blog

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Como validar uma assinatura digital: saiba se o documento é autêntico

  • Leitura: 8 min

Compartilhar este conteúdo:

No ambiente corporativo e jurídico atual, onde contratos, declarações fiscais e até atos administrativos são realizados eletronicamente, a assinatura digital se tornou uma ferramenta indispensável.

Mas tão importante quanto assinar um documento é validar a assinatura digital, um procedimento que garante que aquele arquivo não foi adulterado e que realmente foi assinado pela pessoa ou empresa indicada.

Sem essa verificação, você corre o risco de confiar em documentos falsificados, comprometer negociações, sofrer prejuízos financeiros e até enfrentar problemas judiciais. Neste guia, vamos explicar por que validar uma assinatura digital é fundamental, quais riscos você evita e como essa prática protege a sua empresa ou atividade profissional.

Por que validar uma assinatura digital

Validar uma assinatura digital não é um capricho burocrático, mas sim uma etapa estratégica para garantir segurança, conformidade e credibilidade em qualquer operação eletrônica.

A seguir, vamos detalhar os três pilares que justificam essa necessidade: autenticidade, proteção contra falsificação e cumprimento das exigências legais.

Garantia de autenticidade e integridade

Quando você validar uma assinatura digital, está confirmando duas coisas essenciais:

  1. Autenticidade – que o documento foi realmente assinado pelo titular do certificado digital (e-CPF ou e-CNPJ) informado. Isso elimina dúvidas sobre a identidade do signatário e impede que terceiros se passem por outra pessoa.
  2. Integridade – que o conteúdo do documento não foi alterado após a assinatura.

Na prática, a assinatura digital utiliza criptografia assimétrica para criar um “lacre eletrônico” no arquivo. Se qualquer caractere for modificado, até mesmo um espaço em branco, esse lacre se rompe e o sistema de validação apontará que a integridade foi comprometida.

Esse duplo controle é crucial para setores como jurídico, contábil, financeiro e governamental, onde um documento adulterado pode significar multas, perdas contratuais ou até fraudes milionárias.

Proteção contra falsificação

A falsificação de documentos sempre foi um problema, mas no ambiente digital ela ganhou novas formas. Hackers e golpistas tentam criar arquivos com “assinaturas visuais” ou cópias ilegítimas para enganar empresas e clientes.

Ao validar a assinatura digital, você se certifica de que ela foi emitida por uma Autoridade Certificadora credenciada à ICP-Brasil e que o certificado está ativo e não foi revogado.

Esse processo impede que documentos falsos sejam usados para:

  • Abrir contas bancárias em nome de terceiros;
  • Formalizar contratos fraudulentos;
  • Alterar cláusulas de um acordo sem que a outra parte perceba;
  • Criar notas fiscais falsas para burlar o fisco.

Em resumo: validar é como passar um documento físico por um perito oficial, só que de forma automática e em poucos segundos.

Cumprimento de exigências legais

No Brasil, a validade jurídica da assinatura digital é respaldada principalmente pela Medida Provisória 2.200-2/2001 e pela Lei 14.063/2020. Esses dispositivos estabelecem que:

  • Apenas a assinatura digital emitida dentro da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) tem presunção legal de equivalência à assinatura manuscrita com firma reconhecida;
  • Órgãos públicos e privados podem exigir que documentos eletrônicos sejam assinados e validados para serem aceitos oficialmente;
  • Em caso de disputa judicial, o documento com assinatura digital validada tem força probatória plena, dispensando etapas adicionais de autenticação.

Portanto, validar a assinatura digital não é apenas uma questão de segurança: em muitos casos, é obrigatório para que o documento seja aceito.
Ignorar essa etapa pode levar à rejeição de contratos, perda de prazos processuais e inviabilidade de atos administrativos.

Leia agora: “CertClick: o que é e como funciona nossa plataforma de certificados digitais”. 

Métodos para verificar autenticidade

Validar a assinatura digital de um documento é um processo que pode ser feito de forma simples e gratuita, mas que exige atenção a alguns detalhes técnicos para garantir que a análise seja completa.

Existem três métodos principais que você pode (e deve) aplicar para ter certeza de que um documento eletrônico é realmente autêntico: consulta em ferramentas oficiais, conferência da cadeia de certificação e validação da data e hora da assinatura.

Vamos analisar cada um deles em detalhes.

Consulta em ferramentas oficiais

O primeiro passo é o mais confiável, para validar uma assinatura digital é utilizar uma ferramenta oficial ligada à ICP-Brasil, como o verificador de assinaturas do Instituto Nacional de Tecnologia da Informação (ITI).

