3 notícias sobre assinatura digital que a tua empresa deve evitar

Muitas pessoas são reticentes à tecnologia por falta de confiança na segurança que algumas soluções oferecem. Se estás preocupado com a legalidade de uma solução de assinatura digital para assinar documentos importantes em comparação com assinar em papel, este artigo é para ti. 

Fizemos uma pequena compilação de notícias sobre casos em que a assinatura digital tem sido um problema na conclusão de um acordo. Com isso, não queremos que a tua confiança na assinatura digital online seja prejudicada, longe da realidade. Queremos mostrar-te a importância de ter um provedor de confiança, e o que deves ter em mente para evitar cair nos seguintes erros.

Confiar no fornecedor de assinatura digital online adequado, que ofereça uma solução legal e que atenda aos mais altos padrões de segurança, lhe permitirá assinar todo tipo de documentos sem inconvenientes.

Contamos-te três casos em que a assinatura de documentos de forma digital falhou, como a tua empresa pode evitá-lo e como o Docuten pode ajudá-lo a evitá-lo:

Certifica-te de que confias num prestador de serviços de confiança qualificado que cumpra a legislação da UE

No mês passado, o fabricante de comboios suíço Stadler anunciou que tinha perdido um contrato de 3 mil milhões de euros com os Caminhos-de-ferro Federais da Áustria ÖBB, em resultado de “uma assinatura electrónica legalmente inadmissível no acordo de compra”.

Podes ver a notícia completa aqui.

Nos termos da lei austríaca, o contrato deve ser assinado com uma assinatura electrónica qualificada (QES). Esta lei decorre do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (conhecido por eIDAS). O regulamento europeu prevê que uma assinatura electrónica qualificada proporciona o mais alto nível de garantia, tem presunção de validade legal e é o equivalente legal à assinatura manuscrita.

O problema foi que a Stadler utilizou um prestador de serviços de confiança suíço (TSP) para realizar a assinatura. Embora esta assinatura seja qualificada sob a Lei de Assinatura Suíça (ZertES), que é muito semelhante à eIDAS, existe uma diferença na “responsabilidade pelos serviços prestados”. O quadro eDAS oferece interoperabilidade transfronteiriça aos países da UE e do EEE, mas isso não inclui a Suíça. “As regulamentações eIDAS e ZertES permitem a possibilidade de estabelecer um acordo de reconhecimento com países terceiros, mas, neste caso, nenhum foi negociado”. Mesmo que se entenda que os padrões são os mesmos, a interoperabilidade não é automática. Por isso, o Tribunal Administrativo Federal da Áustria concluiu que “a Suíça não é parte da UE e que as jurisdições não estão alinhadas”. Como resultado, o contrato não foi válido.

Como se poderia ter evitado?

Se, para realizar a assinatura eletrónica qualificada, a Stadler tivesse um prestador de serviços de confiança qualificado da UE e registado na lista de serviços de confiança da UE, como o Docuten, tal não teria acontecido.

No que se refere a este tema, um serviço de confiança pressupõe um serviço electrónico que consiste em:

  • Criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou carimbos de tempo eletrónicos, serviços de entrega eletrónica certificada e certificados relativos a esses serviços; ou
  • Criação, verificação e validação de certificados para autenticação de websites; ou
  • a preservação de assinaturas, selos ou certificados electrónicos relativos a esses serviços.

Um serviço de confiança é considerado qualificado se, para além do que precede, cumprir os requisitos aplicáveis estabelecidos no Regulamento AEAS. Por conseguinte, “um prestador de serviços de confiança qualificado é um prestador de serviços de confiança que presta um ou mais serviços de confiança qualificados e a quem a entidade supervisora atribuiu a qualificação.”

Docuten é atualmente reconhecido como um prestador qualificado de serviços de confiança. Todas as nossas soluções de assinatura digital de documentos são reconhecidas no Regulamento eIDAS. A validade da assinatura digital é totalmente legal em toda a União Europeia.

Verifica se a assinatura digital é suportada por um certificado digital quando necessário

Este caso é mais comum do que parece. Um juiz rejeitou a validade de um contrato de crédito assinado através de uma solução de assinatura digital, por não considerar provado quem o assinou. Isto porque a assinatura não foi baseada em um certificado digital.

Podes ler a notícia completa aqui.

Uma instituição financeira exigia o pagamento do saldo devedor resultante de um contrato de empréstimo assinado através de um sistema de assinatura digital. A contraparte, no entanto, alegou que a assinatura era falsa. Embora o tribunal tenha optado primeiro pelo lado da instituição financeira, o recurso concluiu que o requerido não era responsável pelo pagamento do contrato de empréstimo, uma vez que não foi devidamente demonstrado que a assinatura constante do contrato era real.

Como o tribunal assinala no acórdão, a assinatura foi feita através de uma plataforma de assinatura eletrônica através da qual o documento é enviado para um e-mail e devolvido assinado manualmente. Não há provas de que a pessoa que assinou seja quem diz ser, nem de que a conta foi autenticada.

Por conseguinte, a assinatura não foi considerada uma assinatura electrónica adequada baseada num certificado qualificado e criada por uma entidade legalmente reconhecida que fornece certificação de assinatura digital, e o tribunal deu provimento ao recurso, dando-lhe razão.

O que poderia ter feito a empresa diferente?

