INSTRUÇÃO NORMATIVA ITI Nº 36, DE 29 DE ABRIL DE 2026

Estabelece requisitos e procedimentos para a

confirmação da identidade de requerente de

certificado digital no âmbito da ICP-Brasil.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das

atribuições que lhe foram conferidas pelo inciso VI do art. 13 do anexo I do Decreto n° 12.103, de 8 de

julho de 2024, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004,

e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º Este Regulamento detalha os requisitos e procedimentos para a confirmação da identidade de

requerente de certificado digital no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil,

visando aumentar a segurança, reduzir fraudes e simplificar o processo de emissão, complementando a

Resolução CG ICP-Brasil nº 177, de 20 de outubro de 2020 (DOC-ICP-05).

§1º Os requisitos e procedimentos deste Regulamento não são exaustivos.

§2º As entidades da ICP-Brasil são responsáveis por garantir a segurança do processo de identificação do

requerente, respondendo pelo dano que der causa.

§3º As Autoridades Certificadoras - ACs devem definir em suas Declarações de Práticas de Certificação -

DPC os procedimentos empregados pelas suas Autoridades de Registro - ARs vinculadas para a

confirmação da identidade de um indivíduo, observado o disposto neste Regulamento.

Art. 2º Os métodos admissíveis de confirmação de identidade são:

I - comparecimento presencial;

II - videoconferência;

III - uso de certificado ICP-Brasil válido;

IV - módulo Eletrônico de AR; e

V - AR Eletrônica.

Parágrafo único. Os métodos admissíveis de confirmação de identidade diversos do comparecimento

presencial devem assegurar nível de segurança equivalente à forma presencial, garantindo a validação

das informações de identificação biográficas e biométricas, mediante o emprego de tecnologias

eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico.

Art. 3º A confirmação de identidade do requerente de certificado digital deve compreender, no mínimo:

I - apresentação e verificação da documentação exigida;

II - coleta e verificação biométrica;

III - consulta à base de dados da Lista Negativa de ACs; e

IV - assinatura ou confirmação da origem e integridade do Termo de Titularidade, conforme o

caso.

§1º É dispensada a validação dos documentos da pessoa física requerente, ou do responsável pelo

certificado da pessoa jurídica, quando houver a identificação positiva de pelo menos uma impressão

digital junto ao Sistema Biométrico da ICP-Brasil, exceto quando houver alteração de dados ou a

necessidade de complementar a documentação.

§2º A coleta biométrica do requerente, a ser submetida à verificação, deve garantir que a biometria seja

de uma pessoa viva presente no momento da prova de identidade, com uso de liveness detection, e que

não haja sinais de fraude comportamental e simbólica, observando a Instrução Normativa ITI nº 09, de 22

de outubro de 2020, que aprova os Procedimentos para Identificação Biométrica na ICP-Brasil.

Art. 4º Os procedimentos de comprovação de identidade de que trata este Regulamento não se aplicam

à hipótese de emissão de certificados de pessoas físicas, caso a solicitação seja assinada com certificado

digital ICP-Brasil válido, do tipo A3 ou superior, de mesma titularidade e cujos dados biométricos já

tenham sido devidamente coletados.

Art. 5º As Bases Oficiais Nacionais admitidas na ICP-Brasil para fins de batimento biométrico e biográfico

são as seguintes:

I - base de dados da Carteira Nacional de Identidade – CIN;

II - base de dados da Identificação Civil Nacional - ICN, mantida pelo Tribunal Superior Eleitoral – TSE;

III - base de dados da Carteira Nacional de Habilitação, mantida pela Secretaria Nacional de

Trânsito – Senatran; e

IV - base de dados da Infraestrutura Pública Digital – IPD de Identificação Civil, prevista no Art.

18 do Decreto nº 12.069, de 21 de junho de 2024, mantida pela Secretaria de Governo Digital do

Ministério da Gestão e da Inovação em Serviços Públicos.

Art. 6º Devem ser mantidos no dossiê do titular do certificado digital:

I - os dados biográficos e biométricos do requerente;

II - as cópias de todos os documentos apresentados;

III - os resultados das consultas de verificação e validação dos documentos, dos dados

biográficos e das biometrias;

IV - as gravações, no caso da emissão por videoconferência;

V - os Termos de Titularidade; e

VI - as trilhas de auditoria.

Parágrafo único. As ACs devem manter os arquivos de imagem de todos os dados biométricos coletados

de um requerente durante o processo de identificação associados ao dossiê do requerente do certificado

digital.

CAPÍTULO II

DOS MÉTODOS E PROCEDIMENTOS PARA CONFIRMAÇÃO DA IDENTIDADE

Confirmação inicial da identidade

Art. 7º Os procedimentos e os requisitos para a primeira identificação e cadastramento junto à ICP-Brasil

de pessoas físicas titulares ou responsáveis por certificados digitais devem compreender os seguintes

processos:

I - identificação e cadastro iniciais do titular do certificado, com a identificação da pessoa física ou

jurídica, titular do certificado, com base nos documentos de identificação citados neste

Regulamento, observando ainda:

a) para certificado de pessoa física, a comprovação de que a pessoa física que se apresenta como

titular do certificado é realmente aquela cujos dados constam na documentação e biometrias

apresentadas, vedada qualquer espécie de procuração para tal fim; e

b) para certificado de pessoa jurídica, a comprovação de que os documentos apresentados se

referem efetivamente à pessoa jurídica titular do certificado e de que a pessoa física que se

apresenta como representante legal da pessoa jurídica realmente possui tal atribuição,

admitida procuração por instrumento público, com poderes específicos para atuar perante a

ICP-Brasil, cuja certidão original ou segunda via tenha sido emitida dentro de 90 (noventa) dias

anteriores à data da solicitação.

