas as indicações de que o efeito da adoção da CESL tende a ser positivo entre os Estados-Membros da Comunidade Européia, nosso estudo nos permite concluir que ainda há um longo caminho a ser percorrido antes que a proposta venha a superar a incerteza que os provedores e fornecedores estão passíveis de encontrar nos contratos de serviços de computação em nuvem.



Clarice Marinho Martins de Castro, Professora, Universidade Católica de Pernambuco, e Doutoranda, Centro de Informática da UFPE
Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

Os Projetos de Lei Antipirataria na Internet e a Ameaça à Inovação e à Liberdade de Expressão

DOM, 08 DE ABRIL DE 2012 17:47

Em janeiro de 2012, um grande movimento nas redes sociais surgiu, em resposta a dois projetos de lei que tramitam no Congresso norte-americano visando combater a pirataria na internet: o SOPA, abreviação para “Stop Online Piracy Act” (ou, em tradução livre, “Lei para parar a pirataria online”) e o PIPA, Protect IP Act (lei para proteção da propriedade intelectual). Ambos preveem severas restrições ao uso de bens protegidos por direito autoral na internet, tanto para usuários domésticos quanto para grandes sites, que podem ser fechados apenas por “facilitar” o acesso dos usuários a esse tipo de bem. Tamanha restrição gerou protestos por todo o mundo e chamou a atenção para um problema até pouco tempo ignorado pela sociedade.

O surgimento desses dois projetos também acabou por despertar a atenção para o ACTA, ou “Anti-Counterfeiting Trade Agreement”, que, diferentemente dos anteriores, não se trata de apenas mais um projeto de lei norte-¬americano, mas sim de um tratado internacional, escrito em 2006 por Estados Unidos e Japão, e que vem sendo negociado em segredo por diversos países desde então. O objetivo do tratado é criar padrões internacionais de combate à violação de direitos de propriedade intelectual. Casos como pirataria de artigos de moda, infração ao copyright na internet, e medicamentos genéricos são os principais focos do texto.

Além do conteúdo excessivamente repressivo, o grande problema do ACTA e sua negociação secreta, a exclusão da sociedade civil, a parte mais interessada e atingida, dos debates em torno do assunto.

Nos últimos meses, os amplos debates a respeito do ACTA na União Europeia vêm sendo noticiados. Diversas reuniões têm sido feitas e estudos foram encomendados com a finalidade de verificar a compatibilidade dos dispositivos do ACTA com as leis e os princípios europeus ora em vigor. O resultado de um grande estudo conduzido pelo Diretório-Geral para Política Externa do Parlamento Europeu, publicado em junho de 2011, concluiu que o consenso incondicional ao ACTA seria uma resposta inapropriada, dados os problemas que foram identificados no tratado como ele está escrito atualmente.

Já os dois projetos norte-americanos, PIPA e SOPA, contam com o apoio das emissoras de televisão, dos grandes estúdios de cinema, das gravadoras e das editoras de livros. Do outro lado estão grandes corporações do Vale do Silício, ícones da inovação tecnológica, tais como Google, Facebook, Wikipedia, Wordpress, entre outras. Bem se percebe, por este cenário, que os grandes defensores dessas leis são os detentores de direitos autorais que alegam tomar prejuízos com as práticas atuais de compartilhamento na internet. Ou seja, como num ato de resistência quase quixotesca aos novos tempos, há uma busca insana pela manutenção de velhos modelos de negócio aliada a uma insistência na mera mercantilização do direito autoral, e, naturalmente, grandes interesses econômicos se posicionam em favor dos dois projetos de lei. Livre do compromisso com tais interesses, até mesmo quem se posicionava em defesa desses projetos, acaba reconhecendo que uma solução técnica meramente imposta não é compatível com a saúde da internet, conforme declarou recentemente o ex-“chief tecnology policy officer” da MPAA (entidade representante dos estúdios de Hollywood) e agora presidente da Internet Society, Paul Brigner (“MPAA's former tech policy chief turns SOPA foe”, Declan McCullagh, CNET, 06/04/12). "Acredito firmemente que não deveríamos estar legislando mandatos tecnológicos para proteger copyright - incluindo SOPA e Protect IP”, declarou Brigner.

O fato é que a aprovação dessas leis trará consequências desastrosas tanto para o ecossistema de inovação tecnológica quanto aos usuários da internet. E, apesar de serem leis internas dos Estados Unidos, seus efeitos serão sentidos em escala global. Senão, veja-se.

