regulamento eIDAS

Qual é o regulamento do eIDAS?

O regulamento sobre identificação electrónica, autenticação e serviços fiduciários entrou em vigor na União Europeia em 1 de Julho de 2016. Foi criado para padronizar os regulamentos para assinaturas e transações eletrônicas. Legalmente, é conhecido como Regulamento da UE nº 910/2014.

o eIDAS é o substituto da Directiva 1999 sobre assinatura electrónica. O eIDAS foi concebido para corrigir quaisquer inconsistências, reduzir a hesitação e criar confiança entre os mercados internos no que diz respeito às assinaturas e transacções electrónicas. O objectivo era assegurar que os documentos electrónicos com assinaturas electrónicas fossem reconhecidos e aceites em todos os Estados-Membros da UE.

O que é que o regulamento eIDAS cobre?

Em comparação com a Diretiva sobre Assinaturas Eletrônicas de 1999, o eIDAS é mais amplo. Além das assinaturas electrónicas, o regulamento eIDAS também abrange a identificação electrónica, entrega, serviços de arquivo e autenticação de websites.

o eIDAS estipula um conjunto padronizado de regulamentos relacionados com a identificação electrónica e serviços de confiança.

Identificação Eletrônica

No âmbito do capítulo da identificação electrónica, o eIDAS oferece orientação para garantir que a identificação electrónica seja reconhecida em todos os Estados-Membros da UE.

Serviços de Confiança

A Directiva de 1999 sobre Assinaturas Electrónicas concentrou-se principalmente nas assinaturas electrónicas e suas certificações.

O regulamento do eIDAS inclui um capítulo sobre serviços de confiança que fornece mais padronização em relação aos serviços de confiança para autenticação e assinaturas, inclusive:

• Assinaturas electrónicas
• Certificados para assinaturas electrónicas
• Selos electrónicos
• Carimbos temporais
• Autenticação do site
• Serviços de entrega electrónica registada

Os prestadores de serviços de confiança qualificados devem cumprir os requisitos definidos pelo Estado-Membro e são identificáveis pela marca de confiança padrão da UE.

Quais são os benefícios do regulamento eIDAS?

Com a Directiva para assinaturas electrónicas, houve uma falta de uniformidade em toda a UE. Cada país tinha a sua própria interpretação do sistema. Isto significava que os níveis de segurança e autenticação exigidos tinham muita variação.

o eIDAS apresenta um conjunto de orientações que beneficiam tanto as empresas como os cidadãos, inclusive sob a forma de:

• Melhoria da confiança nas transacções online e electrónicas
• Reconhecimento da identificação electrónica em todos os estados membros
• Processo mais rápido e racionalizado para transacções transfronteiriças
• Regulamentos consistentes de assinatura electrónica em toda a UE

Quem é afectado pelo eIDAS?

Qualquer pessoa que realize transacções electrónicas utilizando assinaturas electrónicas na UE é abrangida pelo regulamento eIDAS. Isto torna possível às empresas e aos consumidores realizarem as suas transacções sem terem de estar fisicamente presentes.

Embora os consumidores que realizam transações eletrônicas devam estar cientes dos regulamentos, o ônus do cumprimento geralmente recai sobre o prestador do serviço de confiança.

O que é considerado uma assinatura electrónica segundo o regulamento eIDAS?

As assinaturas electrónicas sob eIDAS incluem quaisquer dados em formato electrónico que estejam anexados ou logicamente associados a outros dados em formato electrónico e que sejam utilizados pelo signatário para assinar. Não há nenhum requisito para um tipo específico de tecnologia a ser utilizada quando se qualifica uma assinatura eletrônica sob eIDAS.

o eIDAS define três níveis de garantia para a identificação: baixo, substancial e alto. Da mesma forma, o eIDAS estabeleceu três categorias de assinaturas eletrônicas:

1. Assinaturas electrónicas
2. Assinaturas electrónicas avançadas
3. Assinaturas electrónicas qualificadas

Embora todas elas sejam válidas como assinaturas electrónicas, o tipo de assinatura afecta a quantidade de provas necessárias para provar que a assinatura é genuína.

