PAA no MDFe: Assinatura Avançada e Validações Fiscais

T
Time Tributos.io
05 de abril de 2026 | 9 min de leitura | 13 visualizações

Novas regras PAA no MDFe (NT 2022.002). Otimize a emissão e validação de documentos fiscais eletrônicos utilizando o Provedor de Assinatura e Autorização.

PAA no MDFe: Assinatura Avançada e Validações Fiscais

A Nota Técnica 2022.002 estabelece novas diretrizes para o Manifesto Eletrônico de Documentos Fiscais (MDFe) relacionadas ao Provedor de Assinatura e Autorização (PAA). Essas regras visam padronizar e otimizar o processo de emissão e autorização de documentos fiscais eletrônicos para contribuintes que optarem por este serviço. O documento, na Nota Técnica 2022.002 em sua versão 1.01 de setembro de 2024, detalha os requisitos para a utilização do PAA e as validações aplicáveis.

Provedor de Assinatura e Autorização (PAA)

O Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA) é um serviço que permite ao contribuinte emitente de Documento Fiscal Eletrônico delegar a comunicação com os sistemas de autorização das administrações tributárias. Em essência, o PAA atua como um intermediário, realizando os procedimentos de emissão em nome do contribuinte.

Para utilizar os serviços de um PAA, o contribuinte deve vincular-se a um provedor homologado pela Coordenação do ENCAT. Este vínculo ocorre no Portal Nacional dos Documentos Fiscais Eletrônicos, onde a identificação do contribuinte é feita através da plataforma gov.br. O contribuinte, por sua vez, deve utilizar a ferramenta de emissão de documento fiscal fornecida pelo PAA, que preferencialmente opera na internet e exige identificação do usuário.

Os PAA podem operar sob dois modelos distintos de autorização:

  • Geração de XML com envio ao ambiente de autorização: Neste modelo, o PAA recebe a solicitação de emissão do contribuinte, gera o XML do documento fiscal eletrônico e preenche o grupo infPAA. Este grupo inclui a tag SignaturaValue, que assina o atributo Id do DFe com uma chave criptográfica no padrão RSA, fornecida pela administração tributária. Além disso, o DFe deve ser assinado digitalmente com um certificado ICP-Brasil do PAA. Posteriormente, o PAA transmite o XML para o ambiente de autorização, onde o documento é submetido às regras de validação do Manual de Orientação do Contribuinte (MOC), podendo ser autorizado ou rejeitado. O PAA é responsável por guardar o protocolo de autorização e gerenciar as rejeições.
  • Plataforma de Emissão Simplificada (PES): Para emissões contempladas no Manual de Orientações do PAA v1.00, o PAA pode optar por utilizar os serviços da Plataforma de Emissão Simplificada (PES). Neste cenário, o PAA envia um pedido de emissão para os webservices da plataforma, contendo os dados comerciais da prestação do serviço. A PES é então responsável por gerar o XML e autorizar o documento fiscal. A assinatura do contribuinte é gerada pelo PAA utilizando a chave RSA da Administração Tributária e é incluída na tag SignatureValue do grupo infPAA. O pedido de emissão do PAA, assinado com seu certificado digital, fica na tag xSolic do grupo NFF, e a assinatura qualificada com o certificado digital da SVRS é aplicada na assinatura padrão do DFe.

Padrão de Certificado Digital para Assinatura Avançada

A assinatura avançada das mensagens nos serviços do PAA utiliza um padrão de certificado digital RSA, composto por um par de chaves (pública e privada). Essas chaves são geradas pela Plataforma de Emissão Simplificada (PES) para o contribuinte que se credencia e se vincula a um PAA no portal da SEFAZ Virtual RS, autenticando-se com o usuário e senha da plataforma gov.br.

O PAA pode obter o par de chaves do seu usuário diretamente com ele ou de forma automatizada, através da operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada. Os certificados são gerados conforme a especificação OpenSSL, de forma única para cada relação entre PAA e contribuinte vinculado no portal, produzindo um par de chaves (pública e privada) no formato PEM RSA 1024 bits.

