Ir para o conteúdo principal
Certyneo

Como funciona a assinatura eletrônica em 2026

Compreender como funciona a assinatura eletrônica é essencial para todo responsável jurídico ou DSI. Mergulhe nos mecanismos criptográficos e regulatórios que garantem seu valor probatório.

11 min de lectura

Equipa Certyneo

Redator — Certyneo · Sobre Certyneo

Introdução

A assinatura eletrônica está hoje no coração da transformação digital das empresas: em 2025, mais de 70% das grandes organizações europeias a integraram em pelo menos um processo contratual (fonte: Gartner, Digital Process Automation Survey 2025). Porém, são raros os tomadores de decisão que compreendem precisamente os mecanismos que a tornam juridicamente válida e tecnicamente infalsificável. Compreender como funciona tecnicamente a assinatura eletrônica — criptografia, PKI, certificados — permite escolher a solução correta, reduzir riscos jurídicos e acelerar a adoção interna. Este artigo o guia, passo a passo, através da arquitetura técnica e dos padrões que regem a assinatura eletrônica em 2026.

---

Os fundamentos criptográficos da assinatura eletrônica

A assinatura eletrônica repousa sobre primitivas criptográficas comprovadas. Compreender os mecanismos é entender por que ela é mais confiável que uma assinatura manuscrita digitalizada.

A criptografia assimétrica: chave pública e chave privada

O princípio fundamental é a criptografia assimétrica, inventada nos anos 1970 e padronizada por algoritmos como RSA (Rivest–Shamir–Adleman) ou curvas elípticas (ECDSA). Cada signatário dispõe de duas chaves matematicamente relacionadas:

  • A chave privada: conservada secretamente pelo signatário, em um dispositivo seguro (cartão inteligente, token HSM, ou módulo de software protegido). Ela serve para criar a assinatura.
  • A chave pública: distribuída livremente, incluída em um certificado digital. Ela serve para verificar a assinatura.

O princípio de segurança repousa em uma assimetria computacional: é matematicamente trivial verificar uma assinatura com a chave pública, mas praticamente impossível reconstituir a chave privada a partir da chave pública (problema do logaritmo discreto ou da fatoração de inteiros grandes).

As funções de hash: a impressão digital do documento

Antes de assinar, o sistema calcula uma impressão criptográfica do documento através de uma função de hash (SHA-256 ou SHA-3 em 2026). Essa impressão, chamada hash ou condensado, é uma sequência de caracteres de tamanho fixo (256 bits para SHA-256) que representa de forma única o conteúdo do documento.

Propriedade essencial: modificar um único caractere do documento produz um hash radicalmente diferente. É isso que garante a integridade do documento assinado: qualquer alteração posterior à assinatura é imediatamente detectável.

A assinatura eletrônica propriamente dita é, portanto, a criptografia desse hash com a chave privada do signatário. Durante a verificação, o destinatário:

  1. Descriptografa a assinatura com a chave pública para recuperar o hash original;
  2. Recalcula ele mesmo o hash do documento recebido;
  3. Compara os dois: se idênticos, a assinatura é válida.

---

A Infraestrutura de Chaves Públicas (PKI): a cadeia de confiança

A criptografia sozinha não é suficiente: também é necessário provar que a chave pública pertence de fato à pessoa que a invoca. Este é o papel da PKI (Public Key Infrastructure) — ou Infraestrutura de Chaves Públicas.

As autoridades de certificação (CA)

Uma Autoridade de Certificação (AC ou CA) é um terceiro de confiança acreditado que emite certificados digitais. Um certificado digital é um arquivo padronizado (formato X.509) contendo:

  • A identidade do titular (nome, organização, e-mail);
  • Sua chave pública;
  • O período de validade;
  • A assinatura digital da própria AC.

Na Europa, as ACs qualificadas são referenciadas nas Listas de Confiança publicadas por cada Estado membro da UE conforme o regulamento eIDAS. Em Portugal, estas listas são mantidas conforme os requisitos eIDAS. Os prestadores de serviços de confiança qualificados (QTSP) são submetidos a auditorias regulares conforme a norma ETSI EN 319 401.

