Criptografia pós-quântica: Brasil prepara migração da infraestrutura digital

A infraestrutura brasileira de assinaturas digitais e certificados eletrônicos enfrenta uma transformação tecnológica sem precedentes. A constituição de um Grupo de Trabalho Técnico pelo governo federal sinaliza a urgência de adaptar os padrões criptográficos atualmente em uso antes que computadores quânticos de nova geração se tornem capazes de comprometer a segurança dos sistemas existentes — um risco conhecido internacionalmente como "capture agora, quebre depois", em que agentes maliciosos capturam dados criptografados no presente para decifrá-los quando tiverem capacidade computacional suficiente no futuro.

Contexto

A computação quântica representa uma mudança paradigmática na capacidade de processamento. Diferentemente dos computadores clássicos, máquinas quânticas exploram propriedades de sobreposição e entrelaçamento para resolver certos problemas exponencialmente mais rápido. Esse avanço tecnológico, embora promissor para inteligência artificial, saúde e otimização, traz uma ameaça concreta aos algoritmos de criptografia de chave pública que sustentam a confiança digital em transações empresariais, governamentais e pessoais.

No Brasil, o ambiente regulatório de assinaturas digitais consolidou-se principalmente sobre a Lei 14.063/2020 (que disciplina a assinatura eletrônica) e normas complementares sobre infraestrutura de chaves públicas (ICP-Brasil). Esses marcos permitiram a redução de burocracias e aceleração de operações empresariais, gerando ganhos significativos em agilidade e custo operacional. Contratos eletrônicos, certificados digitais e plataformas de assinatura tornaram-se rotineiros em empresas, autoridades certificadoras, bancos, fintechs, seguradoras e escritórios de advocacia. Contudo, nenhuma dessas normas foi concebida para lidar com riscos pós-quânticos — justamente o vácuo que o Grupo de Trabalho Técnico visa preencher.

A necessidade de ação não é meramente teórica. Agentes maliciosos já podem estar coletando dados e documentos criptografados hoje, apostando que máquinas quânticas suficientemente poderosas estarão disponíveis em 5 a 15 anos. Se esses sistemas quebrarem, documentos assinados digitalmente e considerados legalmente válidos hoje poderão ter sua autenticidade questionada no futuro — com impactos jurídicos, econômicos e reputacionais imensuráveis.

O que foi decidido

O governo federal constituiu um Grupo de Trabalho Técnico com múltiplas responsabilidades estruturadas em uma portaria. No prazo inicial de 90 dias — prorrogável por igual período — o grupo deve entregar:

1. Diagnóstico de risco quântico: mapeamento dos sistemas críticos da infraestrutura de certificados digitais e assinaturas eletrônicas vulneráveis à quebra pós-quântica.

2. Plano de migração pós-quântica: roteiro para transição de algoritmos criptográficos atuais (como RSA e ECDSA) para padrões resistentes a ataques quânticos (por exemplo, criptografia baseada em redes, hashes ou isogenias).

3. Proposta de atualização normativa: identificação de lacunas na legislação atual (Lei 14.063/2020, resoluções da ICP-Brasil, normas técnicas) e recomendações de novos marcos regulatórios.

4. Estratégia de execução: definição de fases, prioridades, requisitos para autoridades certificadoras e prestadores de serviços, planos de teste, mecanismos de monitoramento e ações de conscientização.

A decisão reconhece que a migração para criptografia pós-quântica não é um exercício puramente técnico de "trocar uma tecnologia por outra". Exige articulação com entidades internacionais de padronização (como NIST, que já está desenvolvendo padrões pós-quânticos), preservação de interoperabilidade entre sistemas legados e novos, e manutenção da validade legal de documentos já assinados digitalmente.

Base normativa e precedentes

• Lei 14.063/2020 — Disciplina a assinatura eletrônica no Brasil; não aborda riscos quânticos, necessitando atualização futura para incorporar requisitos de resistência pós-quântica.

• Lei 13.709/2018 (LGPD) — Embora centrada em proteção de dados pessoais, estabelece obrigações de segurança da informação (Art. 32) que podem ser interpretadas para incluir criptografia robusta; a LGPD não contempla riscos quânticos, mas criará pressão regulatória para que controladores de dados assegurem integridade criptográfica de longo prazo.