A empresa deveria ter escolhido uma assinatura digital online mais apropriada para seu caso particular. Neste caso, poderiam ter utilizado uma assinatura digital baseada num certificado digital.

Um certificado digital é um certificado ou documento eletrónico emitido por uma autoridade de certificação, como a FNMT, que liga uma pessoa a uma chave pública e confirma a sua identidade. Isto lhe permitirá realizar procedimentos pela internet, entre eles, assinar documentos digitalmente.

Com um certificado de assinatura digital podes fazer assinaturas digitais através da internet. No entanto, não precisas ter um certificado digital emitido por uma Autoridade de Certificação para poder assinar um documento eletronicamente de forma segura e legal.

Existem diferentes ferramentas que lhe permitirão assinar documentos de forma segura e legal. No Docuten, oferecemos diferentes tipos de assinatura digital completamente válidos. Estes são adaptados às necessidades da sua empresa para que possa ter toda a sua documentação assinada eletronicamente. Para maior segurança, todos os tipos de assinatura de documentos do Docuten são baseados em um certificado digital. Este pode ser um carimbo de empresa ou um certificado qualificado.

Por exemplo, neste último caso, com Docuten podes assinar eletronicamente os teus documentos com um certificado qualificado. O nosso serviço permite-lhe assinar eletronicamente com um certificado qualificado de duas formas: com um certificado hospedado no seu computador (assinatura local) ou com um certificado na nuvem (assinatura centralizada) com o qual assinar de qualquer dispositivo. Confiar num certificado qualificado para os documentos mais importantes garantirá a inexistência de problemas em caso de litígio.

Que tipo de assinatura é melhor?

No Docuten, recomendamos que nossos clientes usem o princípio da proporcionalidade ao escolher um tipo de assinatura ou outro. Todos os nossos tipos de firma são legais e seguros. No entanto, para documentos particularmente importantes, devemos utilizar o mais elevado nível de segurança possível, que seria a assinatura qualificada (com um certificado qualificado). Nem todos os documentos são iguais: não é o mesmo assinar um contrato comercial (documentação comercial) que um pedido de férias (documentação laboral). Neste último caso, a usabilidade pode ser mais relevante que a segurança. É essencial ter um provedor de assinatura digital que pode explicar tudo o que você precisa saber ao implementar uma solução de assinatura digital.

Certifica-te de que o teu fornecedor de assinatura digital atende as mais altas garantias de segurança

À medida que a assinatura digital se torna mais comum, as tentativas de hackers ou ataques cibernéticos aumentam. Existem três maneiras principais de hackear um PDF. Estes três métodos “manipulam o PDF entre o criador e o signatário para que ambos vejam o documento de forma correta”.

Podes saber mais sobre a notícia aqui.

Estes métodos são conhecidos em inglês como “hide” (esconder), “replace” (substituir) e “hide and replace” (esconder e substituir). O primeiro envolve esconder conteúdo malicioso atrás de outro conteúdo. Quando o destinatário assina o documento e o envia de volta, “o atacante pode revelar o conteúdo escondido e acessar a informação”. Um ciberataque por “substituição”, em vez disso, envolve “mudar ou substituir certos aspectos menores de um formulário legítimo”, mas importando código malicioso com as alterações. Finalmente, o método de “esconder e substituir” permite aos hackers substituir o conteúdo completo de um PDF, ao esconder e substituir certos objetos.

O que podem as empresas fazer para o impedir?

Primeiro, a tua equipa deve ter formação para identificar fraudes, uma vez que os erros humanos são “um dos pontos fracos na cibersegurança.” No Docuten, isto é posto em prática como parte do processo de obtenção do Certificado de Segurança da Informação baseado nos requerimentos estabelecidos pelo padrão internacional ISO 27001. Este proporciona as maiores garantias de segurança e acredita na implementação de um sistema de gestão que protege a informação dentro da nossa empresa.

Após uma auditoria externa bem-sucedida (realizada pela Entidade de Certificação, Inspeção e Verificação EQA), está demonstrado que o Docuten possui um Sistema de Gestão da Segurança da Informação certificado de acordo com a norma UNE-ISO/IEC 27001:2014.

O que é a ISO?

ISO 27001 é um padrão internacional emitido pela Organização Internacional de Normalização (International Organization for Standardization ou ISO). Este descreve como gerir a segurança da informação numa empresa. O principal objetivo da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação em uma empresa.

Para alcançar este objectivo, são avaliados problemas potenciais que podem afectar a informação (avaliação dos riscos). Define-se então o que deve ser feito para evitar estes problemas (mitigação ou tratamento de riscos). Parte do processo envolve a implementação de treinamento regular para os funcionários, bem como garantir que todos os equipamentos estão atualizados com as medidas de segurança necessárias.

Confiar num fornecedor de assinatura digital que oferece as mais rigorosas garantias de segurança como a Docuten. Isto permitirá à tua empresa ter a certeza de que todos os teus documentos estão protegidos.


Gostarias de falar com uma pessoa de nossa equipa para saber mais sobre estes temas ou sobre as nossas soluções de assinatura digital? Não hesites em contactar-nos. Iremos aconselhar-te e procurar a solução mais adequada para as necessidades da tua empresa. Também podes descarregar gratuitamente alguns dos nossos whitepapers.

Andrea Fernández
Andrea Fernández
Técnico de Marketing / El marketing es un compromiso, no una campaña