Essas plataformas são projetadas para analisar documentos assinados digitalmente e verificar:

  • Se o certificado usado é válido e emitido por uma Autoridade Certificadora credenciada;
  • Se o certificado está dentro do prazo de validade;
  • Se não foi revogado por perda, roubo ou comprometimento;
  • Se o conteúdo do documento foi alterado após a assinatura.

O processo geralmente envolve apenas três etapas:

  1. Acessar o validador oficial (por exemplo, o do ITI ou de uma AC reconhecida);
  2. Fazer o upload do documento assinado (PDF, XML ou outro formato suportado);
  3. Analisar o relatório, que indica se a assinatura é válida, inválida ou apresenta algum alerta.

Dica: sempre prefira validadores reconhecidos pelo ITI ou diretamente da Autoridade Certificadora que emitiu o certificado. Evite ferramentas desconhecidas, que podem comprometer a confidencialidade do documento.

Conferência da cadeia de certificação

A assinatura digital só tem validade jurídica plena quando o certificado utilizado está vinculado à cadeia de certificação da ICP-Brasil. Essa cadeia é formada por diferentes níveis:

  1. AC Raiz (ICP-Brasil) – gerenciada pelo ITI, é a autoridade máxima que garante a confiabilidade do sistema;
  2. Autoridades Certificadoras (ACs) – entidades credenciadas para emitir certificados digitais para pessoas físicas e jurídicas;
  3. Autoridades de Registro (ARs) – pontos de atendimento que realizam a validação presencial ou por videoconferência antes da emissão do certificado.

Ao verificar a assinatura, é essencial confirmar que:

  • Todas as ACs intermediárias estão presentes no certificado;
  • O emissor consta na lista oficial de ACs credenciadas disponível no site do ITI;
  • Não há falhas ou quebras na cadeia de confiança.

Exemplo prático: Se um documento foi assinado por um certificado emitido por uma AC não credenciada, ele até pode funcionar tecnicamente, mas não terá valor jurídico perante órgãos públicos ou em juízo.

Validação de data e hora da assinatura

Além de confirmar a autenticidade do certificado e a integridade do documento, é fundamental verificar quando a assinatura foi feita. Para isso, existe o carimbo do tempo (time stamp), que é um registro emitido por uma Autoridade de Carimbo do Tempo (ACT) vinculada à ICP-Brasil.

O carimbo do tempo garante que a assinatura foi realizada em um momento específico e que essa informação não pode ser alterada. Isso é útil para:

  • Provar que um contrato foi assinado antes do vencimento de uma proposta;
  • Comprovar que uma obrigação fiscal foi enviada no prazo;
  • Validar documentos que precisam ter uma data certa para efeitos jurídicos.

Se a assinatura não tiver carimbo do tempo, a verificação se baseará na data registrada no certificado. Embora essa data também tenha validade, o carimbo emitido por uma ACT oferece prova ainda mais robusta, especialmente em disputas judiciais.

Dica avançada: para assinaturas que precisam manter validade por muitos anos, utilize formatos como PAdES-LTV, que incorporam as evidências de validação (incluindo carimbo do tempo) dentro do próprio documento. Isso permite a verificação mesmo após o certificado ter expirado.

Passo a passo para validar no ITI

Validar uma assinatura digital pelo ITI (Instituto Nacional de Tecnologia da Informação) é a forma mais segura e reconhecida de confirmar se um documento foi assinado corretamente dentro da ICP‑Brasil. A seguir, um guia prático, com cuidados de segurança, formatos suportados e como interpretar cada resultado.

Acesso ao validador oficial

  1. Entre no site oficial do ITI
    • Procure pelo Validador/Verificador de Assinaturas ICP‑Brasil.
    • Confira HTTPS ativo (cadeado no navegador) e domínio governamental.
    • Evite links recebidos por e‑mail/mensagens; digite o endereço no navegador ou pesquise pelo nome do serviço no site do ITI.
  2. Confirme que é um serviço de verificação de assinaturas (documentos)
    • O validador correto indica suporte a PDFs assinados (PAdES), arquivos CAdES (.p7s) e, em alguns casos, XMLs assinados (como documentos fiscais).
    • O serviço deve mencionar cadeia ICP‑Brasil, listas de revogação (CRL) e/ou OCSP.

Atenção à privacidade: não faça upload de documentos sigilosos em redes públicas. Se possível, validar uma versão redigida/anônima com a mesma assinatura.

