IN nº 33/2025: ITI atualiza diretrizes técnicas para assinatura digital no âmbito da ICP-Brasil
A Instrução Normativa altera o documento Requisitos das Políticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03), consolidado pela Instrução Normativa ITI nº 03, de 12 de fevereiro de 2021, para acrescentar novas versões das políticas de assinatura padrão ICP-Brasil
O Instituto Nacional de Tecnologia da Informação (ITI) publicou a Instrução Normativa nº 33, de 12 de junho de 2025, que aprova a versão 9.0 do documento DOC-ICP-15.03. A norma estabelece requisitos técnicos e operacionais para a assinatura digital de documentos eletrônicos e suas respectivas políticas de arquivamento, no contexto da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
1. Novas diretrizes da versão 9.0 do DOC-ICP-15.03
Entre os principais avanços da nova versão, destacam-se:
- Introdução de políticas específicas para Assinatura de Arquivamento (AA), com diretrizes claras quanto à estrutura da assinatura, uso obrigatório de carimbo do tempo e compatibilidade com validação de longo prazo (LTV).
- Reforço ao uso de algoritmos criptográficos robustos, como ECDSA, além da manutenção do SHA-256.
- Definição obrigatória de OIDs (Object Identifiers) distintos para cada tipo de política de assinatura: assinatura simples, assinatura de arquivamento, assinatura com múltiplos signatários, entre outras.
- Adoção obrigatória do carimbo do tempo para garantir a rastreabilidade e validade jurídica futura das assinaturas digitais.
- Conformidade com padrões internacionais, como ETSI EN 319 122 e ETSI TS 119 312, ampliando a interoperabilidade com ambientes europeus.
2. O que muda na prática
A seguir, uma visão técnica comparativa entre as versões 8.0 e 9.0:
Política de Assinatura Antes: Permitia múltiplos formatos de assinatura, com diretrizes genéricas. Agora: Define claramente requisitos técnicos para cada política de assinatura digital, incluindo as voltadas ao arquivamento.
Carimbo do Tempo Antes: Recomendado, mas não exigido. Agora: Obrigatório para assinaturas de arquivamento, conforme política DOC-ICP-15.04.
Assinatura de Arquivamento Antes: Ponto pouco regulamentado. Agora: Formalmente definida com exigência de estrutura compatível com LTV, identificação de política via OID e cadeia de certificação válida.
Conformidade Internacional Antes: Referência genérica a boas práticas. Agora: Aderência explícita aos padrões ETSI, garantindo compatibilidade com plataformas internacionais.
3. Impactos para o ecossistema da ICP-Brasil
Prestadores de serviços de certificação deverão atualizar sistemas para gerar e validar assinaturas conforme as novas regras. Desenvolvedores precisarão adaptar soluções para suportar carimbos do tempo, OIDs específicos e validação estendida. Órgãos públicos e empresas que arquivam documentos digitalmente deverão revisar seus fluxos de trabalho, adequando-se às exigências de integridade e validade jurídica ao longo do tempo.
Conclusão
A IN nº 33/2025 consolida um novo patamar de maturidade técnica para a ICP-Brasil, alinhando-se a padrões internacionais e respondendo às crescentes demandas por segurança, rastreabilidade e interoperabilidade nas assinaturas digitais. A atualização reforça a credibilidade da certificação digital brasileira e desafia os atores do setor a modernizarem processos e ferramentas para garantir conformidade plena.
Esta Instrução Normativa entra em vigor na data de sua publicação: Publicado em: 24/06/2025 | Edição: 116 | Seção: 1 | Página: 49
Sobre o ITI
O Instituto Nacional de Tecnologia da Informação ITI, é dirigido por Enylson Camolesi, Diretor Presidente desde 12 de dezembro de 2023. O ITI foi criado a partir do Art. 12 da Medida Provisória n° 2.200-2, de 24 de agosto de 2001. Atualmente o ITI é vinculado ao Ministério da Gestão e da Inovação em Serviços Públicos, com a finalidade de ser a Autoridade Certificadora Raiz (AC Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Conheça algumas das principais empresas que fazem parte do ecossistema da ICP-Brasil. AET EUROPE | ASSINATURA CERTA | BRY TECNOLOGIA | CERTIFICA | DINAMO Networks | DOC9 | SAFEWEB | SOLUTI | SYNGULAR ID | V/CERT | ZAPSIGN |
Leia a coluna exclusiva sobre a ICP-Brasil!
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Qual é a estrutura da ICP-Brasil?
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia, segurança e regulação. Provocamos reflexão que sustentam decisões.
