Nota fiscal eletrônica: os riscos escondidos para as corporações

Por: Rodrigo Afonso, da COMPUTERWORLD

A nota fiscal eletrônica (NFe) é hoje uma realidade nas empresas que antes baseavam a documentação de suas transações financeiras em papel. Para a emissão desses documentos virtuais, as organizações precisam adquirir certificados digitais voltados a validar juridicamente a assinatura dos documentos.

Muitas companhias, no entanto, podem se deparar com problemas relacionados à proteção de suas informações fiscais, já que o tipo de certificado mais adotado, o A1, traz  vulnerabilidades e, se esses dados chegarem às mãos de pessoas mal-intencionadas, podem ser utilizados para emissão de notas falsas em nome das companhias.

Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram algum tipo de fraude desse tipo. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.

Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. “Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas", diz.

De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.

Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.

Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. “Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada”, afirma.

O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. “Hoje as companhias já contam com formas eficazes de proteção”, diz.

Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.

Fonte: http://cio.uol.com.br