MDFe e Provedor de Assinatura: Regras e validações NT 2022.002

T
Time Tributos.io
20 de abril de 2026 | 8 min de leitura | 5 visualizações

MDFe e Provedor de Assinatura: Regras e validações NT 2022.002 A Nota Técnica 2022.002 do Projeto Manifesto Eletrônico de Documentos Fiscais (MDFe) detalha o uso do Provedor de Assinatura e Autorização (PAA). Este mecanismo simplifica o processo de comunicação e autorização de documentos fiscais eletrônicos,...

MDFe e Provedor de Assinatura: Regras e validações NT 2022.002

A Nota Técnica 2022.002 do Projeto Manifesto Eletrônico de Documentos Fiscais (MDFe) detalha o uso do Provedor de Assinatura e Autorização (PAA). Este mecanismo simplifica o processo de comunicação e autorização de documentos fiscais eletrônicos, estabelecendo padrões para a assinatura avançada e as regras de validação aplicáveis.

Provedor de Assinatura e Autorização

O Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA) permite ao contribuinte emitente delegar a comunicação com os sistemas de autorização das administrações tributárias. As administrações tributárias, por meio do Portal Nacional dos Documentos Fiscais Eletrônicos, viabilizam a vinculação entre contribuintes credenciados no gov.br e Provedores de Assinatura e Autorização homologados pela Coordenação do ENCAT. Para isso, o contribuinte deve utilizar a ferramenta de emissão de documento fiscal fornecida pelo PAA.

A Nota Técnica 2022.002 prevê dois modelos de autorização para o PAA:

  • Geração de XML com envio ao Ambiente de Autorização: O PAA recebe o pedido de emissão, gera o XML do documento fiscal eletrônico e preenche o grupo de informações do PAA. Neste grupo, a Assinatura (SignatureValue) assina o atributo Identificador do DFe com a chave criptográfica no padrão RSA fornecida pela administração tributária. O DFe também exige a assinatura digital qualificada com certificado ICP-Brasil do PAA. Em seguida, o PAA transmite o XML para o ambiente de autorização, onde será submetido às validações do MOC. O PAA deve gerenciar o protocolo de autorização e as rejeições.
  • Plataforma de Emissão Simplificada (PES): Em casos específicos descritos no Manual de Orientações do Provedor de Assinatura e Autorização (MOPAA), o PAA pode usar os serviços da Plataforma de Emissão Simplificada. O PAA envia um pedido de emissão aos webservices da plataforma, contendo dados comerciais da operação. O sistema PES gera o XML e autoriza o documento fiscal. Neste modelo, o PAA deve gerar a assinatura do contribuinte usando a chave RSA fornecida pela Administração Tributária e assinar o pedido de emissão com seu certificado digital. O XML final, gerado pela PES, conterá a assinatura RSA do contribuinte na tag SignatureValue (grupo infPAA), o pedido de emissão do PAA na tag xSolic (grupo NFF) assinado pelo PAA, e a assinatura qualificada com o certificado digital da SVRS na assinatura padrão do DFe. Mais detalhes estão disponíveis no Manual de Orientações do PAA.

Padrão de Certificado Digital para Assinatura Avançada

A assinatura avançada utiliza um certificado digital no padrão RSA, com um par de chaves (pública e privada). Essas chaves são geradas pela Plataforma de Emissão Simplificada para o contribuinte que se credenciar e vincular a um PAA no portal da SEFAZ Virtual RS, usando login e senha da plataforma gov.br.

O PAA pode obter o par de chaves diretamente do usuário ou de forma automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada. Os certificados seguem a especificação OpenSSL, gerando um par de chaves (pública e privada) no formato PEM RSA 1024 bits, de forma única para cada relação PAA-contribuinte.

As chaves são estruturadas no padrão RSA para assinatura digital XML da seguinte forma:

  • Chave Privada RSA: Contém campos como Modulus, Exponent, P, Q, DP, DQ, InverseQ e D, todos em Base64. O Exponent deve ser 'AQAB'.
  • Chave Pública RSA: Contém os campos Modulus (Base64) e Exponent (informar 'AQAB'), componentes essenciais para a validação da assinatura.

Assinatura RSA e Geração do DFe pelo PAA

A empresa que opta por utilizar os serviços de um PAA homologado deve solicitar o vínculo no portal da SEFAZ Virtual RS. O processo resulta na entrega de um par de chaves RSA (pública e privada) ao emitente.

A aplicação do PAA utiliza a chave privada para assinar o conteúdo do atributo Identificador do MDFe ou Evento, gerando um valor de assinatura (SignatureValue) no formato base64 com padrão RSA SHA1. A chave pública deve ser incluída no grupo de informações da chave RSA, seguindo o padrão XML Signature.

Os passos para a geração de um DFe via PAA são:

  1. O responsável pela empresa acessa o portal DFe da SVRS com seu CPF (login gov.br).
  2. Solicita o vínculo com o Provedor de Assinatura e Autorização disponível no portal.
  3. Obtém o par de chaves RSA (privada e pública) no portal.
  4. Aplica a chave RSA do usuário do PAA para assinar o conteúdo da tag Identificador do DFe (SHA1 base64).
  5. Informa a chave pública no padrão XML Signature no grupo de informações da chave RSA.
  6. Assina o DFe com o certificado X509 padrão ICP-Brasil do PAA.
  7. O PAA transmite o DFe ao serviço de autorização da SVRS.

