A Abrasinfo (Associação Brasileira de Segurança da Informação) alerta para a vulnerabilidade do uso do certificado digital A-1 e informa que já há empresas em busca de cancelamento do certificado em função do risco. Denny Roger, que acaba de assumir a presidência da entidade, explica que a vulnerabilidade do certificado está na possibilidade de armazenar o certificado após sua emissão em um software ou dispositivo USB.
“Qualquer empresa que participou do projeto NF-e pode ter tido acesso à chave de segurança da contratante para testar o software. Agora podem emitir as notas fiscais, que só serão percebidas quando vier o imposto de renda”, diz Roger.
Ele explica que a vulnerabilidade está no fato do A1 ser armazenado num software ou dispositivo de armazenamento, que pode ser roubado, copiado e replicado. Ou seja, um funcionário ou terceirizado insatisfeito pode ter tido acesso à chave ou mesmo tê-la copiado sem ninguém perceber. Vale ressaltar que o A1 demanda apenas o uso de senha para a emissão da nota criptografada a ser concretizada.
Custo e produtividade
Tal risco, entretanto, não atinge todas as empresas do sistema de Nota Fiscal Eletrônica, uma vez que havia a opção de uso do certificado A3. Nesse caso, a emissão da chave é feita dentro do próprio equipamento conhecido como HSM. Roger explica que uma das funcionalidades do HSM é a capacidade de acelerar a emissão de criptografia para suprir a demanda de produtividade dos altos volumes de notas fiscais. Esse equipamento foi adquirido pela maioria das grandes organizações. E, consequentemente, o nicho mais vulnerável das empresas é o das médias e pequenas que optaram pelo A1 em função do preço e da tecnologia.
“Não tinha muito sentido comprar um HSM (capaz de emitir 20 notas fiscais por hora) para uma empresa pequena, com um volume mensal de 40 notas fiscais por mês”, comenta. Além disso, a diferença de custo chega a ser quase dobro. Roger acredita que uma solução HSM pode custar de US$ 2 mil até US$200 mil. O custo está muito atrelado ao volume de notas fiscais emitidas.
Na visão do presidente da Abrasinfo, não há mecanismos de proteção para vulnerabilidade do A1 a não ser a mudança do tipo certificado. “Mesmo que haja uma relação de confiança entre usuário, fornecedor e prestador de serviço da solução, a vulnerabilidade sempre existirá”, ressalta o executivo. Ele ainda acredita que o ideal é não só mudar o certificado A1 pelo HSM (certificado A3) como também não adotar o modelo de terceirização. “A única forma de se livrar dos riscos é fazer tudo dentro de casa”, recomenda.
Esse e outros temas relacionados à Nota Fiscal Eletrônica serão discutidos no dia 27/01, quarta-feira, em debate transmitido pela TV Decision.
