Autenticación de dous factores: guía para a contabilidade

Por que a autenticación de dous factores é indispensable en expertise contable

Os gabinetes de expertise contable tratan diariamente datos financeiros altamente confidenciais: declaracións fiscais, balances, boletíns de nómina, coordenadas bancarias de centos de empresas clientes. En 2025, segundo o informe anual da ANSSI, os ataques de phishing dirixidos aos colexios profesionais aumentaron un 37 % nun ano. Ante esta ameaza, a autenticación de dous factores (2FA) — tamén chamada autenticación multifactor (MFA) — constitúe a primeira liña de defensa técnica recomendada.

A autenticación de dous factores repousaba nun principio sinxelo: para acceder a un sistema, o usuario debe probar a súa identidade mediante dous elementos distintos. O primeiro é xeralmente « algo que se sabe » (un contrasinal), o segundo é « algo que se posúe » (un smartphone, unha chave física) ou « algo que se é » (datos biométricos). Este mecanismo fai case imposibles os ataques por roubo de contrasinal só, que aínda representan o 81 % das violacións de datos segundo o informe Verizon DBIR 2024.

Para os expertos-contables, a conformidade co regulamento eIDAS e as súas esixencias de identificación forte xa non é unha opción: é unha necesidade regulamentaria e ética. Este artigo che explica, paso a paso, como configurar a 2FA no teu gabinete, que ferramentas elixir e como acompañar aos teus colaboradores nesta transición.

---

Os métodos de autenticación de dous factores adaptados ao sector contable

As aplicacións de autenticación (TOTP)

O método máis extendido nos gabinetes contables é o uso dunha aplicación que xera códigos temporais (TOTP — Time-based One-Time Password). Solucións como Google Authenticator, Microsoft Authenticator ou Authy xeran un código de 6 díxitos renovado cada 30 segundos. Este código está asociado a un secreto compartido almacenado na aplicación durante a fase de inscrición (escaneo dun código QR).

Ventaxas para os gabinetes: implantación sen custo adicionais, funciona sen conexión, compatible coa case totalidade dos programas contables (Sage, Cegid, ACD, MyUnisoft). Desventaxa: se o colaborador perde o seu teléfono, o procedemento de recuperación debe ser anticipado (códigos de seguridade a conservar nun lugar seguro).

As chaves de seguridade físicas (FIDO2/WebAuthn)

Para os gabinetes que tratan grandes volumes de datos sensibles ou suxeitos a auditorías frecuentes, as chaves de seguridade materiais (tipo YubiKey ou Feitian) ofrecen o nivel de protección máis elevado. Baseadas nos estándares FIDO2 e WebAuthn, son resistentes ao phishing por deseño: a chave verifica criptograficamente o dominio do sitio antes de autenticarse, o que neutraliza os ataques de tipo « home-in-the-middle ».

Cada vez máis portais fiscais e plataformas de depósito obrigatorio (DGFiP, infogreffe) tenden a aceptar estes estándares. Un gabinete que xestiona un centenar de mandatos pode amortizar a compra de chaves (aproximadamente 50-80 € a unidade) en poucas semanas grazas á redución do tempo de xestión dos incidentes de seguridade.

Os SMS OTP: a evitar para datos sensibles

Aínda que os códigos enviados por SMS seguen sendo unha opción en moitos sistemas, o NIST estadounidense (National Institute of Standards and Technology) déixoos reclasificados en 2016 da categoría dos métodos de autenticación fortes. Os ataques por SIM swapping (transferencia fraudulenta dun número de teléfono a unha tarxeta SIM controlada por un atacante) afectaron a varios gabinetes contables franceses nos últimos anos. Para os accesos aos datos fiscais ou aos ferramentas de sinatura electrónica para os gabinetes xurídicos e contables, o SMS OTP debe considerarse só como solución de último recurso.

---

Como configurar a autenticación de dous factores: guía paso a paso

Paso 1 — Inventario das aplicacións e definición do perímetro

Antes de calquera implantación técnica, elabora un inventario exhaustivo de todas as aplicacións usadas no teu gabinete:

• Programas contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensaxería e ferramentas colaborativas: Microsoft 365, Google Workspace, Slack
• Ferramentas de xestión documental e de sinatura: plataformas de depósito, ferramentas de fluxo de traballo
• Accesos remotos: VPN, RDP, escritorios virtuais
• Portais de clientes: espazos de intercambio de documentos cos clientes

Para cada aplicación, verifica se a 2FA está dispoñible (sección « Seguridade » dos parámetros) e que método está soportado (TOTP, FIDO2, SMS). Clasifica as aplicacións por criticalidade segundo a sensibilidade dos datos accesibles.

