Certificado eletrônico qualificado para empresas: guia 2026

Por que o certificado eletrônico qualificado se tornou imprescindível para as empresas

Na era em que a desmaterialização dos processos contratuais se acelera em todos os setores, a questão do certificado eletrônico qualificado se impõe como um desafio estratégico para os departamentos jurídicos, CIOs e direções gerais. De acordo com o relatório anual da ANSSI 2024, mais de 78% das PMEs francesas que adotaram assinatura eletrônica qualificada reduziram seus prazos de contratação em mais de 60%. Porém, muitas ainda confundem assinatura simples, avançada e qualificada — correndo o risco de expor seus atos jurídicos a contestações. Este artigo o guia passo a passo para compreender o que é um certificado eletrônico qualificado, como obtê-lo em conformidade com o marco RGS e eIDAS, e como implementá-lo efetivamente dentro de sua organização.

O que é um certificado eletrônico qualificado?

Um certificado eletrônico é um arquivo digital emitido por uma Autoridade de Certificação (AC) que vincula a identidade de uma pessoa física ou jurídica a uma chave criptográfica pública. Constitui a peça-chave que permite a um terceiro verificar a autenticidade e a integridade de uma assinatura digital.

O qualificativo "qualificado" refere-se a uma definição precisa do regulamento europeu eIDAS (nº 910/2014, artigo 28): o certificado deve ser emitido por um Prestador de Serviços de Confiança Qualificado (PSCQ), inscrito na lista de confiança nacional (na França, publicada pela ANSSI). Além disso, deve respeitar as exigências técnicas da norma ETSI EN 319 411-2, que orienta as políticas e práticas de certificação.

Na prática, um certificado qualificado garante:

• Identidade verificada do signatário (verificação documentária presencial ou por meio equivalente aprovado) ;
• Integridade do documento assinado (qualquer modificação posterior é detectável) ;
• Não-repúdio (o signatário não pode negar ter aposto sua assinatura).

Diferença entre assinatura simples, avançada e qualificada

O regulamento eIDAS distingue três níveis de assinatura eletrônica, cada um associado a um nível de certificado:

| Nível | Certificado obrigatório | Valor probatório | Uso típico | |---|---|---|---| | Simples | Não obrigatório | Baixo | Pedidos de compra comuns | | Avançada | Certificado avançado (PSCQ) | Médio | Contratos comerciais B2B | | Qualificada | Certificado qualificado (PSCQ qualificado) | Máximo, equivalente a manuscrito | Atos notariais, licitações públicas, RH sensíveis |

Para assinatura qualificada — a única que se beneficia da presunção legal de equivalência à assinatura manuscrita (art. 1367 Código Civil) — um certificado qualificado é imperativamente obrigatório. Para saber mais sobre as diferenças de níveis, consulte nosso guia completo de assinatura eletrônica.

---

O marco RGS: especificidades francesas a conhecer

Na França, o Referencial Geral de Segurança (RGS), estabelecido pelo decreto nº 2010-112 e regularmente atualizado pela ANSSI, define as exigências de segurança aplicáveis aos sistemas de informação das administrações. Para empresas que contratam com entidades públicas (licitações públicas, tele procedimentos), o respeito ao RGS é frequentemente uma obrigação contratual ou regulatória.

Níveis RGS aplicáveis aos certificados

O RGS define três estrelas de qualificação para certificados:

• RGS* (uma estrela): nível básico, adequado para usos comuns de baixa sensibilidade ;
• RGS (duas estrelas)**: nível intermediário, obrigatório para a maioria dos tele procedimentos administrativos ;
• RGS (três estrelas)*: nível elevado, para atos com forte relevância jurídica ou financeira.

Para licitações públicas desmaterializadas via perfil comprador, o decreto nº 2016-360 (artigos 39 e 40) impõe em geral uma assinatura de nível RGS mínimo, o que implica um certificado de qualificação equivalente.

Articulação RGS e eIDAS

Desde a aplicação do regulamento eIDAS, os dois referenciais coexistem. Um certificado qualificado conforme eIDAS é considerado satisfatório às exigências RGS** na grande maioria dos casos. A ANSSI publicou tabelas de correspondência permitindo garantir a compatibilidade. É assim aconselhável, para empresas que trabalham tanto com parceiros privados quanto públicos, privilegiar um certificado qualificado eIDAS emitido por um PSCQ inscrito na lista de confiança francesa — o que cobre simultaneamente os dois referenciais.

