Provedor de Assinatura e Autorização (PAA) no MDF-e: NT 2022.002

T
Time Tributos.io
27 de abril de 2026 | 10 min de leitura | 3 visualizações

Provedor de Assinatura e Autorização (PAA) no MDF-e: NT 2022.002 A Nota Técnica 2022.002 do Manifesto Eletrônico de Documentos Fiscais (MDF-e) versão 1.01, publicada em setembro de 2024, detalha as regras e procedimentos para a utilização do Provedor de Assinatura e Autorização (PAA). Este provedor atua na comunicação...

Provedor de Assinatura e Autorização (PAA) no MDF-e: NT 2022.002

A Nota Técnica 2022.002 do Manifesto Eletrônico de Documentos Fiscais (MDF-e) versão 1.01, publicada em setembro de 2024, detalha as regras e procedimentos para a utilização do Provedor de Assinatura e Autorização (PAA). Este provedor atua na comunicação com os sistemas de autorização de documentos fiscais eletrônicos, simplificando processos para o contribuinte.

O Provedor de Assinatura e Autorização (PAA)

O PAA é um serviço que permite ao contribuinte emitente de Documento Fiscal Eletrônico (DF-e) realizar comunicações com os sistemas de autorização das administrações tributárias em seu nome. Isso otimiza o processo de emissão e autorização de documentos fiscais, como o MDF-e.

A vinculação entre o contribuinte e o PAA é gerenciada pelo Portal Nacional dos Documentos Fiscais Eletrônicos. Para tanto, o contribuinte deve estar devidamente identificado na plataforma gov.br e o PAA precisa ser homologado pela Coordenação do ENCAT.

O contribuinte que optar pelo PAA deve utilizar uma ferramenta de emissão de documento fiscal fornecida pelo próprio provedor. Preferencialmente, essa ferramenta deve ser baseada na internet e requerer identificação do usuário.

Existem dois modelos distintos de autorização que o PAA pode adotar:

  • Geração de XML com envio ao Ambiente de Autorização: Neste modelo, o PAA recebe o pedido de emissão do contribuinte. A partir desse pedido, o provedor gera o XML do documento fiscal eletrônico, preenchendo o grupo infPAA. Dentro deste grupo, a tag SignaturaValue é alimentada com a assinatura do atributo Id do DF-e, utilizando a chave criptográfica RSA fornecida pela administração tributária. Além disso, o DF-e também deve receber uma assinatura digital qualificada com certificado ICP-Brasil do próprio PAA. Após a geração, o PAA transmite o XML para o ambiente de autorização, onde será submetido às regras de validação do Manual de Orientação do Contribuinte (MOC). O PAA é responsável por guardar o protocolo de autorização ou atuar nos casos de rejeição.

  • Plataforma de Emissão Simplificada (PES): Para emissões contempladas no Manual de Orientações do Provedor de Assinatura e Autorização (MOPAA), disponível na Plataforma de Emissão Simplificada, o PAA pode utilizar os serviços da plataforma de emissão. Neste caso, o PAA envia um pedido de emissão aos webservices descritos na plataforma, contendo dados comerciais do serviço. O sistema PES é o responsável pela geração do XML e pela autorização do documento fiscal. O PAA gera a assinatura do contribuinte com a chave RSA fornecida pela Administração Tributária e assina o pedido de emissão com seu certificado digital. O XML final, gerado pela PES, contém a assinatura RSA do contribuinte na tag SignatureValue (dentro do grupo infPAA), o pedido de emissão do PAA na tag xSolic (do grupo NFF) assinado pelo PAA, e a assinatura qualificada da SVRS na assinatura padrão do DF-e.

Certificado Digital para Assinatura Avançada

A assinatura avançada das mensagens utiliza um certificado digital no padrão RSA, com um par de chaves (pública e privada). Essas chaves são geradas pela Plataforma de Emissão Simplificada (PES) para cada contribuinte que se credencia e vincula ao PAA no portal da SEFAZ Virtual RS, utilizando o login e senha da plataforma gov.br.

O PAA pode obter o par de chaves (pública e privada) do seu usuário de duas formas: diretamente com o contribuinte ou de maneira automatizada, acessando a operação ObterDadosTAC do serviço PESAdmin da Plataforma de Emissão Simplificada.

Os certificados seguem a especificação OpenSSL e são gerados de forma única para cada relacionamento entre um PAA e um contribuinte vinculado no portal. A especificação produz um par de chaves (pública e privada) no formato PEM RSA 1024 bits.

