Níveis de assinatura eletrónica da EU (eIDAS): qual a diferença entre assinatura simples, avançada e qualificada?
O regulamento eIDAS da UE define três níveis de assinatura eletrónica: simples (SES), avançada (AES) e aprovada ou qualificada (QES). Neste artigo, explicamos em linguagem simples o que cada nível significa, quando cada um é suficiente e como uma pequena empresa pode utilizá-los no seu dia a dia.
A ideia básica do regulamento eIDAS
eIDAS (electronic IDentification, Authentication and trust Services) é um regulamento da UE que entrou em vigor em 2016. Ele cria regras comuns para identificação eletrónica e assinaturas eletrónicas em todos os países da UE. Na prática, o eIDAS significa o seguinte: uma assinatura eletrónica não pode ser rejeitada em tribunal apenas porque está em formato eletrónico. Isso aplica-se a toda a área da UE. O regulamento foi atualizado em 2024 (eIDAS 2.0), incluindo a carteira de identidade digital da UE (EUDI Wallet) e requisitos mais rigorosos para os serviços de confiança.
SES – assinatura eletrónica simples
SES é o nível de assinatura mais simples. Pode ser, por exemplo:
- Um nome escrito num e-mail
- Caixa de seleção \"Aceito os termos\" num formulário online
- Assinatura desenhada num ecrã tátil
A SES não exige verificação de identidade separada. É suficiente para situações de baixo risco e onde já existe uma relação de confiança entre as partes. O que isto significa na prática: se vender um serviço por 500 euros a um cliente regular e o cliente confirmar a encomenda por e-mail, trata-se de uma assinatura de nível SES. É válida, mas em caso de disputa, o valor de prova é o mais fraco.
AES – assinatura eletrónica avançada
A AES exige que o signatário seja identificado de forma fiável e que a assinatura esteja associada ao mesmo de tal forma que não possa ser alterada posteriormente. Na prática, a AES significa que o signatário se autentica, por exemplo, com credenciais bancárias, um certificado móvel ou método semelhante antes da assinatura. A AES cumpre quatro requisitos:
- A assinatura está unicamente ligada ao signatário
- O signatário é identificável
- O signatário tem controlo exclusivo sobre os dados utilizados para criar a assinatura
- As alterações feitas no documento após a assinatura são detetáveis
Na prática: quando envia um contrato a um cliente para assinatura via EpicSign e o cliente se autentica com credenciais bancárias, é uma assinatura de nível AES. Isso é suficiente para a maioria dos contratos comerciais.
QES – assinatura eletrónica qualificada
A QES é o nível mais forte. Na legislação da União Europeia, equivale diretamente a uma assinatura manuscrita. A QES requer duas coisas:
- Um certificado emitido por um prestador de serviços de confiança qualificado (Qualified Certificate)
- Um dispositivo qualificado de criação de assinatura (Qualified Signature Creation Device, QSCD)
Os criadores de assinaturas QES podem ser encontrados na Trusted List da UE – uma lista oficial que regista os prestadores de serviços de confiança qualificados. Cada país da UE mantém a sua própria lista. O que isto significa na prática: uma QES é necessária principalmente quando a lei exige explicitamente uma forma escrita (por exemplo, certas transações imobiliárias, assuntos oficiais) ou quando o valor e o risco do contrato são particularmente elevados.
Quando é que cada nível é suficiente?
Para uma pequena empresa, a escolha do nível certo depende do risco e do valor do documento:
| Tipo de documento | Nível recomendado | Justificação |
|---|---|---|
| Confirmação interna, confirmação de pedido | SES | Risco baixo, rápido e acessível |
| Contrato de cliente, proposta | AES | Identifica o signatário de forma confiável |
| Contrato de trabalho, contrato de confidencialidade | AES | Identificação de ambas as partes é importante |
| Contrato de subcontratação | AES | Conexão forte com o signatário |
| Ata (conselho, assembleia geral) | AES | Pessoa identificada, proteção contra alterações |
| Transação imobiliária, documento oficial | QES | A lei pode exigir o nível mais alto |
Registo de auditoria e provas
Cada assinatura eletrónica deixa um rasto digital, ou seja, um registo de auditoria. É uma prova eletrónica de quem assinou, quando e a partir de onde. Um registo de auditoria bem implementado inclui:
- Dados de autenticação do signatário (nome, e-mail, método de autenticação)
- Carimbo de data/hora (quando a assinatura foi feita)
- Endereço IP e informações do dispositivo
- Hash do documento, que prova que o documento não foi alterado após a assinatura
Exemplo prático: empresa de consultoria e gestão de contratos
Uma empresa de consultoria de três pessoas em Tampere celebra 10 a 15 contratos de clientes por mês. Anteriormente, os contratos eram impressos, assinados e digitalizados. O processo levava 30 a 45 minutos por contrato. A transição para a assinatura eletrónica de nível AES com o EpicSign alterou o processo:
- O contrato é carregado para o EpicSign (1 min)
- Os signatários são adicionados e o pedido de assinatura é enviado (1 min)
- O cliente autentica-se com credenciais bancárias e assina (2 min)
- O contrato assinado é arquivado automaticamente (0 min)
Poupança de tempo: cerca de 2 horas por semana. Além disso, cada contrato é rastreável graças ao registo de auditoria.
Perguntas frequentes
Qual é a diferença prática entre as assinaturas SES, AES e QES?
SES é a mais simples (por exemplo, um nome num e-mail). AES requer autenticação forte, como credenciais bancárias. QES é a mais forte e equivale a uma assinatura manuscrita – requer um certificado aprovado.
O nível AES é suficiente para um contrato de trabalho?
Sim, na maioria dos casos, o AES é suficiente para contratos de trabalho na Finlândia. A lei geralmente não exige o nível QES para contratos de trabalho.
O que é a Trusted List da UE?
A Lista de Confiança é uma lista oficial de prestadores de serviços de confiança aprovados mantida pelos países da UE. A lista pode ser encontrada no site da Comissão Europeia.
Uma assinatura SES pode ser contestada em tribunal?
Uma assinatura SES não pode ser rejeitada apenas porque está em formato eletrónico (artigo 25 do eIDAS). No entanto, o valor probatório é mais fraco do que o da AES ou da QES.
O EpicSign suporta assinaturas de nível AES?
Sim. O EpicSign suporta autenticação forte (credenciais bancárias), que cumpre os requisitos do AES.
Uma pequena empresa precisa de uma assinatura QES?
Raramente. O QES é necessário principalmente quando a lei exige especificamente um formulário escrito ou ao lidar com autoridades. Para contratos gerais, o AES é suficiente.
Fontes
- Regulamento eIDAS (UE) n.º 910/2014 – sobre identificação eletrónica e serviços de confiança
- Agência de Dados Digitais e População (DVV) – Identificação Eletrónica e Serviços de Confiança
- Traficom – Serviços de Confiança e Assinaturas Eletrónicas
- Listas de Confiança da UE – lista de prestadores de serviços de confiança aprovados
Este artigo é de natureza geral e não constitui aconselhamento jurídico.
Experimentar EpicSign
Comece a avaliação gratuita e envie o primeiro pedido de assinatura em menos de 20 segundos.
Ver preços