Envio do documento assinado

O que preparar antes do upload:

  • PDF assinado (PAdES): basta o arquivo .pdf com a assinatura embutida.
  • CAdES anexado (attached): arquivo .p7s + (quando necessário) o documento original ao qual a assinatura se refere.
  • CAdES destacado (detached): o validador pode exigir o .p7s e o arquivo original (ex.: .docx, .xml). Sem o original, a verificação falha.
  • XML assinado: em documentos fiscais (NF‑e, CT‑e), o próprio .xml já contém a assinatura.

Passo a passo no validador:

  1. Selecione o tipo de verificação (quando houver) e faça o upload do arquivo assinado (e do arquivo original, no caso de CAdES detached).
  2. Não envie arquivos que contenham chaves privadas (ex.: .pfx ou .p12). Para validação de assinatura, não é necessário.
  3. Aguarde a análise. O validador consultará a cadeia de certificação e o status de revogação (CRL/OCSP) e exibirá um relatório.

Dica: se o validador indicar “formato não suportado”, converta o documento para PDF com PAdES ou gere um .p7s com um assinador compatível (padrão CAdES‑BES/CAdES‑A).

Interpretação dos resultados

O relatório do ITI (ou de um validador oficial compatível) costuma apresentar, de forma clara, o status da assinatura, a cadeia de certificação, os dados do signatário e, quando presente, o carimbo do tempo. Veja como ler cada situação:

1) Assinatura VÁLIDA

  • O que significa:
    • O Certificado foi emitido por AC credenciada na ICP‑Brasil.
    • Integridade OK: o documento não foi alterado após a assinatura.
    • Revogação OK: o certificado não estava revogado no momento da assinatura.
    • Cadeia completa: todas as ACs intermediárias e a AC Raiz são confiáveis.
    • (Opcional) Carimbo do tempo válido: comprova a data/hora oficial do ato.
  • O que fazer:
    • Documento válido para uso. Guarde o arquivo assinado e, se possível, baixe/registre o relatório de validação para auditoria.

2) Assinatura VÁLIDA COM ALERTAS

  • Possíveis alertas:
    • Certificado expirado hoje, mas válido na data da assinatura (assinaturas são avaliadas na data do ato).
    • Sem carimbo do tempo (o que pode reduzir a robustez probatória em disputas de prazo).
    • Impossível consultar a OCSP/CRL (falha de rede momentânea) — o validador sugere nova tentativa.
  • O que fazer:
    • Em contexto crítico (licitações, prazos), prefira assinatura com carimbo do tempo.
    • Revalide mais tarde se houve falha de comunicação com OCSP/CRL.

3) Assinatura INVÁLIDA

  • Cenários comuns:
    • Documento alterado após a assinatura (integridade rompida).
    • Cadeia não confiável (emissor fora da ICP‑Brasil ou cadeia incompleta).
    • Certificado revogado (perda, comprometimento, dados incorretos) na data do ato.
    • Assinatura corrompida (arquivo danificado ou formato incorreto).
  • O que fazer:
    • Não utilize o documento. Solicite nova assinatura com certificado ICP‑Brasil.
    • Se for uma assinatura sua, contate a AC/AR para checar status de revogação/validade.
    • Em caso de suspeita de fraude, formalize a denúncia (ITI/autoridades competentes).

4) Não foi possível verificar

  • Causas típicas:
    • Upload de .p7s sem o arquivo original (CAdES detached).
    • Formato não suportado pelo verificador.
    • Arquivo não contém assinatura compatível.
    • Bloqueio de rede que impede consulta de OCSP/CRL.
  • O que fazer:
    • Refaça o upload com todos os arquivos necessários.
    • Converta/regenere a assinatura em PAdES (PDF) ou CAdES (padrão ICP).
    • Tente em outra rede/navegador; verifique configurações de proxy/firewall.

Boas práticas para validação “à prova do tempo” (LTV):

  • Ao assinar, habilite carimbo do tempo (Time Stamp ICP‑Brasil) e, se o assinador permitir, incorpore evidências de revogação (CRL/OCSP) no documento (PAdES‑LTV).
  • Guarde o PDF assinado + relatório do validador em repositório seguro (GED/ECM).
  • Para fluxos críticos (jurídico/fiscal), padronize PAdES como formato preferencial de arquivo final.

Leia agora: “ O que é ICP-Brasil e como ela garante a validade do seu certificado”. 

O que fazer se a assinatura for inválida

Quando a validação de um documento indica que a assinatura digital é inválida, é fundamental agir rapidamente para evitar problemas jurídicos, fiscais e de segurança da informação. A seguir, apresento um plano de ação claro, dividido por prioridade, para lidar com a situação de forma eficiente e segura.