Aqui estão as principais distinções entre os três tipos de assinaturas.

Tipos de assinaturas electrónicas

Uma assinatura electrónica é, antes de mais, um conceito legal. Geralmente, trata-se de ter um registo duradouro da intenção de um signatário. Uma assinatura digital é diferente de uma assinatura electrónica. A assinatura digital refere-se à tecnologia de encriptação utilizada em aplicações de comércio electrónico e de negócios electrónicos, incluindo aplicações de assinatura electrónica.  

Uma assinatura electrónica é considerada uma assinatura electrónica básica ou simples. Pode ser um nome datilografado ou uma cópia de uma assinatura manuscrita. Uma vez que estes tipos de assinaturas podem ser forjadas, o tribunal pode exigir mais provas de apoio adicionais para provar que a assinatura é genuína.

Assinaturas electrónicas básicas ou simples

A assinatura electrónica básica é neutra do ponto de vista tecnológico. Ou seja, qualquer formulário ou processo eletrônico é geralmente aceito desde que a assinatura eletrônica resultante atenda a três requisitos básicos para assinatura. Os requisitos para uma assinatura eletrônica são que a assinatura deve ser:

• Usado pela pessoa associada à assinatura
• Usado de uma forma que demonstre a intenção do signatário
• Associado ao documento ou aos dados que o signatário pretende assinar

Assinaturas electrónicas avançadas (AES)

Uma assinatura eletrônica avançada vai além da assinatura eletrônica básica ao vincular a autenticação à assinatura e ao documento. Isto atenua o risco nas transacções comerciais, fornecendo provas adicionais que podem ser utilizadas para verificar a autenticidade da assinatura.É mais difícil forjar e menos provas podem ser requeridas pelo tribunal para provar a intenção e autenticidade da assinatura.

Além dos requisitos necessários para uma simples assinatura eletrônica, uma assinatura eletrônica avançada deve ser:

• Ligado de forma exclusiva à pessoa que utiliza a assinatura
• Capaz de identificar o signatário
• Criado de uma forma que o signatário está confiante de que está sob seu único controle
• Ligado ao documento, para que quaisquer alterações feitas posteriormente sejam identificáveis

Para a utilização de assinaturas electrónicas, a maioria das empresas e bancos optam pela assinatura electrónica avançada como a sua forma padrão de assinatura electrónica. Ao incluir garantia de autenticação incorporada, aumenta a segurança sem impactar a experiência do cliente.

Assinaturas electrónicas qualificadas (QES)

O termo "assinatura electrónica qualificada" é baseado no regulamento eIDAS, mas é semelhante a muitas outras leis em todo o mundo que exigem um certificado emitido por uma organização acreditada.

A assinatura eletrônica qualificada OneSpan é uma assinatura eletrônica avançada que também requer um certificado digital pessoal, além de todos os outros requisitos padrão. O certificado digital é uma credencial de identidade eletrônica segura, pessoal e única que deve ser emitida ao signatário de uma forma que ele possa manter sob seu controle.

Além dos requisitos tanto de assinaturas electrónicas como de assinaturas electrónicas avançadas, deve ser uma assinatura electrónica qualificada:

• Criado utilizando um dispositivo de criação electrónica qualificada ou de criação de assinatura
• Apoiado por um certificado qualificado (emitido por um fornecedor de serviços fiduciários qualificado; um exemplo seria o seu tema na Bélgica)

Como uma assinatura eletrônica avançada, ela é reconhecida como equivalente a uma assinatura manuscrita. No entanto, se contestado numa disputa, este tipo de assinatura não requer nenhuma prova adicional pelo tribunal, nos termos do artigo 25 do eIDAS.

