Com a adoção da Nota
Fiscal Eletrônica (NF-e) por grande parte das empresas no Brasil nos
últimos anos, deparamos com um um triste cenário de desconhecimento do
risco de fraudes que esta tecnologia permite, caso a empresa
desconsidere questões básicas de implementação deste
sistema.

Como todos sabemos, para que as empresas possam emitir
a NF-e elas terão que solicitar um Certificado Digital e-CNPJ em
uma autoridade certificadora da ICP-Brasil. Isso parece
relativamente simples, não é? Pois a segurança que temos em relação
aos certificados digitais, com o poder das chaves criptográficas que
estão por trás deles, garante uma grande segurança na
questão técnica deste processo, que muitas vezes deixa obscuro algo
tão simples, mas que pode gerar um problema sério para as
empresas em um curto espaço de tempo.

Com a necessidade da
implementação, muitas empresas aparecem com
o seguinte discurso: “meu contador me disse que tenho que ter um
certificado digital urgente para poder emitir NF-e até o final do
mês!”. E, por puro desconhecimento – e muitas vezes por comodismo de
empresas provedoras de soluções neste segmento -, o cliente acaba
optando pela emissão do certificado digital no padrão A1. Para quem não entende dos padrões de certificado, é
simplesmente um arquivo de computador, que muitas vezes nem protegido
por senha é, gerado e portado em um pendrive ou disquete que depois
será guardado dentro de um servidor na empresa, pois ele tem o intuito de assinar as NF-e.

Mas há um problema sério
de segurança neste tipo de adoção. Como o modelo certificado A1 é um arquivo, ele poderá ser copiado e utilizado
para gerar NF-e válidas em nome de sua empresa, bastando somente
uma pessoa mal intencionada ter acesso a uma cópia. E a
empresa só descobrirá isso quando for pagar os impostos. E, o
pior, como no momento da geração do certificado a empresa assina a responsabilidade pela tutela dele, ela será responsabilizada
e não terá como repudiar as transações, ainda que feitas indevidamente.

E
por que ainda as empresas adotam o uso do certificado A1? É bem
simples: ele é mais vantajoso financeiramente
para as empresas que geram o certificado, pois o custo de um
certificado A1 é, geralmente, a metade do valor de um certificado
padrão A3, que é gerado em token ou smartcard. Só que o A3 tem
validade de três anos, contra somente um ano do certificado A1. Ou seja, o cliente que adota o certificado A3 tem um custo único de compra do
token ou smartcard, porém ele terá, a cada 3 anos, uma economia de
33% no custo do certificado, sendo esta economia já paga
completamente o hardware adquirido e que não precisa ser trocado mais,
pois a empresa poderá aproveitar o mesmo hardware para emissões
futuras. Outro ponto importante é que muitas empresas
de ERP que tiveram que adotar um novo módulo de NF-e em seu sistema não oferecem suporte ao uso de certificados A3, forçando a adoção do A1, cooperando com a criação de um grande
risco de segurança seus clientes..

E por que usar o
certificado A3 em tokens e smartcards? Simplesmente para evitar a
fraude de emissão de NF-e por pessoas mal intencionadas, pois
quando geramos um certificado A3 as chaves são geradas pelo próprio
dispositivo e são protegidas contra cópias, garantido a unicidade
do certificado e, consequentemente, um controle maior de sua posse, pois é algo físico que podemos visualizar, diferente de um
arquivo que pode ser copiado em pendrives e enviado anexado em
e-mails.

Portanto, se você quer economia, segurança e controle do uso do certificado
digital de sua empresa e emissão de suas NF-e, adote certificados A3
em hardware, pois irá prevenir uma grande dor de cabeça para sua empresa
em um futuro próximo.