Os provedores de acesso à internet serão obrigados a bloquear o acesso a nomes de domínio infratores. As grandes corporações poderão, inclusive, bloquear qualquer site, local ou estrangeiro, apenas por exibir um link infrator. Sites como Twitter, Facebook e You tube teriam que censurar seus usuários ou seriam derrubados, pois se tornariam responsáveis por todo o conteúdo publicado pelos usuários. Além disso, o mais grave: usuários poderiam ser condenados a até cinco anos de prisão por postarem qualquer trabalho protegido por direito autoral.

O fato de tais projetos de lei afetarem cidadãos fora dos Estados Unidos traz à tona uma discussão jurídica importante: a questão da territorialidade da lei. Como podem cidadãos de outros países serem afetados por uma lei interna norte-americana? O princípio básico da territorialidade não pode ser deixado de lado por ambições comerciais.

O segundo é que tais projetos interferirão diretamente no funcionamento interno da rede. Especialistas afirmam que mexer no registro da web trará menos segurança e menos estabilidade.

Até mesmo a Casa Branca se manifestou contra a aprovação dos dois projetos, ao afirmar que podem trazer limitações à liberdade de expressão na internet.

Diante de tal posicionamento, a esperança é de que, mesmo que sejam aprovados pelo Congresso, os projetos sejam vetados pelo presidente Barack Obama. Diante de todas essas questões, a empresa  CMetrics, uma agência de consultoria em mídia  social,em  parceria com a eCGlobal Solutions, detentora de uma das maiores comunidades de opinião online da América Latina, fez uma pesquisa com latino-americanos sobre os dois projetos norte-americanos, bem como sobre o ACTA.

De acordo com a pesquisa, mais de 60% das pessoas que responderam são contrárias a essas regras; em alguns países, como Argentina e México, esse número ultrapassa os 90%.

Ainda de acordo com o estudo, uma das conseqüências das leis antipirataria na internet será o desaparecimento de sites.

Além disso, 60% dos participantes acreditam que tais leis podem eliminar completamente as redes sociais. Esse percentual foi ainda maior entre os homens e no grupo de 18 a 24 anos.

Ou seja, os cidadãos latino-americanos se revelam claramente contrários a tais iniciativas.

Atualmente, cidadãos de toda a América Latina utilizam a internet como fórum de expressão e comunicação com uma freqüência sem precedentes. Nenhum país da região possui qualquer tipo de lei que restrinja acesso a conteúdo na internet, sob o pretexto de o mesmo estar protegido por direito autoral. Pelo contrário, o Chile, por exemplo, foi o primeiro país do mundo a sancionar, em agosto de 2010, uma lei sobre a neutralidade da rede, a fim de que os provedores de internet não possam discriminar qualquer conteúdo transmitido a seus cidadãos.

No Brasil, o Comitê Gestor da Internet (CGI.br), publicou a Resolução CGI.br/RES/2012/003/P, em 05 de março de 2012, posicionando-se contrário a projetos como o SOPA. Segundo o documento, “a implementação das medidas previstas no SOPA violaria diversos dos princípios enunciados no Decálogo de Conceitos do CGI.br”. Ao final o CGI.br “refuta enfaticamente todo e qualquer projeto de lei que, tal como o SOPA, viole os princípios enunciados para a internet no Brasil, e solidariza-se com a Comunidade Internet em sua justa luta pela preservação dos conceitos fundamentais da rede”.

Houve ainda uma tentativa de elaboração de um projeto de lei no mesmo sentido no Brasil. O deputado federal Walter Feldman (PSDB-SP) apresentou, em 06/03/2012, projeto de lei que dispunha sobre a proteção dos direitos de propriedade intelectual e dos direitos autorais na internet. O projeto, apelidado de “SOPA brasileira”, foi duramente criticado, principalmente pelos ativistas da internet, que o acusavam de querer censurar a grande rede. Diante da enorme campanha negativa, o deputado retirou o projeto da Câmara dos Deputados em 20/03/2012.

Diversos são os indicadores de que os usuários de internet em todo o mundo não estão dispostos a aceitar qualquer interferência no funcionamento da rede. Afinal, a rede não foi feita para ter controle centralizado. E não o teve, até hoje. Como diria John Perry Barlow, em sua “Declaração de Independência do Ciberespaço”, dirigindo-se aos Governos, “o espaço cibernético não se limita a suas fronteiras”. Por mais que se tente, a Comunidade Internet não se mostra propensa a permitir que o funcionamento da rede seja afetado por interesses comerciais e financeiros.

A grande questão é: até quando os governos e as grandes corporações vão insistir em ir de encontro à comunidade online, em vez de usar os recursos da rede em seu favor?

