Os certificados digitais são documentos que reduzem a burocracia e aumentam a agilidade de processos por terem validade jurídica. Mas, é preciso tomar cuidado para evitar riscos como a clonagem de certificados digitais.
O certificado digital é uma das ferramentas mais úteis para a gestão de empresas e para simplificar processos para Pessoas Físicas. Ele serve para legitimar transações de qualquer natureza realizadas pela internet.
Por meio desse documento, é possível realizar diversas ações com validade jurídica, que antes só poderiam ser feitas presencialmente. Exemplos disso são acesso a tribunais online, aquisição e transferência de bens, acesso ao sistema da Receita Federal e outros.
Porém, assim como diversos outros recursos, é preciso ter muito cuidado e atenção à manutenção para que seu certificado digital continue sendo útil e seguro. Neste texto, trazemos um alerta específico quanto ao risco da clonagem de certificados digitais e o que fazer para evitá-lo. Confira!
O que é a clonagem de certificados digitais?
Assim como acontece com cartões de crédito, a clonagem de certificados digitais se refere ao uso indevido dos dados de seu certificado para executar ações. O termo “clonagem” é usado para descrever o roubo das informações de seu documento.
Os criminosos que usam o certificado digital de terceiros de forma indevida têm acesso a todos os dados do documento e, com isso, conseguem acessar diversos sistemas e executar ações em nome da vítima.
Por que as pessoas clonam certificados digitais?
É importante ter em mente que o certificado digital é semelhante ao documento de identidade de uma pessoa ou empresa no mundo online. Por meio dele, é possível assinar documentos de forma remota e com o mesmo valor jurídico de uma assinatura de próprio punho.
Porém, quem tem certificado digital tem uma vantagem ainda maior: não é preciso reconhecer firma em cartório para que suas assinaturas tenham validade jurídica. Isso porque o certificado é emitido por uma Autoridade Certificadora (AC) devidamente autorizada pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Dessa forma, criminosos estão interessados em roubar esse tipo de informação por meio da clonagem de certificados digitais para realizar ações e ter acesso a sistemas eletrônicos restritos como os seguintes:
- Assinar documentos digitais;
- Acessar sistemas com dados restritos, como, por exemplo, a Receita Federal, por meio do Portal e-CAC, o gov.br, o INSS e as juntas comerciais;
- Acessar sistemas virtuais de trabalho e ter acesso a dados restritos de empresas e organizações.
Como posso me proteger contra clonagem de certificados digitais?
Diante desse perigo, quem possui um certificado digital precisa tomar alguns cuidados para evitar problemas futuros devido ao uso indevido de seu documento. Confira algumas dicas que te ajudarão a se proteger:
Faça backups
O certificado digital é um arquivo virtual como qualquer outro. Por esse motivo, ele pode ser excluído por outras pessoas ou pelo portador do documento de maneira involuntária, ou até mesmo pelo próprio computador caso apresente defeitos ou problemas.
Assim, para se precaver de acidentes ou erros, é essencial fazer um backup de seu certificado digital em um local de armazenamento seguro. Armazená-lo no servidor da empresa ou canais de armazenamento com acesso restrito podem te ajudar a evitar prejuízos futuros.
Proteja o arquivo com senhas rigorosas
Outro ponto importante é criar uma senha privada segura e forte para proteger seu certificado digital. O certificado digital é um documento que carrega seus dados pessoais mais importantes e delicados. Assim, se ele cair nas mãos erradas, você ou sua empresa podem ter diversos problemas e prejuízos.
A chave privada do certificado digital, ou sua senha, existe para proteger o documento de invasores. É preciso pensar em algo que não seja desvendado de forma simples por pessoas mal intencionadas.
Por isso, evite senhas fáceis, repetitivas ou sequenciais. Crie uma senha que só você sabe, usando caracteres especiais, variados, alfanuméricos e com o uso de letras maiúsculas e minúsculas de forma alternada.
Além disso, evite ao máximo deixar a senha de seu certificado digital armazenada automaticamente no navegador. Ao fazer isso, você permite que qualquer pessoa que tenha acesso ao seu computador possa usar também o documento.