II - emissão do certificado, pelo sistema da AC, após a conferência dos dados da solicitação de

certificado com os constantes dos documentos e biometrias apresentados na etapa de

identificação.

Parágrafo único. Todas as partes da extensão Subject Alternative Name devem ser verificadas, devendo o

solicitante do certificado comprovar que detém os direitos sobre essas informações junto aos órgãos

competentes, ou que está autorizado pelo titular da informação a utilizá-las.

Confirmação da identidade de um indivíduo

Art. 8º Para a identificação da pessoa física requerente do certificado, é necessário:

I - apresentar a seguinte documentação, em sua versão original oficial:

a) Carteira de Identidade Nacional – CIN ou outro Registro de Identidade, se brasileiro; ou

b) Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; ou

c) Passaporte, se estrangeiro não domiciliado no Brasil;

II - consultar a inscrição no Cadastro de Pessoa Física – CPF;

III - verificar o eventual enquadramento do requerente como Pessoa Exposta Politicamente – PEP,

autoridade do Poder Judiciário ou do Ministério Público, de acordo com a legislação vigente; e

IV - coletar e verificar a biometria do requerente, considerando:

a) impressão digital e face, se em emissão presencial; e

b) no mínimo, biometria facial, se emissão por videoconferência, Módulo Eletrônico de AR ou

AR Eletrônica.

§1º Para fins desta Instrução Normativa, somente serão admitidos como registro de identidade

mencionado na alínea “a”, do inciso I, do caput, documentos oficiais emitidos por autoridade legalmente

competente, nos termos da legislação, bem como aqueles equiparados por lei a documento de identidade

válido em todo o território nacional, desde que contenham fotografia.

§2º É vedada a utilização de documento de registro de identidade que impossibilite a realização de

batimento biométrico facial.

§3º Sempre que o documento de identificação apresentado não possibilitar a identificação inequívoca,

inclusive por deterioração, desatualização ou alteração física do requerente, a AR deve exigir documento

adicional.

§4º A emissão do certificado deve ser negada, caso persista a impossibilidade de identificação inequívoca

mencionada no §3º.

§5º Todos os documentos utilizados no processo de confirmação da identidade devem ser validados nas

bases de dados e aplicativos oficiais.

§6º Para os documentos mencionados no §5º que contenham tecnologias verificáveis, como QR Code,

MRZ, NFC, Chip ou similares, a validação do código ou tecnologia embarcada deverá ser realizada, sendo

vedada a emissão caso a validação apresente inconsistências.

§7º É vedada a emissão de certificados para pessoas físicas com situação cadastral “cancelada”, “nula”

ou “falecida” junto à Receita Federal do Brasil.

Art. 9º Deve ser realizada etapa de verificação por Agente de Registro - AGR distinto do que realizou a

etapa de identificação, vinculado à AR, à AR própria da AC ou à AR própria do PSS da AC, nas seguintes

situações:

I - para documentos impressos para os quais não existam formas de verificação por meio de

barramentos ou aplicações oficiais;

II - para requerentes não cadastrados no Prestador de Serviço Biométrico - PSBio, exceto para

emissão por AR Eletrônica ou Módulo Eletrônico de AR; e

III - para Pessoas Expostas Politicamente – PEP.

Parágrafo único. A verificação de que trata o caput deverá ser realizada antes do início da validade do

certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o

início de sua validade.

Art. 10. A verificação biométrica do requerente deverá ser realizada por meio de batimento dos dados

nas Bases Oficiais Nacionais previstas neste Regulamento, observando a Instrução Normativa ITI nº 09, de

22 de outubro de 2020.

Confirmação da Identidade de Organizações

Art. 11. Será designado como responsável pelo certificado o representante legal da pessoa jurídica

requerente do certificado, ou o procurador constituído na forma do art. 7º, inciso I, alínea ‘b’, deste

Regulamento, o qual será o detentor da chave privada.

Art. 12. Deve ser realizada a confirmação da identidade da organização e da pessoa física responsável

pelo certificado, bem como a verificação da origem e integridade do Termo de Titularidade, conforme

disposto neste Regulamento.

Art. 13. A apresentação dos documentos da pessoa física responsável, bem como a coleta e verificação

dos seus dados biométricos, são dispensáveis quando a solicitação for assinada com certificado digital

ICP-Brasil válido, do tipo A3 ou superior, cuja titularidade seja da mesma pessoa física responsável legal

da organização e a verificação dos documentos pertinentes à pessoa jurídica possa ser realizada

eletronicamente, por meio de barramento ou aplicação oficial.

Parágrafo único. O disposto neste artigo não afasta a necessidade de apresentação dos documentos

pertinentes à pessoa jurídica requerente, ou os demais requisitos exigidos para identificação do

requerente.

Art. 14. A confirmação da identidade de uma pessoa jurídica deve ser feita mediante a apresentação de,

no mínimo, os seguintes documentos:

I - relativos à sua habilitação jurídica:

a) se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do CNPJ;

b) se entidade privada:

1. certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente

registrado no órgão competente, que permita a comprovação de quem são seus atuais

representantes legais; e

2. documentos da eleição de seus representantes legais, quando aplicável;

II - relativos à sua habilitação fiscal:

a) prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ; ou

b) prova de inscrição no Cadastro Nacional de Obras – CNO.

§1º As confirmações de que tratam o caput deste artigo podem ser feitas de forma eletrônica, desde que

em barramentos ou aplicações oficiais.

§2º É obrigatório que as validações mencionadas no §1º constem no dossiê eletrônico do titular do

certificado.

