Guia de Boas Práticas


Introdução

A assinatura eletrônica e a certificação digital já existem há algum tempo no Brasil, mas ainda há muita gente cometendo enganos na hora de lidar com documentos eletrônicos.

Por isso, o Instituto Nacional de Tecnologia da Informação preparou esse Guia de Boas Práticas. O objetivo é retratar e superar os enganos mais comuns cometidos quando se trata de assinatura eletrônica e evitar problemas de lentidão na hora da validação de um documento.

Em outras palavras, a observância dessas boas práticas pelos usuários contribuirá para garantir a correta utilização, a popularização da ferramenta e a agilidade do serviço.


Documentos eletrônicos não devem ser rubricados

Muita gente ainda acredita que documentos assinados digitalmente precisam de vistos ou de rubricas nas páginas. Isso acontece por falta de conhecimento sobre os conceitos de assinatura eletrônica, cuja integridade e autoria são conferidas com base na certificação digital.

Mas para compreender melhor a diferença entre a assinatura eletrônica e a assinatura em papel, primeiro precisamos conhecer como acontece o reconhecimento de ambas.

Enquanto no papel temos que rubricar cada folha para assegurar a integridade e autoria do assinante, e ainda, por vezes, solicitar o reconhecimento de firma em cartório, o mesmo não acontece quando o documento está no formato eletrônico e assinado por meio de certificação digital.

No caso da assinatura eletrônica, a integridade é assegurada pela aplicação de algoritmos criptográficos sobre todo o conteúdo do documento.

Isso é feito através do cálculo do hash (resumo criptográfico), que é como o “DNA” do documento. Dessa forma, basta uma deleção (destruição ou remoção) ou que um caractere de uma página seja alterado para que se aponte a quebra de integridade do conteúdo.

A garantia de autoria advém da associação matemática de um titular, por meio do certificado digital, à assinatura eletrônica. Funciona assim: o hash obtido do documento é submetido à cifragem por meio de uma das chaves criptográficas (pública ou privada) criadas no momento da emissão de um certificado digital.

Em resumo, quando se assina um documento de forma eletrônica, automaticamente, é como se todas as páginas já estivessem sendo “vistadas”. Ou seja, o documento inteiro é certificado junto, sendo dispensado o ato de dar o visto em cada folha.

Por não saber disso, há quem ainda emita uma assinatura eletrônica para cada página ou quem exija que um documento assinado digitalmente seja “rubricado” em todas as folhas ou páginas.


Elementos visuais não garantem integridade

Você sabia que é prática comum, a depender do software de assinatura, incluir uma imagem, texto ou selo no espaço reservado para a assinatura?

Há, inclusive, softwares que inserem uma imagem representando a assinatura manuscrita, o que, na verdade, não tem qualquer valor probante porque não assegura a integridade, e consequentemente não terá as garantias legais.

Essas práticas são apenas uma forma ilustrativa e visual que informa que o conteúdo foi assinado eletronicamente.

Ou seja, trata-se apenas de uma formalidade que facilita a visualização e que serve apenas para identificar que o documento está assinado, enquanto a assinatura mesmo está “guardada” no conteúdo do arquivo e só pode ser de fato “visualizada” quando submetida ao serviço de validação.

Por isso, para ter certeza de que o documento foi assinado e está íntegro, é necessário submeter o documento ao Validar, que vai conferir se está assinado e quem foi o autor da assinatura.


Assinaturas não devem ser repetidas

De nada adianta repetir a mesma assinatura eletrônica em cada página do documento. Ao fazer isso, o usuário estará apenas gerando várias páginas de resultado de igual conteúdo.

Repetir a mesma assinatura em cada página também pode ser altamente prejudicial a todo processo de validação.

Isso acontece porque contribui para que o processo de submissão do documento à validação se dê com maior lentidão, já que o serviço terá que fazer o tratamento de cada assinatura individualmente.


Não existe segunda via de documento eletrônico

Há outra diferença fundamental quando se trata de documentos com assinatura em papel e eletrônica.

