Validade Jurídica das Assinaturas Eletrônicas da Anaclara

A Lei 14.063/2020 estabelece três níveis de assinatura eletrônica no Brasil:

Assinatura Simples — Permite identificar o signatário e associá-lo ao documento, mas sem requisitos técnicos rigorosos. Exemplo: aceitar termos clicando em um botão.

Assinatura Avançada — Exige (Art. 4º, §II): (a) estar associada ao signatário de maneira unívoca; (b) utilizar dados para criação da assinatura cujo controle está sob domínio exclusivo do signatário; (c) estar relacionada ao documento de tal modo que qualquer modificação posterior seja detectável.

Assinatura Qualificada — Utiliza certificado digital ICP-Brasil vinculado diretamente ao signatário (pessoa física ou jurídica).

A Anaclara opera como assinatura avançada, atendendo integralmente aos três requisitos do Art. 4º, §II da Lei 14.063/2020. O certificado ICP-Brasil utilizado pela plataforma é um certificado de atestação da plataforma (PJ), que assina os documentos em nome da Anaclara como entidade verificadora — não é o certificado pessoal do signatário. Isso é complementar à classificação avançada, adicionando uma camada de confiança institucional ao processo.

A Anaclara identifica cada signatário de forma unívoca através de dois fatores independentes:

1. Validação de CPF via SERPRO/Datavalid
Antes de qualquer assinatura, o CPF do signatário é verificado em tempo real junto à API Datavalid v4 do SERPRO, que consulta as bases oficiais da Receita Federal (RFB) e do DENATRAN (CNH). Isso confirma que o CPF existe, está regular e corresponde ao nome informado. A validação inclui verificação do algoritmo módulo-11 do CPF e confronto com dados biográficos federais.

2. Número de WhatsApp como segundo fator de identidade
O número de telefone do signatário, verificado pelo WhatsApp (Meta Cloud API), funciona como segundo fator de identificação. O WhatsApp exige que cada número seja verificado via SMS ou ligação, o que vincula o número a um dispositivo físico. A Anaclara normaliza números brasileiros (tratamento de 8/9 dígitos) para garantir correspondência exata.

A combinação CPF (documento federal) + WhatsApp (dispositivo físico) cria uma identificação unívoca forte que supera os requisitos mínimos da lei.

O controle exclusivo é garantido por um código OTP (One-Time Password) de 7 dígitos, gerado criptograficamente e enviado exclusivamente ao WhatsApp do signatário.

Geração do código — O OTP é gerado usando SecureRandom (fonte criptograficamente segura de aleatoriedade), produzindo um código de 7 dígitos. Nenhuma outra pessoa, nem mesmo a Anaclara, pode prever o código gerado.

Entrega exclusiva — O código é enviado via template de autenticação do WhatsApp Business API, que garante entrega apenas ao dispositivo vinculado ao número do signatário. O canal WhatsApp possui criptografia ponta-a-ponta.

Verificação tripla — Para que a assinatura seja aceita, três condições devem ser satisfeitas simultaneamente:
- O código informado deve corresponder exatamente ao código enviado
- O código não pode ter expirado (janela de 60 minutos)
- O número de telefone de onde veio a resposta deve corresponder ao número do signatário

Essa combinação assegura que apenas o signatário, com posse de seu dispositivo físico, pode autorizar a assinatura.

Qualquer modificação no documento após a assinatura é detectável através de uma cadeia criptográfica de quatro camadas:

1. Cadeia de hashes SHA-256
Um hash SHA-256 é calculado em cada estágio do documento: original, após inserção do rodapé de assinatura, e após aplicação da assinatura digital. Qualquer alteração em um único byte invalida toda a cadeia.

2. Assinatura digital RSA-SHA256
Após a confirmação do OTP, o documento é assinado digitalmente com uma chave RSA privada da plataforma usando o algoritmo RSASSA-PKCS1-v1_5. A verificação pode ser feita por qualquer pessoa com a chave pública correspondente.

3. Certificado ICP-Brasil (PAdES)
O documento recebe também uma assinatura PAdES com certificado ICP-Brasil da Anaclara (formato PKCS#12), embutida diretamente no PDF. Leitores de PDF como Adobe Acrobat podem verificar essa assinatura automaticamente.

4. Re-verificação via S3
O documento assinado é armazenado na AWS S3. A qualquer momento, o hash do documento pode ser recalculado e comparado com o hash armazenado, detectando qualquer adulteração no armazenamento.

O portal de validação pública (validar.anaclara.app) permite que qualquer pessoa verifique a integridade de um documento assinado pela Anaclara.

A Anaclara implementa múltiplas camadas de proteção para dados pessoais e documentos:

Criptografia em repouso (AES-256-GCM)
Mais de 11 campos de dados pessoais (PII) são criptografados individualmente usando AES-256-GCM. Isso inclui nome, CPF, telefone, e-mail e outros dados sensíveis em modelos. Mesmo com acesso direto ao banco de dados, os dados permanecem ilegíveis.

Índices cegos (HMAC-SHA256)
Para campos que precisam ser consultados (como CPF e telefone), a Anaclara usa blind indexes baseados em HMAC-SHA256. Isso permite buscas eficientes sem expor o dado real — o banco de dados armazena apenas o hash determinístico, não o valor original.

Criptografia em trânsito
Todas as comunicações via WhatsApp utilizam a criptografia ponta-a-ponta do protocolo Signal (implementado pelo Meta). As conexões com a API da Anaclara são protegidas por TLS 1.2+.

