MDF-e: Provedor de Assinatura e Autorização (PAA) e regras da NT 2022.002

A gestão fiscal de documentos eletrônicos evolui com a introdução do Provedor de Assinatura e Autorização (PAA) para o Manifesto Eletrônico de Documentos Fiscais (MDF-e). A Nota Técnica 2022.002 detalha as diretrizes para a utilização e validação do PAA, impactando diretamente o processo de emissão e autorização de MDF-e. Este documento estabelece novos padrões para a assinatura avançada e as regras de validação aplicáveis.

Provedor de Assinatura e Autorização (PAA)

O Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA) oferece aos contribuintes a possibilidade de delegar a comunicação com os sistemas de autorização de uso de documentos fiscais eletrônicos das administrações tributárias. Isso permite que o PAA atue em nome do contribuinte na interação com esses sistemas.

Para operar com um PAA, o contribuinte deve estar devidamente identificado na plataforma gov.br e vincular-se a um Provedor homologado pela Coordenação do ENCAT. A ferramenta de emissão do documento fiscal deve ser fornecida pelo PAA, preferencialmente online, e com identificação do usuário.

O PAA pode operar por meio de dois modelos de autorização:

Geração de XML com envio ao ambiente de autorização

Neste modelo, o PAA recebe o pedido de emissão do contribuinte, gera o XML do documento fiscal eletrônico e preenche o grupo infPAA. Dentro deste grupo, a tag SignatureValue é alimentada com a assinatura do atributo Id do DFe, utilizando uma chave criptográfica no padrão RSA fornecida pela administração tributária. O DFe também exige a assinatura digital qualificada do próprio PAA, com certificado ICP-Brasil.

Após a geração e assinatura, o PAA transmite o XML do DFe para o ambiente de autorização. O documento é então submetido a todas as regras de validação estabelecidas no MOC (Manual de Orientação do Contribuinte). Concluído o processo, o PAA deve armazenar o protocolo de autorização ou atuar nos casos de rejeição.

Plataforma de Emissão Simplificada (PES)

A Plataforma de Emissão Simplificada (PES) é uma opção para casos específicos de emissão, conforme detalhado no Manual de Orientações do Provedor de Assinatura e Autorização v1.00. Neste modelo, o PAA envia um pedido de emissão aos webservices da plataforma, contendo dados comerciais da prestação de serviço. A geração do XML e a posterior autorização do documento fiscal são delegadas ao sistema PES.

O PAA deve gerar a assinatura do contribuinte utilizando a chave RSA fornecida pela Administração Tributária e assinar o pedido de emissão com seu certificado digital. O XML final, gerado pela PES, conterá a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), o pedido de emissão do PAA na tag xSolic (do grupo NFF) assinado pelo PAA, e a assinatura qualificada com o certificado digital da SVRS na assinatura padrão do DFe.

Padrão de certificado digital para assinatura avançada

A assinatura avançada das mensagens utiliza um certificado digital no padrão RSA, gerado para o contribuinte pela Plataforma de Emissão Simplificada. Isso ocorre após o credenciamento e vinculação com o PAA no portal da SEFAZ Virtual RS, mediante identificação via usuário e senha da plataforma gov.br.

O PAA pode obter o par de chaves (pública e privada) do seu usuário de forma direta ou automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada.

Os certificados seguem a especificação OpenSSL, sendo gerados de forma única para cada relação PAA-contribuinte. A especificação gera um par de chaves RSA 1024 bits no formato PEM. Essas chaves são estruturadas para a assinatura digital XML, conforme a seguir.

Chave privada RSA (PrivateKey)

A estrutura da chave privada RSA (PrivateKey) no XML para assinatura digital é composta pelos seguintes elementos:

• RSAKeyValue (Priv01): Grupo principal que contém a chave privada RSA.
• Modulus (Priv02): Módulo da chave, em Base64.
• Exponent (Priv03): Expoente da chave, com valor fixo 'AQAB'.
• P (Priv04): Fator primo P, em Base64.
• Q (Priv05): Fator primo Q, em Base64.
• DP (Priv06): Expoente dP, em Base64.
• DQ (Priv07): Expoente dQ, em Base64.
• InverseQ (Priv08): Inverso de Q, em Base64.
• D (Priv09): Expoente D, em Base64.

