Autentificarea cu doi factori: ghid pentru contabilitate

De ce autentificarea cu doi factori este indispensabilă în consultanța contabilă

Cabinetele de consultanță contabilă prelucrează zilnic date financiare extrem de confidențiale: declarații fiscale, bilanțuri, procese verbale privind salariile, coordonatele bancare ale sutelor de întreprinderi clienți. În 2025, conform raportului anual al ANSSI, atacurile prin phishing care vizează profesiile reglementate au crescut cu 37% într-un an. Având în vedere această amenință, autentificarea cu doi factori (2FA) — numită și autentificare multifactor (MFA) — constituie prima linie de apărare tehnică recomandată.

Autentificarea cu doi factori se bazează pe un principiu simplu: pentru a accesa un sistem, utilizatorul trebuie să-și dovedească identitatea prin două elemente distincte. Primul este de obicei „ceva ce știi" (o parolă), al doilea este „ceva ce ai" (un smartphone, o cheie fizică) sau „ceva ce ești" (date biometrice). Acest mecanism face aproape imposibile atacurile prin furt de parolă singură, care reprezintă încă 81% din încălcările de date conform raportului Verizon DBIR 2024.

Pentru experții contabili, conformitatea cu regulamentul eIDAS și cerințele sale de identificare puternică nu mai este o opțiune: este o necesitate de reglementare și etică. Acest articol vă explică, pas cu pas, cum să configurați 2FA în cabinetul dumneavoastră, ce instrumente să alegeți și cum să îi însoțiți pe colaboratorii dumneavoastră în această tranziție.

---

Metodele de autentificare cu doi factori adaptate sectorului contabil

Aplicații de autentificare (TOTP)

Cea mai răspândită metodă în cabinetele contabile este utilizarea unei aplicații care generează coduri temporale (TOTP — Time-based One-Time Password). Soluții precum Google Authenticator, Microsoft Authenticator sau Authy generează un cod de 6 cifre reînnoit la fiecare 30 de secunde. Acest cod este asociat cu un secret partajat stocat în aplicație în faza de înregistrare (scanarea unui cod QR).

Avantaje pentru cabinete: implementare fără cost suplimentar, funcționează fără conexiune la internet, compatibil cu aproape toate software-urile de contabilitate (Sage, Cegid, ACD, MyUnisoft). Dezavantaj: dacă colaboratorul iși pierde telefonul, procedura de recuperare trebuie anticipată (codurile de backup trebuie păstrate într-un loc sigur).

Chei de securitate fizice (FIDO2/WebAuthn)

Pentru cabinetele care prelucrează volume importante de date sensibile sau sunt supuse unor audituri frecvente, cheile de securitate materiale (tip YubiKey sau Feitian) oferă cel mai înalt nivel de protecție. Bazate pe standardele FIDO2 și WebAuthn, sunt rezistente la phishing prin design: cheia verifică criptografic domeniul site-ului înainte de a se autentifica, ceea ce neutralizează atacurile de tip „man-in-the-middle".

Din ce în ce mai multe portaluri fiscale și platforme de depozitare obligatorie (DGFiP, infogreffe) tind să accepte aceste standarde. Un cabinet care gestionează o sută de mandate poate amortiza achiziția de chei (aproximativ 50-80 € unitatea) în câteva săptămâni datorită reducerii timpului de gestionare a incidentelor de securitate.

SMS OTP: de evitat pentru datele sensibile

Deși codurile trimise prin SMS rămân o opțiune în multe sisteme, NIST american (National Institute of Standards and Technology) le-a desclasificat în 2016 din categoria metodelor de autentificare puternice. Atacurile prin SIM swapping (transfer fraudulos al unui număr de telefon către o carte SIM controlată de un atacator) au afectat mai multe cabinete contabile franceze în ultimii ani. Pentru accesul la date fiscale sau la instrumente de semnătură electronică pentru cabinete juridice și contabile, SMS OTP trebuie considerat doar ca soluție de ultimă instanță.

---

Cum să configurați autentificarea cu doi factori: ghid pas cu pas

Etapa 1 — Inventar al aplicațiilor și definirea perimetrului

Înainte de orice implementare tehnică, elaborați un inventar exhaustiv al tuturor aplicațiilor utilizate în cabinetul dumneavoastră:

• Software-uri contabile: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Messagerii și instrumente colaborative: Microsoft 365, Google Workspace, Slack
• Instrumente de gestionare documentară și semnătură: platforme de depozitare, instrumente de workflow
• Acces la distanță: VPN, RDP, birouri virtuale
• Portaluri clienți: spații de schimb de documente cu clienții

Pentru fiecare aplicație, verificați dacă 2FA este disponibilă (secțiunea „Securitate" a setărilor) și ce metodă este acceptată (TOTP, FIDO2, SMS). Clasificați aplicațiile după criticalitate în funcție de sensibilitatea datelor accesibile.

