Provedor de Assinatura e Autorização no MDFe: Regras da NT 2022.002

A Nota Técnica 2022.002 do Manifesto Eletrônico de Documentos Fiscais (MDFe) define o Provedor de Assinatura e Autorização (PAA) para emissores de documentos fiscais eletrônicos. Esta atualização normatiza a utilização de serviços de terceiros para comunicação com os sistemas de autorização das administrações tributárias. As diretrizes estabelecidas visam padronizar o processo de assinatura avançada e as validações para garantir a integridade dos documentos.

Provedor de Assinatura e Autorização (PAA)

O Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA) permite ao contribuinte emitente delegar a terceiros a comunicação com os sistemas de autorização. O PAA, uma entidade previamente homologada pela Coordenação do ENCAT, atua em nome do contribuinte. Para essa vinculação, o contribuinte deve estar devidamente identificado na plataforma gov.br e associar-se ao PAA via o Portal Nacional dos Documentos Fiscais Eletrônicos.

A utilização dos serviços do PAA requer que o contribuinte empregue uma ferramenta de emissão fornecida pelo próprio PAA, geralmente disponível na internet e com identificação de usuário. O objetivo é simplificar o processo de emissão, mantendo a conformidade fiscal.

O PAA pode operar por meio de dois modelos distintos de autorização:

• Geração de XML com envio ao ambiente de autorização: Neste modelo, o PAA recebe o pedido de emissão do contribuinte em seu formato de software. O provedor então gera o XML do documento fiscal eletrônico, preenchendo o grupo infPAA. Este grupo contém a tag SignatureValue, que assina o atributo Id do DFe com uma chave criptográfica no padrão RSA, fornecida pela administração tributária. Além disso, o DFe deve ser assinado digitalmente pelo PAA com um certificado ICP-Brasil. Após a geração, o XML é transmitido ao ambiente de autorização, onde passa por todas as regras de validação do Manual de Orientação do Contribuinte (MOC). O PAA é responsável por registrar o protocolo de autorização ou atuar em caso de rejeição.

• Plataforma de Emissão Simplificada (PES): Para emissões contempladas no Manual de Orientações do Provedor de Assinatura e Autorização (MOPAA), disponível no portal do DFe da SVRS, o PAA pode usar a Plataforma de Emissão Simplificada. Neste caso, o PAA envia um pedido de emissão aos webservices da PES, contendo os dados comerciais. A própria PES gera o XML do documento fiscal e cuida da autorização. No âmbito desse modelo, o PAA gera a assinatura do contribuinte usando a chave RSA da Administração Tributária e assina o pedido de emissão com seu próprio certificado digital. O XML final, gerado pela PES, inclui a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), o pedido de emissão do PAA na tag xSolic (grupo NFF) assinado pelo PAA, e a assinatura qualificada com o certificado digital da SVRS na assinatura padrão do DFe.

Padrão de Certificado Digital para Assinatura Avançada

A assinatura avançada das mensagens utiliza um certificado digital no padrão RSA, composto por um par de chaves criptográficas. Essas chaves são geradas pela Plataforma de Emissão Simplificada para o contribuinte que se credencia e se vincula a um PAA. O processo de credenciamento e vinculação ocorre no portal da SEFAZ Virtual RS, exigindo a identificação do usuário por meio do login e senha da plataforma gov.br.

O PAA tem duas opções para obter o par de chaves (pública e privada) de seus usuários: diretamente com o contribuinte ou de forma automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada.

Os certificados emitidos seguem a especificação OpenSSL, sendo gerados de forma exclusiva para cada relação entre um PAA e um contribuinte vinculado no portal. A especificação resulta em um par de chaves RSA de 1024 bits no formato PEM, transformadas na estrutura RSA para assinatura digital XML, com as seguintes definições:

Chave privada RSA (PrivateKey):

A estrutura da chave privada RSA inclui os seguintes campos para a assinatura digital:

• RSAKeyValue (Priv01): Grupo principal que representa a chave privada RSA.
• Modulus (Priv02): Componente base da chave, em Base64.
• Exponent (Priv03): Expoente da chave, com valor 'AQAB'.
• P (Priv04): Primeiro fator primo do módulo, em Base64.
• Q (Priv05): Segundo fator primo do módulo, em Base64.
• DP (Priv06): Expoente de decifração d mod (p-1), em Base64.
• DQ (Priv07): Expoente de decifração d mod (q-1), em Base64.
• InverseQ (Priv08): Inverso de q mod p, em Base64.
• D (Priv09): Expoente de decifração, em Base64.