Chave pública RSA (PublicKey)

A estrutura da chave pública RSA (PublicKey) no XML é mais simplificada:

• RSAKeyValue (Pub01): Grupo principal que contém a chave pública RSA.
• Modulus (Pub02): Módulo da chave, em Base64.
• Exponent (Pub03): Expoente da chave, com valor fixo 'AQAB'.

Assinatura RSA e geração do DFe pelo PAA

O processo de assinatura e geração do Documento Fiscal Eletrônico (DFe) com o PAA envolve uma série de etapas que garantem a autenticidade e a integridade dos dados.

A empresa que opta por usar um PAA deve primeiramente solicitar o vínculo com um Provedor homologado no portal da SEFAZ Virtual RS. Esta solicitação resulta na entrega de um par de chaves RSA (pública e privada) para o emitente.

Com a chave privada em mãos, a aplicação do PAA assina o conteúdo do atributo Id do MDF-e ou Evento. Este conteúdo, convertido para um array de bytes, é assinado usando o padrão de assinatura assimétrica RSA SHA1, gerando um SignatureValue no formato Base64. A chave pública correspondente é então inserida no grupo RSAKeyValue, seguindo o padrão XML Signature para chaves RSA.

Os passos para o emitente e o PAA são:

1. Acesso ao portal: O responsável pela empresa deve acessar o portal DFe da SVRS utilizando seu CPF (com login da plataforma gov.br).
2. Solicitação de vínculo: Solicitar o vínculo com um Provedor de Assinatura e Autorização disponível no portal.
3. Obtenção das chaves: Receber o par de chaves RSA (privada e pública) diretamente do portal.
4. Assinatura do ID do DFe: A chave RSA (SHA1 base64) do usuário do PAA é utilizada para assinar o conteúdo da tag Id do DFe.
5. Inclusão da chave pública: A chave pública deve ser informada no padrão XML Signature, dentro do grupo RSAKeyValue.
6. Assinatura do DFe pelo PAA: O DFe é assinado com o certificado X509 padrão ICP-Brasil do PAA.
7. Transmissão: O PAA transmite o DFe para o serviço de autorização da SVRS.

O emitente tem a autonomia para encerrar o vínculo com o PAA a qualquer momento, acessando o portal da SVRS. A administração tributária e o próprio PAA também possuem a prerrogativa de comandar o encerramento desse vínculo.

É importante observar que o processo de assinatura e envio do pedido de emissão na Plataforma de Emissão Simplificada é regulamentado pelo Manual de Orientações do PAA - MOPAA.

Estrutura das informações do PAA no XML do DFe

As informações referentes ao Provedor de Assinatura e Autorização (PAA) são incluídas no XML do DFe em um grupo específico, garantindo a rastreabilidade e a conformidade das assinaturas digitais.

O grupo principal é o infPAA, que é um grupo de informação do Provedor de Assinatura e Autorização, com ocorrência opcional (0 a 1) dentro do infMDFe. Dentro do infPAA, são exigidos os seguintes elementos:

• CNPJPAA: Este elemento (E - Elemento, C - Caracter) é obrigatório (1 a 1) e deve conter o CNPJ de 14 dígitos do Provedor de Assinatura e Autorização.
• PAASignature: É um grupo (G - Grupo) que armazena a assinatura RSA do emitente para DFe gerados por PAA, com ocorrência obrigatória (1 a 1).
  • Dentro do PAASignature, encontra-se o SignatureValue PAASignature, que é a assinatura digital padrão RSA. O atributo Id do DFe é convertido para um array de bytes e assinado com a chave do emitente.
  • Também dentro do PAASignature está o grupo RSAKeyValue, que contém a chave pública no padrão XML RSA Key, com ocorrência obrigatória (1 a 1).
    • Dentro do RSAKeyValue, estão os elementos Modulus (Módulo da chave pública) e Exponent (Expoente da chave pública), ambos obrigatórios (1 a 1).

