Autenticação de dois fatores: guia para contabilidade

Por que a autenticação de dois fatores é indispensável em contabilidade

Os escritórios de contabilidade tratam diariamente dados financeiros altamente confidenciais: balanços fiscais, demonstrações financeiras, contracheques, coordenadas bancárias de centenas de empresas clientes. Em 2025, segundo o relatório anual da ANSSI, os ataques de phishing direcionados a profissões regulamentadas aumentaram 37% em um ano. Diante dessa ameaça, a autenticação de dois fatores (2FA) — também chamada de autenticação multifator (MFA) — constitui a primeira linha de defesa técnica recomendada.

A autenticação de dois fatores repousa em um princípio simples: para acessar um sistema, o usuário deve comprovar sua identidade por meio de dois elementos distintos. O primeiro é geralmente "algo que você sabe" (uma senha), o segundo é "algo que você possui" (um smartphone, uma chave física) ou "algo que você é" (dados biométricos). Esse mecanismo torna quase impossíveis os ataques por roubo de senha apenas, que ainda representam 81% das violações de dados segundo o relatório Verizon DBIR 2024.

Para contadores, a conformidade com o regulamento eIDAS e suas exigências de identificação forte não é mais uma opção: é uma necessidade regulatória e ética. Este artigo explica, passo a passo, como configurar a 2FA em seu escritório, quais ferramentas escolher e como acompanhar seus colaboradores nessa transição.

---

Os métodos de autenticação de dois fatores adequados ao setor contábil

Aplicativos de autenticação (TOTP)

O método mais disseminado nos escritórios contábeis é o uso de um aplicativo que gera códigos temporais (TOTP — Time-based One-Time Password). Soluções como Google Authenticator, Microsoft Authenticator ou Authy geram um código de 6 dígitos renovado a cada 30 segundos. Este código está associado a um segredo compartilhado armazenado no aplicativo durante a fase de inscrição (leitura de código QR).

Vantagens para escritórios: implantação sem custo adicional, funciona offline, compatível com praticamente todos os softwares contábeis (Sage, Cegid, ACD, MyUnisoft). Desvantagem: se o colaborador perder seu telefone, o procedimento de recuperação deve ser antecipado (códigos de backup a serem guardados em local seguro).

Chaves de segurança física (FIDO2/WebAuthn)

Para escritórios que lidam com volumes significativos de dados sensíveis ou estão sujeitos a auditorias frequentes, as chaves de segurança materiais (tipo YubiKey ou Feitian) oferecem o nível de proteção mais elevado. Baseadas nos padrões FIDO2 e WebAuthn, são resistentes ao phishing por design: a chave verifica criptograficamente o domínio do site antes de se autenticar, o que neutraliza ataques do tipo "man-in-the-middle".

Cada vez mais portais fiscais e plataformas de depósito obrigatório (DGFiP, infogreffe) tendem a aceitar esses padrões. Um escritório gerenciando cerca de cem mandatos pode amortizar a compra de chaves (aproximadamente 50-80 € por unidade) em poucas semanas graças à redução do tempo de gerenciamento de incidentes de segurança.

SMS OTP: a evitar para dados sensíveis

Embora códigos enviados por SMS permaneçam uma opção em muitos sistemas, o NIST americano (National Institute of Standards and Technology) os rebaixou em 2016 da categoria de métodos de autenticação forte. Os ataques por SIM swapping (transferência fraudulenta de um número de telefone para um cartão SIM controlado por um atacante) afetaram vários escritórios contábeis franceses nos últimos anos. Para acessos a dados fiscais ou ferramentas de assinatura eletrônica para escritórios jurídicos e contábeis, SMS OTP deve ser considerado apenas como solução de último recurso.

---

Como configurar a autenticação de dois fatores: guia passo a passo

Etapa 1 — Inventário das aplicações e definição do perímetro

Antes de qualquer implantação técnica, elabore um inventário exaustivo de todas as aplicações usadas em seu escritório:

• Softwares contábeis: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensageria e ferramentas colaborativas: Microsoft 365, Google Workspace, Slack
• Ferramentas de gerenciamento documental e assinatura: plataformas de depósito, ferramentas de workflow
• Acessos remotos: VPN, RDP, desktops virtuais
• Portais cliente: espaços de compartilhamento de documentos com clientes

Para cada aplicação, verifique se a 2FA está disponível (seção "Segurança" das configurações) e qual método é suportado (TOTP, FIDO2, SMS). Classifique as aplicações por criticidade de acordo com a sensibilidade dos dados acessíveis.