• Normas técnicas ICP-Brasil — Resoluções do Comitê Gestor da ICP-Brasil e atos normativos da Autoridade Certificadora Raiz definem requisitos para autoridades certificadoras e padrões de certificados; deverão ser atualizadas para incluir algoritmos pós-quânticos.

• Padrões internacionais (NIST SP 800-184, ETSI QSC) — Organismos de padronização internacionais já desenvolvem especificações para migração pós-quântica; o Brasil acompanha esse movimento, sinalizando alinhamento com melhores práticas globais.

• Jurisprudência sobre validade de documentos eletrônicos — Tribunais brasileiros já reconhecem força probatória de assinaturas digitais (cfr. jurisprudência consolidada em Tribunais de Justiça); uma quebra de confiança criptográfica poderia levar a ressurgimento de litígios sobre autenticidade de contratos antigos.

Impacto prático

A constituição do Grupo de Trabalho Técnico não impõe obrigações imediatas a empresas, mas sinaliza agenda regulatória que avançará nos próximos meses e anos. Os efeitos práticos atingem múltiplos segmentos:

Para autoridades certificadoras e prestadores de serviço de assinatura eletrônica:

• Preparação de plataformas técnicas para emissão de certificados pós-quânticos em paralelo com certificados clássicos (período de coexistência).
• Atualização de políticas de segurança e procedimentos de teste.
• Investimentos em infraestrutura e capacitação de equipes.

Para bancos, fintechs e seguradoras:

• Auditoria de sistemas de assinatura digital usados em contratos, aberturas de conta e operações de pagamento.
• Revisão de procedimentos de validação de assinaturas em transações críticas.
• Planejamento de roteiros de migração para não prejudicar operações em curso.

Para escritórios de advocacia e notários:

• Avaliação de consequências de uma eventual quebra de confiança em documentos assinados digitalmente arquivados (especialmente contratos de longa duração).
• Orientação a clientes sobre riscos de documentos digitais antigos em litígios futuros se a criptografia for quebrada.

Para empresas com grande volume de documentos eletrônicos:

• Planejamento de revalidação ou ressignação de documentos críticos após migração para padrões pós-quânticos.
• Identificação de operações e contratos que exigem rastreabilidade e integridade de longo prazo.

Para consumidores e pessoas físicas:

• Proteção indireta de documentos e operações que dependem de assinaturas digitais (aberturas de conta, contratos de trabalho, operações imobiliárias via plataformas digitais).

O que observar

Desafios técnicos e regulatórios em aberto:

A migração para criptografia pós-quântica é complexa. Não basta que o NIST ou organismos internacionais padronizem novos algoritmos; é necessário que Brasil atualize sua infraestrutura de chaves públicas, requalifique autoridades certificadoras, teste interoperabilidade entre sistemas legados e novos, e estabeleça regras claras sobre transição. Se conduzida de forma desordenada, pode gerar:

• Insegurança jurídica sobre documentos antigos: quando uma assinatura digital deixa de ser "tecnicamente segura" segundo novos padrões, será questionada sua validade legal?
• Aumento de disputas judiciais: partes em contratos assinados digitalmente podem questionar autenticidade se soubessem que a criptografia é quebrada.
• Ineficiência operacional: empresas podem exigir validações adicionais ou retornar a procedimentos físicos em operações sensíveis, reintroduzindo burocracia.

Próximos passos previstos:

1. Dentro de 90 dias: Entrega do diagnóstico de risco quântico e plano preliminar.
2. Fase regulatória: Discussão sobre atualização de normas (Lei 14.063/2020, resoluções ICP-Brasil).
3. Fase de implementação: Adaptação de autoridades certificadoras e prestadores de serviço (prazo não especificado, mas provável 2 a 5 anos para migração em larga escala).
4. Período de coexistência: Sistemas clássicos e pós-quânticos operarão em paralelo durante transição.

Recomendações para profissionais do direito:

• Monitorar publicações do Grupo de Trabalho Técnico e futuras portarias sobre criptografia pós-quântica.
• Orientar clientes sobre riscos de documentos digitais de longa duração e importância de manutenção de copias em suportes diversificados.
• Preparar-se para eventual revisão de padrões de prova documental em litígios envolvendo documentos antigos assinados digitalmente após quebranta de confiança criptográfica.
• Avaliar cláusulas contratuais sobre autenticidade e integridade de documentos eletrônicos em contratos de longo prazo.