§3º É vedada a emissão de certificados para pessoas jurídicas com situação cadastral “Baixada” ou “Nula”

junto à Receita Federal do Brasil.

Identificação de equipamentos ou aplicações

Art. 15. Em se tratando de certificado emitido para equipamento ou aplicação, o titular é a pessoa física

ou jurídica solicitante do certificado, que deve confirmar sua identidade nos termos deste Regulamento

e indicar o responsável pela chave privada.

Art. 16. Para certificados de aplicações específicas que utilizem URL na identificação do titular deve ser

verificado se o solicitante do certificado detém o registro do nome de domínio junto ao órgão

competente, ou se possui autorização do titular do domínio para utilizá-lo.

Parágrafo único. Nos casos estabelecidos no caput, deve ser apresentada a documentação comprobatória

(termo de autorização de uso de domínio ou similar).

Art. 17. Para a emissão de certificados do tipo T3 ou T4, para equipamentos de Autoridades de Carimbo

do Tempo - ACT credenciadas na ICP-Brasil, a solicitação deve conter o nome de servidor e o número de

série do equipamento.

Parágrafo único. Os dados referentes à emissão mencionada no caput devem ser validados comparando-

os com aqueles publicados pelo ITI no Diário Oficial da União, quando do deferimento do credenciamento

da ACT.

Identificação de equipamento para certificado CF-e-SAT

Art. 18. A validação de solicitação de certificado do tipo A CF-e-SAT compreende:

I - validar o registro inicial por meio de verificação da origem e integridade da solicitação do

certificado A CF-e-SAT e do Termo de Titularidade específico;

II - realizar a verificação da solicitação contendo a requisição em conformidade com o formato

estabelecido na Instrução Normativa ITI nº 22, de 23 de março de 2022, que aprova os Padrões e

Algoritmos Criptográficos da ICP-Brasil, e confrontando com as informações (número de segurança

e número de série do equipamento SAT e CNPJ do contribuinte emissor CF-e) do registro inicial e

do certificado digital utilizado na solicitação;

III - emissão do certificado digital sem que haja possibilidade de alteração dos dados

constantes na requisição e disponibilização ao solicitante para instalação no equipamento SAT.

Parágrafo único. O certificado digital do contribuinte que garante a origem e integridade da solicitação e

do Termo de Titularidade referido no inciso I do caput deve ser um certificado digital de selo eletrônico

ICP-Brasil válido.

Art. 19. Em se tratando de certificado emitido para equipamento SAT, o titular será representado pelo

representante legal da pessoa jurídica requerente, associado ao número de série do equipamento

detentor da chave privada.

Art. 20. Para certificados de equipamento SAT, deve ser verificado se o CNPJ do contribuinte que solicita

esse certificado está vinculado ao número de série do referido equipamento, o qual deve estar registrado

e autorizado pela unidade fiscal federada.

Parágrafo único. As informações mencionadas no caput devem ser obtidas e confirmadas pela AC

emissora do certificado.

Identificação de equipamento para certificado OM-BR

Art. 21. A validação de solicitação de certificado do tipo OM-BR compreende:

I - validar o registro inicial por meio de verificação da origem e integridade da solicitação do

certificado OM-BR e do Termo de Titularidade específico;

II - realizar a verificação da solicitação contendo a requisição em conformidade com o formato

estabelecido na Instrução Normativa ITI nº 22, de 23 de março de 2022, que aprova os Padrões e

Algoritmos Criptográficos da ICP-Brasil, e confrontando com as informações de controle do órgão

regulador e do certificado digital utilizado na solicitação;

III - emissão do certificado digital sem que haja possibilidade de alteração dos dados

constantes na requisição e disponibilização ao solicitante para instalação no equipamento OM-BR.

Parágrafo único. O certificado digital do fabricante que garante a origem e integridade da solicitação e

do Termo de Titularidade referidos no inciso I do caput deve ser um certificado digital de selo eletrônico

ICP-Brasil válido.

Art. 22. Em se tratando de certificado emitido para equipamento OM-BR, o titular será representado pelo

fabricante identificado no certificado de selo digital que o solicita, associado ao número de identificação

do equipamento detentor da chave privada.

Art. 23. Para certificados do tipo OM-BR, deve ser verificado se o CNPJ do fabricante que solicita esse

certificado está vinculado aos controles regulatórios do referido equipamento, o qual deve estar

registrado e autorizado pelo Inmetro.

Parágrafo único. As informações mencionadas no caput devem ser obtidas e confirmadas pela AC

emissora do certificado.

Procedimentos para confirmação de identidade

Art. 24. As ACs devem disponibilizar, para todas as ARs vinculadas às suas respectivas cadeias, uma

interface para consulta às suas bases de dados da Lista Negativa das ACs, com requisitos de segurança e

disponibilidade, conforme regras dispostas no documento ADE-ICP-05.02.B (Métodos de Interface do

Serviço de Lista Negativa), durante o processo de identificação de requerente de um certificado digital

ICP-Brasil.

§1º A base de dados da Lista Negativa da AC, mencionada no caput deste artigo, deve ser atualizada pela

comunicação entre o PSBio, servidor da AC e o servidor do ITI, conforme disposto no ADE-ICP-05.02.B.

§2º Ao consultar a Lista Negativa, com o objetivo de identificar possíveis fraudadores, o AGR deverá

confrontar:

I - as informações biográficas dos documentos de identificação apresentados, ou as informações dos

documentos de constituição da pessoa jurídica, quando for o caso, com aquelas que constam

registradas em tal Lista Negativa; e

II - o resultado do confronto biométrico do requerente com as biometrias constantes da Lista

Negativa (1:N), conforme disposições sobre a base de fraudadores da Instrução Normativa ITI nº

09, de 22 de outubro de 2020.

