Assim como o GDPR inspirou praticamente todas as regulações de proteção de dados no cenário global, o eIDAS 2.0 molda os padrões mundiais de confiança digital. O Crypto ID foi ouvir quem já implementou o modelo de emissão autoassistida de certificados qualificados na prática: Wido van de Mast, CEO da AET Europe, e Luís Correia, especialista em Certificados Digitais, Assinaturas Digitais, Smartcards e Soluções PKI, e responsável pelo desenvolvimento de negócios da AET Europe no Brasil
Quando a Europa regula, o mundo presta atenção. O rigor técnico e jurídico europeu tem uma história de produzir marcos que resistem ao tempo e cruzam fronteiras. Foi assim com o GDPR (General Data Protection Regulation), que inspirou a LGPD brasileira e moldou legislações de proteção de dados em dezenas de países. Esse fenômeno, batizado de Efeito Bruxelas pela acadêmica Anu Bradford, professora de Direito na Universidade Columbia, opera agora no campo da identidade digital com o eIDAS 2.0.
E foi por acompanhar esse movimento que o Crypto ID procurou a AET Europe, empresa holandesa com mais de 25 anos de experiência em confiança digital e presença no Brasil que antecede a própria ICP-Brasil, para entender o que o mercado de certificação digital brasileiro pode aprender com quem já percorreu esse caminho, especialmente no ponto central do debate atual: a emissão de certificados qualificados no modelo autoassistido, sem presença física, com segurança e validade jurídica plena.
O que o CertForum-ID 2026 nos apontou como sendo um desafio?
O CertForum-ID 2026, realizado em Brasília nos dias 9 e 10 de junho, foi muito mais do que mais uma edição do evento. Aos 25 anos da ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) e com 55 milhões de Carteiras de Identidade Nacional emitidas, o Brasil se apresentou como um caso raro: uma nação que construiu, simultaneamente, uma infraestrutura de identificação civil de escala continental e uma cadeia de confiança digital com respaldo legal pleno.
Márcio Nunes, presidente da ANCD (Associação Nacional de Certificação Digital), foi direto ao ponto em entrevista ao Crypto ID durante o evento: a AR Eletrônica é “o ponto-chave de todo o debate que a gente tem trazido aqui sobre certificação digital, nesses dois dias”. Para ele, as Instruções Normativas ITI nº 36 e nº 37/2026 abriram formalmente o caminho para um novo modelo de atendimento, voltado à emissão autoassistida de certificados em nuvem, exclusivamente para pessoa física.
Os números ajudam a dimensionar o que está em jogo. A ICP-Brasil já alcança aproximadamente 3,5 milhões de assinaturas eletrônicas qualificadas por dia com certificados de pessoa física em nuvem. Somadas as assinaturas avançadas e qualificadas, o Brasil já opera próximo de 5 milhões de operações de assinatura por dia. Um volume expressivo que, mesmo assim, representa apenas uma fração do potencial de um país com mais de 200 milhões de habitantes e uma cultura documental consolidada.
A AR Eletrônica é o mecanismo que pode destravar a próxima camada de crescimento da adoção da tecnologia da Certificação Digital. Mas, como alertou o presidente da ANCD, a simplificação dos processos não pode ser confundida com banalização da segurança. “É uma simplificação, não é uma banalização”, afirmou. o presidente da ANCD. Esse equilíbrio entre experiência de uso e rigor técnico é exatamente onde a experiência internacional da AET Europe se torna relevante para o debate brasileiro.
A Sérvia é um país europeu, localizado nos Bálcãs Ocidentais, com aproximadamente 6,5 milhões de habitantes e status de candidato oficial à adesão à União Europeia desde 2012. É exatamente nesse contexto que torna a apresentação do case uma escolha ainda mais significativa, mesmo sem ser membro pleno do bloco, o país decidiu alinhar sua infraestrutura de identidade digital ao eIDAS 2.0, o regulamento europeu de identificação eletrônica e serviços de confiança, como parte de um projeto maior de modernização de serviços públicos e aproximação aos padrões europeus.
A plataforma escolhida para viabilizar esse salto foi o ConsentID, desenvolvido pela AET Europe. Este é um case registrado e compartilhado pela própria empresa, que autorizou sua citação como referência pública de implementação bem-sucedida de identidade digital em escala nacional com a emissão autoassistida.