Enquanto no suporte tradicional há o conceito de vias de um documento para garantir que cada parte interessada fique com uma via como prova de algo que foi contratado, transacionado ou recebido, no modelo eletrônico não há necessidade de assinar diversas vezes um documento, cujo conteúdo é o mesmo.

No segundo caso, basta fazer uma cópia da versão eletrônica, e qualquer parte interessada terá a sua via única e original.

Da mesma forma como descrito anteriormente, a partir do momento em que a assinatura eletrônica está associada a um conteúdo em formato eletrônico, é assegurada a sua integridade e autoria.

Mas atenção quando for duplicar ou copiar um documento eletrônico em PDF já assinado. Neste momento, não se deve utilizar opções como “Salvar como…” ou “Imprimir em PDF”, pois, dependendo do software utilizado, isso pode mudar algum caractere no documento assinado. Consequentemente, ficaria comprometida a integridade do documento e a assinatura eletrônica vinculada será considerada inválida. Em vez disso, use o gerenciador de arquivo do seu sistema operacional para esse tipo de procedimento.


O conceito de cópia autenticada não se aplica a documentos eletrônicos

Como o próprio nome diz, documentos digitais são digitais. Por isso devem ser aceitos como são: digitalmente. Consequentemente, ninguém deve mandar imprimir ou, pior, exigir uma cópia autenticada desses documentos. Em outras palavras, isso equivale a dizer que o conceito de cópia autenticada não cabe no documento eletrônico assinado.

E como no Brasil temos uma legislação a respeito, os documentos assinados digitalmente devem seguir as orientações dispostas na a Medida Provisória 2.200-2 de 2001 e na Lei 14.063 de 2020.

Mas talvez você se pergunte como fazer para ter a certeza de que uma assinatura digital é real.

Simples! Em se tratando de assinaturas ICP-Brasil e GOV.BR, você só precisará checar através do VALIDAR, um sistema simples, acessível e gratuito oferecido pelo ITI para todos os cidadãos. E através dele você poderá conhecer se um documento assinado eletronicamente é válido, inválido ou indeterminado. Clique aqui para acessar o VALIDAR e saber mais.


Documentos eletrônicos assinados perdem eficácia quando impressos

Não imprima nem aceite documentos eletrônicos impressos, pois perdem a validade jurídica.

Isso acontece porque, uma vez impresso, o documento com assinatura digital passa a ser uma mera imagem do que seria o documento eletrônico original. Ou seja, perde-se às referências e a âncora de confiança.


Não bloqueie o arquivo se outra pessoa vai assinar

Softwares como, por exemplo, o Acrobat Reader, dispõem de opção para bloquear o documento ao assinar.

No entanto, para evitar problemas de validação, recomendamos que deixe para bloquear o arquivo a ser assinado apenas quando todas as pessoas já tiverem assinado o documento.

Caso o bloqueio seja feito antes de receber assinaturas esperadas, a função anulará as assinaturas anteriores, pois reconhecerá as novas assinaturas como modificações no documento.

Resultado: seu documento não passará na validação.


Assinaturas distintas daquelas aceitas pelo ITI não podem ser validadas

O serviço oficial de validação do ITI possui critérios específicos e rigorosos de segurança, indispensáveis para uma validação segura e claramente definida através da Portaria ITI Nº 22, de 28 de setembro de 2023. Por isso, não será possível que o ITI reconheça assinaturas diversas daquelas descritas em sua documentação, inclusive assinaturas avançadas que possuam outras âncoras de confiança ou documentos que tenham sido assinados através da prática de "envelopamento" de assinaturas. Nesse último caso, as certificadoras assinam um documento por cima das demais assinaturas (não permitindo que o VALIDAR verifique tais assinaturas diretamente) e, por isso, o serviço VALIDAR vai apresentar apenas a assinatura da pessoa jurídica, que tecnicamente é quem assinou o documento eletrônico.