Saiba quais são as diferenças entre as assinaturas eletrônicas de documentos

Sancionada em setembro do ano passado, a Lei 14.063, que desburocratiza as assinaturas eletrônicas de documentos para ampliar o acesso a serviços públicos digitais, trouxe uma série de benefícios a empresas dos setores público e privado. Entre os ganhos estão desde a simplificação da assinatura digital em documento público até a redução dos custos relacionados ao processo de uso de assinaturas digitais para diversas áreas, como saúde, indústrias, contábil e afins.

A nova lei criou três tipos de assinatura eletrônica em comunicações com entes públicos: simples, avançada e qualificada. Vale ressaltar que essas assinaturas eletrônicas não servirão, no entanto, para processos judiciais, para interações nas quais pode haver anonimato, para sistemas de ouvidoria de entes públicos, para programas de assistência a vítimas e testemunhas ameaçadas e para casos em que a preservação do sigilo seja necessária.

Veja, a seguir, quais são e quando se aplica cada tipo de assinatura:

Assinatura simples

Também conhecida como assinatura eletrônica básica, a assinatura simples um tipo utilizado para assinatura de documentos que não exijam elevado grau de segurança, dispensando o uso de certificados digitais emitidos por uma Autoridade Certificadora. Ela utiliza formas de segurança associando a informações como RG, CPF, geolocalização, dentre outros.

O governo estima que 48% dos serviços públicos disponíveis poderão ser acessados por meio de uma assinatura eletrônica simples, a exemplo de requerimentos de informação, marcação de perícias, consultas médicas ou outros atendimentos.

Assinatura avançada

Já a assinatura avançada se aplica a processos e transações com o poder público. Ela garante o acesso exclusivo do titular e permite o rastreamento de alterações feitas no documento assinado. A assinatura avançada poderá ser usada, por exemplo, no processo de abertura, alteração e fechamento de empresas.

É uma forma de assinatura que requer o uso de certificado digital, porém não é necessário ser da ICP-Brasil, basta que sejam certificados criados por uma autoridade certificadora corporativa da própria empresa ou de uma outra autoridade corporativa.

A assinatura avançada faz uso de certificados digitais do tipo e-CNPJ ou e-CPF para assinatura de documentos, emissão de nota fiscal eletrônica, atos assinados por chefes de poderes da República, interações que envolvam sigilo constitucional, legal ou fiscal. Pode ser utilizada para atender todos os usos da assinatura avançada e simples.

Vale destacar que nessa categoria de assinatura já há um grau maior de segurança, pois é necessário validar previamente as informações do signatário e validá-las, fazendo o uso de chaves criptográficas.

Autoridade corporativa em assinaturas avançadas

Para emissão de certificados digitais que não usem o padrão ICP-Brasil, a empresa poderá criar sua própria infraestrutura de chaves (PKI) ou mesmo contratando uma organização especializada para criar e administrar uma infraestrutura.

Soluções on premises ou em nuvem podem suportar e facilitar toda o uso de assinaturas qualificadas, como:

Fornecer softwares de assinatura que integra com uma PKI já existente;
Fornecer todo o sistema de PKI com solução de assinatura protegido com hardware criptográfico.

Assinatura qualificada

A assinatura qualificada se aplica a processos e transações com o poder público. É o único tipo autorizado em qualquer interação com o poder público que envolva sigilo constitucional, legal ou fiscal; em atos de transferência e de registro de bens imóveis; na assinatura de atos de chefes de poderes, ministros e titulares de órgãos; e na emissão de notas fiscais, exceto por pessoas físicas e MEIs (microempreendedores individuais).

A assinatura qualificada garante o acesso exclusivo do titular e permite o rastreamento de alterações feitas no documento assinado.

A nova lei estabelece que caberá aos chefes dos poderes de cada ente federativo estabelecer o nível mínimo de segurança exigido para a assinatura eletrônica de documentos e transações.

A assinatura eletrônica qualificada consiste na assinatura que utiliza certificado digital. Este, por sua vez, tem dois tipos:

Certificado A1, que é emitido e armazenado no computador ou no dispositivo móvel (smartphone ou tablete) e tem validade de 1 ano;

Certificado A3, que é emitido e armazenado em mídia criptográfica (smartcard, token ou nuvem) e tem validade de 1 a 5 anos.

No caso de certificados A1, por não exigir uma mídia criptográfica e ser possível copiar para diversos locais, as empresas acabam distribuindo o mesmo certificado para várias pessoas, ocorrendo uso da operação de assinatura qualificada de forma indevida indo contra os requisitos e princípios de segurança do ITI – Instituto de Tecnologia da Informação.

Certificados A3 por exigirem o uso de dispositivo criptográfico evitam a cópia indevida, visto que são emitidos apenas para um device, porém o que acaba ocorrendo é as pessoas emprestarem o token uma para as outras ou mesmo perderem sendo necessário emitir outros certificados tendo um custo alto para as empresas.

Uma forma para resolver os dois cenários é fazer o uso de uma infraestrutura centralizada de hardwares criptográficos homologados pelo ITI, onde todas as aplicações a acessam e consigam atribuir usuários para cada dono do certificado, e reforçar uma política de autenticação inclusive com duplo fator.

Esse tipo de infraestrutura pode ser on premises ou mesmo nuvem, oferecendo diversas facilidades, incluindo:

Assinatura de documentos em massa em diversos formatos como PaDES, CaDES e Xades;

Autorização de sistemas do governo;

Integração nativa com as emissoras de certificado (AC – Autoridade de Certificação) mais conhecidas no mercado, permitindo uma redução de custo e diversidade de fornecedores;

Emissão automatizada e centralizada, reduzindo a complexidade e uso de certificados.