MDFe PAA: Nota Técnica 2022.002, Assinatura e Delegação
A NT 2022.002 do MDFe atualiza as regras do Provedor de Assinatura e Autorização (PAA). Delegue a emissão de DFe com segurança e conformidade fiscal.
MDFe: PAA, Assinatura Avançada e Regras da NT 2022.002
A Nota Técnica 2022.002, versão 1.01, atualiza as diretrizes para o Provedor de Assinatura e Autorização (PAA) de Documentos Fiscais Eletrônicos (DFe), com foco no Manifesto Eletrônico de Documentos Fiscais (MDFe). Essa atualização detalha o funcionamento e as validações para empresas que utilizam serviços terceirizados na emissão de seus documentos fiscais. O objetivo é estabelecer os procedimentos técnicos para a integração e segurança das operações de assinatura e autorização.
Provedor de Assinatura e Autorização (PAA)
O Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA) é um serviço que permite ao contribuinte delegar a terceiros a comunicação com os sistemas de autorização das administrações tributárias. Essa funcionalidade é especialmente útil para otimizar os processos de emissão de DFe, como o MDFe, e garantir a conformidade fiscal.
Para utilizar um PAA, o contribuinte emitente de DFe deve vincular-se a um provedor homologado. Essa vinculação ocorre no Portal Nacional dos Documentos Fiscais Eletrônicos, via plataforma gov.br, onde o contribuinte é identificado e associado ao PAA. A ferramenta de emissão do documento fiscal é fornecida pelo PAA, geralmente online, e requer a identificação do usuário.
A Nota Técnica 2022.002 v1.01 estabelece dois modelos de autorização que o PAA pode adotar:
Geração de XML com envio direto ao ambiente de autorização
Neste modelo, o PAA recebe o pedido de emissão do contribuinte, gera o XML do DFe e preenche o grupo infPAA. Dentro deste grupo, a tag SignatureValue é alimentada com a assinatura do atributo Id do DFe, utilizando uma chave criptográfica no padrão RSA fornecida pela administração tributária. Além disso, o DFe deve ser assinado digitalmente com um certificado ICP-Brasil do próprio PAA.
Após a geração e assinatura, o PAA transmite o XML do DFe para o ambiente de autorização. O documento é então submetido às regras de validação do Manual de Orientações do Contribuinte (MOC). Em caso de autorização, o PAA armazena o protocolo. Se houver rejeição, o PAA deve atuar para corrigir o problema.
Plataforma de Emissão Simplificada (PES)
A PES é uma alternativa para emissões específicas, conforme detalhado no Manual de Orientações do PAA (MOPAA). Neste modelo, o PAA envia um pedido de emissão contendo dados comerciais para os webservices da plataforma. A PES se encarrega da geração do XML e da autorização do documento fiscal.
O PAA deve gerar a assinatura do contribuinte usando a chave RSA fornecida pela administração tributária e assinar o pedido de emissão com seu certificado digital ICP-Brasil. O XML final, gerado pela PES, conterá a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), o pedido de emissão do PAA na tag xSolic (no grupo NFF) assinado pelo PAA, e a assinatura qualificada com o certificado digital da SEFAZ Virtual RS (SVRS) na assinatura padrão do DFe. Informações adicionais podem ser consultadas no Manual de Orientações do PAA.
Padrão de Certificado Digital para Assinatura Avançada
A assinatura avançada das mensagens utiliza um certificado digital no padrão RSA, gerado pela Plataforma de Emissão Simplificada. Este par de chaves (pública e privada) é gerado para o contribuinte que se credencia e se vincula ao PAA no portal da SEFAZ Virtual RS, utilizando o login e senha da plataforma gov.br.
O PAA pode obter o par de chaves diretamente do usuário ou de forma automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada. Os certificados são gerados conforme a especificação OpenSSL, de forma única para cada relação entre PAA e contribuinte vinculado, resultando em um par de chaves PEM RSA 1024 bits.