Paso 2 — Implantación técnica e inscrición dos colaboradores

Para Microsoft 365, a configuración realízase a través do portal Azure Active Directory (Entra ID). Activa o « Security Defaults » ou, para os gabinetes de máis de 10 colaboradores, configura políticas de Acceso condicionado (dispoñibles desde a licencia Business Premium). Estas políticas permiten esixir a 2FA só en certas condicións: acceso desde fóra do despacho, conexión desde un aparello descoñecido, horario inusual.

Para os programas contables, o procedemento varía segundo o editor:

• Cegid Loop: parámetros de seguridade > activar a dobre autenticación > xerar os códigos QR para cada usuario
• MyUnisoft: administración > seguridade > autenticación forte > forzar a 2FA para todos os perfís
• Sage 100 Cloud: contacta co administrador Sage ou co teu revendedor para activar o módulo MFA

Prevé unha sesión de inscrición con cada colaborador (15 a 20 minutos por persoa). Distribúe a cada usuario unha folla de resumo coas súas códigos de recuperación, a conservar nun lugar seguro e físico (caixa forte do gabinete, por exemplo).

Paso 3 — Política de xestión e procedementos de emerxencia

A implantación técnica é só a metade do traballo. Unha política de seguridade documentada debe precisar:

• Quén pode desactivar temporalmente a 2FA (só o administrador do sistema, nunca o colaborador mesmo)
• Procedemento de perda de aparello: bloqueo inmediato da conta, rexeneración dos códigos de seguridade, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral dos accesos e dos métodos de autenticación
• Xestión de despedidas: revogación inmediata dos accesos e dos secretos 2FA en calquera saída de colaborador

Esta política intégrase naturalmente no teu plan de continuidade de actividade (PCA) e no teu rexistro de tratamento dos datos segundo o RGPD. Consultar o centro de axuda Certyneo pode proporcionarche modelos de políticas adaptadas ás pequenas e medianas estruturas.

---

Integración da 2FA coas ferramentas de sinatura electrónica

A sinatura electrónica avanzada ou cualificada, tal como se define no regulamento eIDAS, esixe unha identificación forte do asinante. Concretamente, cando o teu gabinete transmite unha carta de encargo ou un contrato de prestación para asinar a un cliente, a plataforma de sinatura debe verificar a identidade do asinante de manera robusta. É exactamente alí onde intervén a 2FA.

Nas plataformas de sinatura conformes eIDAS (nivel avanzado ou cualificado), o asinante recibe un enlace por correo electrónico, despois debe validar a súa identidade a través dun segundo canal (SMS, aplicación de autenticación ou certificado cualificado). Este procedemento crea un rexistro de auditoría horodatado e criptograficamente verificable, o que constitúe unha proba irrefutable en caso de litigio — un tema crucial para os expertos-contables que comprometem a súa responsabilidade civil profesional en cada misión.

Para entender os diferentes niveis de sinatura e elixir o adaptado aos teus fluxos documentais, recoméndase a lectura da guía completa de sinatura electrónica. Os gabinetes que usan Certyneo benefícianse dunha integración nativa da 2FA no camiño de sinatura, o que reduce a fricción para o asinante mentres se mantén o nivel de conformidade requirido.

Debe prestarse atención especial ás cartas de encargo (obrigatorias segundo a norma profesional 2400 da OEC) e aos informes de comisarios de contas: estes documentos comprometem a responsabilidade persoal do profesional e requiren unha trazabilidade de autenticación impecable. Podes usar un xerador de contratos por IA para automatizar a creación destes documentos mentres se integran desde o deseño as esixencias de autenticación forte.

---

Formar e sensibilizar aos colaboradores: o factor humano

A implantación técnica máis rigorosa é ineficaz se os colaboradores non entenden os desafíos ou non contornan os dispositivos de seguridade. En expertise contable, os equipos están a miúdo compostos por perfís moi variados: sócios seniors, colaboradores juniors, practicantes, asistentes de dirección. A formación debe ser adaptada a cada perfil.