Etapa 2 — Implantação técnica e inscrição dos colaboradores

Para Microsoft 365, a configuração é feita via portal Azure Active Directory (Entra ID). Ative o "Security Defaults" ou, para escritórios com mais de 10 colaboradores, configure políticas de Acesso Condicional (disponíveis a partir da licença Business Premium). Essas políticas permitem exigir a 2FA apenas em certas condições: acesso de fora do escritório, conexão de um dispositivo desconhecido, horário incomum.

Para softwares contábeis, o procedimento varia de acordo com o editor:

• Cegid Loop: configurações de segurança > ativar autenticação dupla > gerar códigos QR para cada usuário
• MyUnisoft: administração > segurança > autenticação forte > forçar 2FA para todos os perfis
• Sage 100 Cloud: contate o administrador Sage ou seu revendedor para ativar o módulo MFA

Reserve uma sessão de inscrição com cada colaborador (15 a 20 minutos por pessoa). Distribua a cada usuário uma ficha recapitulativa com seus códigos de recuperação, a ser guardada em local seguro e físico (cofre do escritório, por exemplo).

Etapa 3 — Política de gerenciamento e procedimentos de emergência

A implantação técnica é apenas metade do trabalho. Uma política de segurança documentada deve especificar:

• Quem pode desativar temporariamente a 2FA (apenas o administrador de sistema, nunca o próprio colaborador)
• Procedimento de perda de dispositivo: bloqueio imediato da conta, regeneração de códigos de backup, reinscrisão supervisionada
• Frequência de revisão: auditoria semestral de acessos e métodos de autenticação
• Gerenciamento de saídas: revogação imediata de acessos e segredos 2FA quando um colaborador sair

Essa política se integra naturalmente em seu plano de continuidade de negócios (PCA) e em seu registro de processamento de dados conforme o RGPD. Consultar o centro de ajuda Certyneo pode fornecer modelos de políticas adaptados a pequenas e médias estruturas.

---

Integração da 2FA com ferramentas de assinatura eletrônica

A assinatura eletrônica avançada ou qualificada, conforme definida pelo regulamento eIDAS, exige uma identificação forte do signatário. Concretamente, quando seu escritório transmite uma carta de encargo ou contrato de prestação de serviços para um cliente assinar, a plataforma de assinatura deve verificar a identidade do signatário de forma robusta. É precisamente aqui que a 2FA entra em jogo.

Nas plataformas de assinatura conformes com eIDAS (nível avançado ou qualificado), o signatário recebe um link por email e deve validar sua identidade por um segundo canal (SMS, aplicativo de autenticação ou certificado qualificado). Esse processo cria um trilho de auditoria com data/hora e verificável criptograficamente, o que constitui uma prova irrefutável em caso de litígio — uma questão crítica para contadores que comprometem sua responsabilidade civil profissional em cada missão.

Para entender os diferentes níveis de assinatura e escolher aquele adequado aos seus fluxos documentais, a leitura do guia completo de assinatura eletrônica é recomendada. Os escritórios que utilizam Certyneo se beneficiam de uma integração nativa da 2FA na jornada de assinatura, o que reduz o atrito para o signatário mantendo o nível de conformidade necessário.

Uma atenção especial deve ser dada às cartas de encargo (obrigatórias conforme a norma profissional 2400) e aos relatórios de auditoria: esses documentos comprometem a responsabilidade pessoal do profissional e exigem uma rastreabilidade de autenticação impecável. Você pode inclusive utilizar um gerador de contratos por IA para automatizar a criação desses documentos integrando desde o design os requisitos de autenticação forte.