As chaves são convertidas para a estrutura RSA para assinatura digital XML, com definições específicas para a chave privada e a chave pública.

Chave Privada RSA (PrivateKey)

A estrutura da Chave Privada RSA para assinatura digital XML inclui os seguintes campos:

  • RSAKeyValue (Priv01): Grupo raiz que representa a Chave Privada RSA.
  • Modulus (Priv02): Elemento do tipo Base64.
  • Exponent (Priv03): Elemento do tipo C, com valor 'AQAB'.
  • P (Priv04): Elemento do tipo Base64.
  • Q (Priv05): Elemento do tipo Base64.
  • DP (Priv06): Elemento do tipo Base64.
  • DQ (Priv07): Elemento do tipo Base64.
  • InverseQ (Priv08): Elemento do tipo Base64.
  • D (Priv09): Elemento do tipo Base64.

Chave Pública RSA (PublicKey)

A estrutura da Chave Pública RSA para assinatura digital XML é composta por:

  • RSAKeyValue (Pub01): Grupo raiz que representa a Chave Pública RSA.
  • Modulus (Pub02): Elemento do tipo Base64.
  • Exponent (Pub03): Elemento do tipo C, com valor 'AQAB'.

Assinatura RSA e Geração do MDF-e pelo PAA

Para utilizar os serviços do PAA, a empresa usuária deve solicitar o vínculo a um Provedor homologado no portal da SEFAZ Virtual RS. O processo de solicitação resulta na entrega de um par de chaves RSA (pública e privada) para o emitente.

A aplicação do PAA utiliza a chave privada para assinar o conteúdo do atributo Id do MDF-e ou do evento. Este conteúdo é convertido para um array de bytes e assinado com padrão de assinatura assimétrica RSA SHA1, gerando um SignatureValue no formato base64. A chave pública correspondente deve ser informada no grupo RSAKeyValue, seguindo o padrão XML Signature para chaves RSA.

Os passos para a execução desse processo são:

  1. O responsável pela empresa acessa o portal DF-e da SVRS utilizando seu CPF (login da plataforma gov.br).
  2. Solicita o vínculo com o Provedor de Assinatura e Autorização disponível no portal.
  3. Obtém o par de chaves RSA (privada e pública) no portal.
  4. Aplica a assinatura no conteúdo da tag Id do DF-e com a chave RSA (SHA1 base64) do usuário do PAA.
  5. Informa a chave pública no padrão XML Signature no grupo RSAKeyValue.
  6. Assina o DF-e com o certificado X509 padrão ICP-Brasil do PAA.
  7. O PAA transmite o DF-e para o serviço de autorização da SVRS.

O vínculo com o PAA pode ser encerrado a qualquer momento, por solicitação do emitente através do portal da SVRS, ou por comando da administração tributária ou do próprio PAA. O processo de assinatura e envio do pedido de emissão na plataforma de emissão simplificada é detalhado no Manual de Orientações do PAA (MOPAA).

Estrutura das informações do PAA no XML do DF-e

As informações referentes ao Provedor de Assinatura e Autorização são incorporadas ao XML do DF-e através de um grupo específico, infPAA, que é um elemento opcional dentro do grupo infMDFe.

A estrutura detalhada é a seguinte:

  • infPAA: Grupo principal para informações do Provedor de Assinatura e Autorização. Pode ocorrer de 0 a 1 vez.
    • CNPJPAA: CNPJ do Provedor de Assinatura e Autorização. É um elemento obrigatório (1-1) do tipo Caractere, com tamanho fixo de 14 dígitos.
    • PAASignature: Grupo que contém a assinatura RSA do emitente para DF-e gerados pelo PAA. É um grupo obrigatório (1-1).
      • SignatureValue: Assinatura digital padrão RSA. É um elemento obrigatório (1-1) do tipo Caractere. Corresponde à conversão do atributo Id do DF-e para array de bytes e sua assinatura com a chave privada.
      • RSAKeyValue: Grupo que contém a chave pública no padrão XML RSA Key. É um grupo obrigatório (1-1).
        • Modulus: Elemento do tipo Caractere.
        • Exponent: Elemento do tipo Caractere.

Regras de Validação

A Nota Técnica 2022.002 estabelece diversas regras de validação para a assinatura digital do DF-e e para as operações envolvendo o PAA.