§3º Após a realização da consulta à Lista Negativa da AC, as seguintes providências devem ser adotadas:

I - no caso de concluir tratar-se de tentativa de fraude, o certificado não deve ser emitido e a AR deve

comunicar à AC, que, por sua vez, deve comunicar ao ITI a tentativa de fraude, conforme disposto

no Capítulo VI deste Regulamento;

II - no caso de concluir que o registro de tentativa ou de fraude constante da Lista Negativa seja

indevido, o certificado pode ser emitido e a AC deve solicitar o cancelamento do respectivo

registro de tentativa ou de fraude na Lista Negativa, embasando detalhadamente os motivos de

tal conclusão, conforme disposto no Capítulo VI deste Regulamento; ou

III - no caso de não haver qualquer intercorrência na consulta e confrontação dos dados das

Listas Negativas, de modo que se conclua não se tratar de tentativa de fraude, a AR deve dar

prosseguimento aos demais procedimentos de identificação para emissão do certificado.

Art. 25. As ACs devem disponibilizar, para todas as ARs vinculadas à sua respectiva cadeia, uma interface

para coleta, verificação e identificação biométrica do requerente junto ao Sistema Biométrico da ICP-

Brasil e às Bases Oficiais Nacionais, em cada processo de emissão de um certificado digital ICP-Brasil,

podendo ser coletada ou verificada a biometria uma única vez para o mesmo titular de vários certificados

no ato de identificação.

§1º A interface da aplicação para os AGRs, mencionada no caput deste artigo, deve possibilitar consulta

pelo CPF (indexador) do requerente do certificado digital, com a coleta das biometrias do requerente, as

quais devem ser comparadas obrigatoriamente com o registro daquelas biometrias específicas no Sistema

de Dados Biométricos da ICP-Brasil ou em Bases Oficiais Nacionais.

§2º Na emissão presencial do certificado digital, a Autoridade de Registro deve observar os seguintes

procedimentos de verificação e atualização biométrica:

I - para titulares com impressão digital previamente cadastrada, é obrigatória a realização da

verificação (match) da impressão digital, devendo o resultado ser registrado no dossiê de

atendimento; e

II - para titulares que possuam apenas biometria facial registrada, a AR deve coletar as impressões

digitais do titular, com a finalidade de complementar e atualizar o respectivo cadastro biométrico

no âmbito da ICP-Brasil, de acordo com os procedimentos definidos na Instrução Normativa ITI nº

09, de 22 de outubro de 2020.

§3º Deverá ser realizada nova captura biométrica facial e atualização cadastral, conforme procedimentos

definidos na Instrução Normativa ITI nº 09, de 22 de outubro de 2020, se a biometria existente no PSBio

tiver mais de cinco anos, aplicável a validações presenciais e por videoconferência.

Art. 26. Nos procedimentos de coleta, verificação e identificação biométrica do requerente junto ao

Sistema Biométrico da ICP-Brasil e às Bases Oficiais Nacionais para emissão de certificado digital ICP-Brasil

é necessário observar o seguinte:

I - o Sistema Biométrico da ICP-Brasil deve informar ao AGR qual é o “melhor dedo”, no caso de

verificação da biometria da impressão digital;

II - caso nenhuma impressão digital tenha qualidade para verificação da biometria, o requerente não

poderá ser identificado pelo processo da verificação biométrica da impressão digital;

III - quando não houver possibilidade de utilização da impressão digital, conforme indicado na

Instrução Normativa ITI nº 09, de 22 de outubro de 2020, nas disposições que tratam dos

parâmetros mínimos para coleta da impressão digital, deve ser utilizada a biometria da face;

IV - caso o CPF (indexador) não conste na base de dados biométrica da ICP-Brasil ou nas Bases

Oficiais Nacionais, tal fato deve ser informado ao AGR, hipótese em que deverá ser realizada a

coleta dos dados biográficos e biométricos do requerente, na forma disposta na Instrução

Normativa ITI nº 09, de 22 de outubro de 2020, bem como adotar as demais providências para

confirmação da identidade;

V - caso o CPF (indexador) esteja na base de dados biométrica da ICP-Brasil ou nas Bases Oficiais

Nacionais, a consulta deve indicar um resultado “positivo” (biometria comparada pertence de fato

ao requerente), ou “negativo” (biometria comparada não pertence ao requerente ou resultou em

um erro), considerando que:

a) o resultado “positivo” da consulta à base de dados biométrica significa que foi obtido o

atingimento pleno da taxa de aceitação da acurácia estabelecida na Instrução Normativa ITI

nº 09, de 22 de outubro de 2020; e

b) o resultado “negativo” da consulta à base de dados biométrica significa que não se obteve o

atingimento da taxa de aceitação da acurácia estabelecida na Instrução Normativa ITI nº 09,

de 22 de outubro de 2020;

VI - o resultado “positivo” da consulta à base de dados biométrica da ICP-Brasil ou a Bases

Oficiais Nacionais deve ser apensado ao dossiê do titular do certificado e preservados de acordo

com a Instrução Normativa ITI nº 10, de 22 de outubro de 2020;

VII - caso o resultado da verificação biométrica no Sistema Biométrico da ICP-Brasil tenha

encontrado o CPF (indexador – Identificador de registro biométrico - IDN) do requerente com o

resultado da comparação “negativo”, deve-se comunicar à AC vinculada para que se faça uma

análise detalhada do caso, observando-se:

a) se a AC concluir que o requerente se trata do titular de fato do documento de identificação

e/ou das informações da empresa, deve dar prosseguimento ao processo de emissão do

certificado digital, com a análise dos demais requisitos exigidos;

b) na hipótese de o registro biométrico e/ou biográfico ter sido armazenado no banco de dados

de forma irregular, tanto da AC, quanto do respectivo Sistema Biométrico (PSBio) credenciado

na ICP-Brasil, a AC deve realizar os procedimentos de notificação de irregularidades

mencionados na Instrução Normativa ITI nº 09, de 22 de outubro de 2020;

c) caso a AC concluir que se trata de tentativa de fraude, não deve emitir o certificado digital e

deve comunicar ao ITI, conforme Capítulo VI deste Regulamento;

VIII - todos os logs de transação biométrica feitos pelo AGR devem ser guardados pelo período

mínimo de 7 (sete) anos pelas ACs.