O resultado é um sistema de identidade digital nacional onde o cidadão se registra por um portal online, ativa o aplicativo ConsentID no celular e passa a usar um certificado eletrônico qualificado armazenado na nuvem para acessar uma ampla gama de serviços, sem cartões físicos e sem leitores.
No setor público, o sistema viabiliza o acesso a serviços de governo eletrônico, saúde digital, plataforma nacional de vacinação, subsídios na área da saúde, recebimento de benefícios sociais, matrícula escolar, serviços consulares via eConsulate e o EU Digital Green Card. No setor privado, bancos integram o ConsentID diretamente em seus processos de concessão de crédito e empréstimo, obtendo com segurança as informações necessárias do cidadão mediante seu consentimento.
O envio de informações bancárias a terceiros autorizados também passa pela plataforma, consolidando o ConsentID como infraestrutura de confiança tanto para o Estado quanto para o mercado.
Desde o lançamento, mais de 750 mil cidadãos foram registrados, com adoção especialmente expressiva em regiões rurais e remotas, populações que historicamente tinham acesso limitado a serviços presenciais de registro.
A distribuição das chaves de ativação seguiu um modelo de capilaridade inteligente: agências dos Correios, administrações tributárias locais e bancos funcionaram como pontos de suporte em todo o território. A validação de identidade, porém, permaneceu remota, controlada, auditável e autoassistida. Foi dada a opção de ser feita com a presença física, mas não era obrigatório. É exatamente esse tipo de arquitetura que o debate sobre AR eletrônica no Brasil está buscando construir.
A arquitetura técnica: o que está por baixo do modelo
O case sérvio é sustentado por três componentes centrais da plataforma AET Europe.
O ConsentID é a camada de autenticação, assinatura e consentimento digital voltada ao usuário. Baseado em PKI (Public Key Infrastructure), opera dentro dos parâmetros do eIDAS e permite ao cidadão assinar documentos, autenticar-se em serviços e gerenciar seus dados de privacidade diretamente pelo celular, sem plugins ou senhas complexas.
A plataforma não se limita as credenciais de pessoas físicas: suporta também a gestão de identidades de pessoas jurídicas, equipamentos e dispositivos IoT (Internet of Things), o que amplia significativamente seu escopo em comparação ao contexto brasileiro.
O Remote QSCD (Qualified Signature Creation Device Remote) é o dispositivo qualificado de criação de assinatura que reside na nuvem. Armazena as chaves criptográficas do signatário em um módulo de segurança em hardware sob gestão remota, eliminando a necessidade de token USB ou smartcard físico.
A assinatura qualificada acontece dentro do QSCD, com a chave privada nunca saindo do ambiente seguro. O usuário autoriza a operação pelo celular e o documento retorna assinado. A API do CSC (Cloud Signature Consortium) é o protocolo padrão para essa comunicação entre plataforma e QSCD remoto.
O BlueX fecha o ciclo com a gestão do ciclo de vida dos certificados, automação de renovações, revogação e governança de toda a cadeia de credenciais.
É também pelo BlueX, que o mercado brasileiro encontra resposta para uma pergunta prática e legítima: como manter o controle da origem do emissor e do titular do certificado para fins de remuneração financeira, tanto na emissão inicial junto à Autoridade Certificadora quanto nas renovações que, com a AR eletrônica, passarão a ocorrer igualmente em modalidade autoassistida? A rastreabilidade do ciclo de vida que o BlueX oferece é exatamente esse mecanismo uma vez que a emissão com AR Eletrônica não altera o princípio e mecanismo de rastreabilidade.
O eIDAS 2.0 estabelece requisitos mínimos para que a verificação autoassistida de identidade seja considerada qualificada: verificação documental com liveness detection, autenticação forte multifator, certificado qualificado armazenado em QSCD remoto com gestão segura das chaves, rastreabilidade completa da cadeia de eventos e proteção de dados alinhada ao GDPR. O regulamento também exige suporte a mecanismos de divulgação seletiva de atributos, para que o cidadão apresente apenas as informações necessárias para cada contexto.
Para o ITI e para as Autoridades Certificadoras brasileiras que projetam a AR Eletrônica, esses requisitos têm leitura direta na ICP-Brasil: a emissão autoassistida de certificado qualificado precisa combinar prova de vida robusta, verificação biométrica, validação cruzada com bases de dados autorizadas e trilhas de acesso auditáveis. Não por exigência do eIDAS, mas porque são os mesmos requisitos que a presunção de autoria e integridade da assinatura ICP-Brasil exigem para se sustentar juridicamente.