Etapa 2 — Implementare tehnică și înregistrarea colaboratorilor

Pentru Microsoft 365, configurația se face prin portalul Azure Active Directory (Entra ID). Activați „Security Defaults" sau, pentru cabinetele cu mai mult de 10 colaboratori, configurați politici de Acces condițional (disponibile de la licența Business Premium). Aceste politici permit cererea de 2FA doar în anumite condiții: acces din afara biroului, conectare de pe un dispozitiv necunoscut, oră neobișnuită.

Pentru software-urile contabile, procedura variază în funcție de editor:

• Cegid Loop: setări de securitate > activare autentificare dublă > generare coduri QR pentru fiecare utilizator
• MyUnisoft: administrare > securitate > autentificare puternică > forțare 2FA pentru toate profilurile
• Sage 100 Cloud: contact administrator Sage sau revânzătorul dumneavoastră pentru activarea modulului MFA

Prevedeți o sesiune de înregistrare cu fiecare colaborator (15-20 minute per persoană). Distribuiți fiecărui utilizator o fișă de rezumat cu codurile sale de recuperare, de păstrat într-un loc sigur și fizic (seiful cabinetului, de exemplu).

Etapa 3 — Politica de gestionare și proceduri de urgență

Implementarea tehnică este doar jumătate din lucru. O politică de securitate documentată trebuie să precizeze:

• Cine poate dezactiva temporar 2FA (doar administratorul sistemului, niciodată colaboratorul însuși)
• Procedură de pierdere a dispozitivului: blocare imediată a contului, regenerare coduri de backup, reînregistrare supravegheată
• Frecvența de revizuire: audit semestrial al acceselor și metodelor de autentificare
• Gestionare plecări: revocare imediată a acceselor și secretelor 2FA la orice plecare de colaborator

Această politică se integrează natural în planul dumneavoastră de continuitate a activității (PCA) și în registrul de prelucrare a datelor conform RGPD. Consultarea centrului de ajutor Certyneo vă poate furniza modele de politici adaptate structurilor mici și medii.

---

Integrarea 2FA cu instrumentele de semnătură electronică

Semnătura electronică avansată sau calificată, după cum este definit de regulamentul eIDAS, cere o identificare puternică a semnatarului. În practică, atunci când cabinetul dumneavoastră transmite unei scrisori cu mandat sau unui contract de prestări servicii de semnat către un client, platforma de semnătură trebuie să verifice identitatea semnatarului în mod robust. Aceasta este exact locul în care intervine 2FA.

În platformele de semnătură conforme eIDAS (nivel avansat sau calificat), semnatarul primește un link prin email, apoi trebuie să-și valideze identitatea printr-un al doilea canal (SMS, aplicație de autentificare sau certificat calificat). Acest proces creează o pist de audit marcată cu timp și verificabilă criptografic, care constituie o dovadă incontestabilă în caz de litigiu — o problemă crucială pentru experții contabili care angajează răspunderea lor civilă profesională în fiecare misiune.

Pentru a înțelege diferitele niveluri de semnătură și a alege pe cel adaptat fluxurilor dvs. documentare, lectura ghidului complet al semnăturii electronice este recomandată. Cabinetele care utilizează Certyneo beneficiază de o integrare nativă a 2FA în parcursul de semnătură, ceea ce reduce fricțiunea pentru semnatari menținând în același timp nivelul de conformitate necesar.

Trebuie acordată o atenție deosebită scrisorilor cu mandat (obligatorii conform normei profesionale 2400 a OEC) și rapoartelor de comisariat la conturi: aceste documente angajează răspunderea personală a profesionistului și necesită o trasabilitate a autentificării impecabilă. De altfel, puteți utiliza un generator de contracte prin IA pentru a automatiza crearea acestor documente integrând de la început cerințele de autentificare puternică.

---

Instruire și sensibilizare a colaboratorilor: factorul uman

Implementarea tehnică cea mai riguroasă devine ineficientă dacă colaboratorii nu înțeleg problemele sau ocolesc dispozitivele de securitate. În consultanța contabilă, echipele sunt adesea compuse din profiluri foarte variate: asociații seniors, colaboratori juniori, stagiari, asistente de direcție. Instruirea trebuie adaptată la fiecare profil.