A cadeia de certificação e a revogação

A PKI funciona sobre um modelo hierárquico:

  • Uma AC raiz (Root CA) auto-assinada, conservada offline em condições de segurança física máxima;
  • ACs intermediárias que emitem os certificados de usuários finais.

A revogação dos certificados é um mecanismo crítico: se uma chave privada for comprometida, a AC publica sua invalidação através de uma CRL (Certificate Revocation List) ou via protocolo OCSP (Online Certificate Status Protocol), permitindo uma verificação em tempo real.

Para a assinatura eletrônica qualificada no sentido de eIDAS, a chave privada deve ser gerada e conservada em um QSCD (Qualified Signature Creation Device) — equipamento certificado CC EAL4+ ou superior, tal como um cartão inteligente ou um HSM (Hardware Security Module).

---

Os três níveis de assinatura conforme eIDAS

O regulamento europeu eIDAS nº 910/2014 (e sua evolução eIDAS 2.0 em curso de implementação) define três níveis de assinatura, cada um repousando sobre garantias técnicas crescentes. Para aprofundar este marco regulatório, consulte nosso guia completo sobre o regulamento eIDAS.

Assinatura eletrônica simples (SES)

A assinatura simples é a forma menos restritiva tecnicamente. Pode ser tão básica quanto uma caixa de seleção, um código OTP (One-Time Password) enviado por SMS, ou uma imagem de assinatura manuscrita. Não implica necessariamente em um certificado qualificado.

Uso típico: validação de orçamentos, consentimentos de marketing, contratos de baixo valor.

Risco: valor probatório limitado em caso de disputa judicial. O ônus da prova cabe àquele que invoca a assinatura.

Assinatura eletrônica avançada (AdES)

A assinatura avançada atende a quatro requisitos técnicos precisos (artigo 26 eIDAS):

  1. Está vinculada ao signatário de forma unívoca;
  2. Permite identificar o signatário;
  3. É criada a partir de dados sob controle exclusivo do signatário;
  4. Permite detectar qualquer modificação posterior do documento.

Concretamente, isso implica o uso de um certificado digital pessoal e um mecanismo de autenticação robusto. Os formatos padrão são definidos pelo ETSI: PAdES (para PDF), XAdES (XML), CAdES (dados binários) e JAdES (JSON), todos normalizados na série ETSI EN 319 100.

Assinatura eletrônica qualificada (QES)

A assinatura qualificada é o nível mais elevado. Exige:

  • Um certificado qualificado emitido por um QTSP acreditado eIDAS;
  • Um QSCD para a criação da assinatura.

Beneficia-se de uma presunção legal de confiabilidade e de uma equivalência jurídica com a assinatura manuscrita em toda a União Europeia (artigo 25 eIDAS). É o nível exigido para atos autênticos eletrônicos, certos atos notariais, ou mercados públicos sensíveis.

Nosso comparativo das soluções de assinatura eletrônica analisa as diferenças práticas entre esses níveis para ajudá-lo a escolher.

---

O processo completo de uma assinatura eletrônica passo a passo

Eis como ocorre concretamente uma transação de assinatura eletrônica em uma plataforma SaaS:

Etapa 1: preparação e envio do documento

O iniciador da assinatura faz upload do documento (contrato, adendo, ordem de compra) na plataforma. O sistema gera imediatamente um hash SHA-256 do arquivo original, com data e hora de criação, e conservado de forma imutável. Essa impressão servirá de referência para toda verificação futura.

Etapa 2: autenticação do signatário

Conforme o nível de assinatura escolhido, a autenticação varia:

  • SES: e-mail + link de assinatura;
  • AdES: autenticação forte (OTP SMS, aplicativo móvel FIDO2);
  • QES: verificação de identidade prévia (presencialmente ou por vídeo IDV), emissão de um certificado qualificado para uso único ou persistente.

Etapa 3: criação da assinatura criptográfica

O signatário inicia o ato de assinatura. A plataforma (ou o QSCD):

  1. Calcula o hash do documento;
  2. Criptografa esse hash com a chave privada do signatário;
  3. Integra a assinatura e o certificado no documento (PDF assinado no formato PAdES-LTV para conservação de longo prazo).

