Assinatura eletrónica avançada: base jurídica, funcionamento e segurança

Com o seu nível superior de segurança jurídica, a assinatura eletrónica avançada é uma ferramenta fundamental no mundo digital atual, uma vez que garante a autenticidade, a integridade e a confidencialidade dos documentos electrónicos e das transacções em linha, bem como a sua combinação com a assinatura de uma pessoa, organização ou administração. Neste artigo, vamos explorar a base jurídica da assinatura eletrónica avançada, a legislação aplicável e os aspectos de segurança que a rodeiam.

A assinatura eletrónica avançada é regulada pela Lei 6/2020 e pelo Regulamento (UE) n.º 910/2014, ou seja, o regulamento europeu eIDAS. Estes regulamentos estabelecem os quadros jurídicos necessários para garantir a validade e a segurança das assinaturas electrónicas no ambiente jurídico e empresarial.

A Lei 6/2020, que substituiu a Lei 59/2003, é a principal legislação em Espanha que regula os serviços de confiança electrónicos. Esta lei visa evitar lacunas regulamentares e reforçar a segurança das transacções electrónicas.

Por seu lado, o Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, também conhecido como Regulamento eIDAS, estabelece um quadro jurídico para a identificação eletrónica e os serviços de confiança no mercado interno. Por outras palavras, define as regras para o comércio e as transacções electrónicas a nível da UE. Além disso, regulamenta a figura do prestador de serviços electrónicos qualificado e de confiança. Estamos acreditados como tal, sob a forma de entrega eletrónica certificada.

Esta legislação é diretamente aplicável em todos os Estados-Membros da UE.

É importante notar que a assinatura eletrónica avançada deve cumprir os requisitos estabelecidos no Regulamento eIDAS para ser considerada válida e ter o mesmo valor jurídico que uma assinatura manuscrita. Este regulamento garante a interoperabilidade e a confiança nas transacções electrónicas em toda a União Europeia.

O regulamento eIDAS regula os requisitos das assinaturas electrónicas avançadas no artigo 26. Estes são resumidos em:

• Deve vincular inequivocamente o signatário e permitir a identificação do mesmo.
• E basear-se em “dados de autor que o signatário pode utilizar, com um elevado nível de confiança, sob o seu controlo exclusivo”.
• Deve ser capaz de controlar que não sejam feitas alterações pós-assinatura no processo.

Este tipo de assinatura oferece vantagens claras em termos de segurança, taxas de conversão, confiança do utilizador, fiabilidade jurídica, possibilidades de integração, agilidade nos processos de assinatura e garantia de inviolabilidade do documento assinado.

O quadro jurídico das assinaturas electrónicas inclui as assinaturas electrónicas qualificadas. Trata-se de uma categoria especial de assinatura eletrónica que cumpre os requisitos adicionais estabelecidos no Regulamento eIDAS, que estabelece: “Uma assinatura eletrónica qualificada tem um efeito jurídico equivalente ao de uma assinatura manuscrita”.

A assinatura eletrónica qualificada tem um elevado nível de segurança e, tal como a assinatura avançada, é também emitida por um prestador de serviços de confiança qualificado. Da mesma forma, esta assinatura é capaz de garantir a identidade do signatário.

É a assinatura eletrónica que oferece a maior garantia jurídica e exige a maior garantia para a sua utilização:

• O signatário deve possuir um certificado digital oficial ou uma identificação eletrónica (com o respetivo leitor).
• Que a solução de processamento incorpora sistemas que podem processar os dados envolvidos na assinatura.

As assinaturas electrónicas oferecem vantagens como a presunção de validade jurídica e um nível extraordinariamente elevado de confiança entre as partes, sendo por vezes obrigatórias nas relações electrónicas com as administrações públicas.

Por outro lado, há que ter em conta que se trata de uma assinatura complexa que, para a sua integração e utilização, requer a participação de um fornecedor especializado, como o MailComms Group, que oferece garantias na implementação e assegura a sua validade a todo o momento.

A implementação de uma política de assinatura é essencial para garantir a segurança e a validade da assinatura eletrónica avançada. Esta política define os procedimentos e normas a seguir quando se utilizam assinaturas electrónicas numa organização.

A política de assinaturas deve abranger aspectos como a autenticação do signatário, a integridade do documento assinado, a confidencialidade da informação e os requisitos técnicos necessários para a geração e verificação da assinatura eletrónica. Em estrita conformidade com o regulamento eIDAS e a Lei 6/2020 para garantir a sua validade na atividade quotidiana, em caso de reclamações e em caso de litígio.

O Esquema Nacional de Interoperabilidade (ENI) é um quadro regulamentar que estabelece os critérios e normas para garantir a interoperabilidade dos sistemas e serviços electrónicos na Administração Pública em Espanha.

A ENI regula as assinaturas electrónicas avançadas e estabelece os requisitos técnicos e de segurança que os prestadores de serviços de confiança devem cumprir para garantir a validade e a integridade das assinaturas electrónicas no domínio público.

O Sistema Nacional de Segurança (SNS ) é um conjunto de medidas e políticas de segurança a adotar pelas administrações públicas e pelos fornecedores de serviços electrónicos para proteger a informação e os sistemas.

A ENS inclui critérios de segurança relacionados com assinaturas electrónicas avançadas, como a autenticação de signatários, a proteção de chaves criptográficas e a gestão de certificados digitais.

Na MailComms, obtivemos a certificação ENS de nível médio após uma auditoria complexa efectuada pelo Centro Nacional de Criptologia. Esta certificação descreve os nossos sistemas como optimizados em todos os aspectos de segurança, cibersegurança e privacidade da informação, e é combinada com as normas ISO 27001 e ISO 27701, que também possuímos.

Para além da Lei 6/2020 e do Regulamento eIDAS, existem outras notas normativas que complementam a base jurídica das assinaturas electrónicas avançadas. Estes resumos de políticas podem incluir disposições sectoriais específicas ou aspectos técnicos relacionados com a segurança das assinaturas electrónicas.

É importante consultar estas notas de política adicionais para garantir o cumprimento de todos os requisitos legais e técnicos ao utilizar assinaturas electrónicas avançadas.

Ao procurar um fornecedor para implementar um processo de assinatura eletrónica, há alguns pontos que qualquer empresa deve ter em conta. O fornecedor tem de:

• Cumprimento rigoroso da regulamentação eIDAS.
• Ter acreditação como prestador qualificado de serviços de confiança. Isto faz a diferença em termos de segurança e de garantia jurídica.
• Oferecer-lhe uma solução que lhe permite assinar documentos com um certificado digital e uma assinatura eletrónica.
• E diferentes possibilidades de autenticação e verificação da identidade digital.
• Recolher provas e armazená-las durante o tempo necessário num ambiente seguro.
• Garantir a integridade e a inviolabilidade dos documentos envolvidos no processo de assinatura.

Em conclusão, a assinatura eletrónica avançada é apoiada por uma base jurídica e regulamentar sólida que garante a sua validade e segurança. A Lei 6/2020 e o Regulamento eIDAS estabelecem os requisitos e as normas necessárias para garantir a autenticidade, a integridade e a confidencialidade dos documentos electrónicos e das transacções em linha. A implementação de políticas de assinatura, o cumprimento dos critérios ENI e ENS e a monitorização de notas normativas adicionais são aspectos fundamentais para maximizar os benefícios das assinaturas electrónicas avançadas.