Programa de sensibilización recomendado para un gabinete de 5 a 30 persoas:

1. Sesión de lanzamento (1h): presentación dos riscos concretos (exemplos de incidentes reais anonimizados no sector), demostración ao vivo da configuración, preguntas/respostas
2. Titoriais de vídeo curtos (3-5 minutos cada un): un titorial por aplicación crítica, dispoñibles na intranet do gabinete
3. Exercicio de phishing simulado: envío dun falso correo de phishing a 3 meses da implantación para medir a vixilancia real e identificar aos colaboradores que necesitan un acompañamento adicional
4. Integración no onboarding: todo novo colaborador configura a súa 2FA no seu primeiro día, cun refente dedicado

A Orde dos Expertos-Contables (OEC) ofrece tamén recursos de formación continua sobre ciberseguridade no marco das obrigacións de formación anual (40 horas para os expertos-contables inscritos no quadro). Estas formacións poden ser valorizadas na túa estratexia de calidade se o teu gabinete está certificado ISO 9001 ou busca unha certificación de ciberseguridade (etiqueta ExpertCyber da ANSSI, por exemplo).

Marco legal aplicable á autenticación forte en expertise contable

A implantación de autenticación de dous factores nun gabinete de expertise contable inscrívese nun marco regulamentario denso, articulado arredor de varios textos fundamentais.

O Regulamento eIDAS nº 910/2014 e a súa revisión eIDAS 2.0 (Regulamento UE 2024/1183) constitúen o socle de referencia para todo o que concerne á identificación electrónica en Europa. O artigo 8 define tres niveis de aseguración para os medios de identificación electrónica: débil, substancial e elevado. Para os actos que comprometen a responsabilidade profesional dun experto-contable (sinatura de informes, validación de declaracións fiscais en liña), requírese o nivel de aseguración « substancial » ou « elevado », o que implica obrigatoriamente unha autenticación multifactor.

O RGPD (Regulamento UE 2016/679), no seu artigo 32, impón aos responsables do tratamento implementar « medidas técnicas e organizacionais apropiadas » para garantir a seguridade dos datos persoais. Un gabinete de expertise contable trata datos persoais sensibles (datos financeiros, datos de saúde a través dos boletíns de nómina con ausencias por enfermidade, etc.). A ausencia de 2FA nos accesos aos programas contables constitúe moi probablemente un incumprimento deste artigo, expondo o gabinete a sancións que poden alcanzar o 4 % da facturación anual mundial (artigo 83 RGPD).

O Código Civil, artigos 1366 e 1367, regulan o valor xurídico da sinatura electrónica. O artigo 1367 especifica que « a fiabilidade dun procedemento de sinatura electrónica preséntase, ata proba en contrario, cando este procedemento implementa unha sinatura electrónica cualificada ». A autenticación forte é un compoñente esencial desta presunción de fiabilidade.

A directiva NIS2 (Directiva UE 2022/2555), transposición en dereito francés pola lei nº 2024-449 do 21 de maio de 2024 e os seus decretos de aplicación, estende as obrigacións de ciberseguridade a un espectro amplo de entidades. Aínda que os gabinetes de expertise contable non están directamente listados como entidades esenciais, aqueles que proporcionan servizos dixitais a entidades esenciais ou importantes (establecementos sanitarios, colectividades locais, empresas de infraestrutura crítica) poden estar suxeitos a obrigacións indirectamente a través dos seus contratos de prestación.

A norma profesional 2400 da Orde dos Expertos-Contables impón así mesmo unha obrigación de medios reforzada en materia de seguridade dos sistemas de información para os gabinetes que tratan misións legais. A ANSSI recomenda explicitamente a MFA como medida mínima na súa guía « Seguridade dos sistemas de información para as PEME/PEME » (edición 2024).

Responsabilidade civil profesional: en caso de violación de datos de clientes resultante dunha ausencia de 2FA, o segurador RCP do gabinete pode invocar un fallo caracterizado para reducir ou denegar a súa garantía. Recoméndase fortemente conservar a documentación técnica da implantación da 2FA como proba de diligencia.