Para aprofundar o regulamento europeu, nosso guia eIDAS 2.0 detalha as principais evoluções previstas e seu impacto nas empresas francesas.

---

Como obter um certificado eletrônico qualificado: processo passo a passo

Obter um certificado eletrônico qualificado não é uma formalidade simples: implica uma verificação rigorosa da identidade do solicitante e, para uma pessoa jurídica, de sua representatividade legal. Aqui estão as principais etapas.

Etapa 1: Identificar o prestador de confiança qualificado certo

Na França, os PSCQs habilitados a emitir certificados qualificados estão listados na Lista de Status de Serviços de Confiança (TSL) publicada pela ANSSI (disponível no portal esignature.gouv.fr). Entre os atores presentes nesta lista, encontram-se principalmente ACs como CertEurope, Certinomis (filial de La Poste), Keynectis ou ainda prestadores europeus reconhecidos em virtude do princípio de reconhecimento mútuo eIDAS.

Critérios de seleção a examinar:

• Presença efetiva na TSL francesa e/ou europeia ;
• Formato do certificado oferecido (software, cartão inteligente, HSM nuvem) ;
• Compatibilidade com sua infraestrutura de TI existente ;
• Preço e período de validade (geralmente 1 a 3 anos) ;
• Nível de suporte e prazo de inscrição.

Etapa 2: Constituição do dossiê de inscrição

Para uma empresa, a solicitação de certificado qualificado requer a apresentação de documentos comprovando tanto a identidade do portador (pessoa física) quanto sua capacidade de representar a pessoa jurídica. Os documentos geralmente obrigatórios são:

• Documento de identidade oficial do portador (passaporte, carteira de identidade) ;
• Extrato Kbis com menos de 3 meses (ou equivalente para associações, estabelecimentos públicos) ;
• Procuração se o portador não for o representante legal estatutário ;
• Formulário de solicitação específico do PSCQ selecionado.

A verificação de identidade deve ser realizada presencialmente perante um Operador de Inscrição (OE) mandatado pelo PSCQ, ou por um procedimento de verificação remota aprovado (vídeo-identificação conforme à norma ETSI TS 119 461).

Etapa 3: Entrega e ativação do certificado

Conforme o formato escolhido, o certificado é entregue:

• Em um dispositivo qualificado de criação de assinatura (QSCD): chave USB criptográfica ou cartão inteligente certificado Common Criteria EAL 4+ ;
• Via serviço de assinatura remota (Remote Qualified Electronic Signature — RQES) gerenciado pelo PSCQ, onde a chave privada é hospedada em um HSM (Hardware Security Module) certificado conforme à norma ETSI EN 419 241.

A implementação de um serviço RQES é atualmente a solução mais adotada por empresas, pois evita a gestão física de suportes criptográficos mantendo a conformidade qualificada. Compare soluções de assinatura eletrônica para identificar o modelo mais adequado ao seu contexto.

Etapa 4: Integração em seus processos comerciais

Uma vez obtido o certificado, sua integração nos fluxos documentários da empresa geralmente passa por uma plataforma SaaS de assinatura eletrônica. Esta deve imperativamente ser compatível com os padrões ETSI (XAdES, PAdES, CAdES) para garantir interoperabilidade e perenidade das provas digitais. Nosso artigo dedicado à assinatura eletrônica em empresas o ajudará a estruturar esta implementação.

---

Custo, validade e renovação: o que as empresas devem antecipar

Faixas tarifárias em 2026

Os preços dos certificados qualificados variam significativamente conforme o formato e o prestador:

• Certificado em suporte físico (chave USB/cartão): entre 80 € e 250 € sem impostos por portador e por ano ;
• Certificado qualificado nuvem (RQES): entre 40 € e 150 € sem impostos por portador e por ano, conforme volumes ;
• Pacotes empresariais: descontos significativos aplicáveis a partir de 10 portadores, podendo atingir 30 a 40% do preço unitário.

Estes custos devem ser colocados em perspectiva com as economias geradas: eliminação de impressões, despesas de correio, prazos de processamento postal e litígios relacionados a assinaturas contestadas.

