Autenticació de dos factors: guia per a la comptabilitat

Per què l'autenticació de dos factors és indispensable en peritatge comptable

Els despatxos de peritatge comptable tracten diàriament dades financeres altament confidencials: liasses fiscals, balanços, butlletins de nòmina, coordenades bancàries de centenes d'empreses clientes. El 2025, segons l'informe anual de l'ANSSI, els atacs per phishing dirigits a professions regulades han augmentat un 37% en un any. Front a aquesta amenaça, l'autenticació de dos factors (2FA) — també anomenada autenticació multifactor (MFA) — constitueix la primera línia de defensa tècnica recomanada.

L'autenticació de dos factors es basa en un principi simple: per accedir a un sistema, l'usuari ha de provar la seva identitat mitjançant dos elements diferents. El primer és generalment "quelcom que saps" (una contrasenya), el segon és "quelcom que tens" (un smartphone, una clau física) o "quelcom que ets" (dades biomètriques). Aquest mecanisme fa gairebé impossibles els atacs per vol de contrasenya només, que representen encara un 81% de les violacions de dades segons l'informe Verizon DBIR 2024.

Per als experts comptables, la conformitat amb el reglament eIDAS i les seves exigències d'identificació forta ja no és opcional: és una necessitat reglamentària i ètica. Aquest article t'explica, pas a pas, com configurar la 2FA al teu despatx, quins outils triar i com acompanyar els teus col·laboradors en aquesta transició.

---

Els mètodes d'autenticació de dos factors adaptats al sector comptable

Les aplicacions d'autenticació (TOTP)

El mètode més estès en els despatxos comptables és l'ús d'una aplicació que genera codis temporals (TOTP — Time-based One-Time Password). Solucions com Google Authenticator, Microsoft Authenticator o Authy generen un codi de 6 dígits renovat cada 30 segons. Aquest codi s'associa amb un secret compartit emmagatzemat a l'aplicació durant la fase d'enrolare (escan d'un codi QR).

Avantatges per als despatxos: desplegament sense cost addicional, funciona sense connexió, compatible amb gairebé la totalitat de programaris comptables (Sage, Cegid, ACD, MyUnisoft). Inconvenient: si el col·laborador perd el seu telèfon, el procediment de recuperació ha de ser anticipat (codis de salvaguarda a conservar en lloc segur).

Les claus de seguretat físiques (FIDO2/WebAuthn)

Per als despatxos que tracten volums importants de dades sensibles o sotmesos a auditories freqüents, les claus de seguretat materials (tipus YubiKey o Feitian) ofereixen el nivell de protecció més elevat. Basades en els estàndards FIDO2 i WebAuthn, són resistents a phishing per disseny: la clau verifica criptogràficament el domini del lloc abans d'autenticar-se, cosa que neutralitza els atacs de tipus "man-in-the-middle".

Més i més portals fiscals i plataformes de dipòsit obligatori (DGFiP, infogreffe) tendeixen a acceptar aquests estàndards. Un despatx que gestiona una centena de mandats pot amortitzar la compra de claus (al voltant de 50-80 € la unitat) en poques setmanes gràcies a la reducció del temps de gestió dels incidents de seguretat.

Els SMS OTP: a evitar per a dades sensibles

Encara que els codis enviats per SMS romanen una opció en molts sistemes, el NIST americà (National Institute of Standards and Technology) els ha desclassificat el 2016 de la categoria dels mètodes d'autenticació forta. Els atacs per SIM swapping (transferència fraudulenta d'un número de telèfon a una tarjeta SIM controlada per un atacant) han afectat diversos despatxos comptables francesos els darrers anys. Per als accessos a dades fiscals o als outils de signatura electrònica per a despatxos jurídics i comptables, l'SMS OTP només ha de ser considerat com a solució de darrer recurs.

---

Com configurar l'autenticació de dos factors: guia pas a pas

Pas 1 — Inventari de les aplicacions i definició del períímetre

Abans de qualsevol desplegament tècnic, elabora un inventari exhaustiu de totes les aplicacions usades al teu despatx:

• Programaris comptables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Correu electrònic i outils col·laboratius: Microsoft 365, Google Workspace, Slack
• Outils de gestió documentària i de signatura: plataformes de dipòsit, outils de flux de treball
• Accessos remots: VPN, RDP, escriptoris virtuals
• Portals clients: espais d'intercanvi de documents amb els clients

Per a cada aplicació, verifica si la 2FA està disponible (secció "Seguretat" dels paràmetres) i quin mètode és acceptat (TOTP, FIDO2, SMS). Classifica les aplicacions per criticitat en funció de la sensibilitat de les dades accessibles.