As chaves são convertidas para a estrutura RSA para assinatura digital XML, com definições específicas para a Chave Privada RSA (PrivateKey) e Chave Pública RSA (PublicKey). Ambos os tipos de chave incluem os campos RSAKeyValue (raiz), Modulus e Exponent, sendo que a chave privada possui campos adicionais como P, Q, DP, DQ, InverseQ e D, todos em formato Base64. O campo Exponent para ambas as chaves deve informar 'AQAB'.

Processo de Assinatura RSA e Geração do DFe pelo PAA

A utilização do serviço de PAA envolve uma sequência de passos tanto para a empresa usuária quanto para o próprio PAA, garantindo a autenticidade e a integridade dos Documentos Fiscais Eletrônicos (DFe).

Os passos a serem executados são:

  1. Acesso ao portal: O responsável pela empresa deve acessar o portal DFe da SVRS utilizando seu CPF e o login da plataforma gov.br.
  2. Vínculo com o PAA: O contribuinte solicita o vínculo com um Provedor de Assinatura e Autorização que esteja disponibilizado e homologado pelo portal.
  3. Obtenção das chaves RSA: Após a solicitação de vínculo, o portal entrega um par de chaves RSA (chave privada e chave pública) para o emitente.
  4. Assinatura do atributo Id do DFe: A aplicação do PAA utiliza a chave privada do usuário para assinar o conteúdo do atributo Id do MDFe ou Evento. Este conteúdo é convertido para um array de bytes e assinado com o padrão de assinatura assimétrica RSA SHA1, resultando em um SignatureValue no formato base64.
  5. Informação da chave pública: A chave pública do emitente é incluída no grupo RSAKeyValue no padrão XML Signature para chaves RSA.
  6. Assinatura do DFe pelo PAA: O DFe é assinado com o certificado digital X509 padrão ICP-Brasil pertencente ao PAA.
  7. Transmissão do DFe: O PAA transmite o DFe assinado para o serviço de autorização da SVRS.

É possível que o emitente, a administração tributária ou o próprio PAA solicitem o término do vínculo e da utilização do serviço. O emitente pode fazer isso acessando o portal da SVRS a qualquer tempo. O processo de assinatura e envio do pedido de emissão na Plataforma de Emissão Simplificada é detalhado no Manual de Orientações do PAA (MOPAA), disponível em https://dfe-portal.svrs.rs.gov.br/pes.

Estrutura XML do DFe com Informações do PAA

As informações relacionadas ao Provedor de Assinatura e Autorização são incorporadas na estrutura XML do DFe por meio do grupo infPAA. Este grupo, opcional, é aninhado dentro do grupo infMDFe e contém os detalhes essenciais para identificar o PAA e a assinatura RSA do emitente.

A estrutura é composta pelos seguintes elementos principais:

  • infPAA (Grupo): Grupo de Informação do Provedor de Assinatura e Autorização, com ocorrência de 0 a 1.
  • CNPJPAA (Elemento): O CNPJ do Provedor de Assinatura e Autorização, de ocorrência obrigatória (1-1) e com 14 caracteres.
  • PAASignature (Grupo): Representa a assinatura RSA do Emitente para DFe gerados pelo PAA, de ocorrência obrigatória (1-1).
    • SignatureValue (Elemento): É a assinatura digital no padrão RSA. Este valor é obtido ao converter o atributo Id do DFe para um array de bytes e assiná-lo com a chave RSA do emitente.
    • RSAKeyValue (Grupo): Contém a chave pública no padrão XML RSA Key, de ocorrência obrigatória (1-1).
      • Modulus (Elemento): Componente do par de chaves RSA.
      • Exponent (Elemento): Componente do par de chaves RSA.

Essa estrutura permite que os sistemas da administração tributária identifiquem corretamente o PAA responsável pela emissão e validem as assinaturas digitais, tanto a do contribuinte (via PAA) quanto a do próprio PAA.

