Autenticação do signatário: métodos e desafios

Por que a autenticação é crítica

A autenticação do signatário é o elo mais frágil da cadeia de prova. Sem ela, é impossível provar quem realmente assinou. Uma plataforma de assinatura moderna deve oferecer vários mecanismos graduados.

Os métodos disponíveis

Email de confiança

O signatário recebe um link único em seu endereço de email. Apenas o titular da caixa pode clicar. Simples e eficaz para SES.

Risco residual: roubo de conta de email. Aceitável para documentos de baixo risco.

OTP por SMS

Código de uso único enviado para o número de telefone. Combinado com email = AES.

Risco residual: SIM swapping (raro, mas conhecido para alvos de alto valor).

OTP por aplicativo

Código gerado por um app (Google Authenticator, Authy, Twilio Authy). Mais seguro que SMS para riscos elevados.

Biometria

Impressão digital, reconhecimento facial. Utilizada em dispositivos móveis para melhorar a experiência. Não armazenada no servidor (respeito à LGPD).

Certificado pessoal

Certificado criptográfico emitido por um QTSP, armazenado em um dispositivo (YubiKey, cartão inteligente). Obrigatório para QES.

Vídeo KYC

Verificação de identidade por videoconferência ou gravação. Utilizada em setores regulados (banco, seguros).

Identidade digital nacional

FranceConnect+, itsme (Bélgica), SPID (Itália). Reconhecida no nível "substancial" por eIDAS.

Níveis de garantia (LoA)

eIDAS define três níveis:

Nível | Exigência | Exemplo

Baixo | Email ou equivalente | SES

Substancial | Duplo fator | AES (email + OTP)

Elevado | Verificação de identidade rigorosa | QES, KYC em vídeo

Alinhamento com o risco

• Documento interno, pedido de compra: LoA baixo (SES) é suficiente

• Contrato de trabalho, aluguel, NDA: LoA substancial (AES)

• Ato notarial, licitação pública: LoA elevado (QES)

Erros comuns

• Usar SES para tudo (subdimensionado)

• Acumular autenticações desnecessariamente (atrito)

• Não registrar os métodos utilizados (prova enfraquecida)

• Coletar muitos dados biométricos (LGPD)

Proteção contra ataques

• Phishing: treinar signatários para verificar o remetente

• Man-in-the-middle: TLS 1.3 obrigatório

• SIM swapping: OTP por app para riscos muito elevados

• Deepfake em vídeo KYC: controles de vivacidade + verificação cruzada

Caso concreto: neobanco

Jornada de abertura de conta:

• Email de confiança

• OTP SMS

• Upload de documento de identidade

• Teste de vivacidade (selfie)

• Verificação em bases de sanções

• Assinatura AES

LoA: substancial. Conforme ACPR. Processo em 10 minutos.

Como a Certyneo ajuda você

Certyneo oferece todos os mecanismos comuns: email, OTP SMS (via Twilio Verify), integração de certificados qualificados para QES, vídeo KYC opcional, FranceConnect+ em integração. Cada método é registrado na trilha de auditoria.

Descubra a solução de assinatura eletrônica Certyneo

FAQ

O SMS é seguro o suficiente?

Para AES sim. Para riscos muito elevados, prefira OTP por app ou biometria.

A biometria é armazenada?

Lado do servidor não (respeito à LGPD). Os templates permanecem no dispositivo.

Posso combinar vários métodos?

Sim, para reforçar a prova.

FranceConnect+ é reconhecido?

Sim, nível substancial. Pode ativar AES e QES.

O que acontece se o OTP expirar?

O signatário pode solicitar um novo. Limites anti-força bruta estão em vigor.

Conclusão

Uma boa autenticação é graduada, rastreada e adaptada ao risco. Sobre-autenticar cria atrito; sub-autenticar enfraquece a prova. O equilíbrio é encontrado documento por documento.

Experimente Certyneo para enviar, assinar e acompanhar seus documentos online de forma simples, rápida e segura.