Período de validade e renovação

A validade de um certificado qualificado geralmente é definida em 1, 2 ou 3 anos conforme a oferta contratada. Ao vencer, os documentos anteriormente assinados permanecem válidos (desde que sua integridade seja preservada via serviço de selo de tempo qualificado), mas novos atos não podem ser assinados com o certificado expirado. É portanto imperativo implementar um processo de monitoramento e renovação antecipada — idealmente 60 dias antes do vencimento.

Revogação e gestão de incidentes

Em caso de comprometimento da chave privada (perda, roubo do suporte, suspeita de divulgação), o certificado deve ser revogado imediatamente junto ao PSCQ. Este publica a revogação em sua Lista de Revogação de Certificados (CRL) ou via protocolo OCSP, tornando inválida qualquer assinatura posterior com este certificado. A política de segurança interna deve assim prever um ponto de contato dedicado e um prazo de alerta inferior a 24 horas.

---

Boas práticas para uma implementação bem-sucedida em empresa

Governança e funções internas

Uma implementação bem-sucedida repousa em uma governança clara. É recomendado designar:

• Um responsável por PKI (Public Key Infrastructure) do lado de TI, encarregado da relação com o PSCQ e do acompanhamento das renovações ;
• Um referente jurídico que valide os casos de uso que necessitam assinatura qualificada (vs avançada) ;
• Administradores delegados por departamento para a gestão operacional dos portadores.

Treinamento e condução de mudança

A adoção de um certificado qualificado não é suficiente: os colaboradores devem compreender como usar seu certificado, quando ativá-lo e como reagir em caso de incidente. Um plano de treinamento breve (1 a 2 horas) e procedimentos documentados reduzem significativamente erros de uso e chamados de suporte.

Auditoria e rastreabilidade

Para satisfazer às obrigações de prova, mantenha um registro de auditoria com selo de tempo de cada assinatura realizada: identidade do signatário, impressão digital do documento, data/hora certificada, identificador do certificado. Estes dados constituem a base da cadeia de prova em caso de controvérsia. A norma ETSI EN 319 132 (XAdES) prevê formatos de assinatura incluindo nativamente estas informações.

Marco jurídico aplicável aos certificados eletrônicos qualificados

Código Civil e valor probatório

Em direito francês, o artigo 1366 do Código Civil estabelece o princípio de equivalência entre o escrito eletrônico e o escrito em papel, sob a condição de que "a identidade da pessoa de quem emana seja devidamente garantida e de que seja estabelecido e conservado em condições capazes de garantir sua integridade". O artigo 1367 parágrafo 2 especifica que a assinatura eletrônica qualificada se beneficia de uma presunção de fiabilidade: é à parte que contesta a assinatura que compete demonstrar o contrário, revertendo assim o ônus da prova em favor do signatário.

Regulamento eIDAS nº 910/2014

O regulamento europeu eIDAS (nº 910/2014), diretamente aplicável em todos os Estados-Membros desde 1º de julho de 2016, constitui a base supranacional. Seu artigo 25(2) estipula que "uma assinatura eletrônica qualificada produz efeito jurídico equivalente ao de uma assinatura manuscrita". Os artigos 28 e 29 definem as exigências aplicáveis aos certificados qualificados e aos dispositivos de criação de assinatura qualificada (QSCD). O anexo I lista as menções obrigatórias de um certificado qualificado (OID de política, identidade do PSCQ, chave pública, datas de validade, etc.).

Evoluções eIDAS 2.0

O regulamento eIDAS 2.0 (regulamento UE 2024/1183, entrado em vigor em 20 de maio de 2024) introduz a carteira europeia de identidade digital (EUDIW) e reforça as exigências de acessibilidade aos serviços de confiança qualificados. As empresas deverão antecipar a integração destes novos mecanismos de identificação até 2026-2027.

Normas ETSI aplicáveis

• ETSI EN 319 411-2: política e práticas para PSCQs emitindo certificados qualificados ;
• ETSI EN 319 132 (XAdES) e ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formatos de assinatura eletrônica avançada e qualificada ;
• ETSI EN 419 241: exigências para servidores de assinatura (RQES).

RGPD e proteção de dados

O tratamento de dados pessoais no contexto da inscrição (verificação de identidade, coleta documentária) está submetido ao RGPD nº 2016/679. O PSCQ e a empresa cliente são co-responsáveis pelo tratamento ou em relação de responsável/processador conforme a configuração. Um DPA (Acordo de Processamento de Dados) conforme ao artigo 28 RGPD deve ser assinado. Os dados de inscrição devem ser conservados pela duração de vida do certificado acrescida do prazo de prescrição aplicável (5 anos em matéria contratual).

Diretiva NIS2 e segurança de infraestruturas

A diretiva NIS2 (2022/2555/UE), transposta em direito francês pela lei nº 2024-449, impõe às entidades essenciais e importantes implementar medidas de gestão de riscos incluindo a segurança das cadeias de suprimentos digitais. O recurso a um PSCQ qualificado inscrito na TSL nacional constitui uma boa prática reconhecida para satisfazer parcialmente estas exigências.

Cenários de uso: o certificado qualificado na prática

Cenário 1: Um escritório de advocacia gerenciando atos de alto valor probatório

Um escritório de advocacia empresarial com cerca de vinte sócios e colaboradores deve regularmente assinar atos de cessão de quotas sociais, protocolos transacionais e mandatos ad litem. Até então, cada ato necessitava impressão, assinatura manuscrita, scan e envio postal — totalizando um prazo médio de 4 a 7 dias úteis por ciclo de assinatura. Após implementação de certificados qualificados nuvem (RQES) para cada sócio, este prazo é reduzido a menos de 4 horas para atos não requerendo intervenção notarial. O escritório estima uma redução de 65% do tempo administrativo relacionado à gestão documentária, e não registrou nenhuma contestação de assinatura nos primeiros 18 meses de uso. As soluções de assinatura eletrônica para escritórios jurídicos oferecidas por Certyneo se integram nativamente neste tipo de fluxo.

Cenário 2: Uma PME industrial contratando com doadores de ordem públicos

Uma PME do setor de metalurgia, empregando cerca de 120 pessoas, responde regularmente a editais públicos desmaterializados em perfis compradores. É obrigada a assinar eletronicamente suas propostas e atos de comprometimento com certificado de nível RGS** mínimo. Após obter dois certificados qualificados (para o diretor geral e um diretor comercial habilitado), a PME pôde apresentar suas propostas dentro dos prazos estipulados sem deslocamento nem envio postal. Em um ano, isto representa cerca de 35 dossiês de editais, ou uma economia estimada em 15 dias-homem por ano apenas na gestão documentária. A conformidade eIDAS do certificado garante também o reconhecimento de suas assinaturas junto a doadores de ordem alemães e belgas, ampliando seu perímetro comercial. Use nosso calculador ROI para estimar os ganhos potenciais em seu próprio contexto.

Cenário 3: Um agrupamento de saúde protegendo atos de RH e fornecedores

Um agrupamento hospitalar com cerca de 1.200 leitos, agrupando vários estabelecimentos, enfrenta um volume anual de aproximadamente 3.000 contratos de trabalho, aditamentos e compromissos de fornecedores. A diretoria de recursos humanos e a diretoria de compras implementaram conjuntamente uma solução de assinatura qualificada, com certificados emitidos para os diretores habilitados. Paralelamente, os documentos a serem assinados pelos agentes são tratados via fluxo de assinatura avançada, reservando a assinatura qualificada aos atos de direção de alta validade jurídica. Resultado: o prazo médio de finalização de um contrato de trabalho passou de 12 dias para 2,5 dias, e a taxa de dossiês incompletos (assinatura faltante, versão errada assinada) diminuiu em 78%. As soluções de assinatura eletrônica na saúde de Certyneo integram as especificidades regulatórias do setor hospitalar.

Conclusão

Obter um certificado eletrônico qualificado é hoje uma etapa obrigatória para qualquer empresa desejando proteger juridicamente seus atos digitais, atender às exigências de licitações públicas e se inscrever no marco regulatório eIDAS. Longe de ser uma restrição, é uma alavanca de competitividade: prazos de assinatura reduzidos, uma cadeia de prova inattacável e reconhecimento transfronteiriço em toda a União Europeia.

As etapas-chave a reter: escolher um PSCQ inscrito na lista de confiança ANSSI, constituir um dossiê de inscrição rigoroso, optar por um formato nuvem (RQES) para facilitar a implementação, e integrar o certificado em uma plataforma conforme às normas ETSI.

Certyneo o acompanha a cada etapa: da seleção do nível certo de assinatura à integração em seus processos comerciais. Solicite uma demonstração gratuita e descubra como implementar assinatura qualificada em menos de 48 horas em sua organização.