Pas 2 — Desplegament tècnic i enrolare dels col·laboradors

Per a Microsoft 365, la configuració es fa a través del portal Azure Active Directory (Entra ID). Activa la "Security Defaults" o, per als despatxos de més de 10 col·laboradors, configura polítiques d'Accés Condicionat (disponibles des de la llicència Business Premium). Aquestes polítiques permeten exigir la 2FA només en certes condicions: accés des de fora de la oficina, connexió des d'un dispositiu desconegut, horari inusual.

Per als programaris comptables, el procediment varia segons l'editor:

• Cegid Loop: paràmetres de seguretat > activar la doble autenticació > generar els codis QR per a cada usuari
• MyUnisoft: administració > seguretat > autenticació forta > forçar la 2FA per a tots els perfils
• Sage 100 Cloud: contactar l'administrador Sage o el teu revenedor per activar el mòdul MFA

Preveu una sessió d'enrolare amb cada col·laborador (15 a 20 minuts per persona). Distribueix a cada usuari una fitxa recapitulativa amb els seus codis de recuperació, a conservar en un lloc segur i físic (caixa de seguretat del despatx, per exemple).

Pas 3 — Política de gestió i procediments d'emergència

L'implementació tècnica és només la meitat del treball. Una política de seguretat documentada ha de precisar:

• Qui pot desactivar temporalment la 2FA (només l'administrador de sistema, mai el col·laborador mateix)
• Procediment de pèrdua d'aparell: bloqueig immediat del compte, regeneració dels codis de salvaguarda, reenrolare supervisat
• Freqüència de revisió: auditoria semestral dels accessos i dels mètodes d'autenticació
• Gestió de sortides: revocació immediata dels accessos i dels secrets 2FA en qualsevol sortida de col·laborador

Aquesta política s'integra naturalment en el teu pla de continuïtat d'activitat (PCA) i en el teu registre de tractament de dades selon el RGPD. Consultar el centre d'ajuda Certyneo pot proporcionar-te models de polítiques adaptades als estructures petites i mitjanes.

---

Integració de la 2FA amb els outils de signatura electrònica

La signatura electrònica avançada o qualificada, tal com està definida pel reglament eIDAS, exigeix una identificació forta del signatari. Concretament, quan el teu despatx transmet una carta de missió o un contracte de prestació per signar a un client, la plataforma de signatura ha de verificar l'identitat del signatari de manera robusta. És precisament aquí que intervé la 2FA.

En les plataformes de signatura conformes amb eIDAS (nivell avançat o qualificat), el signatari rep un enllaç per correu electrònic, després ha de validar la seva identitat a través d'un segon canal (SMS, aplicació d'autenticació o certificat qualificat). Aquest procés crea una pista d'auditoria horozonada i criptogràficament verificable, cosa que constitueix una prova irrefutable en cas de litigi — una qüestió crucial per als experts comptables que comprometen la seva responsabilitat civil professional en cadascuna de les seves missions.

Per entendre els diferents nivells de signatura i triar el que s'adapti als teus flux documentals, la lectura del guia completa de la signatura electrònica és recomanada. Els despatxos que utilitzen Certyneo es beneficien d'una integració nativa de la 2FA en el recorregut de signatura, cosa que redueix la fricció per al signatari mantenint el nivell de conformitat requerida.

Una atenció particular ha de dedicar-se a les cartes de missió (obligatòries segons la norma professional 2400 de l'OEC) i als informes de comissari als comptes: aquests documents comprometen la responsabilitat personal del professional i necessiten una traçabilitat d'autenticació irreprovable. Fins i tot pots utilitzar un generador de contractes per IA per automatitzar la creació d'aquests documents mentre integres des del disseny les exigències d'autenticació forta.

---

Formar i sensibilitzar els col·laboradors: el factor humà

El desplegament tècnic més rigorós es fa inefectiu si els col·laboradors no comprenen els enjeux o eludeixen els dispositius de seguretat. En peritatge comptable, els equips solen estar compostos per perfils molt variats: socis seniors, col·laboradors juniors, pràctics, secretàries de direcció. La formació ha de ser adaptada a cada perfil.

