Segundo especialista, cerca de 95% das companhias que adotaram o sistema estão desprotegidas por vulnerabilidades.
Após período de implantação nas empresas, a nota fiscal eletrônica (NF-e) é realidade na maioria das transações que antes se valia de documentos em papel. O mercado de tecnologia da informação se apressou em oferecer diversas soluções, desde o fornecimento de módulos para sistemas de gerenciamento de negócios já existentes até a terceirização da emissão das notas.
Para a emissão de notas, as empresas precisam comprar certificados digitais que validarão a assinatura dos documentos. No entanto, muitas companhias podem se deparar com problemas, já que o tipo de certificado mais adotado, o A1, traz vulnerabilidades. Se chegarem às mãos de pessoas mal intencionadas, correm o risco de serem usados para emissão de notas em nome da empresa.
Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram com algum tipo de fraude. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.
Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. “Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas", diz.
De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.
Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.
Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. “Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada”, afirma.
O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. “Hoje as companhias já contam com formas eficazes de proteção”, diz.
Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.