MDFe: Provedor de Assinatura e Autorização (PAA) e validações

A Nota Técnica 2022.002 do Manifesto Eletrônico de Documentos Fiscais (MDFe) trouxe importantes detalhamentos sobre o Provedor de Assinatura e Autorização (PAA). Este mecanismo permite que os contribuintes deleguem a comunicação e a assinatura de seus documentos fiscais eletrônicos a um terceiro homologado. O objetivo é simplificar o processo de emissão e autorização de MDFes, oferecendo uma alternativa à assinatura direta do contribuinte.

Provedor de assinatura e autorização (PAA)

O Provedor de Assinatura e Autorização (PAA) é um serviço que possibilita ao contribuinte emitente de Documentos Fiscais Eletrônicos (DF-e) terceirizar a comunicação com os sistemas de autorização das administrações tributárias. Em outras palavras, o PAA atua como um intermediário, realizando a assinatura e o envio dos documentos fiscais eletrônicos em nome do contribuinte.

Para utilizar um PAA, o contribuinte deve estar vinculado a um provedor previamente homologado pela Coordenação do ENCAT. Essa vinculação ocorre no Portal Nacional dos Documentos Fiscais Eletrônicos, onde o contribuinte é identificado através da plataforma gov.br. É fundamental que o contribuinte utilize a ferramenta de emissão de documento fiscal fornecida pelo PAA, que geralmente opera via internet com identificação do usuário.

O PAA pode operar em dois modelos principais de autorização, que determinam como o documento fiscal eletrônico é gerado e enviado:

Geração de XML com envio ao ambiente de autorização

Neste modelo, o PAA recebe o pedido de emissão do contribuinte em seu próprio formato. A partir desse pedido, o PAA gera o XML do documento fiscal eletrônico, preenchendo o grupo infPAA. Este grupo contém a tag SignatureValue, que assina o atributo "Id" do DF-e utilizando uma chave criptográfica no padrão RSA, fornecida pela administração tributária. Além disso, o DF-e também deve ser assinado digitalmente com um certificado ICP-Brasil do próprio PAA.

Após a geração e assinatura do XML, o PAA transmite o documento para o ambiente de autorização. Lá, o XML é submetido a todas as regras de validação estabelecidas no Manual de Orientação do Contribuinte (MOC). O documento pode ser autorizado ou rejeitado. Em caso de autorização, o PAA deve guardar o protocolo correspondente. Se houver rejeição, o PAA é responsável por atuar e auxiliar o contribuinte na correção.

Plataforma de emissão simplificada (PES)

Para as situações de emissão contempladas no Manual de Orientações do Provedor de Assinatura e Autorização v1.00, disponível no portal da SEFAZ Virtual RS, o PAA pode optar por utilizar os serviços da Plataforma de Emissão Simplificada (PES). Neste modelo, o PAA envia um pedido de emissão para os webservices da plataforma, contendo os dados comerciais da prestação do serviço. A geração do XML e a autorização do documento fiscal são delegadas ao sistema PES.

No modelo PES, que amplia o conceito da Nota Fiscal Fácil, o PAA gera a assinatura do contribuinte utilizando a chave RSA fornecida pela Administração Tributária. O pedido de emissão é assinado pelo PAA com seu certificado digital. O XML final do documento fiscal, gerado pela PES, apresenta a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), e o pedido de emissão do PAA na tag xSolic (dentro do grupo NFF), também assinado pelo PAA. A assinatura padrão do DF-e é realizada com um certificado digital qualificado da SVRS.

Padrão de certificado digital para assinatura avançada

O certificado digital empregado para a assinatura avançada das mensagens segue o padrão RSA, que utiliza um par de chaves (pública e privada). Essas chaves são geradas pela Plataforma de Emissão Simplificada para o contribuinte que se credencia e se vincula a um PAA no portal da SEFAZ Virtual RS, utilizando o login e senha da plataforma gov.br.

O PAA pode obter o par de chaves (pública e privada) de seu usuário diretamente com ele ou de forma automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada.

Os certificados seguem a especificação OpenSSL e são gerados de forma única para cada vínculo entre um PAA e um contribuinte. A especificação resulta em um par de chaves (pública e privada) no formato PEM RSA 1024 bits. Essas chaves são transformadas para a estrutura RSA, utilizada na assinatura digital XML, com as seguintes definições:

Chave privada RSA (PrivateKey)

A chave privada é composta por diversos campos que formam a estrutura de assinatura. O campo RSAKeyValue representa a chave privada RSA. Ele contém os elementos Modulus, Exponent, P, Q, DP, DQ, InverseQ e D. O Modulus e o Exponent são elementos essenciais para a operação RSA. Os demais (P, Q, DP, DQ, InverseQ, D) são componentes matemáticos internos da chave RSA, no formato Base64, que garantem a segurança e a integridade da assinatura. Para o Exponent, deve-se informar 'AQAB'.