Raquel Lima Saraiva, Mestranda, Centro de Informática da UFPE

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

Verificabilidade do Voto Eletrônico

SÁB, 31 DE MARÇO DE 2012 01:08

Testes públicos de segurança das urnas eletrônicas brasileiras, com vistas ao pleito municipal de outubro, foram realizados no Tribunal Superior Eleitoral nos dias 20, 21 e 22 de março de 2012, com a participação de 24 especialistas em informática, divididos em nove grupos, que atuaram como se fossem hackers, segundo informações do TSE.

Conforme amplamente veiculado na imprensa, um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica. A quebra consistiu essencialmente em recuperar a sequência dos votos, o que permite violar o sigilo das opções de cada eleitor desde que eles tenham acesso à lista de eleitores que votaram na seção.

“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).

Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.

A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica, três dias, impede avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.

O número de acusações de fraudes nas eleições em volta do nosso país cresce a cada ano, mas o STE nunca viu tais acusações como fraudes comprovadas. O problema de termos um sistema eleitoral com a responsabilidade de administrar, regular e fiscalizar o próprio sistema eleitoral complica a confiança no sistema, afinal é difícil acreditar que alguém vai admitir perante os seus superiores que cometeu um erro e pra correr o risco de perder o emprego e colocar em cheque o “cem por cento seguro”.

Em busca de melhorar a segurança e a confiabilidade dos seus sistemas eleitorais de votação (SEV), muitos países têm apostado em dois requisitos essenciais.

Princípio da publicidade: ser capaz de demonstrar que o resultado eleitoral foi correto. Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.

Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.

Sistemas de votação com verificabilidade fim-a-fim permitem que os eleitores auditem se seus votos são expressos como destinados, coletados como elencados, e contabilizados como recolhidos, ou seja, proporcionam uma apuração capaz de ser conferida pela sociedade civil. Essencialmente, os sistemas de votação com verificabilidade prestam a garantia aos eleitores de que cada etapa da eleição funcionou corretamente. Ao mesmo tempo, os sistemas de votação devem proteger a privacidade do eleitor e evitar a possibilidade de influência e coação eleitoral dos eleitores. Vários sistemas de votação com verificabilidade fim-a-fim têm sido propostos, variando em usabilidade e praticidade.

Normalmente, os sistemas de votação de criptografia usam um quadro de avisos públicos onde os funcionários eleitorais publicam informações que os eleitores e outros agentes envolvidos usam para o processo de verificação. No momento da votação, os eleitores podem, opcionalmente, receber um comprovante de preservação da privacidade de seu voto. Após os votos serem contados, os resultados e a verificação da informação são exibidos no quadro de avisos. Os eleitores podem então utilizar os seus comprovantes para verificar se os seus votos foram recolhidos, conforme esperado, e qualquer partido pode verificar se o registro está correto em relação aos votos recolhidos. Se algum eleitor encontra uma discrepância, ele tem algum tempo para um registro de litígio, antes de o resultado ser certificado.

Mais formalmente, o que tem sido variavelmente chamado E2E (em inglês, “End-to-End” ou Fim-a-Fim), votos codificados, criptografia, ou auditoria de sistemas abertos de voto, são os sistemas que preservam o sigilo eleitoral, proporcionando:

Verificabilidade do eleitor: algum tempo depois de lançar o seu voto, cada eleitor pode confirmar que seu voto foi "recolhido como elencado", verificando a preservação da privacidade da recepção da informação contra um registro público de recibos postados pelos funcionários eleitorais.

Verificabilidade universal: qualquer pessoa pode verificar que os votos foram "contados como recolhidos", ou seja, a correspondência postada é correta com relação ao registro público dos recibos postados.

Com relação a eleições de auditoria aberta, há apenas um pequeno número de implementações relevantes, entre elas citaremos alguns casos de eleições realizadas atualmente que proporcionaram a verificabilidade do voto e alguns sistemas que proporcionam este funcionamento.

O sistema Helios é o primeiro sistema de eleição de auditoria aberta baseado na web, ele está disponível ao público, qualquer pessoa pode acessá-lo, criar e proceder uma eleição e qualquer pessoa pode auditar todo ou qualquer parte do processo. Devido ao voto ser feito pela web, o Helios ainda é um sistema que pode ser atacado por um coercivo, ficando o sistema ainda dependente de muita confiança nas eleições. Não obstante, tem sido utilizado em clubes sociais, entidades estudantis e outros cenários fora do embate político partidário público.