As chaves são estruturadas para a assinatura digital XML da seguinte forma:
Chave Privada RSA (PrivateKey)
| Campo | Tipo | Ocorrência | Descrição/Observação |
|---|---|---|---|
RSAKeyValue |
Grupo | 1-1 | Chave Privada RSA |
Modulus |
Base64 | 1-1 | Parte da chave privada |
Exponent |
Caracter | 1-1 | Informar 'AQAB' |
P |
Base64 | 1-1 | Parte da chave privada |
Q |
Base64 | 1-1 | Parte da chave privada |
DP |
Base64 | 1-1 | Parte da chave privada |
DQ |
Base64 | 1-1 | Parte da chave privada |
InverseQ |
Base64 | 1-1 | Parte da chave privada |
D |
Base64 | 1-1 | Parte da chave privada |
Chave Pública RSA (PublicKey)
| Campo | Tipo | Ocorrência | Descrição/Observação |
|---|---|---|---|
RSAKeyValue |
Grupo | 1-1 | Chave Pública RSA |
Modulus |
Base64 | 1-1 | Parte da chave pública |
Exponent |
Caracter | 1-1 | Informar 'AQAB' |
Assinatura RSA e Geração do DFe pelo PAA
O processo de assinatura e geração do MDFe ou evento pelo PAA envolve uma série de passos claros para o emitente e o provedor.
- Acesso ao portal: O responsável pela empresa acessa o portal DFe da SEFAZ Virtual RS (SVRS) utilizando seu CPF, autenticando-se pela plataforma gov.br.
- Solicitação de vínculo: O emitente solicita o vínculo com um Provedor de Assinatura e Autorização, previamente homologado e disponibilizado no portal.
- Obtenção das chaves RSA: O portal SVRS entrega um par de chaves RSA (privada e pública) ao emitente, específico para a relação com o PAA.
- Assinatura do
Iddo DFe: A aplicação do PAA utiliza a chave privada do emitente para assinar o conteúdo do atributoIddo MDFe ou Evento. Essa assinatura segue o padrão assimétrico RSA SHA1, resultando em umSignatureValueno formato base64. - Inclusão da chave pública: A chave pública do emitente é incluída no grupo
RSAKeyValue, seguindo o padrão XML Signature para chaves RSA. - Assinatura do DFe pelo PAA: O PAA, por sua vez, assina o DFe completo com seu certificado digital X509 padrão ICP-Brasil.
- Transmissão: O PAA transmite o DFe para o serviço de autorização da SVRS.
O emitente pode solicitar o término do vínculo com o PAA a qualquer momento, acessando o portal da SVRS. A administração tributária e o próprio PAA também possuem a prerrogativa de encerrar o vínculo.
Estrutura das informações do PAA no XML do DFe
As informações referentes ao Provedor de Assinatura e Autorização são organizadas no XML do DFe dentro de um grupo específico, conforme detalhado na nota técnica:
| Grupo/Elemento | Pai | Descrição | Tipo | Ocorrência | Tamanho | Observação |
|---|---|---|---|---|---|---|
infPAA |
infMDFe |
Grupo de Informação do Provedor de Assinatura e Autorização | Grupo | 0-1 | ||
CNPJPAA |
infPAA |
CNPJ do Provedor de Assinatura e Autorização | Caracter | 1-1 | 14 | |
PAASignature |
infPAA |
Assinatura RSA do Emitente para DFe gerados por PAA | Grupo | 1-1 | ||
SignatureValue |
PAASignature |
Assinatura digital padrão RSA | Caracter | 1-1 | Corresponde à assinatura do atributo Id do DFe, após conversão para array de bytes e assinatura com a chave privada RSA do emitente. |
|
RSAKeyValue |
PAASignature |
Chave Pública no padrão XML RSA Key | Grupo | 1-1 | Contém os detalhes da chave pública RSA do emitente. | |
Modulus |
RSAKeyValue |
Módulo da chave pública | Caracter | 1-1 | ||
Exponent |
RSAKeyValue |
Expoente da chave pública | Caracter | 1-1 |
Regras de Validação
Para garantir a integridade e a validade dos DFe emitidos com a participação de um PAA, a SEFAZ Virtual RS aplica um conjunto de regras de validação. O não cumprimento dessas regras resulta na rejeição do documento.
