ICP-Brasil | ITI atualiza regras de confirmação de identidade e identificação biométrica para emissão de certificados digitais.

maio 4, 2026
Rosangela Caetano
Boletim Político, Comunicados do Presidente e Diretorias
0 Comments

O Instituto Nacional de Tecnologia da Informação (ITI) publicou no Diário Oficial da União (DOU), desta segunda (04), as Instruções Normativas nº 36 e nº 37, que estabelecem requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil e alteram o Anexo da Instrução Normativa ITI nº 09/2020, que consolida os Procedimentos para Identificação Biométrica na ICP-Brasil (DOC-ICP-05.03). As normas entram em vigor em 5 de maio de 2026.

As medidas detalham a identificação presencial e remota, reforçam a validação biométrica em bases oficiais nacionais e disciplinam a atuação de Autoridades Certificadoras (ACs), Autoridades de Registro (ARs), Prestadores de Serviço Biométrico (PSBio), Módulo Eletrônico de AR e AR Eletrônica, com foco em segurança, rastreabilidade e prevenção a fraudes.

A INSTRUÇÃO NORMATIVA Nº 36/2026 A Instrução Normativa nº 36/2026 estabelece os requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil. Entre os pontos centrais, destacam-se:

definição dos métodos admissíveis de confirmação de identidade: comparecimento presencial, videoconferência, uso de certificado ICP-Brasil válido, Módulo Eletrônico de AR e AR Eletrônica;
exigência de que os métodos não presenciais assegurem nível de segurança equivalente ao presencial, com validação das informações biográficas e biométricas por tecnologias eletrônicas seguras;
confirmação inicial da identidade por meio de apresentação e verificação documental, coleta e verificação biométrica, consulta à Lista Negativa das ACs e assinatura ou confirmação da origem e integridade do Termo de Titularidade;
previsão de dispensa da validação documental quando houver identificação positiva de pelo menos uma impressão digital junto ao Sistema Biométrico da ICP-Brasil, ressalvadas hipóteses de alteração de dados ou necessidade de complementação documental;
definição das Bases Oficiais Nacionais admitidas para batimento biométrico e biográfico são as bases de dados do(s): Carteira Nacional de Identidade – CIN, Identificação Civil Nacional – ICN, Carteira Nacional de Habilitação e Infraestrutura Pública Digital – IPD;
exigência de dossiê do titular com dados biográficos e biométricos, documentos apresentados, resultados das consultas, gravações, termos de titularidade e trilhas de auditoria;
disciplina específica para confirmação da identidade de pessoas físicas, pessoas jurídicas, equipamentos, aplicações e certificados de domínio.

CONFIRMAÇÃO DA IDENTIDADE

Para a pessoa física requerente, a norma exige a apresentação de documento oficial, consultando a inscrição no Cadastro de Pessoa Física – CPF, verificação de eventual enquadramento como Pessoa Exposta Politicamente, autoridade do Poder Judiciário ou do Ministério Público, e coleta e verificação biométrica. Na emissão presencial, são coletadas face e impressões digitais; nas modalidades remotas, ao menos biometria facial.

A Instrução Normativa também veda a utilização de documento que inviabilize o batimento biométrico facial, determina a exigência de documento adicional quando houver impossibilidade de identificação inequívoca e impede a emissão para pessoas físicas com situação cadastral “cancelada”, “nula” ou “falecida” junto à Receita Federal do Brasil. Nos casos de pessoa jurídica, a norma disciplina a confirmação da identidade da organização e do responsável pelo certificado, com apresentação dos documentos da pessoa jurídica, verificação da habilitação jurídica e fiscal e, quando aplicável, validação eletrônica por barramento ou aplicação oficial. Também veda a emissão para pessoas jurídicas com situação cadastral “Baixada” ou “Nula” junto à Receita Federal do Brasil. A norma também trata da emissão de certificados para equipamentos e aplicações, incluindo certificados de autoridades de carimbo do tempo, certificados CF-e-SAT e certificados OM-BR.

CONSULTA À LISTA NEGATIVA E VERIFICAÇÃO BIOMÉTRICA

As ACs devem disponibilizar às ARs interface para consulta à Lista Negativa das ACs e para coleta, verificação e identificação biométrica junto ao Sistema Biométrico da ICP-Brasil e às Bases Oficiais Nacionais. A norma também prevê análise do confronto entre dados biográficos e biometria, além de providências específicas nos casos de tentativa de fraude, registro indevido ou ausência de intercorrência.

Ainda nesse fluxo, a regra determina a coleta e atualização biométrica, inclusive com verificação pelo “melhor dedo”, uso da face quando a impressão digital não puder ser utilizada, nova captura facial quando a biometria tiver mais de cinco anos e guarda dos logs de transação biométrica por, no mínimo, 7 anos.