O emitente, a administração tributária ou o próprio PAA podem solicitar o término do vínculo a qualquer momento, acessando o portal da SVRS.

Estrutura das informações do PAA no XML do DFe

As informações relacionadas ao Provedor de Assinatura e Autorização são organizadas no XML do DFe da seguinte maneira:

  • Grupo de Informações do PAA (infPAA): É um grupo opcional dentro das informações do MDFe (infMDFe).
    • CNPJ do PAA (CNPJPAA): Elemento obrigatório dentro do grupo infPAA, com 14 caracteres, que identifica o CNPJ do Provedor de Assinatura e Autorização.
    • Assinatura RSA do Emitente (PAASignature): Grupo obrigatório dentro do infPAA, que contém a assinatura RSA do emitente para DFe gerados pelo PAA.
      • Valor da Assinatura (SignatureValue): Elemento obrigatório que representa a assinatura digital no padrão RSA. Ele é gerado convertendo o atributo Identificador do DFe para um array de bytes e assinando-o com a chave RSA.
      • Chave Pública RSA (RSAKeyValue): Grupo obrigatório que contém a chave pública no padrão XML RSA Key.
        • Módulo (Modulus): Elemento obrigatório que representa o módulo da chave pública.
        • Expoente (Exponent): Elemento obrigatório que representa o expoente da chave pública.

Regras de Validação

A Nota Técnica 2022.002 estabelece regras de validação específicas para documentos fiscais eletrônicos que utilizam o PAA:

Validações da Assinatura Digital do DFe

  • Regra F03: A validação padrão verifica se o CNPJ-Base do Emitente difere do CNPJ-Base do Certificado Digital. A rejeição ocorre com o código 213.
    • Exceções: Esta regra não se aplica se o MDFe for emitido no Regime Especial da Nota Fiscal Fácil (onde o CNPJ de assinatura é o e-CNPJ da SVRS) ou se o MDFe/Evento possuir o grupo infPAA, indicando o uso do Provedor de Assinatura e Autorização.

Validações do PAA

  • PAA01: Se o grupo infPAA estiver presente, o CNPJ do PAA deve ser válido. Caso contrário, o DFe é rejeitado (cStat 909: Rejeição: CNPJ do PAA inválido).
  • PAA02: Se o grupo infPAA estiver presente, o CNPJ do PAA (tag CNPJPAA) deve existir na relação de Provedores de Autorização e Assinatura homologados pelo ENCAT. Caso contrário, ocorre rejeição (cStat 911: Rejeição: Provedor de Assinatura e Autorização não existe na base da SEFAZ).
  • PAA03: Se o grupo infPAA estiver presente, o Emitente (CNPJ/CPF no grupo emit) deve possuir vínculo ativo com o PAA (tag CNPJPAA). A ausência de vínculo causa rejeição (cStat 912: Rejeição: Emitente não associado ao PAA).
  • PAA04: Se o grupo infPAA estiver presente e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDFe (tpEmis) deve ser Regime Especial da Nota Fiscal Fácil (3). Rejeição ocorre com cStat 910: Rejeição: Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão.
  • PAA05: Se o grupo infPAA estiver presente e o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA. Caso contrário, o DFe é rejeitado (cStat 915: Rejeição: Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura).
  • PAA06: Se o grupo infPAA estiver presente, a assinatura RSA (SignatureValue) deve ser validada com a chave pública do emitente (grupo RSAKeyValue). Rejeição ocorre com cStat 914: Rejeição: Assinatura RSA inválida.

Validações do MDFe

  • A Inscrição Estadual (IE) do Emitente é obrigatória, com rejeição cStat 229 se não informada.
    • Exceções: A IE não é obrigatória se o tipo de emissão (tpEmis) do MDFe for Regime Especial da Nota Fiscal Fácil (3) ou se o MDFe for gerado por PAA (grupo infPAA), permitindo que a IE do emitente seja opcional (como no caso de MEI não inscrito na UF).

Validações de Eventos (Cancelamento e Encerramento)

  • Regra K02 (Cancelamento) e K05 (Encerramento): O emitente deve estar habilitado na base de dados para emissão do MDFe, sob pena de rejeição (cStat 203: Rejeição: Emissor não habilitado para emissão do MDFe).
    • Exceção: Esta regra não se aplica quando o tipo de emissão (tpEmis) do MDFe for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

O uso do Provedor de Assinatura e Autorização visa otimizar a emissão e a gestão de Manifestos Eletrônicos de Documentos Fiscais, ao mesmo tempo em que impõe rigorosas regras de validação para garantir a integridade e a autenticidade dos documentos. A conformidade com a Nota Técnica 2022.002 é essencial para evitar rejeições e assegurar a regularidade fiscal das operações.

Tags:
MDFE Provedor Assinatura Regras Validacoes
T

Time Tributos.io

Especialista em Reforma Tributária

Profissional com experiência comprovada em consultoria tributária e fiscal, responsável por conteúdos técnicos publicados no blog.