Etapa 4: carimbo de data/hora qualificado

Um serviço de carimbo de data/hora qualificado (TSA) conforme a norma RFC 3161 apõe um timestamp criptográfico, provando que a assinatura existia em um instante preciso. Isso protege contra falsificação de data e garante o valor probatório ao longo do tempo — mesmo que o certificado do signatário expire posteriormente.

Etapa 5: arquivamento probatório

O documento assinado é arquivado com sua trilha de auditoria completa: identidade do signatário, endereço IP, carimbo de data/hora, hash do documento, certificados utilizados. Esse dossiê de prova (audit trail) é essencial em caso de disputa judicial. As soluções conformes eIDAS mantêm essas provas em um formato PAdES-LTV (Long-Term Validation) que integra os dados de validação para permitir a verificação dos anos após a assinatura.

Para compreender como integrar esse processo em seus fluxos de RH, descubra nossa solução de assinatura eletrônica para RH e nossos modelos de contratos para download.

Marco legal aplicável à assinatura eletrônica

A assinatura eletrônica se inscreve em um marco normativo multicamadas, articulando direito civil nacional e direito europeu harmonizado.

Código Civil português

O direito português reconhece a validade jurídica da assinatura eletrônica quando atende aos critérios de autenticidade, integridade e não-repúdio estabelecidos pela legislação nacional e pelas normas eIDAS.

Regulamento eIDAS nº 910/2014

Pedra angular do direito europeu da confiança digital, o regulamento eIDAS (electronic IDentification, Authentication and trust Services) estabelece um marco jurídico unificado para assinaturas eletrônicas, selos eletrônicos, carimbo de data/hora qualificado, serviços de envio recomendado e certificados de autenticação de websites. Seu artigo 25, parágrafo 2, confere à assinatura qualificada uma presunção legal de equivalência com a assinatura manuscrita em todo a UE.

O regulamento eIDAS 2.0 (em curso de transposição no 1º trimestre de 2026) reforça essas disposições com a carteira de identidade digital europeia (EUDIW) e estende as obrigações aos mercados de serviços financeiros e sanitários.

Normas ETSI

Os formatos de assinatura são padronizados pelo ETSI:

  • ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definem os perfis técnicos das assinaturas avançadas e qualificadas;
  • ETSI EN 319 421 enquadra as políticas dos serviços de carimbo de data/hora qualificado.

RGPD e proteção de dados

O tratamento de dados de identidade no âmbito de uma assinatura eletrônica (nome, e-mail, biometria para verificação de identidade) está sujeito ao RGPD nº 2016/679. Os responsáveis pelo tratamento devem: dispor de base legal (interesse legítimo ou execução de contrato), aplicar o princípio de minimização de dados, e garantir a segurança por meio de medidas técnicas apropriadas (criptografia, pseudonimização).

Diretiva NIS2

A diretiva NIS2 (2022/2555/UE), transposta para direito português desde outubro de 2024, impõe aos operadores de serviços essenciais e aos fornecedores de serviços digitais (incluindo prestadores de assinatura eletrônica) obrigações reforçadas em matéria de cibersegurança, gestão de riscos e notificação de incidentes em 24 horas. O não-cumprimento está sujeito a penalidades que podem atingir 10 milhões de euros ou 2% do faturamento global.

Cenários de uso concretos da assinatura eletrônica

Cenário 1: um gabinete de advocacia comercial automatiza a assinatura de mandatos

Um gabinete de advocacia comercial com cerca de uma dúzia de colaboradores tratava em média 120 mandatos de representação por mês. O procedimento em papel implicava impressão, envio postal ou entrega pessoal, e depois digitalização dos documentos devolvidos — causando um atraso médio de 4,5 dias úteis por processo e uma taxa de perda de documentos estimada em 8%.

Ao implementar uma assinatura eletrônica avançada (AdES) com autenticação OTP, o gabinete reduziu o prazo de assinatura para menos de 4 horas em média, reduzindo a taxa de anomalia documental para menos de 1%, e economizou aproximadamente 2.200 € por ano em custos postais e de impressão. A trilha de auditoria gerada automaticamente também simplificou dois procedimentos de contestação de mandato, fornecendo uma prova com data e hora incontestável. Descubra nossa solução dedicada a gabinetes jurídicos.