Art. 27. Os dados cadastrais e biométricos do requerente devem ser validados junto à base da Carteira

Nacional de Habilitação - CNH via Datavalid em todas as emissões.

Parágrafo único. Ficam dispensadas desse procedimento as ACs públicas (órgãos e entidades da

Administração Direta da União, dos Estados, do Distrito Federal e dos Municípios, bem como suas

autarquias e fundações públicas) em emissões presenciais com batimento da impressão digital,

exclusivamente para o público interno.

Art. 28. Deve ser realizada a verificação de posse de e-mail, considerando que:

I - o mesmo endereço de e-mail não poderá ser vinculado a mais de um CPF;

II - a comprovação da posse do e-mail deverá ser realizada por meio de envio de código OTP (One-

Time Password), que deverá ser informado pelo requerente durante o atendimento; e

III - o sistema da AC deverá validar o código OTP em tempo real e registrar o resultado da

verificação no dossiê eletrônico do titular.

Art. 29. A emissão do certificado, ou seu início de validade, está condicionada à validação dos dados

biométricos na base do PSBio ou em seu cache, sendo vedada a emissão do certificado digital com

verificação biométrica realizada exclusivamente na base local da Autoridade Certificadora.

Parágrafo único. A AC deve solicitar a exclusão do cadastro no PSBio quando as etapas de identificação,

validação e verificação de titularidade não forem concluídas.

Art. 30. Todo o processo de identificação do titular do certificado deve ser registrado com verificação

biométrica e assinado digitalmente pelos executantes, na solução de certificação disponibilizada pela AC,

com a utilização de certificado digital ICP-Brasil no mínimo do tipo A3.

§1º O sistema biométrico da ICP-BRASIL deve solicitar aleatoriamente qual dedo o AGR deve apresentar

para autenticação, o que exige a inclusão de todos os dedos dos AGRs no cadastro do sistema biométrico.

§2º Os registros do processo de identificação mencionados no caput devem ser feitos de forma a permitir

a reconstituição completa dos processos executados, para fins de auditoria.

Procedimentos específicos de identificação

Art. 31. Para requerentes identificados como Pessoas Expostas Politicamente - PEP ou autoridades do

Poder Judiciário e do Ministério Público, será obrigatório:

I - segunda verificação por Agente de Registro da AC;

II - batimento da impressão digital na base do PSBio;

III - coleta de documento de identidade mesmo com batimento no PSBio; e

IV - adoção de procedimentos de segurança adicionais.

Art. 32. A emissão de certificados para incapazes, relativamente incapazes, tutelados ou curatelados,

além de observar o disposto na lei vigente, exigirá:

I - identificação e coleta biométrica obrigatória do representante e do representado, salvo

impossibilidade justificada, no caso do representado;

II - apresentação e validação dos documentos comprobatórios da condição específica (certidão,

termo de tutela, sentença de curatela etc.); e

III - registro completo das validações e evidências no dossiê eletrônico.

Art. 33. A emissão de certificado digital de pessoa jurídica destinado a condomínios obedecerá ao

disposto sobre identificação de organizações.

§1º Quando não for possível a identificação na forma mencionada no caput, deverão ser apresentados:

I - ato de constituição do condomínio; e

II - ata da Assembleia Condominial que elegeu o síndico ou administrador.

§2º Entende-se como ato constitutivo do condomínio o testamento, a escritura pública ou particular de

instituição, ou a convenção condominial devidamente registrada no Cartório de Registro de Imóveis, não

bastando, para tal fim, quaisquer outros documentos, tais como o regimento interno ou declarações

emitidas pelos respectivos síndicos ou administradores.

§3º Para os condomínios devidamente inscritos perante o CNPJ, mas que não se encontrem regularmente

constituídos nos termos da legislação vigente, fica dispensado o registro de seus atos constitutivos junto

ao Cartório de Registro de Imóveis, a que se refere o §2º.

§4º As ARs e ACs poderão exigir outros documentos que considerem necessários para fins de

comprovação da existência ou da representatividade do condomínio.

Identificação e autenticação para pedidos de novas chaves

Art. 34. A identificação e autenticação para os pedidos de novas chaves podem ser conduzidos por:

I - adoção dos mesmos requisitos e procedimentos exigidos nos dispositivos referentes à

confirmação da identidade de um indivíduo, à confirmação da identidade de organizações e à

identificação de equipamentos ou aplicações, todos constantes deste Regulamento;

II - solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido,

do tipo A3 ou superior, cujo certificado requisitado seja do mesmo nível de segurança ou inferior;

III - videoconferência.

Art. 35. Para certificados de aplicações específicas que utilizem URL, a AC poderá implementar

mecanismos automatizados de gerenciamento de certificado (ACME) de forma a preservar a posse ou

propriedade da URL (domínio) e a identificação do solicitante, seja pessoa física ou jurídica.