Validações da Assinatura Digital do DF-e

  • F03: CNPJ-Base do Emitente difere do CNPJ-Base do Certificado Digital (Rejeição: 213)
    • Esta regra é obrigatória. Se o CNPJ-Base do emitente for diferente do CNPJ-Base do certificado digital utilizado para assinar o DF-e, o documento será rejeitado.
    • Exceções:
      • Quando a forma de emissão do MDF-e for Regime Especial da Nota Fiscal Fácil (tpEmis-3), o CNPJ de assinatura será o e-CNPJ da SVRS.
      • Se o MDF-e ou evento possuir indicação de uso do PAA (grupo infPAA), esta regra não será aplicada.

Validações do PAA

  • PAA01: CNPJ do PAA inválido (Rejeição: 909)
    • Se o grupo infPAA estiver informado, o CNPJ do PAA (CNPJPAA) deve ser válido. CNPJs com zeros ou Dígito Verificador (DV) inválido causarão rejeição.
  • PAA02: Provedor de Assinatura e Autorização não existe na base da SEFAZ (Rejeição: 911)
    • Se o grupo infPAA estiver informado, o CNPJ do PAA (CNPJPAA) deve constar na relação de Provedores de Autorização e Assinatura homologados pelo ENCAT.
  • PAA03: Emitente não associado ao PAA (Rejeição: 912)
    • Se o grupo infPAA estiver informado, é verificado se o emitente (tag CNPJ/CPF do grupo emit) possui vínculo ativo com o PAA (CNPJPAA).
  • PAA04: Emissão por PAA deve ser do tipo e emissão Nota Fiscal Fácil quando gerado pela Plataforma de Emissão (Rejeição: 910)
    • Se o grupo infPAA estiver informado e o CNPJ do certificado de assinatura for da SVRS, o tipo de emissão do MDF-e (tpEmis) deve ser Regime Especial da Nota Fiscal Fácil (3).
  • PAA05: Emissão por PAA deve ser assinada pelo CNPJ do Provedor de Assinatura (Rejeição: 915)
    • Se o grupo infPAA estiver informado e o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA.
  • PAA06: Assinatura RSA inválida (Rejeição: 914)
    • Se o grupo infPAA estiver informado, a assinatura RSA (tag SignatureValue) deve ser validada com a chave pública do emitente (grupo RSAKeyValue).

Validações do MDF-e

  • IE Emitente deve ser informada (zeros ou nulo) (Rejeição: 229)
    • A Inscrição Estadual (IE) do emitente é obrigatória.
    • Exceções:
      • A IE não será informada se a forma de emissão (tpEmis) do MDF-e for Regime Especial da Nota Fiscal Fácil (3).
      • Se o MDF-e for gerado por PAA (grupo infPAA), a IE do emitente é opcional (como para MEI não inscrito na UF).

Validações do Evento de Cancelamento

  • K02: Emitente não habilitado para emissão do MDF-e (Rejeição: 203)
    • Esta regra é obrigatória. O emitente deve estar habilitado na base de dados para emitir o MDF-e.
    • Exceção: Esta regra não é aplicada quando a forma de emissão do MDF-e (tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDF-e for gerado por PAA.

Validações do Evento de Encerramento

  • K05: Emitente não habilitado para emissão do MDF-e (Rejeição: 203)
    • Esta regra é obrigatória. O emitente deve estar habilitado na base de dados para emitir o MDF-e.
    • Exceção: Esta regra não é aplicada quando a forma de emissão do MDF-e (tpEmis) for Regime Especial da Nota Fiscal Fácil (3) ou quando o MDF-e for gerado por PAA.

Conclusão

A Nota Técnica 2022.002 do MDF-e formaliza a operação dos Provedores de Assinatura e Autorização (PAA), oferecendo um novo método para a gestão da emissão de documentos fiscais eletrônicos. Ao detalhar os padrões de certificados digitais RSA, a estrutura XML e as regras de validação específicas, a norma estabelece um arcabouço técnico para a atuação desses provedores. Contribuintes e PAAs precisam compreender estes requisitos para garantir a conformidade e a eficiência no processo de autorização dos Manifestos Eletrônicos de Documentos Fiscais.

Tags:
Provedor Assinatura Autorização
T

Time Tributos.io

Especialista em Reforma Tributária

Profissional com experiência comprovada em consultoria tributária e fiscal, responsável por conteúdos técnicos publicados no blog.