CONFIRMAÇÃO DE E-MAIL E REGISTRO DO PROCESSO

A Instrução Normativa exige, ainda, verificação de posse de e-mail, vedando o vínculo do mesmo endereço a mais de um CPF e determinando validação por OTP, com registro do resultado no dossiê eletrônico. Também prevê que a emissão , ou o início de validade do certificado, fica condicionada à validação biométrica na base do PSBio ou em seu cache, sendo vedada a verificação exclusivamente na base local da AC.

CASOS ESPECÍFICOS DE IDENTIFICAÇÃO

Para pessoas expostas politicamente e autoridades do Judiciário e do Ministério Público, a norma impõe segunda verificação por Agente de Registro, batimento de impressão digital no PSBio, coleta de documento de identidade e adoção de procedimentos adicionais de segurança. Para incapazes, relativamente incapazes, tutelados e curatelados, há exigência de identificação e coleta biométrica do representante e do representado, além da validação documental da condição específica.

VIDEOCONFERÊNCIA

A norma disciplina a identificação por videoconferência por meio de solução tecnológica da Autoridade Certificadora, com requisitos de segurança voltados à autenticidade, integridade e confidencialidade das informações, incluindo detecção de vivacidade, prevenção a ataques de injeção biométrica, bloqueio de câmeras virtuais e dispositivos comprometidos, aplicação de questionários aleatórios e gravação com data e hora sincronizadas à Fonte Confiável do Tempo da ICP-Brasil.

O procedimento exige envio prévio de fotografia do documento de identificação e da face, autorização expressa do requerente, apresentação do documento físico durante a sessão, verificação biométrica facial 1:1 e interrupção do processo em caso de inconsistências, baixa qualidade de imagem ou som, interrupções na transmissão ou outras falhas técnicas. MÓDULO ELETRÔNICO DE AR E AR ELETRÔNICA

A norma disciplina o Módulo Eletrônico de AR aplicável aos órgãos gestores de pessoas, bancos múltiplos, Caixa Econômica Federal, serventias extrajudiciais vinculadas à AR, conselhos de classe, juntas comerciais e órgãos de identificação ou Detran, nos casos previstos. Para sua utilização, exige-se a vinculação a uma AC credenciada, a existência de trilhas de auditoria e a comunicação segura com os sistemas autorizados. Os dados devem ser obtidos diretamente das bases respectivas, com a assinatura da requisição por Agente de Registro autorizado, identificação biométrica do requerente e consulta à Lista Negativa do PSBio.

Além disso, aplicam-se regras específicas para o Balcão Único de abertura de empresas e para a emissão conjunta com CIN ou CNH, exigindo-se autenticação, consentimento expresso e comprovação auditável dos cadastros.

Por sua vez, a AR Eletrônica é restrita à emissão de certificado de pessoa física por canal automatizado e sem intervenção humana, operada exclusivamente por dispositivo móvel com aplicativo guiado da AC, mediante autorização do ITI. A norma veda essa modalidade para PEPs e autoridades do Judiciário e do Ministério Público, impondo requisitos rigorosos de segurança, tais como: criptografia ponta a ponta, verificação da integridade do dispositivo e do ambiente de execução, unicidade do aparelho, captura de imagens e do documento físico. Exige também biometrias facial e digital, detecção de vivacidade (liveness), prevenção a injeção biométrica e autorização expressa do requerente.

O processo inclui a validação automática do documento, batimento biométrico positivo em bases admitidas e o registro integral do procedimento em repositório seguro e auditável.

GESTÃO DE FRAUDES E CONTROLES

Ao final, a norma determina que, quando houver fraude ou tentativa de fraude, a AC ou AR deverá comunicar o fato ao ITI, conforme procedimento previsto no capítulo próprio e no adendo ADE-ICP-05.02. B. Também prevê o envio de imagens, impressões digitais e face ao Sistema Biométrico para inserção na Lista Negativa biométrica, além de regras para cancelamento de registros indevidos de fraude.

INSTRUÇÃO NORMATIVA N°37

A Instrução Normativa ITI nº 37/2026 altera o Anexo da IN ITI nº 09/2020 que consolidou os Procedimentos para Identificação Biométrica na ICP-Brasil e aprova a versão 4.0 do DOC-ICP-05.03, promovendo ajustes nos parâmetros técnicos e operacionais.

Além disso, a IN 37 passa a prever, a deduplicação semestral da base biométrica dos PSBio, a possibilidade de verificação 1:1 antes do envio ao PSBio ou à Base Oficial Nacional, a condicionante de validação biométrica na base do PSBio ou em seu cache para emissão do certificado, e o reforço do fluxo de fraude com envio de dados biométricos ao ITI e remoção do IDN da base quando a fraude for confirmada. Também fixa parâmetros de desempenho biométrico por quantidade de dedos e acrescenta impedimento ao PSBio que não atinja o SLA (Service Level Agreement) mensal.

Clique aqui e acesse a íntegra das medidas.

Atenciosamente

Deybson de S. Cipriano – Presidente da Federação Assespro

Adriano Krzyuy – Presidente da Assespro-PR

Veja também: