Uma introdução ao eIDAS 2

As assinaturas eletrônicas tornaram-se parte da rotina dos negócios por toda a Europa. Contratos, documentos de RH e acordos com fornecedores são agora frequentemente assinados de forma digital, em vez de em papel.

No entanto, nem todas as assinaturas eletrônicas têm o mesmo peso legal. Algumas são simples confirmações vinculadas a um endereço de e-mail, enquanto outras envolvem verificações de identidade, tornando-as equivalentes, em termos legais, a assinaturas manuscritas.

Há mais de uma década, essas distinções entre assinaturas eletrônicas e o peso legal que carregam são regidas pelo Regulamento de Identificação Eletrônica, Autenticação e Serviços de Confiança da União Europeia (eIDAS). O regulamento original criou uma estrutura jurídica comum para identificação eletrônica e serviços de confiança entre os Estados-Membros da UE.

O eIDAS 2.0, formalmente Regulamento (UE) 2024/1183, atualiza o regulamento original e introduz um novo sistema baseado em carteiras de identidade digital. Se a sua empresa depende de plataformas de assinatura eletrônica, ou irá depender no futuro, essa mudança é relevante porque transformará gradualmente a forma como as modalidades mais seguras de assinaturas eletrônicas são criadas e verificadas na Europa.

O que é o eIDAS 2.0?

O eIDAS 2.0 é a estrutura atualizada da União Europeia para identidade digital, assinaturas eletrônicas e serviços de confiança.

A mudança mais significativa introduzida pelo eIDAS 2.0 é o acréscimo da Carteira Europeia de Identidade Digital (EUDI Wallet). De acordo com o regulamento:

• Cada Estado-Membro da UE deve disponibilizar pelo menos uma carteira digital que os cidadãos possam utilizar num dispositivo móvel.
• A identidade é verificada apenas uma vez, no momento da emissão da carteira, em vez de ser repetida com cada prestador de serviço.
• Credenciais verificadas podem ser reutilizadas entre diferentes serviços e fronteiras, permitindo às pessoas confirmar a identidade ou partilhar informações oficiais quando necessário.

Para as empresas, o modelo de carteira cria uma nova base operacional para interações digitais. Em vez de depender de verificações de identidade específicas de cada prestador, as organizações vão, cada vez mais, interagir com identidades digitais portáteis e verificadas, que podem ser apresentadas entre plataformas.

Por que o regulamento eIDAS original está sendo atualizado

O regulamento eIDAS original, adotado em 2014, estabeleceu normas jurídicas claras para identificação eletrônica e serviços de confiança na UE, mas a adoção prática foi irregular. As limitações persistiam no uso transfronteiriço, e obter o mais alto nível de assinatura eletrônica normalmente exigia várias verificações de identidade, aquisição de certificados e, em alguns casos, hardware dedicado.

O eIDAS 2.0 foi criado para superar essas barreiras. O quadro atualizado procura facilitar o uso de identidades verificadas em vários serviços e países.

Os três níveis de assinatura eletrônica segundo o eIDAS

Um dos elementos principais da estrutura do eIDAS é definir três níveis de assinatura eletrônica, indicando o grau de verificação de identidade e a garantia legal de cada um.

Importante notar que o eIDAS 2.0 não altera essas categorias. O que muda é como o nível mais elevado de assinatura poderá ser obtido.

Assinatura Eletrônica Simples (SES)

A Assinatura Eletrônica Simples é a forma mais básica de assinatura eletrônica e inclui ações como digitar o nome no final de um documento, clicar em um botão “Concordo” ou inserir uma imagem de assinatura em um arquivo. As assinaturas SES são amplamente usadas em fluxos de trabalho de negócios de menor risco, onde a conveniência é prioridade.

Assinatura Eletrônica Avançada (AES)

A Assinatura Eletrônica Avançada oferece mais garantias do que a SES de que a assinatura está relacionada a uma pessoa específica. Estas assinaturas são comumente utilizadas em contratos e acordos empresariais que exigem maior segurança na identificação.