Cenário 2: uma PME industrial digitaliza seus contratos com fornecedores

Uma PME industrial gerenciando cerca de 200 contratos com fornecedores por ano (termos gerais de compra, aditivos de preço, NDAs) sofria atrasos de assinatura que podiam ultrapassar três semanas para contratos transfronteiriços com parceiros alemães e espanhóis. As diferenças de sistemas jurídicos e a ausência de reconhecimento mútuo retardavam as negociações.

Ao adotar uma assinatura qualificada (QES) emitida por um QTSP acreditado eIDAS, reconhecido em toda a UE, a PME se beneficiou do reconhecimento jurídico automático nos três países sem qualquer legalização adicional. O prazo médio de assinatura transfronteiriça passou de 18 dias para 2,5 dias. A assinatura eletrônica na empresa detalha esses benefícios para equipes de compras.

Cenário 3: um agrupamento hospitalar protege o consentimento informado dos pacientes

Um agrupamento hospitalar com cerca de 800 leitos precisava coletar o consentimento informado de pacientes para protocolos de pesquisa clínica. A gestão em papel criava riscos de conformidade com o RGPD (documentos mal arquivados, datas não rastreáveis) e mobilizava pessoal sanitário para tarefas administrativas.

Ao integrar uma assinatura eletrônica simples com identificação por código SMS — suficiente para atos não sujeitos ao requisito qualificado — o agrupamento automatizou a coleta, arquivamento e rastreabilidade dos consentimentos. O tempo administrativo por paciente passou de 12 minutos para menos de 2 minutos, liberando cerca de 800 horas de pessoal sanitário por ano. Todo o conjunto de documentos é arquivado com carimbo de data/hora qualificado, atendendo plenamente aos requisitos da CNPD. Explore nossa solução de assinatura para saúde.

Conclusão

Compreender como funciona tecnicamente a assinatura eletrônica — da criptografia assimétrica à PKI, dos certificados qualificados ao carimbo de data/hora probatório — é indispensável para fazer escolhas informadas em termos de conformidade e eficiência operacional. Os três níveis eIDAS (simples, avançada, qualificada) respondem a necessidades diferentes, e a escolha deve sempre ser guiada pela análise do risco jurídico e do valor probatório esperado.

Certyneo o acompanha nessa transição com uma plataforma SaaS conforme eIDAS, QTSPs acreditados e uma integração simplificada em seus processos existentes. Estime os ganhos potenciais para sua organização graças ao nosso calculador ROI de assinatura eletrônica, ou comece diretamente consultando nossas ofertas e preços. A conformidade e o desempenho não são mais compromissos.

Teste Certyneo gratis

Envía o seu primeiro sobre de assinatura em menos de 5 minutos. 5 envelopes gratuitos ao mês, sem cartão de crédito.

Começar grátisVer tarifas
Todos os artigos

Aprofundar o tema

Artigos de referência sobre este tema.

Como funciona uma assinatura eletrônica?Mecanismo criptográfico, autenticação, timestamping, trilha de auditoria: o funcionamento de uma assinatura eletrônica explicado passo a passo.Visita técnica imobiliária: normas DPE 2026Carimbo de hora eletrônico: definição e usoO que é o carimbo de data/hora eletrônico, como funciona, quando é qualificado e por que protege suas assinaturas.Assinatura Eletrônica Valor Legal na França 2026A assinatura eletrônica tem realmente a mesma força jurídica que uma assinatura manuscrita? Descubra as regras precisas que se aplicam na França em 2026.

Aprofundar o tema

Os nossos guias completos para dominar a assinatura electrónica.

Artigos recomendados

Profundice os seus conhecimentos com estes artigos relacionados.

Gestão completa de folha de pagamento em empresa: Guia 2026

A gestão de folha de pagamento é um pilar estratégico de qualquer empresa. Descubra as obrigações 2026, as melhores práticas e como a desmaterialização transforma este processo.

9 min

Gestão Completa da Folha de Pagamento em Empresa: Guia 2026

A gestão da folha de pagamento é o coração das obrigações de RH de qualquer empresa. Descubra as melhores práticas, os requisitos legais de 2026 e como a desmaterialização simplifica seus processos.

9 min

Gestão completa de holerites: Guia 2026

A gestão de holerites evolui rapidamente com a desmaterialização e novas obrigações legais. Descubra todas as chaves para uma conformidade total em 2026.

9 min