Chave pública RSA (PublicKey)

A chave pública, também representada pelo campo RSAKeyValue, é um conjunto de informações que permite a verificação da assinatura. Diferente da privada, ela é destinada à divulgação para que terceiros possam validar a autenticidade dos documentos assinados. A chave pública RSA é composta pelos elementos Modulus e Exponent, ambos essenciais para a validação. O Modulus é no formato Base64, e o Exponent deve ser 'AQAB'.

Assinatura RSA e geração do DFe pelo PAA

O processo de assinatura e geração do DF-e pelo PAA envolve uma série de etapas que o contribuinte e o provedor devem seguir para garantir a validade fiscal do documento. A empresa que deseja utilizar os serviços de um PAA deve primeiro solicitar o vínculo com um provedor homologado no portal da SEFAZ Virtual RS.

Ao realizar essa solicitação e vinculação, o emitente recebe um par de chaves RSA (chave pública e chave privada). A chave privada é utilizada pelo PAA para assinar o conteúdo do atributo "Id" do MDFe ou evento, que é convertido para um array de bytes. Essa assinatura é feita no padrão assimétrico RSA SHA1, resultando em um SignatureValue no formato Base64. A chave pública, por sua vez, deve ser informada no grupo RSAKeyValue do padrão XML Signature para chaves RSA.

Os passos para executar este processo são:

1. O responsável pela empresa deve acessar o portal DF-e da SVRS utilizando seu CPF e o login da plataforma gov.br.
2. Solicitar o vínculo com o Provedor de Assinatura e Autorização (PAA) que estiver disponível no portal.
3. Obter, através do portal, o par de chaves RSA (chave privada e chave pública) gerado para o vínculo.
4. A aplicação do PAA deve assinar o conteúdo da tag "Id" do DF-e utilizando a chave RSA do usuário do PAA, gerando um SHA1 base64.
5. A chave pública deve ser informada no padrão XML Signature dentro do grupo RSAKeyValue do DF-e.
6. O PAA deve assinar o DF-e com seu certificado digital X509, que segue o padrão ICP-Brasil.
7. Por fim, o PAA transmite o DF-e para o serviço de autorização da SVRS.

É importante notar que o emitente tem a opção de solicitar o término do vínculo com o PAA a qualquer momento, acessando o portal da SVRS. As administrações tributárias e o próprio PAA também podem iniciar o encerramento do vínculo, se necessário.

A observação final sobre o processo de assinatura e envio do pedido de emissão na plataforma de emissão simplificada está detalhada no Manual de Orientações do PAA (MOPAA).

Estrutura das informações do PAA no XML do DFe

As informações relacionadas ao Provedor de Assinatura e Autorização (PAA) são estruturadas dentro do XML do Documento Fiscal eletrônico (DF-e) por meio do grupo infPAA. Este grupo é opcional, mas sua presença indica que o documento foi processado por um PAA.

Dentro do grupo infPAA, os elementos importantes são:

• CNPJPAA: Campo obrigatório que contém o CNPJ do Provedor de Assinatura e Autorização. Deve ser um CNPJ válido de 14 dígitos.
• PAASignature: Grupo que contém a assinatura RSA do emitente para DF-e gerados pelo PAA.
  • SignatureValue: Elemento obrigatório dentro de PAASignature. Corresponde à assinatura digital padrão RSA. Para gerá-la, o atributo "Id" do DF-e é convertido para um array de bytes e assinado com a chave privada do emitente.
  • RSAKeyValue: Grupo que informa a chave pública no padrão XML RSA Key.
    • Modulus: Elemento obrigatório que contém o módulo da chave pública.
    • Exponent: Elemento obrigatório que contém o expoente da chave pública.

A correta inclusão e preenchimento desses elementos no XML são fundamentais para que o DF-e seja validado e autorizado pelas administrações tributárias, especialmente quando o processo de emissão envolve um Provedor de Assinatura e Autorização.

Regras de validação

A Nota Técnica 2022.002 estabelece uma série de regras de validação para garantir a conformidade dos DF-e emitidos com a participação de um PAA. Essas regras abrangem a assinatura digital do DF-e, as informações específicas do PAA e validações adicionais para o MDFe e seus eventos de cancelamento e encerramento. O não cumprimento dessas validações resulta na rejeição do documento fiscal ou do evento.