A assinatura eletrônica qualificada inverte o ônus da prova que normalmente ocorre durante uma transação digital. Com assinaturas eletrônicas simples e assinaturas eletrônicas avançadas, cabe à organização que inicia a transação autenticar o assinante. Mas, com uma assinatura electrónica qualificada, o signatário deve produzir o certificado digital utilizado para se autenticar a si próprio.

Na prática, outras formas de assinaturas eletrônicas podem ser contestadas em procedimentos legais e a organização que inicia a transação pode precisar provar ao tribunal que é confiável e original; em resumo, que tem efeito legal. Embora alguns países possam favorecer a admissibilidade de assinaturas electrónicas baseadas em certificados digitais, não podem negar a admissibilidade do documento assinado ao tribunal apenas porque a assinatura tem a forma de uma assinatura electrónica básica ou avançada.

Que tipo de assinatura você deve usar no eIDAS?

O tipo de assinatura que você deve usar depende do tipo de transação e do nível de risco (por exemplo, risco de autenticação, risco legal, risco de conformidade, risco de adoção, etc.) que sua organização está disposta a assumir. De acordo com o white paper eIDAS e E-Signatures: A Legal Perspective, se a lei não especifica uma assinatura eletrônica qualificada é necessária para que um documento seja legal, uma assinatura eletrônica avançada pode ser suficiente.

Ouça em primeira mão uma organização europeia, P&V Insurance na Bélgica, sobre o seu caso de utilização e como a sua equipa jurídica tomou a decisão de adoptar a assinatura electrónica avançada, em vez da assinatura electrónica qualificada. Para a P&V Seguros, a questão tornou-se: Como escolher o tipo certo de assinatura eletrônica para cada caso de uso? O caso de uso inicial são aplicações de seguro de vida - um processo de baixo risco onde os requisitos de conformidade são mínimos.
"A aplicação do seguro não tem o mesmo nível de risco que a apólice, portanto uma Assinatura E Avançada é suficiente". No entanto, para documentos que precisam de forte aplicabilidade legal, como a própria política ou o formulário de mudança do beneficiário, precisamos de assinaturas eletrônicas qualificadas ou mesmo assinaturas de tinta para estarmos em conformidade", diz Marc Lucion, Gerente Sênior de Projetos de TI.

De acordo com o conselho geral da seguradora, "Aconselhamos a empresa a usar assinaturas eletrônicas qualificadas (com identidade eletrônica e PIN emitidos pelo governo) pelo menos para determinados atos ou contratos em função do risco, sensibilidade ou montante. No entanto, também concordamos que as Assinaturas E Avançadas (com autenticação e SMS one-time passcode) eram legalmente suficientes para a maioria das aplicações de seguros. Em todos os casos, os documentos assinados electronicamente tinham de ser guardados e arquivados nos nossos sistemas" Leia mais neste estudo de caso: A P&V Insurance estabelece as bases para a assinatura electrónica da empresa.

Em resumo

o eIDAS resolve a inconsistência das transacções electrónicas em todos os Estados-Membros da UE. Embora possa parecer complexo, ao estabelecer um conjunto de padrões básicos, o eIDAS ajuda a criar um ambiente electrónico sem descontinuidades. O aumento da confiança nos processos electrónicos promoverá um crescimento económico e social mais rápido a longo prazo em toda a UE. Como um negócio, é importante familiarizar-se com o eIDAS e garantir que a sua organização esteja em conformidade.

A solução de assinatura eletrônica da OneSpan, OneSpan Sign, suporta todos os tipos de assinaturas sob o regulamento eIDAS. Saiba mais sobre como a OneSpan Sign é projetada para atender aos requisitos de assinaturas eletrônicas em países que promulgaram leis de assinaturas eletrônicas.

Para mais informações sobre a lei de assinaturas electrónicas e a eficácia jurídica e aplicabilidade das assinaturas electrónicas para as suas transacções comerciais ou com um tipo específico de acordo ou contrato, visite o nosso guia de legalidade de assinaturas electrónicas e consulte o seu consultor jurídico.