Contatar o emissor do certificado

O primeiro passo é verificar se a irregularidade está relacionada ao certificado digital utilizado na assinatura.

  • Confirme os dados:
    • Confira se o certificado está vencido, revogado ou emitido por uma Autoridade Certificadora (AC) fora da ICP-Brasil.
    • Verifique no relatório de validação se há mensagens como “cadeia incompleta” ou “certificado não confiável”.
  • Ação recomendada:
    • Entre em contato com a Autoridade Certificadora ou Autoridade de Registro (AR) responsável pela emissão do certificado.
    • Informe o número de série do certificado, a data/hora da assinatura e, se possível, envie o documento e o relatório de verificação.
  • Possíveis soluções do emissor:
    • Confirmação de que o certificado era válido no momento da assinatura (resolvendo o problema de forma documental).
    • Orientação para emissão de um novo certificado digital se o anterior estiver comprometido.
    • Correção de problemas na cadeia de certificação (instalação de ACs intermediárias ou atualização de sistemas).

Emitir novo documento assinado corretamente

Se a assinatura foi invalidada por alteração do arquivo após o ato, uso de certificado não ICP-Brasil ou formato incorreto, será necessário gerar e assinar novamente o documento.

  • Checklist para refazer a assinatura de forma correta:
    • Use um certificado ICP-Brasil válido (e-CPF ou e-CNPJ).
    • Escolha o formato adequado — PAdES (PDF) ou CAdES (.p7s), conforme exigência da outra parte.
    • Habilite carimbo do tempo (Time Stamp ICP-Brasil) para reforçar a prova da data/hora da assinatura.
    • Verifique se o documento está finalizado antes da assinatura (qualquer alteração posterior invalida o ato).
    • Realize uma validação imediata no site do ITI antes de enviar o documento à outra parte.
  • Benefício dessa ação:
    • Garante que o documento corrigido já será entregue com status válido, evitando atrasos e retrabalho.

Denunciar fraude se necessário

Se houver indícios de que a assinatura digital foi falsificada, o certificado foi utilizado sem autorização ou houve uso de certificado falso, é crucial acionar as autoridades competentes.

  • Quando suspeitar de fraude:
    • O certificado consta como revogado antes da data da assinatura.
    • A AC informada no documento não consta na lista oficial do ITI.
    • O conteúdo assinado contém dados falsos ou foi adulterado.
  • Ações recomendadas:
    • Registrar ocorrência na Polícia Civil ou Polícia Federal (crimes cibernéticos/falsidade documental).
    • Notificar o ITI com informações e provas do ocorrido (número de série, arquivos, relatórios de validação).
    • Informar à Autoridade Certificadora para revogar imediatamente o certificado comprometido.
  • Por que agir rápido:
    • Evita que o certificado seja usado para assinar outros documentos fraudulentos.
    • Garante registro formal da ocorrência, fortalecendo sua defesa jurídica em caso de prejuízo.

Conclusão: verificação simples e eficaz para segurança documental

Validar a assinatura digital de um documento é um processo rápido que traz benefícios imensos: garante a autenticidade, preserva a integridade das informações e protege contra fraudes e perdas jurídicas.

Ao detectar uma assinatura inválida, a agilidade na resposta é determinante. Seja entrando em contato com o emissor do certificado, refazendo o documento com os padrões corretos ou denunciando possíveis crimes, cada passo contribui para manter a segurança documental e evitar danos maiores.

Com ferramentas oficiais, como o validador do ITI, e boas práticas na emissão e guarda de documentos assinados, é possível transformar a verificação em parte natural do fluxo de trabalho. Assim, empresas, profissionais e cidadãos garantem que cada assinatura digital tenha valor jurídico pleno e cumpra seu papel na proteção de dados e negócios.

Foto de Hellen Mota
Hellen Mota
Hellen Mota é jornalista e redatora. Escreve de forma simples e acessível, ajudando empreendedores a conquistar mais autonomia e segurança.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

5

passos simples para obter seu Certificado Digital

Baixe o infográfico e veja como é fácil fazer tudo online.

Quero ver como funciona
Simulação de um impressão digital tecnológica em uma tela de computador.

5

passos simples para obter seu Certificado Digital

Baixe o infográfico e veja como é fácil fazer tudo online.

Quero ver como funciona
Simulação de um impressão digital tecnológica em uma tela de computador.

Índice

Compartilhar esse conteúdo:

Índice