Parágrafo único. O processo automatizado mencionado no caput implica as seguintes etapas:

I - o solicitante submete uma requisição de certificado (PKCS#10) da URL desejada;

II - a requisição deverá ser acompanhada do certificado da URL solicitada, ainda válido, e o conjunto

(requisição + certificado da URL) deve ter a origem e integridade garantida por certificado ICP-

Brasil;

III - o aplicativo de AR valida a origem e integridade da solicitação e a requisição e, caso esteja

em conformidade, encaminha desafio de prova de domínio e o Termo de Titularidade;

IV - o solicitante responde o desafio e aceita o Termo de Titularidade com o mesmo certificado

utilizado, mencionado no inciso II deste parágrafo único;

V - confirmado atendimento pleno do desafio e da origem e integridade do Termo de Titularidade, o

aplicativo de AR poderá emitir o certificado e encaminhá-lo ao solicitante; e

VI - todas as evidências do processo acima devem constar no dossiê do certificado.

CAPÍTULO III

DA IDENTIFICAÇÃO POR VIDEOCONFERÊNCIA

Art. 36. A identificação de requerente de certificado digital por videoconferência deve ser realizada por

meio de comunicação interativa que permita a transmissão e captação de som, imagem e dados.

Art. 37. A videoconferência deve ser realizada obrigatoriamente por meio de solução tecnológica da

Autoridade Certificadora, dotada de mecanismos de segurança que garantam a autenticidade, a

integridade e a confidencialidade das informações capturadas.

§1º A solução tecnológica mencionada no caput deve assegurar que os meios técnicos utilizados são

adequados para garantir que a videoconferência:

I - permita a detecção obrigatória de vivacidade (liveness) do requerente para minimizar o risco de

manipulação de rosto e voz em montagens de vídeo conhecidas como “deepfake”, com emprego

de meios de detecção de ataque de apresentação para garantir que a biometria utilizada para a

identificação seja de uma pessoa viva presente no momento da prova de identidade e que não se

trata de um fraudador;

II - aplique meios de prevenção e detecção de ataques de injeção biométrica para assegurar que nem

o requerente nem um atacante externo possam injetar, de forma indetectável, um fluxo de vídeo

previamente gravado ou artificialmente gerado;

III - permita a detecção e bloqueio de drivers de câmeras virtuais, a detecção de integridade e

o bloqueio de dispositivos comprometidos;

IV - permita que o AGR aplique questionários sequenciais (scripts) obrigatórios, de forma

aleatória, de modo que a sequência de perguntas nunca seja a mesma e, portanto, não possa ser

prevista;

V - seja realizada em tempo real e sem interrupções ou pausas;

VI - tenha qualidade adequada de som e imagem para permitir a identificação clara do

requerente, das validações dos documentos de identificação, das verificações de face nas bases

biométricas e biográficas e a verificação posterior dos dados de identificação recolhidos e

comprovados;

VII - seja gravada com indicação da respectiva data e hora sincronizada com a Fonte Confiável

do Tempo – FCT da ICP-Brasil;

VIII - tenha duração suficiente para assegurar a integral observância dos procedimentos

completos de identificação do requerente; e

IX - preserve a integridade e a confidencialidade da comunicação audiovisual entre o AGR e o

requerente por meio da utilização de sessões de vídeo protegidas com criptografia “ponta-a-

ponta”.

§2º A solução tecnológica mencionada no caput deverá ser testada periodicamente por entidades

independentes, de modo a avaliar o desempenho e efetividade das tecnologias de detecção de ataque de

apresentação.

§3º Na impossibilidade de realização de detecção de vivacidade, conforme disposto no inciso I, do §1º,

por parte do requerente, este deve ser direcionado para outra modalidade de emissão de certificado, por

meio da qual seja possível a coleta da biometria da impressão digital.

§4º Os questionários mencionados no inciso IV, do §1º, devem ser entendidos como um conjunto de

perguntas feitas ao requerente, que permitam ao AGR coletar informações que atestem a veracidade da

identificação da pessoa que se apresenta em vídeo.

Art. 38. No processo de identificação do requerente, devem ser observados os seguintes procedimentos:

I - antes da videoconferência, o requerente deverá enviar fotografia do documento de identificação

físico e fotografia da face por meio da aplicação da AC, de forma a permitir a realização de

batimentos prévios;

II - ao iniciar a videoconferência, o requerente deve dar autorização expressa a todo o processo de

identificação, incluindo a captura de fotografias, imagens, voz, documentos de identificação, a

submissão de verificação ao Sistema Biométrico ICP-Brasil e nas Bases Oficiais Nacionais, a

gravação da videoconferência e a inclusão de todas as informações, gravações e arquivos em

dossiê eletrônico do titular do certificado;

III - durante a videoconferência, o requerente deverá informar o número do seu CPF e

apresentar a versão física do documento enviado previamente, que deve ser analisado e validado

antes da emissão do certificado digital;

IV - a AR deve avaliar os dados dos documentos de identificação apresentados e realizar a

confirmação da identidade do requerente, comunicando eventuais irregularidades, conforme

disposto no Capítulo VI deste Regulamento;

V - havendo problema na validação dos documentos de identificação fornecidos pelo requerente,

este deverá ser informado do problema ocorrido para que busque solucioná-lo, sob pena de não

ter o certificado digital emitido; e

VI - durante a videoconferência, deve ser capturada a imagem da face (frame) do titular

requerente, se pessoa física, ou do responsável pelo certificado, se pessoa jurídica, com indicação

da data e hora da captura, observados os procedimentos de coleta e identificação biométrica na

ICP-Brasil definidos na Instrução Normativa ITI nº 09, de 22 de outubro de 2020.

§1º Para os documentos mencionados no inciso III, do caput, que contenham tecnologias verificáveis,

como QR Code, MRZ (Machine Readable Zone), NFC, Chip ou similares, a validação do código ou

tecnologia embarcada deverá ser realizada durante a videoconferência, por meio de leitura automatizada

ou verificação manual assistida.