Programa de sensibilització recomanat per a un despatx de 5 a 30 persones:

1. Sessió de llançament (1h): presentació dels riscos concrets (exemples d'incidents reals anonimitzats en el sector), demostració en directe de la configuració, preguntes/respostes
2. Tutorials de vídeo curts (3-5 minuts cadascun): un tutorial per aplicació crítica, disponibles a la intranet del despatx
3. Exercici de phishing simulat: enviament d'un fals correu electrònic de phishing a 3 mesos del desplegament per mesurar la vigilància real i identificar els col·laboradors que necessiten acompanyament suplementari
4. Integració en l'onboarding: tot nou col·laborador configura la seva 2FA durant el seu primer dia, amb un referent dedicat

L'Ordre dels Experts Comptables (OEC) ofereix també recursos de formació contínua sobre ciberseguretat en el marc de les obligacions de formació anual (40 hores per als experts comptables inscrits en la taula). Aquestes formacions poden ser valorades en la teva estratègia de qualitat si el teu despatx està certificat ISO 9001 o aspira a una certificació de ciberseguretat (etiqueta ExpertCyber de l'ANSSI, per exemple).

Marc legal aplicable a l'autenticació forta en peritatge comptable

L'implementació de l'autenticació de dos factors en un despatx de peritatge comptable s'inscriu en un marc normatiu dens, articulat al voltant de diversos textos fonamentals.

El Reglament eIDAS n°910/2014 i la seva revisió eIDAS 2.0 (Reglament UE 2024/1183) constitueixen el sòcol de referència per a tot allò que concerneix l'identificació electrònica a Europa. L'article 8 defineix tres nivells d'assegurança per als mitjans d'identificació electrònica: baix, substancial i elevat. Per als actes que comprometen la responsabilitat professional d'un expert comptable (signatura de rapports, validació de liasses fiscals en línia), el nivell d'assegurança "substancial" o "elevat" és requerida, cosa que implica obligatòriament una autenticació multifactor.

El RGPD (Reglament UE 2016/679), en el seu article 32, imposa als responsables de tractament la implementació de "mesures tècniques i organitzatives apropades" per garantir la seguretat de les dades personals. Un despatx de peritatge comptable tracta dades personals sensibles (dades financeres, dades de salut a través dels butlletins de nòmina amb absències per malaltia, etc.). L'absència de 2FA en els accessos als programaris comptables constitueix molt probablement un incompliment d'aquest article, exposant el despatx a sancions que poden arribar al 4% de la xifra de negocis anual mundial (article 83 RGPD).

El Codi Civil, articles 1366 i 1367, marquen la validesa legal de la signatura electrònica. L'article 1367 precisà que "la fiabilitat d'un procediment de signatura electrònica es presumeix, fins a prova en contrari, quan aquest procediment implementa una signatura electrònica qualificada". L'autenticació forta és un component essencial d'aquesta presumpció de fiabilitat.

La directiva NIS2 (Directiva UE 2022/2555), transposada al dret francés per la llei n°2024-449 del 21 de maig de 2024 i els seus decrets d'aplicació, amplia les obligacions de ciberseguretat a un ampli espectre d'entitats. Encara que els despatxos de peritatge comptable no figuren directament com a entitats essencials, aquells que proporcionen serveis digitals a entitats essencials o importants (establiments de salut, col·lectivitats locals, empreses d'infraestructura crítica) poden estar sotmesos a obligacions per ricochet a través dels seus contractes de prestació.

La norma professional 2400 de l'Ordre dels Experts Comptables imposa a més una obligació de mitjans reforçada en matèria de seguretat dels sistemes d'informació per als despatxos que tracten missions legals. L'ANSSI recomana explícitament la MFA com a mesura mínima en la seva guia "Seguretat dels sistemes d'informació per a les TPE/PIME" (edició 2024).

Responsabilitat civil professional: en cas de violació de dades de clients resultant d'una absència de 2FA, l'assegurador RCP del despatx pot invocar una falta caracteritzada per reduir o rebutjar la seva garantia. Es recomana fermament conservar la documentació tècnica del desplegament de la 2FA com a prova de diligència.

