MDFe PAA: Regras de Assinatura e Autorização NT 2022

A Nota Técnica 2022.002 v1.01 estabelece as regras para o uso do Provedor de Assinatura e Autorização (PAA) no processo de emissão do Manifesto Eletrônico de Documentos Fiscais (MDFe). Este recurso permite que o contribuinte delegue a comunicação e autorização de Documentos Fiscais Eletrônicos (DFe) às administrações tributárias, por meio de provedores homologados, visando otimizar a emissão e validação.

Provedor de Assinatura e Autorização (PAA)

O Provedor de Assinatura e Autorização (PAA) é um serviço que possibilita ao contribuinte emitente de DFe realizar a comunicação com os sistemas de autorização das administrações tributárias. Para isso, o PAA atua em nome do contribuinte. O Portal Nacional dos Documentos Fiscais Eletrônicos permite a vinculação de contribuintes (identificados na plataforma gov.br) a PAAs homologados pela Coordenação do ENCAT.

O contribuinte deve utilizar uma ferramenta de emissão de documento fiscal fornecida pelo PAA, idealmente via internet e com identificação do usuário.

Modelos de Autorização pelo PAA

O PAA pode operar sob dois modelos distintos para autorização de documentos fiscais:

Geração de XML com Envio ao Ambiente de Autorização

Neste modelo, o PAA recebe o pedido de emissão do contribuinte no formato construído por seu software. Em seguida, o PAA gera o XML do DFe, preenchendo o grupo infPAA. Este grupo contém a tag SignatureValue, que assina o atributo Id do DFe com uma chave criptográfica padrão RSA, fornecida pela administração tributária. Além disso, o DFe deve ser assinado digitalmente com um certificado ICP-Brasil do próprio PAA.

O PAA transmite o XML do DFe ao ambiente de autorização, onde é submetido a todas as regras de validação do Manual de Orientações ao Contribuinte (MOC). Após a validação, o documento pode ser autorizado ou rejeitado. O PAA é responsável por guardar o protocolo de autorização e gerenciar os casos de rejeição.

Plataforma de Emissão Simplificada (PES)

Para as hipóteses de emissão descritas no Manual de Orientações do Provedor de Assinatura e Autorização v1.00, disponível no portal da PES, o PAA pode optar pelos serviços dessa plataforma. Neste cenário, o PAA envia um pedido de emissão aos webservices da plataforma, contendo dados comerciais da prestação do serviço. O sistema PES, então, gera o XML e realiza a autorização do documento fiscal.

Nesse modelo ampliado da Nota Fiscal Fácil, o PAA gera a assinatura do contribuinte utilizando a chave RSA fornecida pela Administração Tributária e assina o pedido de emissão com seu certificado digital. O XML final, gerado pela PES, inclui a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), o pedido de emissão do PAA na tag xSolic (no grupo NFF) assinado pelo PAA, e a assinatura qualificada com o certificado digital da SEFAZ Virtual RS (SVRS) na assinatura padrão do DFe.

Padrão do Certificado Digital para Assinatura Avançada

O certificado digital para assinatura avançada das mensagens segue o padrão RSA, utilizando um par de chaves. Estes certificados são gerados pela Plataforma de Emissão Simplificada (PES) para o contribuinte que se credencia e vincula ao PAA no portal da SEFAZ Virtual RS, identificando-se por meio do usuário e senha da plataforma gov.br.

O PAA pode obter o par de chaves (pública e privada) diretamente do usuário ou de forma automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada.

Os certificados seguem a especificação OpenSSL e são gerados de forma única para cada relação entre PAA e contribuinte. A especificação produz um par de chaves (pública e privada) no formato PEM RSA 1024 bits. As chaves são transformadas na estrutura RSA para assinatura digital XML conforme as seguintes definições:

Chave Privada RSA (PrivateKey)

A estrutura da chave privada RSA no XML Signature é definida pelos seguintes campos:

• RSAKeyValue (Priv01): Grupo raiz para a chave privada RSA.
• Modulus: Componente da chave privada, tipo Base64.
• Exponent: Componente da chave privada, valor 'AQAB'.
• P: Componente da chave privada, tipo Base64.
• Q: Componente da chave privada, tipo Base64.
• DP: Componente da chave privada, tipo Base64.
• DQ: Componente da chave privada, tipo Base64.
• InverseQ: Componente da chave privada, tipo Base64.
• D: Componente da chave privada, tipo Base64.

Chave Pública RSA (PublicKey)

A estrutura da chave pública RSA no XML Signature é definida pelos seguintes campos:

• RSAKeyValue (Pub01): Grupo raiz para a chave pública RSA.
• Modulus: Componente da chave pública, tipo Base64.
• Exponent: Componente da chave pública, valor 'AQAB'.

Assinatura RSA e Geração do DFe pelo PAA

A empresa que utilizará o serviço do PAA deve solicitar o vínculo a um provedor homologado no portal da SEFAZ Virtual RS. O processo resulta na entrega de um par de chaves RSA (pública e privada) ao emitente.

Com a chave privada em mãos, a aplicação do PAA deve assinar o conteúdo do atributo Id do MDFe ou evento (convertido para array de bytes) utilizando o padrão de assinatura assimétrica RSA SHA1. Isso gera um SignatureValue no formato Base64. A chave pública correspondente deve ser informada no grupo RSAKeyValue, seguindo o padrão XML Signature para chaves RSA.

