O software associado ao Cartão de cidadão apresenta falhas de segurança que permitem desbloquear assinaturas digitais e falsificá-las. O alerta foi lançado por Francisco Rente, investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC), segundo o qual o problema reside no software "inicialmente desenhado para integrar serviços do Estado como sejam o portal das Finanças, portal do Cidadão ou o da Empresa".

Francisco Rente, que coordena o Computer Security Incident Response Team (CERT/IPN), salienta que quem desenhou a arquitectura geral do software "descartou a possibilidade do computador dos utilizadores estar infectado".Assim, se isso acontecer, torna-se possível que um pirata informático possa "não só saber o pin [chave de acesso] que desbloqueia as assinaturas do cartão de cidadão como falsificar a assinatura digitalmente", avisa o especialista em declarações à agência Lusa.

"O problema não está no cartão físico, que é extremamente seguro, mas sim no software. Quem vá fazer uma assinatura digital no Portal das Finanças ou Portal da Empresa pode ver os seus dados capturados levando à possibilidade da assinatura ser falsificada vezes sem conta", avisa Francisco Rente.

O especialista revela que alertou a Agência para a Modernização Administrativa (AMA) em 2007,durante a realização de um seminário técnico sobre o cartão de cidadão "mas nada foi feito".

Segundo a Lusa, já na semana passada, num fórum da Internet especializado em tecnologia, um programador informático também assinalou uma falha de segurança "no mecanismo de emissão de assinaturas" digitais, associada à utilização do cartão em sistemas operativos Linux. Ricardo Mendes disse à Lusa que a falha foi identificada há cerca de dois meses e sublinha tê-la "reportado de imediato" aos serviços do Cartão de Cidadão, "mas ainda hoje continua por resolver".

E refere também outros "elos fracos" no software, apontando a forma como é pedido ao utilizador que insira a chave de acesso. O sistema "ao invés de usar teclados virtuais como nos serviços bancários online, usa uma janela com uma caixa de texto. Este mecanismo é bastante

inseguro pois caso exista [no computador] algum keylogger [programa malicioso que regista secretamente tudo o que é introduzido pelo teclado] o pin poderá facilmente ficar comprometido", explicou.

A Lusa confrontou a AMA com estes alertas e acusações, mas foi garantido que "nenhum problema de segurança foi, até à data, identificado no software que sustenta a utilização do Cartão de Cidadão".E a mesma fonte acrescentou que a Agência desconhece que tenham sido feitos quaisquer alertas, indicando que os processos de utilização do Cartão de Cidadão, sistemas, software e infraestruturas "são alvo de auditorias periódicas por entidades externas e independentes". Estas auditorias - como é o caso de uma, actualmente em curso, a realizar pela Universidade do Minho na sequência dos problemas com o Cartão de Cidadão nas eleições presidenciais - "asseguram uma monitorização e melhoria contínua, nomeadamente em termos de segurança", frisou a mesma fonte.