Uma empresa que fala a linguagem do mercado brasileiro desde antes da ICP-Brasil
A AET Europe não chegou ao Brasil como observadora do debate. A empresa tem presença no país que antecede a própria criação da ICP-Brasil, que em 2026 completou 25 anos.
Sua inserção no ecossistema brasileiro de certificação digital começou pelo SafeSign IC, middleware para uso de certificados digitais em mídias criptográficas como smartcards e tokens, tecnologia que se tornou parte da infraestrutura operacional de Autoridades Certificadoras e de milhares de usuários de certificado digital no Brasil.
É essa raiz histórica que explica por que a AET Europe não apenas conhece os requisitos operacionais da ICP-Brasil e a linguagem técnica do ITI, mas os acompanha desde antes de qualquer um dos marcos regulatórios que hoje estruturam o setor.
Para os profissionais que chegam agora ao ecossistema de certificação digital brasileiro e que ainda não conhecem a AET Europe: é uma empresa holandesa fundada em 1998, com mais de 25 anos de operação contínua em confiança digital, gestão de identidades e conformidade com eIDAS. Uma operação global consistente, construída projeto a projeto, setor a setor, ao longo de décadas.
Essa consistência não é acidental. A AET Europe entrega projetos de gestão de identidade para alguns dos ambientes mais exigentes do mundo: operações de defesa de diversos países, bancos centrais, usinas nucleares, aviação e saúde crítica.
Os cases ZORG-ID que atende 80% dos profissionais de saúde holandeses com 9 milhões de autenticações e 38,7 milhões de assinaturas processadas em 2025 com disponibilidade de 99,982%, e o Serbia eID, com mais de 750 mil cidadãos cadastrados em identidade digital nacional, são os que a empresa disponibiliza publicamente.
Os demais projetos, por razões de segurança e confidencialidade inerentes aos setores em que operam, não podem ser identificados.
Luís Correia, responsável comercial da AET Europe para o mercado brasileiro.
“O Brasil tem uma das infraestruturas de PKI mais maduras e robustas do mundo. O desafio agora não é técnico em sua essência, é de implementação: como escalar a emissão de certificados qualificados no modelo autoassistido, mantendo o nível de segurança e a presunção jurídica que fazem da ICP-Brasil uma referência global. A AET Europe já percorreu esse caminho em diferentes contextos regulatórios na Europa. Estamos aqui para contribuir com esse debate, compartilhar o que aprendemos e trabalhar junto com as ACs e o ITI na construção de um modelo que funcione para o Brasil”, afirma Luís Correia, responsável comercial da AET Europe para o mercado brasileiro.
Wido van
Wido van de Mast, CEO da AET Europe, reforça a perspectiva global. “Com o avanço acelerado das vulnerabilidades digitais, cujo vetor principal hoje é o roubo de identidades e a criação de identidades sintéticas, a valorização do nosso trabalho vem justamente do histórico de proteção de ambientes que são alvos recorrentes ao longo da história. O que protegemos exige uma estrutura de criptografia altamente testada, porque não há margem para falha quando se trata de infraestrutura crítica. O Serbia eID é um dos projetos que podemos apresentar publicamente. Ele ilustra bem o que é possível construir quando a arquitetura técnica é definida com precisão desde o início. As soluções que entregamos hoje são mais maduras do que quando implementamos nosso primeiro processo de “Remote Identity Proofing com QSCD Remoto” em escala nacional na Europa, que é, em essência, o mesmo desafio que o Brasil está regulamentando agora com a Autoridade de Registro Eletrônica.”
Por que as certificações da AET Europe importam nesse contexto
Num debate sobre AR eletrônica, a certificação Common Criteria EAL4+ não é detalhe. É o padrão de avaliação de segurança internacionalmente reconhecido que o ITI usa como referência para homologação de dispositivos criptográficos na ICP-Brasil.
Uma solução com EAL4+ passou por avaliação independente, com análise de código, testes de penetração e validação de arquitetura. Para uma AC que vai submeter sua plataforma de AR eletrônica ao processo regulatório do ITI, trabalhar com tecnologia já certificada nesse nível significa partir de uma base tecnicamente sólida.
A CEN/TS 419261:2015 é a norma europeia que define os requisitos de segurança para os sistemas confiáveis que um TSP (Trust Service Provider) utiliza para emitir certificados digitais e carimbos de tempo, garantindo a integridade e a auditabilidade de toda a cadeia de emissão.