Regras de Validação para DFe e PAA

A Nota Técnica 2022.002 estabelece diversas regras de validação para garantir a conformidade dos DFe emitidos com a participação de um PAA. As validações abrangem a assinatura digital, o próprio PAA, o MDFe e os eventos de cancelamento e encerramento.

Validações da Assinatura Digital do DFe

A regra F03 verifica se o CNPJ-Base do emitente difere do CNPJ-Base do certificado digital utilizado para assinatura. Em caso de divergência, ocorre a Rejeição (cStat 213). Existem duas exceções importantes:

  • Se a emissão do MDFe for no Regime Especial da Nota Fiscal Fácil (tipo de emissão 3), o CNPJ de assinatura será o e-CNPJ da SVRS.
  • Se o MDFe ou Evento indicar uso de PAA (grupo infPAA), a regra F03 não é aplicada.

Validações do PAA

Um conjunto específico de regras valida o Provedor de Assinatura e Autorização:

  • PAA01: Se o grupo infPAA for informado, o CNPJ do PAA deve ser válido. Caso contrário, gera Rejeição (cStat 909 - CNPJ do PAA inválido).
  • PAA02: Se o grupo infPAA for informado, o CNPJ do PAA (CNPJPAA) deve existir na relação de provedores homologados pelo ENCAT. A ausência resulta em Rejeição (cStat 911 - Provedor de Assinatura e Autorização não existe na base da SEFAZ).
  • PAA03: Se o grupo infPAA for informado, o emitente (CNPJ/CPF do grupo emit) deve ter um vínculo ativo com o PAA (CNPJPAA). A falta de vínculo ativo gera Rejeição (cStat 912 - Emitente não associado ao PAA).
  • PAA04: Se o grupo infPAA for informado e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDFe (tpEmis) deve ser Regime Especial da Nota Fiscal Fácil (3). Caso contrário, gera Rejeição (cStat 910 - Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão).
  • PAA05: Se o grupo infPAA for informado e o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA. Caso contrário, gera Rejeição (cStat 915 - Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura).
  • PAA06: Se o grupo infPAA for informado, a assinatura RSA (SignatureValue) deve ser validada com a chave pública do emitente (grupo RSAKeyValue). Assinatura inválida gera Rejeição (cStat 914 - Assinatura RSA inválida).

Validações do MDFe

A regra referente à Inscrição Estadual (IE) do emitente estabelece que a IE deve ser informada. No entanto, há exceções:

  • A IE não é exigida se a forma de emissão (tpEmis) do MDFe for Regime Especial da Nota Fiscal Fácil (3).
  • Quando o MDFe é gerado por PAA (grupo infPAA), a IE do emitente torna-se opcional, contemplando casos como Microempreendedores Individuais (MEI) não inscritos na UF.

Validações do Evento de Cancelamento e Encerramento

As regras K02 (para cancelamento) e K05 (para encerramento) exigem que o emitente esteja habilitado na base de dados para emissão do MDFe. A não conformidade resulta em Rejeição (cStat 203 - Emissor não habilitado para emissão do MDFe). Contudo, a regra não é aplicada quando a forma de emissão do MDFe (tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDFe for gerado por PAA.

Conclusão

A Nota Técnica 2022.002, em sua versão 1.01, detalha o funcionamento do Provedor de Assinatura e Autorização (PAA) para o Manifesto Eletrônico de Documentos Fiscais (MDFe). Este serviço visa simplificar a comunicação fiscal eletrônica ao permitir que contribuintes deleguem a emissão e autorização de DFe a provedores homologados. A compreensão das especificações sobre o padrão de certificado digital RSA, o processo de assinatura e a estrutura XML com o grupo infPAA é fundamental. É igualmente importante estar ciente das regras de validação para DFe, PAA e eventos, a fim de garantir a correta autorização dos documentos fiscais e evitar rejeições.

Tags:
MDFE Paa Documentos Fiscais Legislacao Tributaria Assinatura Digital Nt 2022 002
T

Time Tributos.io

Especialista em Legislação e Normas

Profissional com experiência comprovada em consultoria tributária e fiscal, responsável por conteúdos técnicos publicados no blog.