---

Treinar e sensibilizar colaboradores: o fator humano

A implantação técnica mais rigorosa é tornada ineficaz se os colaboradores não entendem os desafios ou contornam os dispositivos de segurança. Em contabilidade, as equipes são frequentemente compostas por perfis muito variados: sócios sênior, colaboradores júnior, estagiários, assistentes de direção. O treinamento deve ser adaptado a cada perfil.

Programa de sensibilização recomendado para um escritório de 5 a 30 pessoas:

1. Sessão de lançamento (1h): apresentação de riscos concretos (exemplos de incidentes reais anonimizados no setor), demonstração ao vivo da configuração, perguntas e respostas
2. Tutoriais em vídeo curtos (3-5 minutos cada): um tutorial por aplicação crítica, disponível na intranet do escritório
3. Exercício de phishing simulado: envio de um falso email de phishing 3 meses após implantação para medir a vigilância real e identificar colaboradores que precisam de acompanhamento adicional
4. Integração na integração: todo novo colaborador configura sua 2FA no primeiro dia, com um referente dedicado

A Ordem dos Contadores também oferece recursos de treinamento contínuo em cibersegurança no contexto de obrigações de formação anual (40 horas para contadores inscritos no quadro). Esses treinamentos podem ser valorizados em sua abordagem de qualidade se seu escritório está certificado ISO 9001 ou busca certificação de cibersegurança (label ExpertCyber da ANSSI, por exemplo).

Marco legal aplicável à autenticação forte em contabilidade

A implementação da autenticação de dois fatores em um escritório contábil se inscreve em um marco regulatório denso, articulado em torno de vários textos fundamentais.

O Regulamento eIDAS n° 910/2014 e sua revisão eIDAS 2.0 (Regulamento UE 2024/1183) constituem a base de referência para tudo que diz respeito à identificação eletrônica na Europa. O artigo 8 define três níveis de garantia para meios de identificação eletrônica: baixo, substancial e elevado. Para atos que comprometem a responsabilidade profissional de um contador (assinatura de relatórios, validação de balancetes online), o nível de garantia "substancial" ou "elevado" é necessário, o que obrigatoriamente implica autenticação multifator.

O RGPD (Regulamento UE 2016/679), em seu artigo 32, impõe aos controladores de dados implementar "medidas técnicas e organizacionais apropriadas" para garantir a segurança dos dados pessoais. Um escritório contábil processa dados pessoais sensíveis (dados financeiros, dados de saúde através de contracheques com ausências por doença, etc.). A ausência de 2FA nos acessos aos softwares contábeis provavelmente constitui um descumprimento deste artigo, expondo o escritório a sanções que podem chegar a 4% da receita anual global (artigo 83 RGPD).

O Código Civil, artigos 1366 e 1367, regulam o valor jurídico da assinatura eletrônica. O artigo 1367 precisa que "a confiabilidade de um procedimento de assinatura eletrônica é presumida, até prova em contrário, quando esse procedimento implementa uma assinatura eletrônica qualificada". A autenticação forte é um componente essencial dessa presunção de confiabilidade.

A diretiva NIS2 (Diretiva UE 2022/2555), transposta para direito francês pela lei n° 2024-449 de 21 de maio de 2024 e seus decretos de aplicação, amplia as obrigações de cibersegurança para um amplo espectro de entidades. Embora os escritórios contábeis não estejam diretamente listados como entidades essenciais, aqueles que fornecem serviços digitais a entidades essenciais ou importantes (estabelecimentos de saúde, coletividades locais, empresas de infraestrutura crítica) podem estar sujeitos a obrigações por ricochete através de seus contratos de prestação.

A norma profissional 2400 da Ordem dos Contadores impõe além disso uma obrigação de meios reforçada em matéria de segurança de sistemas de informação para escritórios que lidam com missões legais. A ANSSI recomenda explicitamente MFA como medida mínima em seu guia "Segurança de sistemas de informação para PME/PME" (edição 2024).

Responsabilidade civil profissional: em caso de violação de dados de clientes resultante da ausência de 2FA, o segurador RCP do escritório pode invocar falta caracterizada para reduzir ou negar sua garantia. É fortemente aconselhável conservar a documentação técnica de implantação da 2FA como prova de diligência.