Regras de validação

A Nota Técnica 2022.002 estabelece diversas regras de validação para garantir a integridade e a autenticidade dos MDF-e emitidos com a participação de um PAA. O descumprimento dessas regras pode resultar na rejeição do documento.

Validações da assinatura digital do DFe

A regra F03 define que o CNPJ-Base do emitente não pode ser diferente do CNPJ-Base do certificado digital de assinatura. Caso seja diferente, o MDF-e será rejeitado com o código 213.

Existem duas exceções importantes para esta regra:

• Se a forma de emissão do MDF-e for Regime Especial da Nota Fiscal Fácil (tipo de emissão 3), a assinatura será realizada com o e-CNPJ da SVRS para os serviços de recepção ou eventos do emitente (como cancelamento e encerramento).
• Se o MDF-e ou Evento indicar o uso do Provedor de Assinatura e Autorização (através do grupo infPAA), a regra F03 não será aplicada.

Validações do PAA

As validações específicas para o PAA garantem que o provedor e o vínculo com o emitente estejam em conformidade:

• PAA01: Se o grupo infPAA for informado, o CNPJ do PAA (CNPJPAA) deve ser válido. Um CNPJ inválido resultará na rejeição com código 909.
• PAA02: Se o grupo infPAA for informado, o CNPJ do PAA deve constar na relação de Provedores de Autorização e Assinatura homologados pelo ENCAT. Caso contrário, o MDF-e será rejeitado com código 911.
• PAA03: Se o grupo infPAA for informado, o emitente (CNPJ ou CPF do grupo emit) deve possuir vínculo ativo com o PAA. A ausência de vínculo ativo gera a rejeição com código 912.
• PAA04: Se o grupo infPAA for informado e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDF-e deve ser o Regime Especial da Nota Fiscal Fácil (tpEmis=3). Caso contrário, a rejeição será com código 910.
• PAA05: Se o grupo infPAA for informado e o CNPJ do certificado de assinatura for diferente da SVRS, este CNPJ deve ser idêntico ao CNPJ do PAA. A não conformidade resulta na rejeição com código 915.
• PAA06: Se o grupo infPAA for informado, a assinatura RSA (SignatureValue) deve ser validada com a chave pública do emitente (grupo RSAKeyValue). Uma assinatura RSA inválida provoca a rejeição com código 914.

Validações do MDFe

A Inscrição Estadual (IE) do emitente deve ser informada, exceto em duas situações:

• Quando a forma de emissão (tpEmis) do MDF-e for Regime Especial da Nota Fiscal Fácil (3).
• Quando o MDF-e for gerado por PAA (grupo infPAA), a IE do emitente torna-se opcional, aplicável a casos como o de Microempreendedores Individuais (MEI) não inscritos na UF.

Validações de evento de cancelamento e encerramento

Para os eventos de cancelamento e encerramento, a regra K02 e K05 respectivamente, exigem que o emitente esteja habilitado na base de dados para emissão do MDF-e. Se não estiver, o evento será rejeitado com o código 203.

Uma exceção importante é aplicada: esta regra não é verificada quando a forma de emissão do MDF-e (tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDF-e for gerado por PAA.

Conclusão

A implementação das regras da Nota Técnica 2022.002 para o Manifesto Eletrônico de Documentos Fiscais, especificamente em relação ao Provedor de Assinatura e Autorização (PAA), representa uma evolução nos métodos de emissão e autorização de MDF-e. O PAA oferece uma alternativa para a comunicação com as administrações tributárias, utilizando padrões de assinatura avançada com chaves RSA.

Contadores e empresários devem compreender os requisitos para o credenciamento do PAA, os modelos de autorização disponíveis e, principalmente, as novas regras de validação aplicáveis. A conformidade com a estrutura XML e os padrões de certificados digitais RSA é fundamental para evitar rejeições e assegurar a validade jurídica dos MDF-e e seus eventos, como cancelamento e encerramento.