O eleitor pode sofrer algum tipo de coerção em votações on-line, como é o caso do Helios, um coercivo pode ficar fiscalizando por trás do seu ombro se ele realmente está votando em quem prometeu, ou até mesmo um coercivo poderia sair por aí com um notebook coletando pessoas que queiram comercializar os seus votos. Já buscando uma solução para este tipo de ataque, alguns protocolos de segurança procuram reduzir o risco de coerção, permitindo que os eleitores anulem o seu voto coagido posteriormente e habilitando uma nova votação, mesmo assim ainda não é uma solução definitiva, pois o eleitor mal intencionado, poderia usar este artifício para vender seu voto várias vezes a coercivos diferentes.

O sistema Scantegrity, assim como o Helios, trata-se de sistema de votação eletrônico que também objetiva a verificabilidade do voto. Inicialmente ele foi testado por eleitores de Takoma Park, no estado de Maryland - EUA, como forma de permitir que os eleitores acompanhassem o boletim de voto através da Internet e verificassem se seus votos realmente haviam sido registrados conforme depositados.

O Scantegrity é um projeto desenvolvido por um especialista em criptografia em conjunto com investigadores acadêmicos, de diversas universidades e atualmente encontra-se na sua 2º versão. Baseado em técnicas de criptografia, o sistema pode ser introduzido nos leitores ópticos das urnas, onde os eleitores depositam o seu voto preenchido com uma caneta de tinta especial.

Após votar, é visto no boletim de voto um código com três dígitos, de fácil assimilação, escrito com tinta invisível e que apenas é visível quando o eleitor seleciona o seu candidato. Este código então poderá num segundo momento ser utilizado para verificar, através de um site pertencente à instituição responsável pela eleição, se o voto foi ou não corretamente contabilizado.

Em Israel o recurso de criptografia visual está sendo implantado para ajudar a fortalecer a segurança das urnas. A votação para a liderança do Partido Meretz no mês passado se deu através do sistema Wombat de votação eletrônica, que faz uso da criptofia visual, e que foi desenvolvido pelo Centro Interdisciplinar Herzliya e a Universidade de Tel Aviv usando o código escrito pelo especialista em criptografia Douglas Wikstrom do Royal Institute of Technology (KTH) em Estocolmo.

O método de criptografia visual consiste em criptografar uma informação visual (imagens, texto, etc) de tal maneira que, para a decriptação, dispensa a ajuda de equipamentos. No sistema usado nas eleições israelenses o eleitor escolhe o candidato desejado na urna, recebe uma cédula impressa que consiste de duas informações: uma corresponde ao voto desejado e a outra uma informação encriptada com criptografia visual. O eleitor digitaliza a parte criptografada com a ajuda de uma espécie de leitor de código de barra, que copia o código para a internet para uma consulta posterior do próprio eleitor, em seguida ele corta o voto, separando-o da informação criptograda e o cobre com um lado do papel que já está inserido na cédula, de forma a esconder a sua escolha e o deposita na urna.

Em 2011, a Argentina iniciou a implantação de equipamentos eletrônicos denominados Vot-Ar de 2ª geração, com registros simultâneos impresso e digital do voto. Na Província de Salta, 33% dos eleitores votaram nas novas urnas com voto impresso e a previsão é de ampliar para 66% em 2013 e 100% dos eleitores em 2015.

No Brasil as urnas eletrônicas ainda são de 1º geração, e não permitem a verificabilidade do voto. Resta indagar: até quando?


Wagner Medeiros dos Santos, Mestrando, Centro de Informática da UFPE
Gleudson Varejão Júnior, Mestrando, Centro de Informática da UFPE
Carlos Eduardo Rodrigues Saraiva, Mestrando, Centro de Informática da UFPE
Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

O direito de acesso a obras digitais

DOM, 09 DE OUTUBRO DE 2011 23:03

O projeto de lei de combate à pirataria online em tramitação no Congresso Americano intitulado “PROTECT Intellectual Property Act” (PIPA), de autoria do Senador Patrick Leahy, e apoiado pela indústria do entretenimento, foi duramente criticado numa carta enviada em Setembro/2011 aos legisladores por mais de 100 empreendedores da área de tecnologia da informação, entre eles os fundadores de empresas como Twitter, LinkedIn, Zynga, Blogger, e Friendster. Se aprovado, o projeto daria novas ferramentas ao Departamento de Justiça e aos detentores de direitos autorais para combater sites “dedicados a atividades infratoras”, incluindo a capacidade de buscar ordens judiciais tomando os nomes de domínio dos sites e exigindo que engenhos de busca, empresas de processamento de transações financeiras e redes de anunciantes os incluam em listas negras.