Validações da assinatura digital do DFe

A regra F03 estabelece que, se o certificado digital utilizado para a assinatura contiver o CNPJ do emitente, o CNPJ-Base do emitente não pode ser diferente do CNPJ-Base do certificado digital. Esta é uma validação obrigatória que, se violada, gera a rejeição com a mensagem "Rejeição: CNPJ-Base do Emitente difere do CNPJ- Base do Certificado Digital" (cStat 213).

Existem duas exceções a esta regra:

1. Se a forma de emissão do MDFe for o Regime Especial da Nota Fiscal Fácil (tpEmis-3), o CNPJ de assinatura será o e-CNPJ da SVRS para o serviço de recepção ou para eventos do emitente (como cancelamento e encerramento).
2. Se o MDFe ou evento indicar o uso do Provedor de Assinatura e Autorização (grupo infPAA), a regra F03 não será aplicada.

Validações do PAA

As regras específicas para o PAA garantem que o provedor seja válido e que o vínculo com o emitente esteja ativo:

• PAA01: Se o grupo infPAA estiver presente, o CNPJ do PAA (CNPJPAA) deve ser válido. Um CNPJ inválido (com zeros ou dígito verificador incorreto) resultará na rejeição "Rejeição: CNPJ do PAA inválido" (cStat 909). Esta validação é obrigatória.
• PAA02: Se o grupo infPAA estiver presente, o CNPJ do PAA (CNPJPAA) deve existir na base de Provedores de Autorização e Assinatura homologados pelo ENCAT. Caso contrário, o documento será rejeitado com a mensagem "Rejeição: Provedor de Assinatura e Autorização não existe na base da SEFAZ" (cStat 911). Esta validação também é obrigatória.
• PAA03: Se o grupo infPAA estiver presente, é verificado se o emitente (CNPJ ou CPF no grupo emit) possui um vínculo ativo com o PAA (CNPJPAA). A ausência de vínculo ativo gera a rejeição "Rejeição: Emitente não associado ao PAA" (cStat 912). Esta regra é obrigatória.
• PAA04: Se o grupo infPAA estiver presente e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDFe deve ser o Regime Especial da Nota Fiscal Fácil (tpEmis-3). Se não for, a rejeição será "Rejeição: Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão" (cStat 910). Esta regra é obrigatória.
• PAA05: Se o grupo infPAA estiver presente e o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA. Caso contrário, a rejeição será "Rejeição: Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura" (cStat 915).
• PAA06: Se o grupo infPAA estiver presente, a assinatura RSA (SignatureValue) é validada com a chave pública do emitente (no grupo RSAKeyValue). Se a assinatura for inválida, o documento é rejeitado com a mensagem "Rejeição: Assinatura RSA inválida" (cStat 914). Esta validação é obrigatória.

Validações do MDFe

Uma regra importante para o MDFe é a necessidade de informar a Inscrição Estadual (IE) do emitente. No entanto, há exceções:

• A IE não será informada se a forma de emissão (tpEmis) do MDFe for o Regime Especial da Nota Fiscal Fácil (3).
• Se o MDFe for gerado por PAA (grupo infPAA), a IE do emitente é opcional, como no caso de Microempreendedores Individuais (MEI) não inscritos na UF.

Fora dessas exceções, a ausência da IE resulta na rejeição "Rejeição: IE do emitente não informada" (cStat 229).

Validações do evento de cancelamento

Para o evento de cancelamento (regra K02), o emitente deve estar habilitado na base de dados para a emissão do MDFe. A rejeição para esta regra é "Rejeição: Emissor não habilitado para emissão do MDFe" (cStat 203).

Há uma exceção: esta regra não é aplicada quando a forma de emissão do MDFe (tpEmis) for o Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

Validações do evento de encerramento

Similar ao cancelamento, para o evento de encerramento (regra K05), o emitente deve estar habilitado na base de dados para a emissão do MDFe. A rejeição é a mesma: "Rejeição: Emissor não habilitado para emissão do MDFe" (cStat 203).

A exceção também é a mesma: esta regra não é aplicada quando a forma de emissão do MDFe (tpEmis) for o Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

As regras de validação estabelecidas pela Nota Técnica 2022.002 são cruciais para a segurança e a conformidade fiscal dos documentos eletrônicos, garantindo que o uso do Provedor de Assinatura e Autorização (PAA) ocorra de forma padronizada e segura. A atenção a esses detalhes técnicos é fundamental para a correta emissão e autorização do MDFe.