Os registos não bastam
Registar um evento não é o mesmo que poder prová-lo de forma independente.
A maioria dos sistemas parte do princípio de que, se algo ficar armazenado, mais tarde poderá ser demonstrado. Essa suposição não resiste em condições reais.
Os sistemas produzem registos, não prova independente
Os sistemas digitais geram registos de atividade, bases de dados, trilhos de auditoria e registos internos.
Esses mecanismos fornecem capacidade interna de prova. Permitem às organizações reconstruir o que aconteceu dentro dos seus próprios sistemas.
Mas reconstrução não é verificação independente.
Quando a verificação exige acesso a sistemas internos, dados ou cooperação institucional, a prova permanece estruturalmente dependente.
A verificação depende de condições que podem não subsistir
Na maioria dos contextos, a verificação depende de condições que não podem ser garantidas ao longo do tempo.
- Acesso a sistemas internos
- Disponibilidade de dados históricos
- Continuidade da organização ou do prestador
- Disponibilidade para cooperar ou facultar registos
Se algum destes elementos falhar, a verificação degrada-se ou torna-se impossível.
A lacuna é estrutural, não circunstancial
A os registos não bastam é muitas vezes invisível no início.
Ela emerge com o tempo, à medida que os sistemas evoluem, os dados se perdem ou são arquivados, e as organizações mudam.
Aquilo que antes podia ser demonstrado através de acesso ao sistema torna-se progressivamente mais difícil de verificar em condições independentes.
As consequências vão além do sistema
Esta lacuna torna-se crítica quando os eventos digitais produzem consequências para lá do sistema que os gerou.
- Decisões orientadas por IA que mais tarde possam ter de ser auditadas ou defendidas
- Fluxos contratuais em que uma versão específica tenha de ser demonstrada
- Comunicações que possam vir a tornar-se prova
- Eventos financeiros ou societários sujeitos a revisão
- Ativos tokenizados e transições de estado
- Fluxos automatizados em que os registos, por si só, não bastam como prova
Reforçar os registos não resolve o problema
Uma suposição comum é a de que melhores registos, mais dados ou ancoragem criptográfica mais forte resolvem o problema.
Estas abordagens reforçam os registos internos, mas não removem a dependência em relação aos sistemas que os produziram.
A questão não é a integridade dos dados. A questão é saber se a verificação pode existir independentemente do sistema que produziu esses dados.
Responder ao problema no momento do evento
A CERTCRYPT responde ao problema no momento em que os eventos digitais ocorrem.
Em vez de depender de reconstrução posterior, os sistemas podem gerar artefactos de certificação no momento da emissão.
Isso produz certificados cuja verificação pode mais tarde ser reproduzida de forma independente sob regras públicas.
A verificação deixa de depender do sistema de origem como autoridade permanente.
De registos armazenados para verificação reproduzível
Os registos digitais continuam a ser úteis para a operação.
Mas, quando é necessária verificação independente, a prova não pode depender de acesso continuado a esses registos.
Resolver este problema exige gerar prova segundo regras que permaneçam aplicáveis ao longo do tempo.
Isto passa a ter consequências reais
Este problema importa sobretudo quando os eventos passam mais tarde a afetar responsabilidade, auditoria, litígio ou revisão.
A partir daí, a questão seguinte já não é se o evento ficou registado, mas se continua defensável em condições independentes.
A exposição de verificação não é uniforme
Nem todos os eventos digitais enfrentam o mesmo grau de exposição verificatória.
Alguns contextos geram registos internos fortes, mas continuam a ser difíceis de verificar de forma independente. Outros têm menor capacidade interna de prova, mas maior necessidade estrutural de verificação independente.
Isso cria diferentes níveis de pressão verificatória entre domínios.
A análise seguinte compara quatro dimensões estruturais que definem essa exposição verificatória:
- Necessidade estrutural de provaQuão crítico é que um evento permaneça demonstrável ao longo do tempo em condições independentes.
- Capacidade institucional de prova digitalCapacidade do sistema ou da organização de origem para reconstruir e demonstrar internamente o evento.
- Verificabilidade independente atualEm que medida o evento pode atualmente ser verificado sem depender do sistema de origem.
- Relevância da certificaçãoQuão diretamente a certificação na emissão resolve o problema de verificação para esse tipo de evento.
Exemplo: existência de documento
Material digital cuja existência prévia ou cuja versão exata num dado momento pode tornar-se relevante mais tarde.
- Demonstrar que um documento existia num dado momento
- Demonstrar a existência de uma versão contratual específica
- Demonstrar a existência prévia de um manuscrito
- Demonstrar a existência de material digital
Necessidade estrutural de prova por domínios
- Necessidade estrutural de prova
- Capacidade institucional de prova digital
- Verificabilidade independente atual
- Certificação CERTCRYPT
Tipos de eventos digitais que exigem verificabilidade independente
- Necessidade estrutural de prova
- Capacidade institucional de prova digital
- Verificabilidade independente atual
- Certificação CERTCRYPT
Percursos seguintes
Uma vez claro o problema, o passo seguinte é ver como ele se transforma num problema de decisão.
Se ainda precisar de validar a relevância ou o enquadramento técnico antes de avançar, use antes um dos percursos seguintes.
Se a relevância ainda não for clara, veja Relevância do caso de uso.
Para contexto técnico, veja Arquitetura de certificação.