Muito embora não se opondo ao objetivo principal do PIPA, os signatários se declaram preocupados com o efeito nefasto que a lei poderia causar no ecossistema de inovação da Internet. “Enquanto que o projeto deverá criar incerteza para muitos negócios legítimos e, por sua vez, minar a inovação e a criatividade naqueles serviços, os piratas dedicados que usam e operam sites ‘falsos’ vão simplesmente migrar para plataformas que ocultem suas atividades”.  Uma das maiores preocupações dos empreendedores é o malefício que poderá trazer a startups, pois o PIPA não prevê, como faz o Digital Millennium Copyright Act (1998), a isenção de empresas de veiculação de conteúdo produzido por usuários, sites de processamento de pagamento, empresas da indústria do anúncio online, assim como de ferramentas de localização, da responsabilidade por atos de infração de direitos autorais eventualmente perpetrados por seus usuários. Isso sem falar no grau de imprecisão na definição do que significa um site “dedicado a atividade infratora”.

A carta dos empreendedores conclui chamando a atenção para o fato de que a Internet e as novas tecnologias podem até ser um problema para os criadores, mas, também podem ser a solução: “Introduzir novas armas regulatórias na corrida armamentista contra a pirataria não vai parar a corrida, mas vai garantir que haverá mais danos colaterais no percurso. Há certamente desafios para o sucesso como criador de conteúdo online, mas as oportunidades são muito maiores que os desafios, e a melhor maneira de lidar com esses últimos é criar mais dos primeiros.”

Como diz Larry Downes em seu artigo “Leahy's Protect IP Act: Why Internet content wars will never end” publicado no portal Forbes.com em 16/05/2011, todos concordam que as indústrias de mídia estão no meio da guerra mais importante de suas vidas. Seus negócios se baseiam na lucratividade sobre a distribuição controlada de bens de informação cujas cópias têm um custo marginal que continua caindo e chegando muito próximo de zero. Não obstante, novos aplicativos “matadores” (“killer apps”, em inglês) continuam aparecendo, e cada um deles vem com um novo desafio aos detentores de direitos autorais para manter o controle: BitTorrent, computação em nuvem, YouTube, Limewire, Napster, e Google Books, todos foram considerados os grandes vilões e os principais inimigos até quando surgiu o próximo. No final das contas, tudo indica que o verdadeiro inimigo é a própria Internet: a incrível capacidade da tecnologia digital de reduzir os custos de transação das trocas de informação tem sido implacável com os modelos de negócio, e às vezes com os próprios negócios. O controle sobre cópias parece cada vez mais fugidio, mas a guerra continua: litígio judicial, legislação, processo sobre patentes, marcas, licenças, etc., tudo isso envolvendo, por um lado, entidades representativas da indústria tais como RIAA e MPAA, assim como editoras e jornais, e, por outro lado, os próprios consumidores.

A guerra tecnológica é intensa: se, por um lado, as indústrias de conteúdo criam mecanismos criptográficos e sistemas de gerenciamento de direitos digitais, a Internet oferece ferramentas cada vez mais poderosas de compartilhamento da informação, desde as redes peer-to-peer até tecnologias de jailbreaking que contornam os mais sofisticados controles sobre “cópias” compradas ou alugadas.

Poder-se-ia perguntar, como assim o faz Downes, por que os combatentes nessa guerra estão sempre dispostos a recorrer a táticas cada vez mais incompletas, ineficazes e perigosas, mesmo sabendo que suas chances de ganhar são ínfimas?  O que ocorre é que a Lei é frequentemente o ultimo refúgio de uma indústria em transição: ao invés de mudar para acompanhar a evolução dos tempos no ritmo que a inovação assim o permite, os incumbentes da indústria recorrem a processos judiciais, inicialmente para tentar diminuir o ritmo do progresso, e depois simplesmente para tentar sobreviver. Trata-se de uma decorrência de um inevitável e devastador princípio que Downes, em seu livro “The Laws of Disruption: Harnessing the New Forces that Govern Life and Business in the Digital Age” (Basic Books, 2009), chama de “Lei da Disrupção”, e que explica a resistência à mudança: sistemas sociais, políticos, e econômicos evoluem incrementalmente, enquanto que a tecnologia avança a um ritmo exponencial.

Para a distribuição da informação sob forma de mídia, as poucas porém cruciais leis que protegem e perpetuam a moribunda versão analógica da indústria são as chamadas leis da “propriedade intelectual”. Essas leis garantem os monopólios sobre a distribuição de mídia digital através da imposição de sanções civis ou penais. Nesse sentido, elas apenas criam artificialmente direitos temporários de propriedade sobre criações intangíveis: expressão (copyright), idéias (patente) e de marcas (trademark). Ao tratar a informação como se fosse propriedade, a lei permite que escritores, inventores e os comercializadores definam os termos sob os quais eles vão poder recuperar seus investimentos na criação de novas informações sempre equilibrada pelas necessidades de uma sociedade democrática com vistas a garantir que o acesso às novas informações seja tão livre quanto possível.