Uma AES deve:

• Estar ligada unicamente ao signatário
• Permitir a identificação do signatário
• Ser criada com dados controlados pelo signatário
• Indicar se o documento foi alterado após a assinatura

Assinatura Eletrônica Qualificada (QES)

A Assinatura Eletrônica Qualificada é o padrão mais alto definido pelo eIDAS e possui o mesmo valor legal que uma assinatura manuscrita em toda a UE.

Para ser qualificada, a assinatura deve:

• Ser criada a partir de um certificado qualificado emitido por um Prestador Qualificado de Serviços de Confiança (QTSP)
• Ser gerada por meio de um processo seguro de assinatura que verifica a identidade do signatário

Com o eIDAS 2.0, espera-se que as carteiras de identidade digital simplifiquem esse processo. Credenciais de identidade verificadas armazenadas em uma carteira poderão ser reutilizadas em assinaturas de alta segurança, reduzindo a necessidade de novas verificações.

Como o eIDAS 2.0 muda a identidade digital

O eIDAS 2.0 está mudando o funcionamento da identidade digital em toda a UE.

Ao invés de verificar a identidade repetidas vezes em diferentes serviços, as pessoas poderão armazenar credenciais verificadas em sua EUDI Wallet. A identidade é confirmada na emissão da carteira, podendo essas credenciais ser reutilizadas entre serviços e Estados-Membros da UE.

Cada Estado-Membro irá oferecer ou aprovar as suas próprias carteiras, mas todas respeitarão os padrões, protocolos e formatos de intercâmbio de informação definidos no regulamento atual.

O objetivo do eIDAS 2.0 é tornar a verificação digital mais fácil, consistente e segura em todo o território europeu.

Implementação do eIDAS 2.0: Situação atual

Até dezembro de 2026, todos os Estados-Membros da UE deverão oferecer aos cidadãos acesso a pelo menos uma carteira de identidade digital em conformidade com o eIDAS 2.0.

Programas piloto de grande escala estão a testar como as carteiras de identidade digital funcionam em situações reais, como a validação de diplomas, abertura de contas bancárias ou acesso a serviços públicos em outros países.

Outro prazo importante para as empresas virá logo após esta implementação inicial. Até dezembro de 2027, certas organizações privadas regulamentadas, como bancos, operadoras de telecomunicações e grandes plataformas online, serão obrigadas a aceitar as EUDI Wallets.

A transição já começou. As empresas que dependem de verificação de identidade digital e assinaturas eletrônicas devem considerar este como um período para se prepararem.

O que o eIDAS 2.0 significa para empresas que utilizam plataformas de assinatura eletrônica

Para muitas organizações, os fluxos de trabalho com assinatura eletrônica já estão bem estabelecidos. Contratos, documentos de onboarding, aprovações internas e documentos financeiros são frequentemente assinados em plataformas baseadas no quadro original do eIDAS. A maioria desses sistemas segue um processo em que um documento é enviado para assinatura, a identidade do signatário é confirmada no fluxo da plataforma e o documento completo é armazenado em PDF assinado.

Esse modelo continua funcionando com o eIDAS. Contudo, muitas das plataformas existentes foram criadas tendo por base o modelo de identidade por certificado. Quando é preciso uma Assinatura Eletrônica Qualificada, a verificação da identidade e a gestão dos certificados são normalmente feitas através das integrações dos Prestadores Qualificados de Serviços de Confiança.

À medida que as carteiras digitais ganham mais adesão, o modelo subjacente precisará ser ajustado.

Em vez de verificar a identidade separadamente em cada fluxo de assinatura, as organizações passarão a lidar com identidades digitais portáteis e verificadas, que cada pessoa poderá apresentar diretamente de sua carteira. Assim, a informação de identidade pode percorrer diferentes serviços e prestadores sem ser recriada a cada assinatura de documento.

Plataformas desenvolvidas com esta abordagem centrada na identidade tendem a adaptar-se mais facilmente ao cenário regulatório em evolução. Por exemplo, o Verified Digital Signing (VDS) do Lumin Sign é construído em torno de padrões de credenciais verificáveis que estão alinhados com o rumo geral do eIDAS 2.0.

Ao avaliar ferramentas de assinatura digital, a questão chave para as organizações é: a arquitetura da plataforma suporta um futuro em que a identidade digital verificada é reutilizável entre transações e serviços?

Saiba mais sobre o Verified Digital Signing