Identidade digital segura em sectores críticos
A digitalização dos sectores TELCO, energia e seguros aumentou a eficiência operacional, mas também aumentou os riscos de roubo de identidade na contratação online. Perante esta ameaça crescente, os Serviços Electrónicos de Confiança, regulados pelo Regulamento eIDAS, posicionam-se como soluções-chave para garantir a autenticidade das transacções, reforçar a segurança jurídica e cumprir os requisitos regulamentares. A incorporação de serviços qualificados, como certificados electrónicos, entregas certificadas e selos digitais, ajuda a prevenir a fraude, a proteger os consumidores e a reforçar a reputação das empresas.
1. Contexto setorial e desafios jurídicos emergentes
A digitalização acelerada nos sectores das telecomunicações, da energia e dos seguros transformou os modelos de relacionamento com os clientes, facilitando processos como a contratação à distância, a gestão de documentos e o serviço pós-venda através de canais electrónicos. Esta evolução conduziu a avanços significativos em termos de eficiência operacional, escalabilidade comercial e acessibilidade dos serviços.
No entanto, esta nova realidade também aumentou a exposição das organizações a riscos derivados da fraude de identidade, especialmente em procedimentos em que a autenticidade do utilizador não é adequadamente garantida. Em muitos casos, a usurpação de identidade através da utilização de documentos roubados, de dados pessoais obtidos ilegalmente ou de perfis falsos tem conduzido a situações de recrutamento indevido, reclamações fraudulentas, falta de pagamento e litígios legais que afectam diretamente a viabilidade operacional e a reputação das empresas em causa.
As práticas tradicionais de verificação de identidade, como o envio de fotocópias de bilhetes de identidade ou a simples introdução de dados, têm-se revelado insuficientes face à crescente sofisticação destas formas de fraude. Estas vulnerabilidades podem levar à responsabilidade legal dos operadores, bem como a sanções por parte da Agência Espanhola de Proteção de Dados (AEPD), que sublinhou a necessidade de aplicar medidas diligentes, proporcionais e seguras no tratamento de dados pessoais e na verificação da identidade dos titulares dos dados.
Ao mesmo tempo, os organismos reguladores sectoriais, como a CNMC, também se centraram nas práticas comerciais que não incorporam sistemas de controlo documental eficazes ou provas técnicas suficientes para acreditar o consentimento informado dos clientes. A este respeito, tanto o Regulamento Geral de Proteção de Dados (RGPD) como a recente jurisprudência do Supremo Tribunal apontam para uma crescente exigência legal para os operadores de serviços digitais, especialmente em sectores com um elevado volume de contratação à distância.
Na ECIJA Advogados, acreditamos que este cenário configura um desafio jurídico transversal para as empresas: evoluir para modelos digitais que incorporem soluções técnicas com suporte regulatório, capazes de reduzir o risco de roubo de identidade sem comprometer a experiência do utilizador. Para tanto, é fundamental implementar medidas auditáveis e rastreáveis, estabelecer protocolos internos claros e apostar em serviços electrónicos de confiança como ferramentas estratégicas para blindar a segurança jurídica nas relações comerciais digitais.
2. Fraude de phishing: impacto e resposta regulamentar
A fraude de falsificação de identidade estabeleceu-se como uma das principais ameaças na contratação eletrónica nos sectores das telecomunicações, da energia e dos seguros. Este fenómeno, caracterizado pela utilização indevida de dados ou documentos pessoais falsos para aceder a produtos ou serviços em nome de terceiros, tem proliferado com a crescente migração dos processos de registo, alteração ou reclamação para ambientes digitais.
No domínio TELCO, registou-se um aumento do número de casos de contratação de linhas móveis e de duplicados de cartões SIM feitos com identidades falsas, o que deu origem a reclamações por serviços não contratados, não pagamento e litígios entre utilizadores e operadores. O impacto foi tal que foram aprovados regulamentos específicos, como a Ordem TDF/149/2025, que impõe obrigações de verificação reforçadas às empresas que prestam serviços de comunicações electrónicas, especialmente no que diz respeito à identificação de chamadas comerciais e à contratação não presencial.
Por seu lado, o sector dos seguros tem assistido a um aumento significativo da subscrição fraudulenta de apólices, utilizando cartões de identificação roubados ou falsificados para obter coberturas ilícitas ou pedidos de indemnização sem direito legítimo. De acordo com os últimos relatórios do ICEA, estas práticas aumentaram mais de 18% em alguns tipos de seguros, especialmente os de saúde e automóvel, afectando tanto a solvência técnica das seguradoras como a sua exposição à fraude interna.
No sector da energia, várias empresas de comercialização denunciaram a contratação não autorizada utilizando dados pessoais obtidos ilegalmente. A usurpação de identidade permitiu registar fornecimentos de eletricidade e gás, gerando dívidas em nome de pessoas não envolvidas na operação. De igual modo, práticas como o phishing energético - fazer-se passar por empresas do sector para captar informação bancária ou de identidade - têm sido alvo de alertas por parte da Comissão Nacional dos Mercados e da Concorrência (CNMC), que tem alertado para o risco acrescido em ambientes digitais não suficientemente seguros.
Do ponto de vista regulamentar e judicial, tanto a AEPD como o Supremo Tribunal de Justiça têm reiterado, em diversos acórdãos, a exigência de implementação de sistemas eficazes de verificação de identidade que permitam a acreditação não só do consentimento informado, mas também da ligação fiável entre o utilizador e os dados utilizados na transação. A simples apresentação de um documento de identificação, sem um processo de verificação, já não é considerada suficiente em contextos digitais. Esta nova doutrina exige que as empresas adoptem soluções que permitam a rastreabilidade técnica, o apoio regulamentar e a proporcionalidade no tratamento dos dados pessoais.