Em seu tratado “Access-Right: The Future of Digital Copyright Law” (Oxford University Press, Dezembro 2010), Zohar Efroni examina as relações entre o acesso à informação e a proteção aos direitos autorais com especial ênfase no chamado “mundo da informação digital”. Trata-se de um estudo de temática extremamente atual em torno do acesso e do controle de acesso sob a lei do copyright. Lembrando que, em 1994, John Perry Barlow, fundador de uma das mais atuantes entidades de defesa dos direitos civis na Internet, a Electronic Frontier Foundation, e autor da “Declaração de Independência do Ciberespaço”, já previa a queda da lei do copyright como a conhecemos hoje, Efroni chama a atenção para o fato de que, em sua crítica, Barlow descrevia a lei da propriedade intelectual no ambiente digital online como um navio afundando. Essencialmente, o argumento de Barlow era que os construtos legais tais como a lei do copyright se baseavam na existência de certas condições físicas e limitações que eram predominantes no mundo analógico, mas que não mais existem no ciberespaço. No espaço digital, a informação estaria supostamente liberada das “garrafas” tangíveis nas quais tinham sido trancadas por séculos. Com efeito, a informação está sendo transfigurada para “condições de voltagem fluindo na rede à velocidade da luz, em condições que se pode contemplar de fato, como pixels brilhantes ou sons transmitidos, mas não se pode tocar ou se pode reivindicar propriedade sobre elas no sentido antigo da palavra.” Barlow previa que a proteção dos ativos intelectuais no ambiente em rede seriam baseados muito mais na ética e na tecnologia do que na lei.

O fato é que tomar como base para o copyright o conceito de acesso digital primeiramente demanda uma fundamentação sobre os componentes básicos do controle de acesso proprietário sobre a informação no abstrato. Em seu livro, Efroni faz um extenso levantamento sobre os desenvolvimentos recentes no direito positivo, ao mesmo tempo em que mostra como o construto teórico do direito-de-acesso poderia explicar a lógica por trás desses desenvolvimentos. Em suma, o livro analisa de forma crítica as abordagens existentes à eliminação dos problemas resultantes do desequilíbrio e do excesso de proteção que supostamente deixam os usuários em desvantagem. Ao fim, ao cabo, Efroni defende a necessidade de uma reforma estrutural radical dos aparatos reguladores atualmente vigentes que envolva uma série de mudanças nos modos com que definimos os direitos autorais, e nas maneiras pelas quais esses direitos possam se interrelacionar dentro de um esquema coerente único.

Um projeto de pesquisa em andamento no Centro de Informática da UFPE busca dissecar minuciosamente a teoria proposta por Efroni, com vistas à obtenção de um melhor entendimento da problemática do direito de acesso a obras digitais.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

O roubo de identidade, a personalidade virtual e o gerenciamento da identidade digital

DOM, 02 DE OUTUBRO DE 2011 19:11

Apesar de todos os benefícios que tem trazido à sociedade, a Internet está por trás de uma tendência nada positiva: o crescimento dos crimes de roubo de identidade.

Nos EUA, a Comissão Federal de Comércio (“Federal Trade Commission” - FTC) registrou em suas estatísticas relativas a 2010 mais de 250 mil notificações de roubo de identidade, representando 19 por cento de todas as queixas de consumidores à FTC, tornando o roubo de identidade não apenas o motivo mais freqüente de reclamações, mas também o que mais preocupa os consumidores americanos. A bem da verdade, o roubo de identidade via Internet, em especial, é uma ameaça global, e é apontado como um dos crimes emergentes de maior alcance da atualidade.

Como bem descreve o relatório da McAfee intitulado “Fraude financeira e operações bancárias pela Internet: ameaças e contramedidas” (2009), por François Paget, a identidade de uma pessoa constitui a base de sua personalidade jurídica. Enquanto que no mundo real, essa identidade é definida por seu registro civil, sendo protegida por lei, no mundo virtual, a identidade de uma pessoa tem um alcance bem maior e é menos claramente definida. Alguns dados digitais relacionados à identidade de uma pessoa (como nomes de conta, nomes de usuário e senhas) proporcionam acesso a dados privados. Todos esses identificadores digitais, que, embora possam fazer parte do que se chama de identidade digital, não são considerados elementos da personalidade jurídica de uma pessoa, e são cada vez mais cobiçados por fraudadores que buscam se fazer passar por suas vítimas.

