“A gente precisa entender que segurança digital não é custo, é investimento”, afirma Klaus Riffel

Vivemos em um mundo cada vez mais conectado, no qual a segurança digital se tornou indispensável para proteger dados pessoais e corporativos. Nesse cenário, o certificado digital surge como uma identidade eletrônica que garante autenticidade e validade jurídica em transações, contratos e acessos a sistemas oficiais.

Para aprofundar esse tema, entrevistamos Klaus Riffel, CEO da doc9, que explicou os riscos de compartilhar certificados digitais com terceiros, os impactos financeiros e reputacionais dessa prática e quais soluções seguras podem ser adotadas para manter o controle, a rastreabilidade e a integridade das operações. Confira!

1. Quais são os principais riscos ao compartilhar um certificado digital com terceiros? 

Compartilhar um certificado digital, seja ele e-CPF ou e-CNPJ, é, na minha visão, um dos maiores erros que alguém pode cometer. É como dar a chave da sua casa, do seu cofre, para outra pessoa, e sem saber ao certo o que ela vai fazer com isso. Os riscos são enormes e podem gerar muitas dores de cabeça, entre elas: 

• Fraudes e operações Indevidas: O principal risco é o uso não autorizado para assinar documentos, contratos ou realizar transações financeiras em seu nome ou no nome da sua empresa. Imagine alguém usando seu e-CNPJ para fazer empréstimos, emitir notas frias ou transferir bens? A responsabilidade legal e fiscal recai sobre o titular do certificado. 

• Acesso a informações confidenciais: Muitos sistemas e portais do governo (e-CAC, Conectividade Social, e-Social) são acessados via certificado digital. Ao compartilhar, você abre as portas para que terceiros acessem informações sigilosas da sua pessoa ou da sua empresa, colocando em risco dados sensíveis. 

• Rastreabilidade comprometida: Uma das grandes vantagens do certificado digital é a presunção de autoria. Ou seja, se algo foi assinado com o seu certificado, presume-se que foi você quem assinou. Ao compartilhar, essa rastreabilidade se perde. Como provar que não foi você se a “assinatura” é a sua? 

• Danos reputacionais: Se o certificado for usado de forma indevida, a imagem da sua empresa pode ser seriamente comprometida. A confiança é um ativo valiosíssimo, e perdê-la por um incidente de segurança é algo muito difícil de recuperar. 

2. Que tipo de prejuízo financeiro ou reputacional uma empresa pode enfrentar ao negligenciar o controle de acesso ao certificado? 

Negligenciar o controle de acesso ao certificado digital é brincar com fogo. Os prejuízos podem ser devastadores, tanto financeiramente quanto para a reputação: 

Prejuízos financeiros diretos: 

• Multas e autuações fiscais: Uso indevido para sonegação, emissão de notas fiscais fraudulentas ou outras irregularidades fiscais podem gerar multas milionárias e processos administrativos. 

• Perdas em transações financeiras: Realização de transferências bancárias, pagamentos indevidos ou contração de dívidas e empréstimos em nome da empresa sem o consentimento dos gestores. 

• Custos de recuperação: Gastos com investigações forenses, advogados para defesa em processos, e a necessidade de reestruturar a segurança da informação após um incidente. 

• Perda de ativos: Em casos extremos, a empresa pode ter bens desviados ou transferidos para terceiros de forma ilícita. 

Prejuízos reputacionais e estratégicos: 

• Perda de credibilidade: Clientes, parceiros e fornecedores podem perder a confiança na empresa se houver um vazamento de dados ou um incidente de fraude. Isso afeta diretamente a capacidade de gerar novos negócios. 

• Desvalorização da marca: A imagem da empresa fica manchada, o que pode impactar o valor de mercado e a percepção do público. 

• Dificuldade em obter financiamentos: Instituições financeiras podem ver a empresa como um risco maior, dificultando a obtenção de crédito e investimentos futuros. 

• Problemas legais e judiciais: A empresa pode se ver envolvida em uma série de processos civis, criminais e trabalhistas, desviando o foco do seu core business e gerando gastos massivos. 

A negligência com certificados digitais é um tiro no pé. A gente precisa entender que segurança digital não é custo, é investimento. 

“A segurança do seu certificado digital é inegociável. Negligenciar isso é um risco enorme.”

3. O que fazer se houver suspeita de uso indevido de um certificado? 

Se pintar a menor suspeita de que seu certificado digital foi usado indevidamente, a ação precisa ser imediata e cirúrgica. Não dá para esperar! 

1. Revogue o certificado imediatamente: Esse é o primeiro e mais crucial passo. Entre em contato com a Autoridade Certificadora (AC) que emitiu seu certificado e solicite a revogação. Isso invalida o certificado e impede qualquer uso futuro. Geralmente, as ACs têm um canal de emergência para isso. 

2. Registre um boletim de ocorrência (BO): Vá à delegacia mais próxima ou registre um BO online, detalhando o ocorrido. Isso é fundamental para fins de prova e para iniciar uma investigação oficial. 

3. Comunique as partes envolvidas: Se houver indícios de que o certificado foi usado em transações ou documentos específicos, comunique as partes envolvidas (bancos, órgãos públicos, clientes, fornecedores) para alertá-los sobre a fraude. 

4. Notifique órgãos reguladores e Receita Federal: Dependendo do tipo de uso indevido, pode ser necessário notificar a Receita Federal ou outros órgãos reguladores para evitar implicações fiscais ou legais. 

5. Faça uma auditoria interna: Tente rastrear como o acesso indevido aconteceu. Verifique logs de acesso (se você tiver um sistema de controle como o Whom.doc9, isso é muito mais fácil), revise as permissões de acesso e procure por vulnerabilidades nos seus sistemas. 

