Autenticação de dois fatores: guia para contabilidade

Por que a autenticação de dois fatores é essencial em contabilidade

Os gabinetes de contabilidade tratam diariamente de dados financeiros altamente confidenciais: declarações fiscais, balanços, folhas de pagamento, coordenadas bancárias de centenas de empresas clientes. Em 2025, segundo o relatório anual da ANSSI, os ataques de phishing direcionados a profissões regulamentadas aumentaram 37% em um ano. Diante dessa ameaça, a autenticação de dois fatores (2FA) — também chamada de autenticação multifator (MFA) — constitui a primeira linha de defesa técnica recomendada.

A autenticação de dois fatores repousa sobre um princípio simples: para acessar um sistema, o usuário deve provar sua identidade através de dois elementos distintos. O primeiro é geralmente "algo que se sabe" (uma senha), o segundo é "algo que se possui" (um smartphone, uma chave física) ou "algo que se é" (dados biométricos). Este mecanismo torna quase impossíveis os ataques por roubo de senha isolada, que ainda representam 81% das violações de dados segundo o relatório Verizon DBIR 2024.

Para os contadores, a conformidade com o regulamento eIDAS e seus requisitos de identificação forte não é mais uma opção: é uma necessidade regulatória e ética. Este artigo explica, passo a passo, como configurar a 2FA em seu gabinete, quais ferramentas escolher e como acompanhar seus colaboradores nesta transição.

---

Os métodos de autenticação de dois fatores adaptados ao setor contábil

Aplicativos de autenticação (TOTP)

O método mais difundido nos gabinetes contábeis é o uso de um aplicativo que gera códigos temporais (TOTP — Time-based One-Time Password). Soluções como Google Authenticator, Microsoft Authenticator ou Authy geram um código de 6 dígitos renovado a cada 30 segundos. Este código é associado a um segredo compartilhado armazenado no aplicativo durante a fase de inscrição (varredura de código QR).

Vantagens para os gabinetes: implantação sem custo adicional, funciona offline, compatível com praticamente todos os softwares contábeis (Sage, Cegid, ACD, MyUnisoft). Desvantagem: se o colaborador perder seu telefone, o procedimento de recuperação deve ser antecipado (códigos de backup a serem guardados em local seguro).

Chaves de segurança físicas (FIDO2/WebAuthn)

Para os gabinetes que processam grandes volumes de dados sensíveis ou são submetidos a auditorias frequentes, as chaves de segurança de hardware (tipo YubiKey ou Feitian) oferecem o nível mais elevado de proteção. Baseadas nos padrões FIDO2 e WebAuthn, são resistentes a phishing por design: a chave verifica criptograficamente o domínio do site antes de se autenticar, o que neutraliza ataques do tipo "homem no meio".

Cada vez mais portais fiscais e plataformas de depósito obrigatório (DGFiP, infogreffe) tendem a aceitar esses padrões. Um gabinete gerenciando cerca de cem mandatos pode compensar a compra de chaves (cerca de 50-80 € a unidade) em algumas semanas graças à redução do tempo de gerenciamento de incidentes de segurança.

OTP por SMS: a evitar para dados sensíveis

Embora os códigos enviados por SMS permaneçam uma opção em muitos sistemas, o NIST americano (National Institute of Standards and Technology) os rebaixou em 2016 da categoria de métodos de autenticação forte. Os ataques por SIM swapping (transferência fraudulenta de um número de telefone para um cartão SIM controlado por um atacante) afetaram vários gabinetes contábeis franceses nos últimos anos. Para acessos a dados fiscais ou a ferramentas de assinatura eletrônica para gabinetes jurídicos e contábeis, o OTP por SMS deve ser considerado apenas como solução de último recurso.

---

Como configurar autenticação de dois fatores: guia passo a passo

Etapa 1 — Inventário de aplicativos e definição do perímetro

Antes de qualquer implantação técnica, faça um inventário exaustivo de todos os aplicativos utilizados em seu gabinete:

• Softwares contábeis: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensageria e ferramentas colaborativas: Microsoft 365, Google Workspace, Slack
• Ferramentas de gestão documental e assinatura: plataformas de depósito, ferramentas de workflow
• Acessos remotos: VPN, RDP, desktops virtuais
• Portais de clientes: espaços de compartilhamento de documentos com clientes

Para cada aplicativo, verifique se a 2FA está disponível (seção "Segurança" das configurações) e qual método é suportado (TOTP, FIDO2, SMS). Classifique os aplicativos por criticidade de acordo com a sensibilidade dos dados acessíveis.

