O Instituto Nacional de Tecnologia da Informação publicou hoje (04), uma norma que muda o padrão de identificação exigido para emissão de certificados digitais na ICP-Brasil e transforma o processo em uma cadeia de validação biométrica, documental e tecnológica muito mais rígida. A Instrução Normativa ITI nº 36, de 29 de abril de 2026, entra em vigor nesta terça-feira (05) e estabelece que a confirmação de identidade deverá combinar documentos oficiais, biometria, consulta a bases públicas nacionais, lista negativa de fraudadores, dossiê eletrônico, trilhas de auditoria e, nos casos remotos, mecanismos obrigatórios contra deepfake e injeção biométrica.
A mudança ocorre no momento em que o GOV.BR se consolida como uma das maiores infraestruturas digitais do Estado brasileiro. A plataforma alcançou 175 milhões de usuários em março de 2026, com acesso a mais de 4.600 serviços federais e outros 8.700 serviços estaduais e municipais. No primeiro trimestre de 2026, o GOV.BR acumulou mais de 1,7 bilhão de acessos, informação também registrada pelo Capital Digital.
A norma do ITI deve ser lida nesse contexto: o certificado digital deixa de ser apenas uma credencial para assinar documentos e passa a integrar uma arquitetura nacional de identidade digital forte. O próprio ITI define o certificado ICP-Brasil como instrumento que garante autenticidade, integridade, confiabilidade, não repúdio e validade jurídica aos atos eletrônicos.
O ponto central da nova regra é a confirmação da identidade do requerente. A norma admite cinco métodos: comparecimento presencial, videoconferência, uso de certificado ICP-Brasil válido, módulo eletrônico de Autoridade de Registro e AR Eletrônica. Mas impõe uma condição: qualquer método diferente do presencial deverá assegurar nível de segurança equivalente, com validação biográfica e biométrica por tecnologias eletrônicas seguras.
Na prática, isso significa que a emissão remota passa a exigir padrão técnico muito mais elevado. A videoconferência deverá ter prova de vida, detecção de deepfake, prevenção contra injeção de vídeo previamente gravado ou artificialmente gerado, bloqueio de câmeras virtuais, criptografia ponta a ponta, gravação com data e hora sincronizadas com a Fonte Confiável do Tempo da ICP-Brasil, scripts aleatórios de perguntas e envio de código OTP por canal separado.
A regra também obriga que a identidade seja conferida em bases oficiais nacionais. São admitidas a Carteira de Identidade Nacional, a Identificação Civil Nacional mantida pelo TSE, a Carteira Nacional de Habilitação mantida pela Senatran e a Infraestrutura Pública Digital de Identificação Civil prevista no Decreto nº 12.069/2024. Esse decreto instituiu a Estratégia Nacional de Governo Digital 2024-2027 e a Rede Gov.br.
Esse ponto tem peso político e institucional. Ao obrigar o uso de bases oficiais para batimento biométrico e biográfico, a ICP-Brasil reforça o papel do Estado como âncora da identidade digital nacional. A certificação privada continua existindo, mas passa a depender de validações em bases públicas, o que amplia a centralidade do governo na confiança digital.
A norma também endurece a guarda de evidências. As Autoridades Certificadoras deverão manter no dossiê do titular dados biográficos e biométricos, cópias de documentos, resultados de consultas, gravações de videoconferência, termos de titularidade e trilhas de auditoria. Todos os logs de transação biométrica feitos por Agentes de Registro deverão ser guardados por pelo menos sete anos.
O desenho cria uma camada importante de segurança, mas também abre um flanco sensível de proteção de dados. Biometria facial, impressões digitais, gravações, documentos pessoais e logs de autenticação são dados altamente sensíveis. A própria norma lembra que os Prestadores de Serviços de Certificação com acesso a dados do requerente devem cumprir a Lei Geral de Proteção de Dados.
Lista Negativa
A lista negativa é outro eixo relevante. As ACs deverão consultar bases de registros de fraude ou tentativa de fraude, comparando dados biográficos e biométricos. Se houver indício confirmado, o certificado não será emitido, a AC deverá comunicar o ITI e também notificar a autoridade policial. A norma prevê ainda envio de impressões digitais e face ao repositório biométrico da lista negativa.
Do ponto de vista técnico, isso cria um sistema antifraude compartilhado dentro da ICP-Brasil. Do ponto de vista regulatório, é um mecanismo poderoso e sensível: reduz reincidência de fraudadores, mas exige governança forte para evitar falsos positivos, registros indevidos e uso desproporcional de dados biométricos.