Chave pública RSA (PublicKey):

A estrutura da chave pública RSA inclui os seguintes campos:

• RSAKeyValue (Pub01): Grupo principal que representa a chave pública RSA.
• Modulus (Pub02): Componente base da chave, em Base64.
• Exponent (Pub03): Expoente da chave, com valor 'AQAB'.

Assinatura RSA e Geração do DFe pelo PAA

O processo de assinatura RSA e geração do Documento Fiscal Eletrônico (DFe) pelo Provedor de Assinatura e Autorização envolve uma sequência de passos padronizados. Primeiramente, a empresa usuária do serviço PAA precisa solicitar seu vínculo a um provedor homologado no portal da SEFAZ Virtual RS. Essa solicitação resulta na entrega de um par de chaves RSA (pública e privada) específicas para o emitente.

Com a chave privada em mãos, a aplicação do PAA deve assinar o conteúdo do atributo Id do MDFe ou evento fiscal. Esse atributo é convertido para um array de bytes e assinado com o padrão de assinatura assimétrica RSA SHA1, gerando um SignatureValue no formato Base64. A chave pública, por sua vez, deve ser incluída no grupo RSAKeyValue, seguindo o padrão XML Signature para chaves RSA.

Os passos detalhados para o processo são:

1. O responsável pela empresa acessa o portal DFe da SVRS utilizando seu CPF (com login da plataforma gov.br).
2. Solicita o vínculo com o Provedor de Assinatura e Autorização disponível no portal.
3. Obtém no portal o par de chaves RSA, composto pela chave privada e chave pública.
4. Aplica a chave RSA do usuário do PAA para assinar o conteúdo da tag Id do DFe (padrão SHA1 Base64).
5. Informa a chave pública no padrão XML Signature, dentro do grupo RSAKeyValue.
6. Realiza a assinatura do DFe com o certificado X509 padrão ICP-Brasil do próprio PAA.
7. O PAA transmite o DFe para o serviço de autorização da SVRS.

O vínculo entre o emitente e o PAA pode ser encerrado a qualquer momento, tanto pelo emitente, acessando o portal da SVRS, quanto pela administração tributária ou pelo próprio PAA. Informações adicionais sobre o processo de assinatura e envio do pedido de emissão na plataforma de emissão simplificada estão no Manual de Orientações do PAA (MOPAA), disponível em https://dfe-portal.svrs.rs.gov.br/pes.

Estrutura das informações do PAA no XML do DFe

A Nota Técnica 2022.002 detalha a estrutura das informações do Provedor de Assinatura e Autorização (PAA) que devem ser incluídas no XML do Documento Fiscal Eletrônico (DFe). Essas informações são organizadas em um grupo específico para garantir a rastreabilidade e a validação do processo de emissão intermediado pelo PAA.

O grupo principal é o infPAA, que agrupa todas as informações do provedor:

• infPAA: Este é o grupo de informações do Provedor de Assinatura e Autorização, com ocorrência opcional (0-1), ou seja, pode ou não estar presente no XML. Se estiver presente, indica que o DFe foi gerado com a intermediação de um PAA.
• CNPJPAA: Dentro do grupo infPAA, este elemento especifica o CNPJ do Provedor de Assinatura e Autorização. É um campo de texto obrigatório, com 14 caracteres, que identifica de forma única o PAA.
• PAASignature: Também dentro de infPAA, este é um grupo para a assinatura RSA do emitente para DFe gerados por um PAA. Sua ocorrência é obrigatória (1-1).
  • SignatureValue: Dentro de PAASignature, este elemento contém a assinatura digital padrão RSA. É um campo de texto obrigatório (1-1). O valor é obtido ao converter o atributo Id do DFe para um array de bytes e assiná-lo com a chave privada RSA.
  • RSAKeyValue: Dentro de PAASignature, este grupo representa a chave pública no padrão XML RSA Key. É um grupo obrigatório (1-1).
    • Modulus: Este elemento, dentro de RSAKeyValue, especifica o módulo da chave pública. É um campo de texto obrigatório (1-1).
    • Exponent: Este elemento, também dentro de RSAKeyValue, especifica o expoente da chave pública. É um campo de texto obrigatório (1-1).