Etapa 2 — Implantação técnica e inscrição de colaboradores

Para Microsoft 365, a configuração é feita através do portal Azure Active Directory (Entra ID). Ative o "Security Defaults" ou, para gabinetes com mais de 10 colaboradores, configure políticas de Acesso condicionado (disponíveis a partir da licença Business Premium). Essas políticas permitem exigir 2FA apenas sob certas condições: acesso de fora do escritório, conexão de um dispositivo desconhecido, horário incomum.

Para softwares contábeis, o procedimento varia de acordo com o editor:

• Cegid Loop: configurações de segurança > ativar autenticação dupla > gerar códigos QR para cada usuário
• MyUnisoft: administração > segurança > autenticação forte > forçar 2FA para todos os perfis
• Sage 100 Cloud: contate o administrador Sage ou seu revendedor para ativar o módulo MFA

Planeje uma sessão de inscrição com cada colaborador (15 a 20 minutos por pessoa). Distribua a cada usuário uma ficha resumida com seus códigos de recuperação, a serem guardados em local seguro e físico (cofre do gabinete, por exemplo).

Etapa 3 — Política de gerenciamento e procedimentos de emergência

A implantação técnica é apenas metade do trabalho. Uma política de segurança documentada deve especificar:

• Quem pode desativar temporariamente a 2FA (apenas o administrador do sistema, nunca o colaborador mesmo)
• Procedimento de perda de dispositivo: bloqueio imediato da conta, regeneração dos códigos de backup, reinscrição supervisionada
• Frequência de revisão: auditoria semestral de acessos e métodos de autenticação
• Gerenciamento de desligamentos: revogação imediata de acessos e segredos 2FA quando houver desligamento de colaborador

Esta política se integra naturalmente ao seu plano de continuidade de negócios (PCN) e ao seu registro de processamento de dados nos termos do RGPD. Consultar o centro de ajuda Certyneo pode fornecer modelos de políticas adaptados a pequenas e médias estruturas.

---

Integração da 2FA com ferramentas de assinatura eletrônica

A assinatura eletrônica avançada ou qualificada, conforme definida pelo regulamento eIDAS, exige uma identificação forte do signatário. Concretamente, quando seu gabinete transmite uma carta de missão ou contrato de prestação de serviços para ser assinado a um cliente, a plataforma de assinatura deve verificar a identidade do signatário de forma robusta. É precisamente aí que a 2FA entra em jogo.

Nas plataformas de assinatura conformes com eIDAS (nível avançado ou qualificado), o signatário recebe um link por email e depois deve validar sua identidade através de um segundo canal (SMS, aplicativo de autenticação ou certificado qualificado). Este processo cria uma trilha de auditoria datada e criptograficamente verificável, o que constitui uma prova irrefutável em caso de disputa — uma questão crucial para contadores que comprometem sua responsabilidade profissional civil em cada missão.

Para entender os diferentes níveis de assinatura e escolher o adequado para seus fluxos documentários, é recomendada a leitura do guia completo de assinatura eletrônica. Os gabinetes que usam Certyneo se beneficiam de uma integração nativa de 2FA no processo de assinatura, o que reduz o atrito para o signatário enquanto mantém o nível de conformidade necessário.

Atenção especial deve ser dada às cartas de missão (obrigatórias conforme a norma profissional 2400 da OEC) e aos relatórios de auditoria: esses documentos comprometem a responsabilidade pessoal do profissional e exigem uma rastreabilidade de autenticação irrepreensível. Você pode inclusive usar um gerador de contratos por IA para automatizar a criação desses documentos enquanto integra desde o design os requisitos de autenticação forte.

---

Formar e sensibilizar colaboradores: o fator humano

A implantação técnica mais rigorosa é tornada ineficaz se os colaboradores não entendem os riscos ou contornam os dispositivos de segurança. Em contabilidade, as equipes são frequentemente compostas por perfis muito variados: sócios sênior, colaboradores juniores, estagiários, assistentes de direção. O treinamento deve ser adaptado a cada perfil.