Armazenamento de documentos
Documentos são armazenados na AWS S3 com criptografia server-side (SSE-S3). Na recuperação, o hash SHA-256 do arquivo é recalculado e comparado com o hash registrado no banco, garantindo integridade pós-armazenamento.

Cada assinatura gera uma trilha de auditoria forense detalhada e imutável:

SignatureRequestLog
Cada evento do processo é registrado com dois timestamps independentes: o timestamp do servidor (NTP sincronizado) e o timestamp do webhook do Meta (WhatsApp). Essa dupla fonte temporal impede manipulação unilateral de datas. Os eventos registrados incluem: criação da solicitação, consentimento do remetente, envio do documento, visualização pelo destinatário, envio do OTP, verificação do OTP e finalização da assinatura.

Registro de consentimento
O consentimento explícito do remetente é registrado antes do envio do documento, com timestamp, IP e identificação do usuário — em conformidade com os requisitos da LGPD para base legal de consentimento.

Versionamento
Todas as alterações em registros críticos são versionadas, mantendo um histórico completo de quem alterou o quê e quando.

Dossiê de auditoria
Ao final do processo, é gerado um dossiê de auditoria com 15 seções que consolida todas as evidências: dados dos signatários, hashes do documento em cada estágio, timestamps, registros de consentimento, evidências do WhatsApp e metadados de verificação. O dossiê inclui seu próprio hash de integridade, garantindo que o próprio registro de auditoria não foi adulterado.

O não-repúdio — a impossibilidade de o signatário negar ter assinado — é garantido por múltiplas evidências independentes:

Token JWT de verificação
Após a verificação bem-sucedida do OTP, é gerado um token JWT (HS256) que vincula criptograficamente: o código OTP verificado, o CPF do signatário, o nome do signatário, o hash SHA-256 do documento e o timestamp exato da verificação. Esse token é armazenado como prova irrefutável da ação do signatário.

Assinatura digital RSA-SHA256
O documento recebe uma assinatura digital RSA-SHA256 que vincula o conteúdo do documento ao momento da assinatura. A chave pública está disponível para verificação independente.

Atestação ICP-Brasil
A assinatura PAdES com certificado ICP-Brasil da plataforma adiciona uma camada de confiança institucional reconhecida pelo sistema jurídico brasileiro (MP 2.200-2/2001).

Evidências do WhatsApp
Os webhooks do Meta fornecem evidências independentes de entrega e leitura das mensagens, com timestamps que não podem ser alterados pela Anaclara. Essas evidências corroboram a cronologia dos eventos registrados na trilha de auditoria.

O portal validar.anaclara.app permite que qualquer pessoa verifique a autenticidade de um documento assinado pela Anaclara, sem necessidade de cadastro ou login.

Como funciona a verificação:

1. O usuário informa o identificador do contrato
2. O sistema localiza o documento e executa duas verificações independentes:
   - Verificação RSA: a assinatura digital RSA-SHA256 é re-verificada usando a chave pública da plataforma
   - Verificação S3: o hash SHA-256 do arquivo armazenado é recalculado e comparado com o hash registrado no momento da assinatura
3. O resultado é exibido com dados mascarados por privacidade (CPF parcialmente oculto, telefone parcialmente oculto)

Privacidade por design: O portal exibe apenas informações suficientes para confirmar a autenticidade do documento, sem expor dados pessoais completos dos signatários. Isso atende ao princípio de minimização de dados da LGPD.

A Anaclara está em conformidade com as seguintes legislações brasileiras:

MP 2.200-2/2001 (ICP-Brasil)
Art. 10, §2º: Documentos eletrônicos com processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros. A Anaclara utiliza certificado ICP-Brasil como atestação de plataforma. Adicionalmente, o Art. 10, §2º admite assinaturas que não utilizam ICP-Brasil desde que aceitas pelas partes — o que é satisfeito pelo consentimento explícito registrado no fluxo.

Lei 14.063/2020 (Assinaturas Eletrônicas)
Art. 4º, §II: Requisitos para assinatura avançada — identidade unívoca (CPF + WhatsApp), controle exclusivo (OTP de 7 dígitos) e detecção de modificação (SHA-256 + RSA + S3). Todos os requisitos são atendidos conforme detalhado nas seções anteriores.

Lei 13.709/2018 (LGPD)
Criptografia AES-256-GCM de dados pessoais em repouso, índices cegos HMAC-SHA256, minimização de dados no portal de validação, registro de consentimento com timestamp e base legal documentada.

Lei 12.965/2014 (Marco Civil da Internet)
Armazenamento seguro de registros de conexão e acesso, com trilha de auditoria completa e timestamps duais (servidor + Meta).

Código de Processo Civil (Lei 13.105/2015)
Art. 369-441: Documentos eletrônicos são admitidos como meio de prova. A cadeia de hashes, assinatura digital, certificado ICP-Brasil e trilha de auditoria fornecem evidências robustas de autenticidade e integridade para fins judiciais.

Para uma análise técnica aprofundada de toda a arquitetura de segurança, fluxo criptográfico e fundamentação jurídica, consulte nosso Whitepaper: Segurança da Informação e Validade Jurídica.

Verifique a autenticidade de qualquer documento assinado pela Anaclara no Portal de Validação.

Experimente a Anaclara gratuitamente por 7 dias: Começar agora.