Regras de Validação

As regras de validação estabelecidas pela Nota Técnica 2022.002 garantem a conformidade e a segurança dos Documentos Fiscais Eletrônicos (DFe) que utilizam o Provedor de Assinatura e Autorização (PAA). Essas validações abrangem a assinatura digital do DFe e aspectos específicos do PAA, bem como validações para o MDFe e seus eventos de cancelamento e encerramento.

Validações da Assinatura Digital do DFe

A validação F03 verifica a consistência entre o CNPJ do emitente e o CNPJ do certificado digital usado para assinatura.

• F03 - CNPJ-Base do Emitente difere do CNPJ-Base do Certificado Digital (Rejeição: 213): Esta regra é obrigatória e resulta em rejeição se o CNPJ-Base do emitente no DFe não corresponder ao CNPJ-Base do certificado digital utilizado para assinar o documento.
  • Exceção 1: Se a forma de emissão do MDFe for o Regime Especial da Nota Fiscal Fácil (tpEmis-3), o CNPJ de assinatura será o e-CNPJ da SVRS para recepção de serviços ou eventos do emitente (como cancelamento ou encerramento). Neste caso, a regra F03 não se aplica.
  • Exceção 2: Se o MDFe ou evento possuir indicação de uso do Provedor de Assinatura e Autorização (grupo infPAA), a regra F03 também não é aplicada.

Validações do PAA

As validações específicas do PAA asseguram que o provedor e seu relacionamento com o emitente estejam em conformidade.

• PAA01 - CNPJ do PAA inválido (Rejeição: 909): É obrigatório que, se o grupo infPAA estiver preenchido, o CNPJ do PAA (CNPJPAA) seja válido, ou seja, diferente de zeros e com Dígito Verificador correto.
• PAA02 - Provedor de Assinatura e Autorização não existe na base da SEFAZ (Rejeição: 911): Se o grupo infPAA estiver informado, o sistema verificará se o CNPJ do PAA (CNPJPAA) consta na relação de provedores homologados pelo ENCAT. A ausência resulta em rejeição.
• PAA03 - Emitente não associado ao PAA (Rejeição: 912): Quando o grupo infPAA está presente, é obrigatório verificar se o emitente (CNPJ ou CPF no grupo emit) possui um vínculo ativo com o PAA (CNPJPAA). Caso contrário, o documento é rejeitado.
• PAA04 - Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão (Rejeição: 910): Se o grupo infPAA estiver preenchido e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão (tpEmis) do MDFe deve ser o Regime Especial da Nota Fiscal Fácil (3). Essa regra é obrigatória.
• PAA05 - Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura (Rejeição: 915): Se o grupo infPAA estiver presente e o CNPJ do certificado de assinatura for diferente do CNPJ da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA.
• PAA06 - Assinatura RSA inválida (Rejeição: 914): É obrigatório que, se o grupo infPAA estiver informado, a assinatura RSA (SignatureValue) seja validada com a chave pública do emitente (grupo RSAKeyValue). Uma assinatura inválida causa a rejeição do documento.

Validações do MDFe

As validações do MDFe incluem regras sobre a Inscrição Estadual (IE) do emitente.

• IE Emitente deve ser informada (Rejeição: 229): A IE do emitente é geralmente obrigatória.
  • Exceção 1: A IE não será exigida se a forma de emissão (tpEmis) do MDFe for o Regime Especial da Nota Fiscal Fácil (3).
  • Exceção 2: Se o MDFe for gerado por PAA (com o grupo infPAA preenchido), a IE do emitente se torna opcional, o que beneficia, por exemplo, Microempreendedores Individuais (MEI) não inscritos na UF.

Validações do Evento de Cancelamento e Encerramento

Para os eventos de cancelamento e encerramento do MDFe, uma regra verifica a habilitação do emitente.

• K02/K05 - Emitente não habilitado para emissão do MDFe (Rejeição: 203): O emitente precisa estar habilitado na base de dados para emitir o MDFe. Esta regra é obrigatória e se aplica tanto ao cancelamento (K02) quanto ao encerramento (K05).
  • Exceção: Esta regra não será aplicada quando a forma de emissão (tpEmis) do MDFe for o Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

Conclusão

A Nota Técnica 2022.002 representa um avanço na flexibilização e segurança da emissão de Manifestos Eletrônicos de Documentos Fiscais, introduzindo o Provedor de Assinatura e Autorização (PAA). A adoção do PAA padroniza o uso de certificados digitais RSA para assinaturas avançadas e estabelece regras de validação rigorosas. Essas diretrizes garantem a autenticidade e a integridade dos documentos fiscais eletrônicos, otimizando o processo para os contribuintes.