Em suma, a fraude de phishing não é apenas um problema operacional ou de segurança informática, mas uma questão de grande relevância jurídica, comercial e reputacional que exige respostas estruturais. Na ECIJA Abogados, recomendamos que as entidades destes sectores analisem os seus actuais processos de onboarding e contratação digital para identificar lacunas legais e adotar medidas corretivas para garantir a autenticidade do cliente e a conformidade regulamentar.
3. Serviços de confiança qualificados como solução para prevenir a fraude digital
Com a crescente sofisticação das técnicas de fraude de phishing em ambientes digitais, os mecanismos de verificação tradicionais já não são eficazes para garantir a autenticidade do utilizador. As organizações dos sectores TELCO, da energia e dos seguros enfrentam o desafio de implementar ferramentas legais e tecnológicas que proporcionem segurança, rastreabilidade e validade jurídica aos seus processos de contratação eletrónica, sem afetar negativamente a experiência do utilizador nem comprometer a proteção dos dados.
Neste contexto, os Serviços de Confiança Qualificados, regulados pelo Regulamento (UE) n.º 910/2014 (eIDAS), configuram-se como soluções jurídicas avançadas, capazes de fornecer apoio regulamentar às transacções digitais e impedir a utilização fraudulenta de identidades em processos empresariais críticos.
Os Prestadores de Serviços de Confiança (TSP) qualificados operam sob rigorosos requisitos de supervisão, certificação e auditoria, permitindo que as empresas lhes subcontratem processos de identificação, autenticação e assinatura eletrónica, em conformidade com as normas europeias reconhecidas em toda a União. Esta subcontratação permite às entidades incorporar capacidades de verificação robustas sem assumir diretamente os encargos técnicos e os riscos regulamentares associados à sua implementação.
Entre os serviços mais relevantes para a prevenção da fraude digital, destacam-se os seguintes:
- Certificados Electrónicos Qualificados, que permitem a identificação eletrónica de pessoas singulares ou colectivas com um elevado nível de segurança. A emissão destes certificados exige uma rigorosa verificação prévia da identidade (presencial ou por vídeo-identificação) de acordo com os requisitos estabelecidos pelo eIDAS, o que os torna instrumentos válidos perante terceiros e com plena força probatória.
- Entrega Eletrónica Certificada, que garante que um documento ou mensagem foi enviado e recebido em condições de integridade, rastreabilidade e validade jurídica, com registo de data, hora e conteúdo. Este serviço é especialmente útil em procedimentos de contratação, notificação de condições ou documentação de consentimento entre partes.
- Selo Eletrónico Qualificado, que permite às empresas garantir que os documentos que emitem não foram alterados, atribuindo legalmente a autoria e autenticidade da emissão.
- Carimbo de Tempo Qualificado, que confere aos documentos electrónicos uma data certa e verificável, com valor probatório em processos administrativos ou judiciais, bem como estabelece um quadro cronológico fiável nas relações contratuais digitais.
Ao incorporar estes serviços, as organizações não só reforçam os seus sistemas de controlo e compliance, como reduzem o risco de usurpação de identidade, garantem o consentimento informado e cumprem os princípios de minimização de dados e de responsabilidade proactiva exigidos pelo RGPD e pela doutrina da AEPD.
4. Conclusões
A crescente incidência da fraude de phishing nos processos de contratação digital constitui uma ameaça direta à segurança jurídica, à confiança dos consumidores e à estabilidade operacional de sectores estratégicos como as telecomunicações, a energia e os seguros. Apesar dos avanços tecnológicos e da consolidação dos ambientes digitais no meio empresarial, persistem fragilidades estruturais nos modelos de identificação eletrónica que, se não forem devidamente corrigidas, podem conduzir a responsabilidade jurídica, sanções administrativas e prejuízos.
As práticas tradicionais de verificação, baseadas em documentos facilmente manipuláveis ou em sistemas sem validação técnica, são insuficientes para fazer face a um ambiente cada vez mais exposto à manipulação da identidade. As consequências não se limitam à esfera económica: incluem a violação de obrigações contratuais, o incumprimento dos princípios de proteção de dados e a violação do direito à autodeterminação informativa dos titulares dos dados.
Neste cenário, os Serviços de Confiança Qualificados, prestados por entidades qualificadas e supervisionadas de acordo com o Regulamento eIDAS, representam uma resposta sólida e legalmente apoiada para prevenir a fraude, reforçar a autenticidade das transacções electrónicas e garantir a conformidade regulamentar na contratação à distância. A utilização de ferramentas como certificados electrónicos qualificados, entregas certificadas, selos de entidade e selos temporais com valor probatório permite estabelecer sistemas de rastreabilidade e controlo que elevam os padrões legais e técnicos das empresas, sem sacrificar a agilidade ou a eficiência operacional.
Na ECIJA Abogados, entendemos que a incorporação estruturada e progressiva destes serviços não deve ser considerada uma despesa adicional, mas um investimento estratégico em segurança jurídica, reputação corporativa e competitividade digital. A sua adoção não só previne contingências regulatórias, como também posiciona as empresas como agentes responsáveis, comprometidos com a integridade dos seus processos e com a proteção efectiva dos direitos dos seus clientes.
Em suma, a resposta à fraude de phishing em ambientes digitais requer uma visão proativa, integrada e alinhada com as regulamentações vigentes. E neste caminho, os Serviços Electrónicos de Confiança consolidam-se como aliados essenciais para a construção de um modelo de contratação eletrónica seguro, verificável e legalmente protegido.
Nota informativa redigida pela área de Privacidade e Proteção de Dados da ECIJA Madrid.