Escenaris d'ús: la 2FA en la pràctica als despatxos comptables

Escenari 1 — Un despatx de peritatge comptable de mida intermèdia

Un despatx que agrupa al voltant de quinze col·laboradors i que gestiona aproximadament 400 mandats actius ha decidit desplegar la 2FA en la totalitat dels seus outils després d'un incident de phishing que gairebé ha compromès l'accés al seu programari de nòmina. La direcció ha optat per Microsoft Authenticator a Microsoft 365 (correu electrònic, SharePoint, Teams) i per les aplicacions TOTP natives del seu programari comptable al núvol.

El desplegament ha estat realitzat en tres setmanes: una setmana d'inventari i paràmetrització, una setmana d'enrolare dels col·laboradors per grups de cinc, una setmana de seguiment i correcció dels problemes. Resultat: zero incident de compromís de compte en els 12 mesos següents, contra dos incidents l'any anterior. El temps de gestió dels incidents de seguretat ha estat reduït aproximadament un 70%. El despatx ha pogut justificar, a més, davant diversos clients de gran companyia (inclòs una PIME industrial cliente que imposava una carta de seguretat de proveïdors) que els seus sistemes respectaven les exigències de MFA.

Escenari 2 — Un despatx especialitzat en auditoria legal de PIME

Un despatx de comissariat als comptes que gestiona seixanta mandats d'auditoria legal ha estat confrontat a una exigència específica: els seus clients són cada vegada més nombrosos a demanar una prova de conformitat RGPD en la renovació dels mandats. El despatx ha triat desplegar claus de seguretat FIDO2 per als socis (accés als expedients més sensibles) i aplicacions TOTP per als col·laboradors seniors, mantenint l'SMS OTP només per als accessos de baixa sensibilitat.

Paral·lelament, el despatx ha integrat la signatura electrònica avançada en els seus flux d'informes de comissariat, amb autenticació forta sistemàtica del signatari. Gràcies a la pista d'auditoria generada, dos litigs potencials amb clients que contestaven la data efectiva de lliurament d'un informe han pogut ser resolts en favor del despatx presentant els logs d'autenticació horozontats. La reducció dels terminis de signatura dels informes (de 5 dies en mitjana a menys de 24 hores) ha permès, a més, fluïdificar la facturació i millorar la tresoreria del despatx d'al voltant del 15%.

Escenari 3 — Un despatx en fase de creixement extern

Una xarxa regional de despatxos comptables que ha absorbit tres estructures independents en dos anys s'ha vist amb una heterogeneïtat important de sistemes: alguns despatxos absorits no tenien cap política de 2FA, altres utilitzaven SMS OTP. El grup ha aprofitat aquesta integració per harmonitzar en una solució unificada de gestió de les identitats (IAM — Identity and Access Management) amb 2FA obligatòria.

La inversió inicial (llicències IAM, formació, acompanyament) ha estat estimada en aproximadament 8.000 € per al conjunt del grup (al voltant de 45 col·laboradors). A canvi, la reducció dels costos relacionats amb incidents de seguretat (intervencions del proveïdor d'informàtica, gestió de crisi) ha estat estimada en 15.000-20.000 € en el primer any. El grup ha pogut, a més, negociar una reducció de la seva prima d'assegurança cibernètica de l'ordre del 20% proporcionant al seu assegurador la documentació de desplegament de la 2FA.

Conclusió

L'autenticació de dos factors ja no és un luxe reservat a les grans estructures: és un imperatiu de seguretat i conformitat per a tot despatx de peritatge comptable, sigui quin sigui la seva mida. Entre les exigències del RGPD, les recomanacions de l'ANSSI, les obligacions eIDAS per a la signatura electrònica i la pressió creixent dels clients sobre els estàndards de seguretat dels seus proveïdors de serveis, la 2FA s'ha convertit en un estàndard incontournable del sector.

La bona notícia: el desplegament és avui accessible, ràpid i poc costós. En seguir els passos descrits en aquest article — inventari de les aplicacions, elecció del mètode adaptat, enrolare dels col·laboradors, redacció d'una política documentada — el teu despatx pot assolir un nivell de seguretat robust en poques setmanes.

Certyneo integra nativament l'autenticació forta en els seus flux de signatura electrònica, permetent-te combinar conformitat eIDAS i seguretat MFA sense complexitat addicional. Descobreix les nostres ofertes i preus o contacta el nostre equip per a un acompanyament personalitzat en la conformitat del teu despatx.