Parece premente a necessidade de se fundamentar um entendimento mais amplo sobre não apenas o fenômeno em si da virtualização da identidade e da personalidade, mas também sobre as técnicas, as metodologias e as ferramentas para se atingir a interoperabilidade entre diferentes soluções de gerenciamento de identidade de modo a fomentar sua adoção ampla e sadia por parte de indivíduos e organizações.

O reconhecimento da pessoa perante a lei se deve em função dos direitos e deveres a ela atribuída, independentemente de se tratar de uma pessoa humana. Em princípio, a pessoa é o sujeito ou a substância legal do qual direitos e deveres são atributos. Certos construtos sociais, tais como as chamadas pessoas jurídicas, são consideradas personalidades legais com estatura para processar e ser processado juridicamente. Conforme a Wikipedia, isso é o que se chama de personalidade corporativa. Porém, pode-se indagar que critérios seriam usados para se determinar a personalidade de entes artificiais “inteligentes”, tais como robôs e avatares.

Desde a “Declaração dos Direitos dos Avatares” emitida por Ralph Koster em 2000, algumas iniciativas têm procurado fomentar a discussão em torno da natureza do sujeito de direito virtual no ambiente dos videogames (tais como Second Life e World of Warcraft), entre elas o seminário “Virtual Liberties: Do Avatars Dream of Civil Rights?”, em 28/01/2008, parte da Série “Philanthropy and Virtual Worlds” apoiada pela MacArthur Foundation.

Por outro lado, os conceitos de personalidade virtual e identidade digital estão intrisecamente ligados a direitos humanos. Conforme estudo de 2007 da OECD intitulado “At a Crossroads: Personhood and Digital Identity in the Information Society” (STI Working Paper 2007/7), é cada vez maior a sensação no ambiente online de que uma sociedade livre e aberta pode não estar tão garantida como se supunha inicialmente com o advento da Web. A falta de controles de identidade no ciberespaço pode deixar a sociedade da informação suscetível a roubo de identidade, um dos crimes mais comuns hoje nos países desenvolvidos, assim como a ataques anônimos de negação de serviço que têm acontecido com uma freqüência cada dia maior. À medida em que tecnologias emergentes trazem a sociedade da informação para território nunca dantes explorado, até mesmo aqueles que enxergam a proteção de dados como o caminho para garantir os bons propósitos estão questionando a adequação das salvaguardas concebidas alguns anos atrás. Justo quando a sociedade se encaminha para um ambiente de informações ubíquas, surge naturalmente a preocupação com o reforço aos princípios que devem nortear as leis e as normas concernentes à proteção de dados pessoais. Mais especificamente, serão os princípios vigentes capazes de proteger os dados mesmo quando essas informações estão fora do controle do indivíduo às quais esses dados dizem respeito? Segundo o documento da OECD, em termos do gerenciamento da identidade, a menos que a lei e a tecnologia sejam concebidos de forma a respeitar certas “Propriedades da Identidade”, não existe proteção de dados; e se não há proteção de dados, não há responsabilização; e se não existe responsabilização, não há confiança.

Buscando avaliar a situação no contexto global, a OECD circulou, em Novembro de 2009, um questionário entre as delegações do Grupo de Trabalho em Segurança da Informação e Privacidade (“Working Party on Information Security and Privacy” - WPISP) com o objetivo de coletar informações sobre as estratégias e políticas nacionais no que diz respeito ao gerenciamento da identidade digital (em inglês, “Identity Management”, IdM). Entre os principais objetivos estava a ilustração e a suplementação do relatório elaborado em 2008-2009 sobre “The Role of Digital Identity Management in the Internet Economy: A Primer for Policymakers “. Era preciso analisar o que havia de comum assim como o que havia de diferente entre as estratégias nacionais para IdM.

Recentemente, num relatório intitulado “National Strategies and Policies for Digital Identity Management in OECD Countries” (OECD Digital Economy Papers, No. 177, 2011) a OECD revela que para a maioria dos países o objetivo primordial para o desenvolvimento de uma estratégia nacional para o gerenciamento da identidade é a implementação do governo eletrônico, ainda que para alguns deles o que mais importa seja estimular a inovação na economia baseada na Internet, tanto de forma explícita como implicitamente. De modo geral, inovação, governo eletrônico e cibersegurança são preocupações fundamentais dos países membros da OECD que responderam ao questionário.