6. Busque apoio jurídico especializado: Consulte um advogado especialista em direito digital para orientá-lo sobre as medidas legais cabíveis e a melhor forma de se defender de possíveis acusações ou de buscar reparação. 

Agir rápido minimiza os danos. A informação e a agilidade são seus maiores aliados nessas horas. 

4. Como uma empresa pode controlar o uso de certificados digitais pelos seus funcionários? 

Controlar o uso de certificados digitais por funcionários é um desafio que a gente entende muito bem na doc9. É inviável cada funcionário ter um certificado para cada função, ou pior, compartilhar um único certificado. A solução passa por centralização, automação e controle de acesso. 

1. Políticas explícitas de uso: Primeiro, estabeleça uma política interna rigorosa e transparente sobre o uso de certificados digitais. Todos os colaboradores devem ser treinados e cientes das regras, das responsabilidades e das consequências do uso indevido. 

2. Não compartilhe senhas ou certificados: Essa regra deve ser inegociável. Cada certificado deve ter um titular responsável, e a senha deve ser pessoal e intransferível. 

3. Centralização da gestão com ferramentas de segurança adequadas: Aqui entra, de novo, o Whom.doc9. Ele foi desenvolvido exatamente para resolver essa dor, por isso é a ferramenta número 1 do Brasil quando o assunto é gestão de certificados digitais. Com ele, a empresa pode: 

• Armazenar certificados em um ambiente seguro: Esqueça tokens e cartões espalhados. Os certificados ficam protegidos em um sistema centralizado e criptografado. 

• Definir permissões de acesso granular: Você decide quem, quando e para que um funcionário pode usar um certificado específico. Por exemplo, um funcionário pode ter permissão para acessar o e-CAC, mas não para assinar contratos. 

• Auditar cada ação: Cada uso do certificado é logado, gerando um histórico completo de quem acessou, qual certificado usou, qual ação realizou e em que momento. Isso garante a rastreabilidade e a responsabilização. 

• Agendar e automatizar acessos: Permite programar o uso de certificados para tarefas rotineiras, aumentando a eficiência e reduzindo a intervenção manual e os erros. 

• Realize testes de vulnerabilidade periodicamente: se o seu fornecedor de gestão de certificados digitais não realiza testes de vulnerabilidade, não há como saber se os seus dados estão devidamente seguros. Outro ponto importante, prefira soluções que sejam certificadas conforme os padrões de segurança exigidos como a ISO 27000 e ISO 27001. 

4. Treinamento Contínuo: Capacitar os funcionários sobre a importância da segurança do certificado, os riscos do compartilhamento e o uso correto das ferramentas de gestão. 

Implementar uma solução como o Whom.doc9 transforma a gestão de certificados digitais de um pesadelo logístico e de segurança em um processo controlado, transparente e eficiente. 

5. Em vez de compartilhar, quais soluções seguras podem ser adotadas por quem precisa delegar acessos ou assinar documentos remotamente? 

Esqueçam o compartilhamento! Delegar acessos e assinar documentos remotamente com segurança é totalmente possível e deve ser a meta de qualquer empresa ou profissional. As soluções existem e são eficazes: 

1. Gestão centralizada de certificados (Whom.doc9): Como já mencionei, essa é a resposta mais robusta e confiável para o problema da delegação de acesso sem compartilhamento. Com o Whom.doc9, o certificado em si não é “compartilhado”. Em vez disso, a capacidade de uso do certificado é delegada de forma controlada. O funcionário não tem acesso à chave privada ou à senha do certificado, mas o sistema permite que ele realize operações específicas com o certificado, mediante as permissões pré-definidas. É como dar a um funcionário a permissão para abrir uma porta específica em um prédio sem dar a ele a chave mestra de todas as portas. 

2. Plataformas de assinatura eletrônica e digital: Para a assinatura de documentos remotamente, existem plataformas que utilizam certificados digitais (próprios ou integrados) para garantir a validade jurídica. Essas plataformas permitem que documentos sejam enviados para diversas partes, que assinam eletronicamente de onde estiverem, com trilha de auditoria completa e validade legal. A doc9, por exemplo, também atua fortemente nesse segmento, garantindo que suas assinaturas sejam válidas e seguras. 

3. Certificados digitais para cada usuário (e-CPF): Para situações onde o uso é individualizado, a solução mais simples e segura é que cada pessoa tenha seu próprio e-CPF. Assim, a responsabilidade é individual e o controle de acesso é pessoal. Isso é ideal para advogados associados ou funcionários que precisam de autonomia para suas próprias petições e acessos. 

4. Autenticação Dupla (MFA/2FA): Para acessar sistemas que demandam o uso de certificado, o ideal é que a própria plataforma de gestão ou o sistema que está sendo acessado exija, além do certificado, um segundo fator de autenticação (como um código enviado para o celular ou um token físico). Isso aumenta a segurança, mesmo em caso de comprometimento da senha. 

Em resumo, eu diria que a mensagem principal é: em um mundo cada vez mais digital, a segurança do seu certificado digital é inegociável. Negligenciar isso é um risco enorme. Por isso, ter um gerenciador de certificados como o Whom.doc9 não é só um luxo, mas uma necessidade. Ele centraliza, controla e audita cada uso, transformando a gestão de certificados em um pilar de segurança e eficiência para o seu escritório ou departamento jurídico. Simples assim. 

Klaus Riffel

Com formação em Direito pela PUCR/RS e especializações em Direito Societário e Tributário, além de Finanças e MBA pela Fundação Dom Cabral/MG, Klaus traz uma vasta experiência em empreendedorismo e gestão. Fundador das empresas DOC9 e Juscash, também atuou como membro e conselheiro em diversos grupos e empresas e como palestrante, abordando temas quais Empreendedorismo, Inovação, Tecnologia e Direito.