Program de sensibilizare recomandat pentru un cabinet cu 5-30 de persoane:

1. Sesiune de lansare (1 oră): prezentare a riscurilor concrete (exemple de incidente reale anonimizate din sector), demonstrație live a configurației, întrebări/răspunsuri
2. Tutoriale video scurte (3-5 minute fiecare): un tutorial per aplicație critică, disponible în intranetul cabinetului
3. Exercițiu de phishing simulat: trimitere de fals email de phishing la 3 luni după implementare pentru a măsura vigilența reală și a identifica colaboratorii care au nevoie de sprijin suplimentar
4. Integrare în onboarding: orice nou colaborator configurează 2FA în prima zi, cu un referent dedicat

Ordinul Experților Contabili (OEC) oferă de asemenea resurse de formare continuă pe cybersecuritate în cadrul obligațiilor de formare anuală (40 de ore pentru experții contabili înscriși în tablă). Aceste formări pot fi valorificate în inițiativa dvs. de calitate dacă cabinetul dvs. este certificat ISO 9001 sau urmărește o certificare de cybersecuritate (label ExpertCyber al ANSSI, de exemplu).

Cadrul legal aplicabil autentificării puternice în consultanța contabilă

Implementarea autentificării cu doi factori într-un cabinet de consultanță contabilă se înscrie într-un cadru reglementar dens, articulat în jurul mai multor texte fundamentale.

Regulamentul eIDAS nr. 910/2014 și revizuirea sa eIDAS 2.0 (Regulament UE 2024/1183) constituie baza de referință pentru tot ceea ce privește identificarea electronică în Europa. Articolul 8 definește trei niveluri de asigurare pentru mijloacele de identificare electronică: scăzut, substanțial și ridicat. Pentru actele care angajează răspunderea profesională a unui expert contabil (semnare de rapoarte, validare de declarații fiscale online), nivelul de asigurare „substanțial" sau „ridicat" este necesar, ceea ce implică în mod obligatoriu o autentificare multifactor.

RGPD (Regulament UE 2016/679), în articolul 32, impune responsabililor de prelucrare să implementeze „măsuri tehnice și organizaționale corespunzătoare" pentru a asigura securitatea datelor personale. Un cabinet de consultanță contabilă prelucrează date personale sensibile (date financiare, date privind sănătatea prin procesele verbale ale plăților cu absențe pentru boală, etc.). Absența 2FA pe accesele la software-urile contabile constituie foarte probabil o nerespectare a acestui articol, expunând cabinetul la sancțiuni care pot ajunge la 4% din cifra de afaceri anuală mondială (articolul 83 RGPD).

Codul civil, articolele 1366 și 1367, reglementează valoarea juridică a semnăturii electronice. Articolul 1367 precizează că „fiabilitatea unui procedeu de semnătură electronică este prezumată, până la dovada contrarie, atunci când procedeuul respectiv implementează o semnătură electronică calificată". Autentificarea puternică este o componentă esențială a acestei prezumții de fiabilitate.

Directiva NIS2 (Directiva UE 2022/2555), transpusă în dreptul francez prin legea nr. 2024-449 din 21 mai 2024 și decretele de aplicare, extinde obligațiile de cybersecuritate la un spectru larg de entități. Deși cabinetele de consultanță contabilă nu sunt direct enumerate ca entități esențiale, cele care furnizează servicii digitale entităților esențiale sau importante (instituții medicale, colectivități locale, întreprinderi de infrastructură critică) pot fi supuse obligațiilor indirect prin contractele lor de prestare de servicii.

Norma profesională 2400 a Ordinului Experților Contabili impune de altfel o obligație de diligență consolidată în materie de securitate a sistemelor de informații pentru cabinetele care gestionează misiuni legale. ANSSI recomandă explicit MFA ca măsură minimă în ghidul său „Sécurité des systèmes d'information pour les TPE/PME" (ediția 2024).

Răspundere civilă profesională: în caz de încălcare de date clienți rezultată dintr-o absență de 2FA, asiguratorul RCP al cabinetului poate invoca o culpă caracterizată pentru a reduce sau refuza garanția sa. Se recomandă cu tărie păstrarea documentației tehnice de implementare a 2FA ca dovadă de diligență.