Cenários de uso: a 2FA na prática em escritórios contábeis

Cenário 1 — Um escritório contábil de tamanho intermediário

Um escritório agrupando cerca de 15 colaboradores e gerenciando aproximadamente 400 mandatos ativos decidiu implementar a 2FA em todas as suas ferramentas após um incidente de phishing que quase comprometeu o acesso a seu software de folha de pagamento. A diretoria optou por Microsoft Authenticator no Microsoft 365 (email, SharePoint, Teams) e para aplicações TOTP nativas de seu software contábil em nuvem.

A implantação foi realizada em três semanas: uma semana de inventário e configuração, uma semana de inscrição dos colaboradores em grupos de cinco, uma semana de acompanhamento e correção de problemas. Resultado: zero incidentes de compromisso de conta nos 12 meses seguintes, em comparação com dois incidentes no ano anterior. O tempo de gerenciamento de incidentes de segurança foi reduzido em aproximadamente 70%. O escritório também pôde justificar a vários clientes de grande porte (incluindo uma PME industrial cliente impondo uma carta de segurança de fornecedores) que seus sistemas atendiam aos requisitos MFA.

Cenário 2 — Um escritório especializado em auditoria legal de PME

Um escritório de auditoria gerenciando cerca de 60 mandatos de auditoria legal enfrentou uma exigência específica: seus clientes estão cada vez mais pedindo uma prova de conformidade RGPD ao renovar as missões. O escritório escolheu implementar chaves de segurança FIDO2 para sócios (acesso aos arquivos mais sensíveis) e aplicações TOTP para colaboradores sênior, mantendo SMS OTP apenas para acessos de baixa sensibilidade.

Paralelamente, o escritório integrou assinatura eletrônica avançada em seus fluxos de relatórios de auditoria, com autenticação forte obrigatória do signatário. Graças à trilha de auditoria gerada, dois possíveis litígios com clientes contestando a data de entrega efetiva de um relatório puderam ser resolvidos a favor do escritório produzindo os logs de autenticação com data/hora. A redução dos prazos de assinatura de relatórios (de 5 dias em média para menos de 24 horas) também permitiu agilizar a faturação e melhorar o fluxo de caixa do escritório em aproximadamente 15%.

Cenário 3 — Um escritório em fase de crescimento externo

Uma rede regional de escritórios contábeis que absorveu três estruturas independentes em dois anos se viu com heterogeneidade significativa de sistemas: alguns escritórios absorvidos não tinham qualquer política de 2FA, outros usavam SMS OTP. O grupo aproveitou essa integração para harmonizar uma solução unificada de gerenciamento de identidades (IAM — Identity and Access Management) com 2FA obrigatório.

O investimento inicial (licenças IAM, treinamento, acompanhamento) foi estimado em aproximadamente 8.000 € para todo o grupo (cerca de 45 colaboradores). Em troca, a redução de custos relacionados a incidentes de segurança (intervenções de prestadores de TI, gerenciamento de crise) foi estimada em 15.000-20.000 € no primeiro ano. O grupo também pôde negociar uma redução em sua prime de seguro cibernético da ordem de 20% fornecendo ao seu segurador a documentação de implantação da 2FA.

Conclusão

A autenticação de dois fatores não é mais um luxo reservado a grandes estruturas: é um imperativo de segurança e conformidade para qualquer escritório contábil, independente de seu tamanho. Entre os requisitos do RGPD, as recomendações da ANSSI, as obrigações eIDAS para assinatura eletrônica e a pressão crescente dos clientes nos padrões de segurança de seus prestadores de serviços, a 2FA se tornou um padrão incontornável do setor.

A boa notícia: a implantação é hoje acessível, rápida e de baixo custo. Seguindo as etapas descritas neste artigo — inventário das aplicações, escolha do método adequado, inscrição dos colaboradores, redação de uma política documentada — seu escritório pode alcançar um nível robusto de segurança em poucas semanas.

Certyneo integra nativamente autenticação forte em seus fluxos de assinatura eletrônica, permitindo que você combine conformidade eIDAS e segurança MFA sem complexidade adicional. Descubra nossas ofertas e preços ou contacte nossa equipe para um acompanhamento personalizado na conformidade de seu escritório.