Entenda as principais mudanças da nova Instrução Normativa do ITI IN nº 32/2025 e veja como sua certificadora pode se adaptar de forma ágil e segura
A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) entra em uma nova fase regulatória com a publicação da nova Instrução Normativa do ITI (Instituto Nacional de Tecnologia da Informação) nº 32/2025.
Divulgada em 28 de abril de 2025 no Diário Oficial da União, a norma atualiza os critérios para auditorias em toda a cadeia da certificação digital — do credenciamento inicial à operação cotidiana dos Prestadores de Serviço de Certificação (PSCerts).
O objetivo principal dessa atualização é claro: reforçar a confiabilidade do sistema nacional de identidades digitais, elevando os padrões de controle, fiscalização e transparência. Segundo o ITI, trata-se de um avanço técnico e normativo que acompanha o crescimento do uso dos certificados digitais tanto em serviços públicos quanto privados. Para mais informações, acesse a íntegra da normativa.
O que muda com a nova normativa?
A IN nº 32/2025 traz mudanças significativas. Entre os principais destaques:
- Auditorias presenciais obrigatórias para novos credenciamentos a partir de julho, e também para as auditorias operacionais a cada dois anos;
- Fases bem definidas no processo de auditoria, divididas em: planejamento, execução (com avaliações in loco) e elaboração do relatório final;
- Classificação de riscos auditorias presenciais para ARs com pareceres técnicos como “Deficiente”, “Inadequado” ou “Inaceitável” em auditoria anterior;
- Prazos rígidos para correção de não conformidades, exigindo plano de ação em até 10 dias e regularização total em até 90 dias;
- Revogação da IN nº 06/2021, atualizando significativamente os parâmetros anteriores.
A nova Instrução Normativa do ITI também fortalece o alinhamento com normas técnicas internacionais, como o WebTrust e a NBC TO 3000, agregando mais robustez e credibilidade ao ecossistema de certificação digital brasileiro.
Compromisso renovado com a conformidade
Como Autoridade Certificadora comprometida com segurança, qualidade e integridade, a Certifica acolhe as mudanças com seriedade e visão estratégica.
“Recebemos com responsabilidade e atenção as atualizações trazidas pela Instrução Normativa ITI nº 32, de 23 de abril de 2025, que aperfeiçoa os critérios de auditoria das Autoridades Certificadoras (ACs) e Autoridades de Registro (ARs). As mudanças, especialmente a obrigatoriedade de auditorias presenciais bienais e in loco para novos credenciamentos, buscam fortalecer a confiança no ecossistema da certificação digital no Brasil.”
— Jéssica Alvarenga, Gerente de Normas e Compliance da Certifica
Jéssica também ressalta que a mudança normativa reflete a necessidade crescente por ambientes digitais mais confiáveis e auditáveis. Em suas palavras:
“A exigência de auditorias mais rigorosas acompanha a busca por excelência, respeito à legislação e proteção dos dados dos cidadãos.”
Além do olhar regulatório e de compliance, a visão operacional também desempenha um papel estratégico na adaptação às novas exigências da IN nº 32/2025. Para o COO – Certificação Digital do Grupo Certifica, Gustavo Mohr, responsável pela parte operacional e de normas e Compliance, o momento é de fortalecer processos internos, promover maior integração entre as áreas e garantir uma transição eficiente e alinhada com os novos padrões estabelecidos pelo ITI.
“Durante a pandemia, a flexibilização temporária permitiu que auditorias nas Autoridades de Registro (ARs) fossem realizadas de forma remota — uma medida emergencial que garantiu a continuidade dos processos dentro da ICP-Brasil. Com a publicação da nova Instrução Normativa pelo Instituto Nacional de Tecnologia da Informação (ITI), percebe-se agora um movimento claro em direção ao equilíbrio entre a praticidade do remoto e a necessidade de rigor da auditoria presencial. O novo cenário normativo reforça a corresponsabilidade dos gestores das ARs, exigindo deles um acompanhamento mais próximo e contínuo da operação. Mais do que nunca, cabe ao gestor assegurar que sua AR atenda plenamente aos requisitos normativos e operacionais. Isso porque o desempenho insatisfatório poderá acarretar a obrigatoriedade de que a próxima auditoria ocorra de maneira presencial — um indicativo claro de que a atuação na ICP-Brasil requer seriedade e compromisso inegociáveis. Essas medidas, além de fortalecerem o processo de auditoria, evidenciam o compromisso do ITI com a credibilidade do sistema. Ao exigir níveis consistentes de conformidade, mesmo em auditorias remotas, a nova regulamentação protege a robustez da cadeia e envia um sinal importante ao mercado: atuar na ICP-Brasil é um exercício de responsabilidade institucional.”
—Gustavo Mohr – COO Certificação Digital
A Certifica promove periodicamente o programa Na Mesma Página, em que se discute temas relevantes do universo da certificação digital, como segurança das operações, marketing, análise de dados e muito mais.
Tudo transmitido ao vivo para a nossa rede em todo o Brasil. Veja abaixo um dos nossos programas na íntegra, sobre a norma que regulamenta os procedimentos mínimos a serem adotados por uma Autoridade de Registro.
Fonte: Certifica
Sobre Certifica
A Autoridade Certificadora Certifica foi fundada há 10 anos na cidade de Formiga – MG.
A Certifica começou com um Ponto de Atendimento, mas em pouco tempo tornou-se uma das maiores emissoras de certificados do Brasil, presente em todo o território nacional, transformando a vida de centenas de empreendedores como você.
Sua missão é simplificar e transformar vidas e negócios por meio da identificação digital.
Fortalecer a rede de parceiros e oferecer sempre mais do que o esperado são algumas das ações que colocam a Certifica entre os principais players do mercado de identificação digital no Brasil.
A AC Certifica é especializada em gestão de negócios e oferece às suas Autoridades de Registro credenciadas apoio contábil, jurídico e de comunicação e marketing, além de ministrar periodicamente treinamentos técnicos, de vendas e operacionais.
A sua rede de ARs conta ainda com o acompanhamento das áreas de business intelligence e compliance, garantindo dessa forma a performance e a segurança operacional.
Leia aqui alguns artigos da Certifica – Autoridade Certificadora!
Como Fazer Certificado Digital para Emitir Nota Fiscal?
Certificado Digital para Nota Fiscal: Guia para Empresas
Proteção de Dados na LGPD: Obrigações para as Empresas
Certificado Digital Para Baixar Nota Fiscal: Como Funciona?
O que é Cibersegurança no Contexto dos Certificados Digitais
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Qual é a estrutura da ICP-Brasil?
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