Scenarii de utilizare: 2FA în practică în cabinetele contabile

Scenariul 1 — Un cabinet de consultanță contabilă de dimensiune medie

Un cabinet care grupează aproximativ cincisprezece colaboratori și gestionează aproximativ 400 de mandate active a decis să implementeze 2FA pe totalitatea instrumentelor sale după un incident de phishing care aproape a compromis accesul la software-ul său de salarii. Conducerea a optat pentru Microsoft Authenticator pe Microsoft 365 (email, SharePoint, Teams) și pentru aplicații TOTP native ale software-ului contabil cloud.

Implementarea a fost realizată în trei săptămâni: o săptămână de inventar și parametrizare, o săptămână de înregistrare a colaboratorilor în grupuri de cinci, o săptămână de urmărire și corectare a problemelor. Rezultat: zero incidente de compromitere a contului în următoarele 12 luni, comparativ cu două incidente în anul anterior. Timpul de gestionare a incidentelor de securitate a fost redus cu aproximativ 70%. Cabinetul a putut de asemenea să demonstreze mai multor clienți mari (inclusiv unei PME industriale care impune o cartă de securitate furnizor) că sistemele sale respectă cerințele MFA.

Scenariul 2 — Un cabinet specializat în auditul legal al PME

Un cabinet de comisariat la conturi care gestionează aproximativ șaizeci de mandate de audit legal s-a confruntat cu o cerință specifică: un număr din ce în ce mai mare de clienți cereau o dovadă de conformitate RGPD la reînnouirea misiunilor. Cabinetul a ales să implementeze chei de securitate FIDO2 pentru asociați (acces la dosare foarte sensibile) și aplicații TOTP pentru colaboratori seniors, menținând SMS OTP doar pentru acces de sensibilitate scăzută.

În paralel, cabinetul a integrat semnătura electronică avansată în fluxurile rapoartelor de comisariat, cu autentificare puternică sistematică a semnatarului. Datorită pistei de audit generată, două potențiale litigii cu clienți contestând data efectivă a remiterii unui raport au putut fi rezolvate în favoarea cabinetului prin producerea jurnalelor de autentificare marcate cu timp. Reducerea termenelor de semnare a rapoartelor (de la media de 5 zile la mai puțin de 24 de ore) a de asemenea permis fluidificarea facturării și îmbunătățirea trezoreriei cabinetului cu aproximativ 15%.

Scenariul 3 — Un cabinet în fază de creștere externă

O rețea regională de cabinete contabile care a absorbit trei structuri independente în doi ani s-a regăsit cu o eterogenitate importantă a sistemelor: unele cabinete absorbite nu aveau nicio politică de 2FA, altele utilizau SMS OTP. Grupul a profitat de această integrare pentru a standardiza pe o soluție unificată de gestionare a identităților (IAM — Identity and Access Management) cu 2FA obligator.

Investiția inițială (licențe IAM, formare, sprijin) a fost estimată la aproximativ 8.000 € pentru întreg grupul (aproximativ 45 de colaboratori). În contrapartidă, reducerea costurilor legate de incidentele de securitate (intervenții furnizor IT, gestionare de criză) a fost estimată la 15.000-20.000 € în primul an. Grupul a putut de asemenea să negocieze o reducere a primei sale de asigurare cyber de ordinul a 20% prin furnizarea asiguratorului cu documentația implementării 2FA.

Concluzie

Autentificarea cu doi factori nu mai este un lux rezervat structurilor mari: este un imperativ de securitate și conformitate pentru orice cabinet de consultanță contabilă, indiferent de dimensiunea sa. Între cerințele RGPD, recomandările ANSSI, obligațiile eIDAS pentru semnătura electronică și presiunea din ce în ce mai mare a clienților asupra normelor de securitate ale furnizorilor acestora, 2FA a devenit un standard incontestabil al sectorului.

Vestea bună: implementarea este azi accesibilă, rapidă și puțin costisitoare. Urmând etapele descrise în acest articol — inventar al aplicațiilor, alegerea metodei adaptate, înregistrarea colaboratorilor, redactare a unei politici documentate — cabinetul dumneavoastră poate atinge un nivel de securitate robust în câteva săptămâni.

Certyneo integrează nativ autentificarea puternică în fluxurile sale de semnătură electronică, permițându-vă să combinați conformitatea eIDAS cu securitatea MFA fără complexitate suplimentară. Descoperit ofertele și prețurile noastre sau contactați echipa noastră pentru un sprijin personalizat la conformarea cabinetului dumneavoastră.