Programa de sensibilização recomendado para um gabinete de 5 a 30 pessoas:

1. Sessão de lançamento (1h): apresentação de riscos concretos (exemplos de incidentes reais anonimizados no setor), demonstração ao vivo de configuração, perguntas e respostas
2. Tutoriais em vídeo curtos (3-5 minutos cada): um tutorial por aplicativo crítico, disponível na intranet do gabinete
3. Exercício de phishing simulado: envio de um falso email de phishing em 3 meses após a implantação para medir a vigilância real e identificar colaboradores que necessitam acompanhamento adicional
4. Integração no onboarding: todo novo colaborador configura sua 2FA no primeiro dia, com um referente dedicado

A Ordem dos Contadores (OEC) também oferece recursos de formação contínua sobre cibersegurança como parte das obrigações de formação anual (40 horas para contadores inscritos no quadro). Esses treinamentos podem ser valorizados em sua abordagem de qualidade se seu gabinete é certificado ISO 9001 ou busca uma certificação de cibersegurança (rótulo ExpertCyber da ANSSI, por exemplo).

Marco legal aplicável à autenticação forte em contabilidade

A implementação da autenticação de dois fatores em um gabinete de contabilidade se inscreve em um marco regulatório denso, articulado em torno de vários textos fundamentais.

O Regulamento eIDAS nº 910/2014 e sua revisão eIDAS 2.0 (Regulamento UE 2024/1183) constituem a base de referência para tudo que se refere à identificação eletrônica na Europa. O artigo 8 define três níveis de garantia para os meios de identificação eletrônica: fraco, substancial e elevado. Para os atos que comprometem a responsabilidade profissional de um contador (assinatura de relatórios, validação de declarações fiscais online), o nível de garantia "substancial" ou "elevado" é necessário, o que obrigatoriamente implica autenticação multifator.

O RGPD (Regulamento UE 2016/679), em seu artigo 32, impõe aos responsáveis pelo tratamento implementar "medidas técnicas e organizacionais apropriadas" para garantir a segurança dos dados pessoais. Um gabinete de contabilidade processa dados pessoais sensíveis (dados financeiros, dados de saúde através de folhas de pagamento com afastamentos por doença, etc.). A ausência de 2FA nos acessos aos softwares contábeis provavelmente constitui uma violação deste artigo, expondo o gabinete a sanções que podem chegar a 4% da receita anual global (artigo 83 RGPD).

O Código Civil, artigos 1366 e 1367, regulamentam o valor jurídico da assinatura eletrônica. O artigo 1367 especifica que "a confiabilidade de um procedimento de assinatura eletrônica é presumida, até prova em contrário, quando esse procedimento implementa uma assinatura eletrônica qualificada". A autenticação forte é um componente essencial dessa presunção de confiabilidade.

A diretiva NIS2 (Diretiva UE 2022/2555), transposta para a lei francesa pela lei nº 2024-449 de 21 de maio de 2024 e seus decretos de aplicação, estende as obrigações de cibersegurança a um amplo espectro de entidades. Embora os gabinetes de contabilidade não sejam diretamente listados como entidades essenciais, aqueles que fornecem serviços digitais a entidades essenciais ou importantes (estabelecimentos de saúde, coletividades locais, empresas de infraestrutura crítica) podem ser submetidos a obrigações por contágio através de seus contratos de prestação.

A norma profissional 2400 da Ordem dos Contadores também impõe uma obrigação de meios reforçada em matéria de segurança de sistemas de informação para gabinetes que tratam de missões legais. A ANSSI recomenda explicitamente MFA como medida mínima em seu guia "Segurança de sistemas de informação para PME/PME" (edição 2024).

Responsabilidade civil profissional: em caso de violação de dados de clientes resultante de ausência de 2FA, a seguradora RCP do gabinete pode invocar culpa caracterizada para reduzir ou recusar sua cobertura. É fortemente recomendado manter a documentação técnica da implantação de 2FA como prova de diligência.