Já os requisitos específicos para QSCD remoto e server-signing são cobertos pela série EN 419241, norma que rege tecnicamente o coração da emissão autoassistida.
A ISO 27001:2022 garante a gestão de segurança da informação no ambiente operacional.
A ISO 9001:2015 cobre o sistema de qualidade.
Em conjunto, esse portfólio reduz o tempo de due diligence para qualquer AC ou integrador que considere a parceria, e fala diretamente à linguagem regulatória que o ITI vai aplicar ao avaliar as plataformas de AR Eletrônica no Brasil.
O momento certo para a conversa certa
O CertForum-ID 2026 deixou uma mensagem clara: o Brasil está pronto para dar o próximo passo na sua infraestrutura de confiança digital. Os 25 anos de ICP-Brasil e os 55 milhões de CINs emitidas não são ponto de chegada, são base de lançamento para a era da emissão autoassistida, dos certificados qualificados em nuvem acessíveis pelo celular e da identidade digital integrada à vida cotidiana do cidadão e das organizações brasileiras.
O Efeito Bruxelas já chegou à identidade digital. E a AET Europe, que ajudou a construir parte desse modelo na Europa, está no Brasil, conhece o ecossistema, fala a linguagem do ITI e das ACs e ARs, e tem experiência concreta para contribuir com o debate que o mercado precisa travar agora.
Glossário
AR Eletrônica (Emissão Autoassistida): É a modalidade de emissão de certificado digital feita de forma 100% automática e sem intermediários. O próprio usuário faz tudo sozinho através de um link, validando sua identidade por meio de reconhecimento facial cruzado com bases de dados oficiais, sem precisar de videoconferência ou atendimento humano. Essa modalidade é válida apenas para certificados pessoa física A3 em nuvem.
ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira): hierarquia de confiança instituída pela Medida Provisória 2.200-2/2001, que estabelece os padrões técnicos e legais para emissão de certificados digitais qualificados no Brasil, com presunção legal de autoria e integridade de assinaturas.
eIDAS 2.0 (Electronic Identification, Authentication and Trust Services): regulamento europeu que define os padrões de identificação eletrônica, autenticação e serviços de confiança para transações digitais na União Europeia, incluindo requisitos para verificação remota de identidade e QSCD remoto.
Efeito Bruxelas: termo cunhado pela acadêmica Anu Bradford para descrever a capacidade da União Europeia de exportar seus padrões regulatórios para o mundo, fazendo com que empresas e governos de outros países adotem voluntariamente as normas europeias para manter acesso ao mercado europeu ou simplesmente por reconhecerem sua solidez técnica e jurídica.
QSCD (Qualified Signature Creation Device): dispositivo qualificado de criação de assinatura, físico ou remoto em nuvem, que armazena a chave privada do signatário em ambiente seguro e executa a operação criptográfica sem que a chave seja exportada.
PKI (Public Key Infrastructure): infraestrutura de chave pública, conjunto de políticas, tecnologias e procedimentos que sustentam a emissão, gerenciamento e revogação de certificados digitais baseados em criptografia assimétrica.
Liveness detection: tecnologia que verifica se o biométrico apresentado em um processo de validação remota é de uma pessoa viva e presente, proteção essencial contra ataques de injeção e deepfakes.
Emissão autoassistida: termo correto na ICP-Brasil para o processo de emissão de certificado digital sem presença física em balcão, conduzido pelo próprio titular com suporte tecnológico e validação remota de identidade pela ARE.
Sobre a AET Europe
AET Europeé líder global na área de soluções de segurança digital.
Empresa holandesa fundada em 1998, especializada em confiança digital, gestão de identidades e conformidade com eIDAS, com presença no ecossistema brasileiro de certificação digital que antecede a própria criação da ICP-Brasil. Seu portfólio cobre a gestão de identidades de pessoas físicas, pessoas jurídicas, equipamentos e dispositivos IoT, com soluções que incluem o ConsentID (autenticação, assinatura e consentimento mobile), o SafeSign IC (middleware para smartcard e token) e o BlueX (gestão de ciclo de vida de certificados). A empresa detém certificações Common Criteria EAL4+, CEN/TS 419261, EN 419241, ISO 27001:2022 e ISO 9001:2015, e opera em projetos governamentais e privados em defesa, saúde, bancos centrais e infraestrutura crítica na Europa e no Brasil.
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