§2º Feita a coleta da biometria facial (frame), nos termos do inciso VI, do caput, deverá ser realizada

verificação biométrica de face (1:1) com as fotografias do documento de identificação e da face

previamente encaminhadas, conforme estabelecido no inciso I, do caput deste artigo.

§3º A verificação biométrica de que trata o §2º deverá ser realizada por meio de software a ser

disponibilizado pela AC à AR, observando-se o seguinte:

I - caso o resultado dessa verificação biométrica seja “negativo”, deve-se interromper o processo e

comunicar à AC vinculada para que seja feita uma análise detalhada do caso;

II - concluindo a AR ou a AC que o requerente se trata, de fato, do titular do documento de

identificação, deverá ser dado prosseguimento ao processo de identificação; ou

III - concluindo a AR ou a AC se tratar de tentativa de fraude, não deverá ser emitido o

certificado digital e a AC deve realizar o procedimento de comunicação de fraude ao ITI.

Art. 39. Além da verificação biométrica junto ao documento de identificação, o AGR deve confirmar a

identidade do requerente em procedimento de verificação biométrica (1:1) junto ao Sistema Biométrico

ICP-Brasil ou, se acaso não constar desta, a verificação biométrica (1:1) e biográfica do requerente será

submetida às Bases Oficiais Nacionais admitidas na ICP-Brasil.

§1º Caso o requerente já possua cadastro biométrico na ICP-Brasil, a verificação biométrica (1:1) deve

ser realizada junto ao Sistema Biométrico ICP-Brasil, observando-se os procedimentos gerais para

confirmação de identidade constantes neste Regulamento, sobretudo o inciso VII, do caput, do art. 26.

§2º Na hipótese de o requerente não possuir cadastro no Sistema Biométrico ICP-Brasil, a verificação

biométrica (1:1) e biográfica deste será submetida às Bases Oficiais Nacionais admitidas na ICP-Brasil.

§3º A verificação biométrica e biográfica realizada durante o processo de videoconferência deverá

observar critérios mínimos de aceitação e implementar travas sistêmicas, com base nos scores de

probabilidade retornados pelas Bases Oficiais Nacionais ou serviços integrados, como o Datavalid, que

considera que:

I - o processo para emissão do certificado deve prosseguir, em caso de probabilidade altíssima;

II - uma análise complementar por segundo agente especializado deve ser requerida, em caso de

probabilidade alta; ou

III - o processo deve ser redirecionado para emissão presencial, em caso de probabilidade

média.

§4º Caso o requerente não esteja cadastrado em Base Oficial Nacional, o processo de identificação por

videoconferência deverá ser interrompido pelo AGR, encaminhando-se o requerente para o processo de

emissão presencial.

§5º Concluindo a AR e a AC se tratar de tentativa de fraude, não deverá ser emitido o certificado digital

e a AC deve realizar o procedimento de comunicação de fraude ao ITI, descrito neste Regulamento.

Art. 40. No caso de certificado de pessoa jurídica, a identificação do responsável pelo certificado obriga

a confirmação da identificação da pessoa jurídica requerente, obrigatoriamente em formato eletrônico,

verificável por meio de barramento ou aplicações oficiais, conforme disposto neste Regulamento.

Parágrafo único. O AGR deve certificar-se de que as informações da pessoa jurídica constantes no

documento de identificação apresentado correspondem efetivamente à pessoa jurídica requerente a ser

identificada, bem como sobre a veracidade da informação contida no documento de identificação do

requerente, quando um documento de identificação for utilizado.

Art. 41. Caso não se verifiquem as condições técnicas necessárias à boa condução do processo de

identificação e cadastro ou de comprovação da identidade, nomeadamente nos casos de existência de

fraca qualidade de imagem, de condições deficientes de luminosidade ou som, ou de interrupções na

transmissão do vídeo, a videoconferência deverá ser interrompida e considerada sem efeito.

Art. 42. Durante a realização da videoconferência, deve ser enviado ao requerente um código de

verificação, único e descartável, do tipo OTP, por canal distinto da videoconferência, que assegure a

integral rastreabilidade do procedimento de identificação e a realização da videoconferência em tempo

real e sem pausas, gerado centralmente e enviado para o requerente por e-mail, SMS ou aplicativo móvel.

Parágrafo único. O procedimento de identificação só se considera completo após o requerente informar

o código de verificação, mencionado no caput, e realizada a confirmação desse código único pelo sistema.

Art. 43. Sempre que, durante a videoconferência, existam suspeitas quanto à veracidade dos elementos

de identificação, a videoconferência não produz os efeitos de comprovação dos elementos identificativos

a que se destina.

Art. 44. As ACs devem estabelecer e garantir que suas ARs cumpram controles adicionais para mitigação

de riscos no processo de emissão por videoconferência, compatíveis com o nível de risco identificado,

destinados a assegurar a integridade, a autenticidade e a confiabilidade do processo de identificação.

Parágrafo único. Em casos de alto risco, deverá ser realizada a etapa de verificação prevista no art. 9º

deste Regulamento.

Art. 45. O Agente de Registro deve receber treinamento específico e periódico que os capacite a realizar

identificação remota assistida, a aplicar os mecanismos de detecção de ataque de apresentação e a

identificar indícios de manipulação de mídia e imagem.

Parágrafo único. O Agente de Registro deverá ser avaliado quanto à sua capacidade de realizar a

identificação remota assistida.