Cenários de uso: a 2FA na prática em gabinetes contábeis

Cenário 1 — Um gabinete de contabilidade de tamanho intermediário

Um gabinete reunindo cerca de quinze colaboradores e gerenciando aproximadamente 400 mandatos ativos decidiu implantar 2FA em todas as suas ferramentas após um incidente de phishing que quase comprometeu o acesso ao seu software de folha de pagamento. A direção optou por Microsoft Authenticator no Microsoft 365 (email, SharePoint, Teams) e para as aplicações TOTP nativas de seu software contábil em nuvem.

A implantação foi realizada em três semanas: uma semana de inventário e configuração, uma semana de inscrição de colaboradores em grupos de cinco, uma semana de acompanhamento e correção de problemas. Resultado: zero incidente de comprometimento de conta nos 12 meses seguintes, contra dois incidentes no ano anterior. O tempo de gerenciamento de incidentes de segurança foi reduzido em aproximadamente 70%. O gabinete também conseguiu justificar para vários clientes grandes (incluindo uma PME industrial cliente que impõe uma carta de segurança de fornecedores) que seus sistemas respeitavam requisitos de MFA.

Cenário 2 — Um gabinete especializado em auditoria legal de PME

Um gabinete de auditoria legal gerenciando aproximadamente sessenta mandatos de auditoria foi confrontado com uma exigência específica: seus clientes estão cada vez mais pedindo prova de conformidade RGPD ao renovar os mandatos. O gabinete escolheu implementar chaves de segurança FIDO2 para os sócios (acesso aos arquivos mais sensíveis) e aplicações TOTP para colaboradores sênior, enquanto mantinha OTP por SMS apenas para acessos de baixa sensibilidade.

Paralelamente, o gabinete integrou assinatura eletrônica avançada em seus fluxos de relatórios de auditoria, com autenticação forte sistemática do signatário. Graças à trilha de auditoria gerada, dois possíveis litígios com clientes contestando a data efetiva de entrega de um relatório foram resolvidos a favor do gabinete ao produzir os logs de autenticação datados. A redução no tempo de assinatura de relatórios (de uma média de 5 dias para menos de 24 horas) também permitiu fluidificar a faturação e melhorar o fluxo de caixa do gabinete em cerca de 15%.

Cenário 3 — Um gabinete em fase de crescimento externo

Uma rede regional de gabinetes contábeis que absorveu três estruturas independentes em dois anos encontrou-se com uma heterogeneidade significativa de sistemas: alguns gabinetes absorvidos não tinham nenhuma política de 2FA, outros usavam OTP por SMS. O grupo aproveitou essa integração para harmonizar em uma solução unificada de gerenciamento de identidades (IAM — Identity and Access Management) com 2FA obrigatória.

O investimento inicial (licenças IAM, treinamento, acompanhamento) foi estimado em cerca de 8.000 € para todo o grupo (aproximadamente 45 colaboradores). Em contrapartida, a redução de custos relacionados a incidentes de segurança (intervenções de prestador de TI, gerenciamento de crises) foi estimada em 15.000-20.000 € no primeiro ano. O grupo também conseguiu negociar uma redução de sua seguradora de cibersegurança de cerca de 20% ao fornecer à seguradora a documentação da implantação de 2FA.

Conclusão

A autenticação de dois fatores não é mais um luxo reservado a grandes estruturas: é um imperativo de segurança e conformidade para todo gabinete de contabilidade, independentemente de seu tamanho. Entre os requisitos do RGPD, as recomendações da ANSSI, as obrigações eIDAS para assinatura eletrônica e a pressão crescente dos clientes sobre os padrões de segurança de seus prestadores, a 2FA tornou-se um padrão incontornável do setor.

A boa notícia: a implantação é hoje acessível, rápida e pouco custosa. Seguindo as etapas descritas neste artigo — inventário de aplicativos, escolha do método apropriado, inscrição de colaboradores, redação de uma política documentada — seu gabinete pode alcançar um nível robusto de segurança em algumas semanas.

Certyneo integra nativamente autenticação forte em seus fluxos de assinatura eletrônica, permitindo combinar conformidade eIDAS e segurança MFA sem complexidade adicional. Descubra nossas ofertas e preços ou entre em contato com nossa equipe para acompanhamento personalizado na conformidade de seu gabinete.