Assinatura digital qualificada para procedimentos com a União Europeia
Há alguns dias, o responsável jurídico de uma multinacional nos ligou preocupado porque estavam no meio de um procedimento muito importante com a União Europeia e parte da documentação entregue foi devolvida, pois não estava assinada eletronicamente com o nível máximo, a assinatura qualificada.
Este responsável jurídico não entendia o que poderia ter acontecido, já que eles estavam usando um certificado qualificado de software que já tinham na empresa e, por isso, pensavam que já estavam utilizando esse nível de assinatura.
Nós entendemos e resolvemos o problema sem maiores dificuldades e queremos compartilhar o caso para ajudar outras empresas que possam estar em situação semelhante.
O que é a assinatura qualificada?
Dentro do Regulamento eIDAS, que é a legislação europeia que regula a assinatura eletrônica e os serviços de confiança, uma assinatura eletrônica qualificada é aquela que:
- Deve ser feita com um certificado digital qualificado, emitido por uma entidade de confiança reconhecida oficialmente (Prestador Qualificado de Serviços de Confiança).
- A assinatura eletrônica deve ser realizada com um dispositivo qualificado para criação de assinaturas eletrônicas. Este tipo de dispositivo garante que o processo de assinatura é seguro e que a chave privada utilizada para assinar está devidamente protegida.
Esta segunda parte é muito relevante, pois exclui muitas assinaturas que fazemos habitualmente com certificados e que podemos acreditar serem qualificadas. Mesmo que o certificado utilizado seja qualificado, isso não implica que a assinatura feita com ele também seja.
De forma prática, se o certificado que você utiliza habitualmente está instalado no navegador ou no PC e pode ser exportado para ser instalado em outro computador, então as assinaturas feitas com ele serão avançadas, não qualificadas.
Outra forma de conhecer o nível real de uma assinatura em um documento é utilizando o validador europeu disponível para isso.
Para que serve a assinatura qualificada?
A assinatura qualificada é a que tem o nível probatório mais alto. Se uma parte signatária repudia uma assinatura qualificada, o ônus da prova está sobre ela. Por isso, essa assinatura é a mais robusta legalmente e a que se utiliza em processos que tratam de documentação mais valiosa e relevante (desde relatórios de auditoria até documentos transfronteiriços, passando por acordos comerciais importantes).
Além disso, as próprias administrações exigem em certos procedimentos específicos o uso de assinatura qualificada.
De fato, este é o caso que mencionamos no início do artigo. Nosso cliente estava usando um certificado de software para assinar os documentos, acreditando que era uma assinatura qualificada, mas a administração não aceitou essa assinatura, alegando que não era realmente qualificada.
Para resolver esse problema, emitimos um certificado (graças ao fato de que na Docuten somos Prestador Qualificado de Serviços de Confiança) que permitiu a eles assinarem corretamente. A diferença entre o nosso certificado e o de software é que o de software pode ser baixado e compartilhado, enquanto o nosso nunca sai da nuvem onde foi criado, e só pode ser utilizado conectando-se a essa nuvem de forma segura. Isso permite realizar assinaturas qualificadas de maneira totalmente legal, segura e fácil de usar.
Para verificar as diferenças que isso implica na assinatura entre o uso dos dois tipos de certificados, o de software e o que emitimos, basta carregar o mesmo documento assinado das duas maneiras no validador europeu e ver os resultados:
Imagem 1: Resultado do Validador Europeu de Assinatura com Documento assinado com certificado de software.
Este é o resultado obtido ao assinar um documento de teste com um certificado de software emitido pela FNMT. Como se pode ver no campo Qualification, esta assinatura é qualificada como AdESig-QC, que significa “Assinatura Eletrônica Avançada suportada por um Certificado Qualificado”. Isso significa que fizemos uma assinatura com um certificado qualificado que resultou em uma assinatura avançada (não qualificada).
Imagem 2: Resultado do Validador Europeu de Assinatura com Documento assinado com certificado da Docuten.
Por outro lado, nesta segunda figura, vemos o resultado ao usar um certificado emitido pela Docuten. Neste caso, no campo Qualification, aparece QESig, que significa “Assinatura Eletrônica Qualificada”, por isso, desta vez, temos nosso documento assinado com o nível máximo, assinatura qualificada.
Esta foi a forma como ajudamos essa multinacional a entregar seus documentos à União Europeia com assinatura qualificada. Se você está em uma situação parecida, convidamos você a falar conosco para resolver o problema.