Com vistas a levar os setores público e privado a colaborar no sentido de elevar o nível de confiança associada a identidades de indivíduos, organizações, redes, serviços, e dispositivos envolvidos em transações online, o governo americano, através do staff da Casa Branca, publicou o documento “National Strategy for Trusted Identities in Cyberspace - Enhancing Online Choice, Efficiency, Security, and Privacy” (Abril 2011). Em face das adversidades enfrentadas, por um lado, por indivíduos no sentido de manter uma enorme quantidade de diferentes nomes de usuário e senhas, levando ao sempre perigoso reuso de senhas, e, por outro lado, por empresas no enfrentamento da escalada da complexidade dos esquemas de gerenciamento de dados sigilosos de seus clientes, bem como do aumento das responsabilidades legais e financeiras decorrentes da fraude online, o documento chama a atenção para o fato de que, se há a carência de métodos para autenticar indivíduos de forma confiável,  há também muitas transações na Internet nas quais não há necessidade de identificação e autenticação, ou mesmo a informação necessária é limitada. Ainda assim, é vital manter a capacidade de prover anonimidade e pseudonimidade em determinadas transações de forma a preservar a privacidade de indivíduos e garantir os direitos civis. Ao fim ao cabo, a visão da proposta é a de que indivíduos e organizações possam utilizar soluções de identidade seguras, eficientes, fáceis de usar, e interoperáveis para acessar serviços online, de um modo que promova a confiança, a privacidade, a escolha, e a inovação. Os desafios são muitos, naturalmente.

Segundo Bertino & Takahashi em seu livro “Identity Management: Concepts, Technologies, and Systems” (Artech House, Dezembro 2010), a “identidade digital” pode ser definida como a representação das informações conhecidas sobre um indivíduo ou uma organização específica. Tecnologia de gerenciamento da identidade digital é uma função essencial na personalização e na melhoria da experiência do usuário da rede, propiciando proteção à privacidade, dando suporte à responsabilização em transações e interações, e garantindo o cumprimento dos controles regulatórios.

Conforme a descrição do “The Seventh ACM Workshop on Digital Identity Management” (DIM 2011), há questões cruciais a serem resolvidas para a construção de tecnologias interoperáveis de gerenciamento de identidade digital. Com a crescente multiplicidade de dispositivos de cliente habilitados por identidade – de cartões eletrônicos de identificação, a smartphones, a aparelhos de TV, a tablets e a PC’s, e até serviços de computação em nuvem – o gerenciamento de identidade tem um papel crítico para a segurança e a privacidade como um todo, assim como para o sucesso dos paradigmas emergentes. Gerenciamento de identidade é, na realidade, um esforço interdisciplinar para lidar com a manutenção de identidades durantes seus ciclos de vida, de modo a torná-las disponíveis a serviços de uma maneira segura e com proteção à privacidade. Identidades digitais desempenham papéis cada vez mais importantes à medida em que a sociedade depende mais e mais de serviços na Internet.  Por exemplo, práticas sólidas de gerenciamento de identidade são essenciais para a implementação de serviços de assistência social (e.g., saúde e governo eletrônico), para a viabilização de serviços seguros (e.g., computação em nuvem e software-como-serviço), para a personalização das experiências dos usuários (e.g., e-comércio e entretenimento), e para a interconexão das pessoas através de redes (e.g., redes sociais e comunicações móveis).

Soluções abrangentes para o gerenciamento de identidade digital vão exigir o enfrentamento de grandes e múltiplos desafios para se encontrar a melhor combinação de usabilidade, segurança, e privacidade. Adicionalmente, interoperabilidade é crucial pois um número cada vez maior de soluções de identidade está sendo proposto, usando abordagens diferentes e, muitas vezes, com objetivos bem distintos.  Além do mais, as soluções existentes não são necessariamente interoperáveis ou complementares, e, em alguns casos, se sobrepõem.  Como se isso não fosse o bastante, algumas dessas soluções podem não se compatibilizar bem com os sistemas já existentes que constituem a grande maioria do estado da arte.

Como diz David Birch, organizador do volume “Digital Identity Management” (Ashgate Publishing, 2007), para praticamente toda organização no mundo atual e mais ainda no futuro, seja do setor privado ou do setor público, o gerenciamento de identidade apresenta oportunidades e riscos significativos. Bem gerenciada, a identidade digital permitirá que todos tenham acesso a produtos e serviços que são personalizados conforme suas necessidades e preferências. Porém o bom gerenciamento também significa que as organizações deverão suplantar os significativos obstáculos de segurança, de garantia dos direitos humanos individuais, e da preocupação social com o vigilantismo que poderia inviabilizar o processo.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE