Certificado Eletrônico Qualificado para Empresas: Guia 2026

Por que o certificado eletrônico qualificado se tornou essencial para as empresas

Na era em que a desmaterialização dos processos contratuais se acelera em todos os setores, a questão do certificado eletrônico qualificado se impõe como uma questão estratégica para direções jurídicas, CIOs e direções executivas. De acordo com o relatório anual da ANSSI 2024, mais de 78% das PMEs francesas que adotaram a assinatura eletrônica qualificada reduziram seus prazos de contratação em mais de 60%. No entanto, muitas ainda confundem assinatura simples, avançada e qualificada — correndo o risco de expor seus atos jurídicos a contestação. Este artigo o guia passo a passo para compreender o que é um certificado eletrônico qualificado, como obtê-lo em conformidade com o marco RGS e eIDAS, e como implantá-lo efetivamente dentro de sua organização.

O que é um certificado eletrônico qualificado?

Um certificado eletrônico é um arquivo digital emitido por uma Autoridade de Certificação (AC) que vincula a identidade de uma pessoa física ou jurídica a uma chave criptográfica pública. É a peça-chave que permite a um terceiro verificar a autenticidade e integridade de uma assinatura digital.

O qualificativo «qualificado» remete a uma definição precisa do regulamento europeu eIDAS (nº 910/2014, artigo 28): o certificado deve ser emitido por um Provedor de Serviços de Confiança Qualificado (PSCQ), inscrito na lista de confiança nacional (na França, publicada pela ANSSI). Deve ainda respeitar os requisitos técnicos da norma ETSI EN 319 411-2, que regulamenta as políticas e práticas de certificação.

Na prática, um certificado qualificado garante:

• A identidade verificada do signatário (verificação documental presencialmente ou por meio equivalente aprovado);
• A integridade do documento assinado (qualquer modificação posterior é detectável);
• A não-repudiação (o signatário não pode negar ter aposto sua assinatura).

Diferença entre assinatura simples, avançada e qualificada

O regulamento eIDAS distingue três níveis de assinatura eletrônica, cada um associado a um nível de certificado:

| Nível | Certificado obrigatório | Valor probatório | Uso típico | |---|---|---|---| | Simples | Não obrigatório | Baixo | Pedidos de compra correntes | | Avançada | Certificado avançado (PSCQ) | Médio | Contratos comerciais B2B | | Qualificada | Certificado qualificado (PSCQ qualificado) | Máximo, equivalente à assinatura manuscrita | Atos notariais, licitações públicas, RH sensível |

Para a assinatura qualificada — a única beneficiária da presunção legal de equivalência à assinatura manuscrita (art. 1367 Código Civil) — um certificado qualificado é obrigatoriamente necessário. Para saber mais sobre as diferenças de níveis, consulte nosso guia completo de assinatura eletrônica.

---

O marco RGS: especificidades francesas a conhecer

Na França, o Referencial Geral de Segurança (RGS), estabelecido pelo decreto nº 2010-112 e regularmente atualizado pela ANSSI, define os requisitos de segurança aplicáveis aos sistemas de informação das administrações. Para empresas que contratam com entidades públicas (licitações públicas, teleprocedimentos), o respeito ao RGS é frequentemente uma obrigação contratual ou regulatória.

Níveis RGS aplicáveis aos certificados

O RGS define três níveis de qualificação para certificados:

• RGS* (uma estrela): nível básico, adequado para usos correntes de baixa sensibilidade;
• RGS (duas estrelas)**: nível intermediário, necessário para a maioria dos teleprocedimentos administrativos;
• RGS (três estrelas)*: nível elevado, para atos com forte risco jurídico ou financeiro.

Para as licitações públicas desmaterializadas através do perfil comprador, o decreto nº 2016-360 (artigos 39 e 40) impõe geralmente uma assinatura de nível RGS mínimo, o que implica um certificado de qualificação equivalente.

Articulação RGS e eIDAS

Desde a entrada em aplicação do regulamento eIDAS, os dois referenciais coexistem. Um certificado qualificado no sentido do eIDAS é considerado satisfazer aos requisitos RGS** na grande maioria dos casos. A ANSSI publicou tabelas de correspondência permitindo garantir compatibilidade. É portanto aconselhado, para empresas trabalhando tanto com parceiros privados quanto públicos, privilegiar um certificado qualificado eIDAS emitido por um PSCQ inscrito na lista de confiança francesa — o que cobre simultaneamente os dois referenciais.

Para aprofundar o regulamento europeu, nosso guia eIDAS 2.0 detalha as principais evoluções previstas e seu impacto nas empresas francesas.

---

Como obter um certificado eletrônico qualificado: processo passo a passo

Obter um certificado eletrônico qualificado não é uma formalidade trivial: envolve verificação rigorosa da identidade do solicitante e, para pessoa jurídica, de sua representatividade legal. Eis as principais etapas.

Etapa 1: Identificar o provedor de confiança qualificado correto

Na França, os PSCQs habilitados a emitir certificados qualificados estão listados na Trust Service Status List (TSL) publicada pela ANSSI (disponível no portal esignature.gouv.fr). Entre os atores presentes nesta lista encontram-se ACs como CertEurope, Certinomis (subsidiária de La Poste), Keynectis ou ainda provedores europeus reconhecidos em virtude do princípio de reconhecimento mútuo eIDAS.

Critérios de seleção a examinar:

• Presença efetiva na TSL francesa e/ou europeia;
• Formato do certificado proposto (software, em cartão, HSM cloud);
• Compatibilidade com sua infraestrutura de TI existente;
• Preços e período de validade (geralmente 1 a 3 anos);
• Nível de suporte e prazo de registro.

Etapa 2: Constituição do dossiê de registro

Para uma empresa, o pedido de certificado qualificado requer apresentação de documentos justificando tanto a identidade do portador (pessoa física) quanto sua capacidade de representar a pessoa jurídica. Os documentos geralmente necessários são:

• Documento de identidade oficial do portador (passaporte, CNI);
• Extrato de inscrição de menos de 3 meses (ou equivalente para associações, estabelecimentos públicos);
• Delegação de poder se o portador não for o representante legal estatutário;
• Formulário de pedido específico do PSCQ selecionado.

A verificação de identidade deve ser realizada presencialmente diante de um Operador de Registro (OE) mandatado pelo PSCQ, ou por processo de verificação à distância aprovado (videoidentificação conforme à norma ETSI TS 119 461).

Etapa 3: Entrega e ativação do certificado

Dependendo do formato escolhido, o certificado é entregue:

• Em um dispositivo de criação de assinatura qualificado (QSCD): chave USB criptográfica ou cartão inteligente certificado Common Criteria EAL 4+;
• Por um serviço de assinatura remota (Remote Qualified Electronic Signature — RQES) gerenciado pelo PSCQ, onde a chave privada é hospedada em um HSM (Hardware Security Module) certificado conforme à norma ETSI EN 419 241.

A implementação de um serviço RQES é hoje a solução mais adotada pelas empresas, pois evita a gestão física de suportes criptográficos mantendo conformidade qualificada. Compare as soluções de assinatura eletrônica para identificar o modelo mais adequado ao seu contexto.

Etapa 4: Integração em seus processos de negócio

Uma vez obtido o certificado, sua integração nos fluxos documentários da empresa passa geralmente por uma plataforma SaaS de assinatura eletrônica. Esta deve ser imperativelmente compatível com os padrões ETSI (XAdES, PAdES, CAdES) para garantir interoperabilidade e perenidade das provas digitais. Nosso artigo dedicado à assinatura eletrônica em empresas o ajudará a estruturar esta implementação.

---

Custo, validade e renovação: o que as empresas devem antecipar

Faixas de preço em 2026

Os preços dos certificados qualificados variam significativamente conforme o formato e o provedor:

• Certificado em suporte físico (chave USB/cartão): entre 80€ e 250€ sem impostos por portador e por ano;
• Certificado qualificado cloud (RQES): entre 40€ e 150€ sem impostos por portador e por ano, conforme volumes;
• Pacotes empresariais: descontos significativos aplicam-se a partir de 10 portadores, podendo atingir 30 a 40% da tarifa unitária.

Estes custos devem ser colocados em perspectiva com as economias geradas: eliminação de impressões, postagens, prazos de processamento e litígios relacionados a assinaturas contestadas.