Ou seja, qualquer pessoa que use sua máquina, mesmo que por meio de uma invasão ao sistema, poderá assinar notas fiscais, contratos e outros documentos em seu nome. Por isso, sempre que for usar essa ferramenta, você deve digitar a senha do certificado de forma manual.
Cuidado para não bloquear seu certificado digital
Um certificado digital usado de forma incorreta pode ser automaticamente inutilizado como medida de segurança. Por isso, além de criar uma senha forte, é preciso memorizá-la ou salvá-la em um local seguro.
Os certificados digitais são bloqueados após três tentativas de acesso com a senha errada. Essa é uma forma de protegê-los contra acessos indevidos. Para desbloqueá-lo, o usuário deve inserir o código PIN Unlock Key (chamado de PUK), com 8 dígitos.
Mas, também é preciso ter atenção nessa etapa, já que se o código PUK for digitado de maneira errada em três tentativas, o documento é bloqueado de forma definitiva. Assim, ele só é liberado quando o usuário entra em contato com a AC emissora.
Por isso, é fundamental usar uma senha forte e segura, mas que seja de fácil memorização e esteja armazenada em local seguro. Com isso, você garante a segurança do documento e evita perder o acesso a ele.
Navegue na internet de forma segura
Tome cuidado para fazer uma navegação na internet de maneira segura. Essa regra vale para qualquer pessoa que use a internet, mas quem usa o certificado digital precisa tomar ainda mais cuidado. Isso porque ao clicar em links maliciosos, que possuem vírus e malwares, você pode danificar seu certificado e sua máquina.
Fique atento à renovação do certificado digital
Todo certificado digital possui um prazo de validade. Por isso, é preciso ficar atento para não correr o risco de se deparar com um erro no documento e o aviso de que sua validade está expirada.
Atualmente, certificados digitais do modelo A1 possuem validade de até 12 meses. Já os certificados do modelo A3 possuem validade de até três anos. Os dois tipos podem ser renovados pelo mesmo período de tempo junto à AC de maneira simples. Por isso, fique atento à data de vencimento do documento para renová-lo antes do fim do período.
Tenha cuidado ao compartilhar o documento
O certificado digital é uma ferramenta pessoal, de uso individual. Não é recomendado que você compartilhe o arquivo com pessoas que não estão acostumadas com as operações de seu dia a dia. Mas, caso precise fazer isso, é fundamental fazer com segurança.
Para isso, você pode utilizar ferramentas de gestão de acesso e monitoramento de atividades no uso de certificados digitais, como o Whom, que permite o compartilhamento de certificados digitais com segurança e dentro das normas de proteção de dados.
Quais riscos corro se alguém clonar meu certificado digital?
A clonagem de certificados digitais traz diversos riscos ao usuário, seja ele Pessoa Jurídica ou Pessoa Física. Quando alguém mal-intencionado tem acesso aos tokens ou senhas do certificado, pode realizar contratos ou transações bancárias sem autorização.
Também há o risco de a pessoa usar o documento de forma indevida para fornecer informações erradas aos órgãos tributários e cometer fraudes. Isso gera riscos e responsabilização para a empresa e seus administradores.
Caso famoso de clonagem de certificados digitais
Em novembro de 2021, a Justiça do Trabalho suspendeu o acesso aos sistemas de pagamento de alvarás eletrônicos em todo o país, de forma preventiva . A suspensão ocorreu após o Tribunal Regional do Trabalho da 1ª Região (RJ) constatar uma fraude nos certificados digitais usados pelos magistrados para autorizar esse tipo de pagamento.
O órgão identificou 17 certificados digitais suspeitos de fraude. O golpe pode custar R$ 4 milhões aos cofres públicos devido ao pagamento de alvarás fraudulentos.
O acesso aconteceu quando um criminoso obteve, de maneira fraudulenta, um token com dados de um magistrado para beneficiar os suspeitos. O objeto da fraude foram os valores que seriam destinados ao pagamento de credores de processos trabalhistas.