A nova regra também cria tratamento especial para Pessoas Expostas Politicamente (PEP), autoridades do Judiciário e membros do Ministério Público. Nesses casos, passam a ser obrigatórios segunda verificação por agente da AC, batimento de impressão digital na base do PSBio, coleta de documento de identidade mesmo com batimento biométrico e adoção de controles adicionais. A emissão por AR Eletrônica fica vedada para PEPs.
A AR Eletrônica é uma das maiores novidades. Ela permite emissão automatizada, sem intervenção humana, mas apenas para certificado de pessoa física, por aplicativo móvel da Autoridade Certificadora, com chave privada gerada e mantida por Prestador de Serviço de Confiança. O aplicativo deverá verificar a integridade do dispositivo, detectar desbloqueio indevido do sistema operacional, identificar o aparelho por elemento de hardware, capturar documento, face e impressão digital, aplicar liveness e prevenir ataques de injeção biométrica.
Esse modelo abre caminho para emissão em escala, com experiência próxima à de bancos digitais e fintechs, mas impõe barreiras técnicas que podem concentrar o mercado em ACs com maior capacidade tecnológica. Pequenas Autoridades de Registro podem ter dificuldade para cumprir exigências de app seguro, integração biométrica, auditoria, criptografia, armazenamento, logs e testes periódicos independentes.
A norma também dialoga com o crescimento explosivo da assinatura eletrônica GOV.BR. O Assinador GOV.BR completou cinco anos com mais de 339 milhões de assinaturas realizadas e mais de 31,2 milhões de CPFs atendidos desde dezembro de 2021. Em abril de 2026, a Assinatura GOV.BR atingiu 1,3 milhão de utilizações em um único dia, com 889 assinaturas por minuto.
Há, portanto, uma convergência entre duas frentes: de um lado, a massificação da assinatura eletrônica avançada do GOV.BR; de outro, o endurecimento da certificação digital ICP-Brasil, que possui presunção mais robusta de validade jurídica e é exigida em operações de maior criticidade. O serviço oficial de assinatura eletrônica do GOV.BR informa que a assinatura digital tem validade equivalente à física e é regulamentada pelo Decreto nº 10.543/2020, sendo restrita a contas prata ou ouro.
Tecnicamente, a norma também aproxima a ICP-Brasil de uma arquitetura de identidade de alta garantia. A confirmação não se baseia mais apenas em documento apresentado e conferência humana. Ela passa a exigir correlação entre documento, CPF, biometria, base oficial, lista negativa, prova de vida, dispositivo, canal de comunicação e evidências auditáveis.
A consequência é dupla. Para o cidadão, tende a haver mais segurança contra emissão fraudulenta em seu nome, mas também mais etapas, mais dependência de bases públicas atualizadas e risco de fricção quando houver divergência biométrica, documento deteriorado, CPF irregular ou dificuldade no reconhecimento facial. Para empresas, especialmente ACs e ARs, haverá aumento de custo tecnológico, necessidade de atualização das Declarações de Práticas de Certificação e Políticas de Certificados em até 60 dias, além de adaptação a exigências que se tornam obrigatórias em 90 dias, como atualização biométrica, mecanismos contra injeção biométrica e uso de documento físico na videoconferência.
A leitura política é que o ITI está fechando uma porta que havia sido aberta pela digitalização acelerada: a possibilidade de fraudes remotas em escala. Ao citar expressamente deepfake, injeção biométrica, câmeras virtuais e dispositivos comprometidos, a norma reconhece que a infraestrutura de confiança digital brasileira já não enfrenta apenas falsificação documental tradicional, mas ataques sofisticados com inteligência artificial e manipulação de mídia.
Também há um componente de soberania digital. Ao comemorar os 25 anos, o ITI reforçou o papel do instituto na soberania digital do Brasil. A nova instrução normativa materializa esse discurso em regras operacionais: identidade forte, bases públicas, validação biométrica nacional, certificação auditável e centralidade da AC Raiz da ICP-Brasil.
Agora a certificação digital deixa de ser apenas infraestrutura jurídica de assinatura eletrônica e passa a ser peça da política nacional de identidade digital. O avanço aumenta a segurança, mas desloca o debate para outro ponto: quem audita o uso das biometrias? Como a ANPD acompanhará esse ecossistema e quais garantias existirão para impedir que uma infraestrutura criada para combater fraude se transforme em uma base massiva de vigilância e concentração de dados sensíveis?