Período de validade e renovação

A validade de um certificado qualificado é geralmente fixada em 1, 2 ou 3 anos conforme a oferta contratada. Ao expirar, os documentos assinados anteriormente permanecem válidos (desde que sua integridade seja preservada via serviço de carimbo de tempo qualificado), mas novos atos não podem ser assinados com o certificado expirado. É portanto imperativo implementar um processo de monitoramento e renovação antecipada — idealmente 60 dias antes do vencimento.

Revogação e gestão de incidentes

Em caso de comprometimento da chave privada (perda, roubo do suporte, suspeita de divulgação), o certificado deve ser revogado imediatamente junto ao PSCQ. Este publica a revogação em sua Lista de Revogação de Certificados (CRL) ou via protocolo OCSP, tornando inválida qualquer assinatura subsequente com este certificado. A política de segurança interna deve portanto prever um ponto de contato dedicado e um prazo de alerta inferior a 24 horas.

---

Boas práticas para implementação bem-sucedida em empresas

Governança e funções internas

Uma implementação bem-sucedida repousa em governança clara. É recomendado designar:

• Um responsável de PKI (Public Key Infrastructure) pelo lado de TI, responsável pela relação com o PSCQ e acompanhamento de renovações;
• Um responsável jurídico que valida casos de uso que requerem assinatura qualificada (versus avançada);
• Administradores delegados por departamento para gestão operacional dos portadores.

Treinamento e condução de mudanças

A adoção de um certificado qualificado não é suficiente: os colaboradores devem compreender como usar seu certificado, quando ativá-lo, e como reagir em caso de incidente. Um plano de treinamento breve (1 a 2 horas) e procedimentos documentados reduzem significativamente erros de uso e tickets de suporte.

Auditoria e rastreabilidade

Para satisfazer obrigações de prova, conserve um registro de auditoria com carimbo de tempo de cada assinatura realizada: identidade do signatário, impressão digital do documento, data/hora certificada, identificador do certificado. Estes dados constituem a base da cadeia de prova em caso de litígio. A norma ETSI EN 319 132 (XAdES) prevê formatos de assinatura incluindo nativamente estas informações.

Marco legal aplicável aos certificados eletrônicos qualificados

Código Civil e valor probatório

Em direito francês, o artigo 1366 do Código Civil estabelece o princípio de equivalência entre o escrito eletrônico e o escrito em papel, sob a condição de que «a identidade da pessoa de que emana seja devidamente assegurada e que seja estabelecido e conservado em condições de natureza a garantir sua integridade». O artigo 1367 parágrafo 2 especifica que a assinatura eletrônica qualificada se beneficia de uma presunção de confiabilidade: cabe à parte que contesta a assinatura comprovar o contrário, invertendo assim o ônus da prova a favor do signatário.

Regulamento eIDAS nº 910/2014

O regulamento europeu eIDAS (nº 910/2014), diretamente aplicável em todos os Estados-membros desde 1º de julho de 2016, constitui a base supranacional. Seu artigo 25(2) estipula que «uma assinatura eletrônica qualificada tem efeito jurídico equivalente ao de uma assinatura manuscrita». Os artigos 28 e 29 definem os requisitos aplicáveis aos certificados qualificados e aos dispositivos de criação de assinatura qualificada (QSCD). O Anexo I lista as menções obrigatórias de um certificado qualificado (OID de política, identidade do PSCQ, chave pública, datas de validade, etc.).

Evoluções eIDAS 2.0

O regulamento eIDAS 2.0 (regulamento UE 2024/1183, em vigor desde 20 de maio de 2024) introduz a carteira europeia de identidade digital (EUDIW) e reforça os requisitos de acessibilidade aos serviços de confiança qualificados. As empresas deverão antecipar a integração destes novos mecanismos de identificação até 2026-2027.

Normas ETSI aplicáveis

• ETSI EN 319 411-2: política e práticas para PSCQs emitindo certificados qualificados;
• ETSI EN 319 132 (XAdES) e ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formatos de assinatura eletrônica avançada e qualificada;
• ETSI EN 419 241: requisitos para servidores de assinatura (RQES).

RGPD e proteção de dados

O tratamento de dados pessoais no contexto do registro (verificação de identidade, coleta documental) está sujeito ao RGPD nº 2016/679. O PSCQ e a empresa cliente são co-responsáveis do tratamento ou em relação responsável/subcontratante conforme configuração. Um DPA (Acordo de Processamento de Dados) conforme ao artigo 28 RGPD deve ser assinado. Os dados de registro devem ser conservados pela duração de vida do certificado acrescida do prazo de prescrição aplicável (5 anos em matéria contratual).