Escenarios de uso: a 2FA na práctica nos gabinetes contables

Escenario 1 — Un gabinete de expertise contable de tamaño intermedio

Un gabinete que agrupa arredor de quince colaboradores e xestiona aproximadamente 400 mandatos activos decidiu implantar a 2FA en todos os seus ferramentas tras un incidente de phishing que case comprometeu o acceso ao seu programa de nómina. A dirección optou por Microsoft Authenticator en Microsoft 365 (correo, SharePoint, Teams) e polas aplicacións TOTP nativas do seu programa contable na nube.

A implantación realizouse en tres semanas: unha semana de inventario e configuración, unha semana de inscrición dos colaboradores por grupos de cinco, unha semana de seguimento e corrección de problemas. Resultado: cero incidentes de compromiso de conta nos 12 meses seguintes, contra dous incidentes o ano anterior. O tempo de xestión dos incidentes de seguridade foi reducido en aproximadamente o 70 %. O gabinete tamén puido xustificar ante varios clientes grandes (nomeadamente unha PEME industrial cliente que impón unha carta de seguridade para provedores) que os seus sistemas respeitaban as esixencias MFA.

Escenario 2 — Un gabinete especializado en auditoría legal de PEME

Un gabinete de comisariadoaría de contas xestión arredor de sesenta mandatos de auditoría legal foi confrontado con unha esixencia específica: os seus clientes son cada vez máis numerosos a solicitar unha proba de conformidade RGPD ao renovar as misións. O gabinete optou por implantar chaves de seguridade FIDO2 para os sócios (acceso aos expedientes máis sensibles) e aplicacións TOTP para os colaboradores seniors, mentres se mantén os SMS OTP só para accesos de baixa sensibilidade.

Paralelamente, o gabinete integrou a sinatura electrónica avanzada nos seus fluxos de informes de comisariadoaría, con autenticación forte sistemática do asinante. Grazas ao rexistro de auditoría xerado, dous posibles litixios con clientes que contestaban a data efectiva de presentación dun informe puideron ser resoltos en favor do gabinete producindo os rexistros de autenticación horodatados. A redución dos prazos de sinatura dos informes (de 5 días en media a menos de 24 horas) tamén permitiu fluidificar a facturación e mellorar a tesorería do gabinete en aproximadamente o 15 %.

Escenario 3 — Un gabinete en fase de crecemento externo

Unha rede rexional de gabinetes contables que absorbeu tres estruturas independentes en dous anos atopouse con unha heteroxeneidade importante de sistemas: algúns gabinetes absortos non tiñan ningunha política de 2FA, outros usaban SMS OTP. O grupo aproveitou esta integración para harmonizar nunha solución unificada de xestión de identidades (IAM — Identity and Access Management) con 2FA obrigatoria.

A inversión inicial (licenzas IAM, formación, acompañamento) foi estimada en aproximadamente 8 000 € para o conxunto do grupo (aproximadamente 45 colaboradores). En cambio, a redución dos custos ligados aos incidentes de seguridade (intervencións de prestatarios informáticos, xestión de crise) foi estimada en 15 000-20 000 € no primeiro ano. O grupo tamén puido negociar unha redución da súa prima de seguro cibernético de orde do 20 % proporcionando ao seu asegurador a documentación de implantación da 2FA.

Conclusión

A autenticación de dous factores xa non é un luxo reservado ás grandes estruturas: é un imperativo de seguridade e conformidade para todo gabinete de expertise contable, calquera que sexa o seu tamaño. Entre as esixencias do RGPD, as recomendacións da ANSSI, as obrigacións eIDAS para a sinatura electrónica e a presión crecente dos clientes sobre as normas de seguridade dos seus prestatarios, a 2FA converteuse nun estándar incontornable do sector.

A boa nova: a implantación é hoxe accesible, rápida e con baixo custo. Seguindo os pasos descritos neste artigo — inventario das aplicacións, elección do método adaptado, inscrición dos colaboradores, redacción dunha política documentada — o teu gabinete pode alcanzar un nivel de seguridade robusto en poucas semanas.

Certyneo integra nativamente a autenticación forte nos seus fluxos de sinatura electrónica, permitíndoche combinar conformidade eIDAS e seguridade MFA sen complexidade adicionais. Descubre as nosas ofertas e prezos ou contacta o noso equipo para un acompañamento personalizado á conformidade do teu gabinete.