Validações da Assinatura Digital do DFe
A regra F03 verifica se o CNPJ-Base do emitente do DFe difere do CNPJ-Base do certificado digital utilizado na assinatura. A rejeição ocorre se houver essa diferença. Contudo, há exceções:
- Se a forma de emissão do MDFe for Regime Especial da Nota Fiscal Fácil (tpEmis-3), o CNPJ de assinatura será o e-CNPJ da SVRS.
- Se o MDFe ou Evento possuir indicação de uso do PAA (grupo
infPAA), esta regra não é aplicada, pois a assinatura do PAA segue um padrão específico.
Validações do PAA
Um grupo de regras específicas assegura a conformidade da operação com o Provedor de Assinatura e Autorização:
- PAA01: Se o grupo
infPAAestiver informado, o CNPJ do PAA deve ser válido. Caso contrário, o MDFe será rejeitado com a mensagem "CNPJ do PAA inválido" (cStat 909). - PAA02: Se
infPAAestiver presente, o CNPJ do PAA (tagCNPJPAA) deve constar na relação de provedores homologados pelo ENCAT. A rejeição (cStat 911) indica que o "Provedor de Assinatura e Autorização não existe na base da SEFAZ". - PAA03: Com o grupo
infPAAinformado, é verificado se o emitente (CNPJ/CPF no grupoemit) possui vínculo ativo com o PAA (CNPJPAA). Caso não haja vínculo, o documento é rejeitado (cStat 912) com a mensagem "Emitente não associado ao PAA". - PAA04: Se o grupo
infPAAestiver informado e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDFe (tpEmis) deve ser Regime Especial da Nota Fiscal Fácil (3). A não conformidade gera a rejeição (cStat 910) "Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão". - PAA05: Se
infPAAestiver presente e o CNPJ do certificado de assinatura for diferente da SVRS, este CNPJ deve ser igual ao CNPJ do PAA. A rejeição (cStat 915) ocorre com a mensagem "Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura". - PAA06: Quando o grupo
infPAAé informado, a assinatura RSA (SignatureValue) é validada com a chave pública do emitente (grupoRSAKeyValue). Uma assinatura inválida resulta na rejeição (cStat 914) "Assinatura RSA inválida".
Validações do MDFe
A Inscrição Estadual (IE) do emitente geralmente precisa ser informada no MDFe. No entanto, há exceções importantes para o PAA:
- A IE não será informada se a forma de emissão (
tpEmis) do MDFe for Regime Especial da Nota Fiscal Fácil (3). - Se o MDFe for gerado por PAA (grupo
infPAA), a IE do emitente é opcional, como no caso de Microempreendedores Individuais (MEI) não inscritos na UF.
Validações do Evento de Cancelamento e Encerramento
As regras K02 (para Cancelamento) e K05 (para Encerramento) validam se o emitente está habilitado na base de dados para emissão do MDFe, rejeitando o evento se não estiver (cStat 203). Contudo, há uma exceção:
- Esta regra não é aplicada quando a forma de emissão do MDFe (
tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.
Conclusão
A Nota Técnica 2022.002, versão 1.01, formaliza o uso do Provedor de Assinatura e Autorização (PAA) para o Manifesto Eletrônico de Documentos Fiscais (MDFe), delineando os procedimentos para sua operação e as regras de validação. As empresas que optarem por esta modalidade devem compreender o processo de vinculação, os padrões de certificado digital RSA e a estrutura de assinatura no XML do DFe.
A conformidade com as validações da SEFAZ Virtual RS, incluindo as específicas para o PAA, é fundamental para a autorização dos documentos fiscais. A utilização de um PAA pode simplificar a rotina de emissão, mas exige atenção aos detalhes técnicos e normativos estabelecidos pela legislação.