Diretiva NIS2 e segurança de infraestruturas

A diretiva NIS2 (2022/2555/UE), transposta em direito francês pela lei nº 2024-449, impõe às entidades essenciais e importantes implementar medidas de gestão de riscos incluindo segurança das cadeias de fornecimento digital. O recurso a um PSCQ qualificado inscrito na TSL nacional constitui uma boa prática reconhecida para satisfazer parcialmente estes requisitos.

Cenários de uso: o certificado qualificado na prática

Cenário 1: Um escritório de advocacia gerenciando atos de alto valor probatório

Um escritório de advocacia de negócios contando uma vintena de sócios e colaboradores deve regularmente assinar atos de cessão de cotas sociais, protocolos transacionais e mandatos ad litem. Até então, cada ato requeria impressão, assinatura manuscrita, digitalização e envio postal — seja um prazo médio de 4 a 7 dias úteis por ciclo de assinatura. Após implantação de certificados qualificados cloud (RQES) para cada sócio, este prazo é reduzido a menos de 4 horas para atos não requerendo intervenção notarial. O escritório estima redução de 65% do tempo administrativo ligado à gestão documentária, e não registrou nenhuma contestação de assinatura nos primeiros 18 meses de utilização. As soluções de assinatura eletrônica para escritórios jurídicos propostas por Certyneo integram-se nativamente neste tipo de fluxo.

Cenário 2: Uma PME industrial contratando com órgãos públicos

Uma PME do setor de metalurgia, empregando aproximadamente 120 pessoas, responde regularmente a chamadas públicas desmaterializadas em perfis compradores. É obrigada a assinar eletronicamente seus oferecimentos e atos de compromisso com um certificado de nível RGS** mínimo. Após obter dois certificados qualificados (para o diretor executivo e um diretor comercial habilitado), a PME conseguiu submeter suas oferecimentos nos prazos estipulados sem deslocamento nem envio postal. Em um ano, isto representa aproximadamente 35 dossiês de chamadas públicas, seja uma economia estimada em 15 dias-homem por ano apenas na gestão documentária. A conformidade eIDAS do certificado garante também o reconhecimento de suas assinaturas junto a órgãos públicos alemães e belgas, ampliando seu perímetro comercial. Utilize nossa calculadora ROI para estimar ganhos potenciais em seu próprio contexto.

Cenário 3: Um agrupamento de saúde securizando atos RH e fornecedores

Um agrupamento hospitalar de aproximadamente 1.200 leitos, agrupando vários estabelecimentos, enfrenta volume anual de perto de 3.000 contratos de trabalho, aditivos e compromissos fornecedores. A diretoria de recursos humanos e a diretoria de compras implantaram conjuntamente solução de assinatura qualificada, com certificados emitidos para diretores habilitados. Paralelamente, os documentos a serem assinados por agentes são tratados via fluxo de assinatura avançada, reservando assinatura qualificada a atos de direção de alto valor jurídico. Resultado: o prazo médio de finalização de um contrato de trabalho passou de 12 dias a 2,5 dias, e a taxa de dossiês incompletos (assinatura faltante, versão assinada incorreta) diminuiu 78%. As soluções de assinatura eletrônica na saúde de Certyneo integram as especificidades regulatórias do setor hospitalar.

Conclusão

Obter um certificado eletrônico qualificado é hoje uma passagem obrigatória para toda empresa desejando securizar juridicamente seus atos digitais, responder aos requisitos das licitações públicas e se inscrever no marco regulatório eIDAS. Longe de ser uma restrição, é uma alavanca de competitividade: prazos de assinatura reduzidos, cadeia de prova incontestável e reconhecimento transfronteiriço em toda União Europeia.

As etapas-chave a lembrar: escolher um PSCQ inscrito na lista de confiança ANSSI, constituir dossiê de registro rigoroso, optar por formato cloud (RQES) para facilitar implantação, e integrar certificado em plataforma conforme às normas ETSI.

Certyneo o acompanha em cada etapa: da seleção do nível correto de assinatura à integração em seus processos de negócio. Solicite uma demonstração gratuita e descubra como implantar assinatura qualificada em menos de 48 horas em sua organização.