Para a fraude, foram clonados certificados digitais de juízes e servidores. Com os documentos em mãos, os criminosos expediram ordens de pagamento para os bancos, que as receberam como verdadeiras e efetuaram os pagamentos.
Meu certificado digital pode ser invalidado, caso seja clonado?
Diante disso tudo, surge a dúvida: o que invalida um certificado digital? Quando o documento é clonado, o titular corre o risco de perder o documento? A resposta é sim.
Os certificados digitais podem ser revogados quando o comprometimento da chave privada (senha) do certificado é constatado. Outro caso em que isso pode ocorrer é quando a interação embutida no certificado está alterada ou incorreta. Isso pode acontecer quando o titular muda de nome ou CPF, por exemplo.
Para saber se seu certificado foi revogado, é preciso consultar a Lista de Certificados Revogados (LCR) publicada pela AC que emitiu o documento para você. Exemplo disso é a LCR da SERPRO, do Governo Federal.
O que fazer caso você seja vítima de violação?
Se você for vítima de violação ou fraude em seu certificado digital, você deve entrar em contato com a AC que emitiu seu documento e pedir que ele seja anulado. Para isso, você deve acessar o site da AC e enviar a senha que foi criada quando solicitou o documento.
Quais consequências judiciais a clonagem de certificados digitais pode ter?
A legislação brasileira determina que todas as declarações que constam em documentos eletrônicos assinados ou validados por um certificado digital emitido pela ICP-Brasil são consideradas verdadeiras em relação aos assinantes.
Isso significa que o titular do certificado, a empresa ou administradores são os responsáveis pelas ações executadas com o documento clonado. Além disso, podem ter dificuldades para se isentar das obrigações decorrentes da utilização indevida do documento.
A Medida Provisória nº 2.200-02 determina, no artigo 10, que:
“§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 – Código Civil.”
Assim, mesmo que o titular ou a empresa não consiga se isentar da responsabilidade, ainda conseguirá informar à AC emissora do documento e solicitar sua revogação.
Softwares que auxiliam na segurança de certificados digitais
Softwares de gestão empresarial integrados ao Certificado Digital
Sistemas de gestão empresarial integrados ao certificado digital tornam sua segurança ainda maior. Além disso, tornam os processos mais ágeis e seguros ao automatizar as obrigações relacionadas ao documento.
Serviços de certificação digital
Existem plataformas disponíveis no mercado para gerenciar o ciclo de vida de certificados digitais para auxiliar em seu gerenciamento. Por meio delas, é possível acessar ferramentas que geram relatórios detalhados para ajudar a melhorar o tempo de atividade, evitar lapsos de segurança e preservar a reputação da marca.
Softwares de proteção de dados
Soluções que ajudam a defender ou blindar dados em trânsito ou fixos em servidores físicos também podem aumentar a proteção de seu certificado digital. Isso porque garantem a segurança das informações para manter seus dados em nuvem ou locais a salvo de criminosos que atuam online ou de usuários internos que agem de forma imprópria dentro da empresa.
Gerenciadores de certificado digital
Software de gestão de acesso e monitoramento de atividades no uso de certificados digitais também auxiliam na segurança do documento. O Whom é um ótimo exemplo disso. Por meio dele, é possível:
- Configurar, conceder e controle os acessos de qualquer lugar;
- Eliminar o uso de assinadores externos e programas locais por meio de um token criptografado;
- Proteger os dados e restringir atividades com um produto 100% SaaS;
- Monitorar todas as atividades desempenhadas com o documento em tempo real;
- Acessar mais de 350 sistemas jurídicos e administrativos
Tudo isso com segurança e em conformidade à Lei Geral da Proteção de Dados (LGPD).
Conclusão
A clonagem de certificados digitais é um risco real que os titulares desse tipo de documento correm. Por isso, é fundamental tomar alguns cuidados para evitá-lo, como navegar de forma segura, usar uma senha forte, manter o certificado atualizado e fazer o compartilhamento do documento apenas por meios seguros, como o Whom.
Continue acompanhando nosso blog para conferir dicas para manter a segurança de seu certificado digital e dados sensíveis