Os passos a serem executados são:

1. O responsável pela empresa acessa o portal DFe da SVRS com seu CPF (login plataforma gov.br).
2. Solicita o vínculo com o Provedor de Assinatura e Autorização disponibilizado no portal.
3. Obtém no portal o par de chaves RSA (chave privada e chave pública).
4. Assina o conteúdo da tag Id do DFe com a chave RSA (SHA1 Base64) do usuário do PAA.
5. Informa a chave pública no padrão XML Signature, dentro do grupo RSAKeyValue.
6. Assina o DFe com o certificado X509 padrão ICP-Brasil do PAA.
7. O PAA transmite o DFe ao serviço de autorização da SVRS.

O emitente pode solicitar o término do vínculo e a descontinuidade do uso do PAA a qualquer tempo, acessando o portal da SVRS. A administração tributária e o PAA também podem comandar o encerramento do vínculo. O processo de assinatura e envio do pedido de emissão na plataforma de emissão simplificada é disciplinado no Manual de Orientações do PAA (MOPAA), disponível em https://dfe-portal.svrs.rs.gov.br/pes.

Estrutura das Informações do PAA no XML do DFe

As informações referentes ao PAA são agrupadas no XML do DFe sob o grupo infPAA, que é um elemento opcional. A estrutura inclui os seguintes elementos:

• infPAA: Grupo de Informação do Provedor de Assinatura e Autorização.
• CNPJPAA: CNPJ do Provedor de Assinatura e Autorização. É um campo obrigatório com 14 dígitos.
• PAASignature: Grupo que contém a assinatura RSA do Emitente para DFe gerados por PAA. É um grupo obrigatório.
  • SignatureValue: Assinatura digital padrão RSA. Deve-se converter o atributo Id do DFe para array de bytes e assinar com a chave RSA do emitente.
  • RSAKeyValue: Grupo que contém a chave Pública no padrão XML RSA Key. É um grupo obrigatório.
    • Modulus: Componente da chave pública.
    • Exponent: Componente da chave pública.

Regras de Validação

A utilização do PAA implica em regras de validação específicas que o ambiente de autorização da SVRS aplica.

Validações da Assinatura Digital do DFe

A regra F03 verifica se o CNPJ-Base do Emitente difere do CNPJ-Base do Certificado Digital. Caso haja divergência, a rejeição é o código 213 ("Rejeição: CNPJ-Base do Emitente difere do CNPJ- Base do Certificado Digital").
Existem exceções para esta regra:
* Se a forma de emissão do MDFe for Regime Especial da Nota Fiscal Fácil (tpEmis-3), o CNPJ de assinatura será o e-CNPJ da SVRS para o serviço de recepção ou eventos do emitente (cancelamento e encerramento).
* Se o MDFe ou evento possuir indicação de uso do Provedor de Assinatura e Autorização (grupo infPAA), a regra F03 não será aplicada.

Validações do PAA

Seis regras de validação (PAA01 a PAA06) são aplicadas especificamente quando o grupo infPAA está presente:

• PAA01: O CNPJ do PAA deve ser válido (zeros, DV). Rejeição: 909 ("Rejeição: CNPJ do PAA inválido").
• PAA02: O CNPJ do PAA (tag CNPJPAA) deve existir na relação de Provedores de Autorização e Assinatura homologados pelo ENCAT. Rejeição: 911 ("Rejeição: Provedor de Assinatura e Autorização não existe na base da SEFAZ").
• PAA03: O Emitente (tag CNPJ/CPF do grupo emit) deve possuir vínculo ativo com o PAA (tag CNPJPAA). Rejeição: 912 ("Rejeição: Emitente não associado ao PAA").
• PAA04: Se o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDFe deve ser Regime Especial da Nota Fiscal Fácil (tpEmis-3). Rejeição: 910 ("Rejeição: Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão").
• PAA05: Se o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA. Rejeição: 915 ("Rejeição: Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura").
• PAA06: A assinatura RSA (tag SignatureValue) deve ser validada com a chave pública do emitente (grupo RSAKeyValue). Rejeição: 914 ("Rejeição: Assinatura RSA inválida").

Validações do MDFe

A obrigatoriedade da Inscrição Estadual (IE) do emitente no MDFe possui uma exceção quando o PAA é utilizado. A IE do emitente (código 229, "Rejeição: IE do emitente não informada") será opcional se o MDFe for gerado por PAA (grupo infPAA), permitindo a emissão por Microempreendedores Individuais (MEI) não inscritos na UF, por exemplo. Outra exceção é se a forma de emissão (tpEmis) do MDFe for Regime Especial da Nota Fiscal Fácil (3).

Validações de Eventos de Cancelamento e Encerramento

As regras K02 e K05, que verificam se o emitente está habilitado na base de dados para emissão do MDFe (código 203, "Rejeição: Emissor não habilitado para emissão do MDFe"), não são aplicadas quando a forma de emissão do MDFe (tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

Conclusão

A Nota Técnica 2022.002 detalha a implementação do Provedor de Assinatura e Autorização (PAA) para o MDFe. Este sistema visa simplificar a emissão de documentos fiscais eletrônicos ao permitir a delegação da assinatura e comunicação com as administrações tributárias. Contribuintes interessados devem se vincular a um PAA homologado e seguir os procedimentos de obtenção e uso das chaves RSA e certificados digitais, conforme as regras de validação estabelecidas. O conhecimento dessas diretrizes é fundamental para a conformidade fiscal e a correta operação dos processos de emissão de MDFe via PAA.