CAPÍTULO IV

DO MÓDULO ELETRÔNICO DE AR

Art. 46. O Módulo Eletrônico de AR pode ser utilizado por:

I - AR dos órgãos gestores de pessoas, na emissão de certificados para:

a) servidores públicos federais da ativa e militares da União;

b) servidores públicos estaduais e do Distrito Federal da ativa, desde que as Unidades da

Federação possuam um Sistema de Gestão de Pessoal com individualização inequívoca e

eletrônica, e que identifiquem biometricamente os servidores pela base do TSE, PSBios ou base

oficial equivalente, com comprovação auditável desses cadastros; e

c) Empregados públicos federais de empresas estatais dependentes do orçamento público federal

para custeio de pessoal, desde que vinculados ao Sistema de Gestão de Pessoal da

Administração Pública Federal – SIGEPE;

II - AR de Bancos Múltiplos ou Caixa Econômica Federal;

III - as serventias extrajudiciais vinculadas a uma AR;

IV - ARs dos conselhos de classes profissionais regulamentados por lei específica e em

conformidade com a Lei nº 6.206, de 07 de maio de 1975;

V - ARs com acesso eletrônico às bases de dados das juntas comerciais, para solicitação de certificado

por meio do Balcão Único para Abertura de Empresas; e

VI - Órgão de Identificação ou Departamento de Trânsito - Detran dos Estados e do Distrito

Federal, para emissão conjunta com a Carteira de Identidade Nacional - CIN ou a Carteira Nacional

de Habilitação - CNH.

Art. 47. São requisitos e procedimentos comuns do Módulo Eletrônico de AR:

I - ser um sistema vinculado a uma AC credenciada pela ICP-Brasil;

II - possuir, de forma segura, registros de trilhas de auditoria;

III - ser auditado pelo ITI em procedimento pré-operacional;

IV - comunicar-se diretamente, utilizando protocolos de comunicação seguros, com os

sistemas determinados formalmente pelas entidades autorizadas a utilizar Módulo Eletrônico de

AR;

V - obter os dados para gerar a requisição do certificado à AC diretamente de seus respectivos

sistemas eletrônicos ou base de dados, sem que haja qualquer possibilidade de alteração desses;

VI - ter a requisição do certificado assinada por funcionário autorizado como Agente de

Registro devidamente cadastrado no sistema da AC, sendo a AC responsável por manter as

respectivas requisições para fins de auditoria e fiscalização pela AC Raiz;

VII - o requerente deverá ter sido biometricamente identificado e individualizado pela

respectiva base biométrica ou PSBio da ICP Brasil, com comprovação auditável do cadastro desses

requerentes por parte da AC;

VIII - as biometrias e dados biográficos utilizados deverão ser compartilhadas com a AC, que

deverá submetê-las ao PSBio para cadastramento e batimento biométrico (1:N), ou, caso o

responsável já se encontre cadastrado, para o batimento biométrico (1:1) junto à ICP-Brasil;

IX - em qualquer hipótese, deve ser realizada a consulta à Lista Negativa do PSBio, devendo

proceder conforme regulamentado para as situações em que haja conflito de identificação

biométrica detectada pelo PSBio ou ocorrência de registro na Lista Negativa; e

X - possuir listas atualizadas com os nomes e CPF dos funcionários autorizados como Agentes de

Registro a verificar as informações de solicitações de certificados por titulares.

§1º Os autorizadores, conforme mencionado no inciso X do caput, serão formalmente designados por

instrumento próprio.

§2º No caso de impossibilidade da autenticação biométrica por qualquer das formas previstas, deverá

ser realizada a identificação biométrica do responsável por meio do cadastramento biométrico (1:N) junto

ao PSBio credenciado, conforme as normas vigentes da ICP-Brasil.

Art. 48. Para as ARs que utilizam exclusivamente Módulo Eletrônico de AR nas emissões de certificados,

ficam dispensados os requisitos dispostos na Instrução Normativa ITI nº 10, de 22 de outubro de 2020,

que define as características mínimas de segurança para as ARs da ICP-Brasil.

Procedimentos Específicos

Art. 49. Caso a solicitação de certificado seja realizada por meio do Balcão Único para Abertura de

Empresas, as ARs com acesso eletrônico às bases de dados das juntas comerciais deverão observar o

seguinte:

I - o responsável pelo uso do certificado de selo eletrônico deverá ser autenticado por meio de

certificado digital de pessoa física ICP-Brasil válido ou por meio de batimento biométrico (1:1) em

PSBio credenciado na ICP-Brasil, na base biométrica oficial do TSE ou em outra base biométrica

oficial da União, dos Estados ou do Distrito Federal, com comprovação auditável desse processo

de autenticação biométrica por parte da AC; e

II - o indivíduo identificado ou autenticado pelo Módulo Eletrônico de AR deverá ser representante

legal da pessoa jurídica titular do certificado, conforme conste no registro de abertura de empresa

concomitante com a solicitação do respectivo certificado.

Parágrafo único. A comprovação auditável mencionada no inciso I, do caput, poderá ser realizada pelo

CPF ou outro indexador viável entre os sistemas.

Art. 50. Caso a solicitação de certificado a ser emitido em conjunto com a Carteira de Identidade Nacional

– CIN ou a Carteira Nacional de Habilitação – CNH, deverão ser observados os seguintes requisitos:

I - a pessoa física titular do certificado deverá ter sido biometricamente identificada e individualizada

na base biométrica do órgão responsável pela emissão da Carteira de Identidade Nacional – CIN

ou da Carteira Nacional de Habilitação – CNH, conforme o caso, bem como ter dado

consentimento expresso e específico para o compartilhamento com as entidades da ICP-Brasil dos

dados biométricos e biográficos necessários para a identificação, cadastro e emissão do certificado

digital; e

II - a AC contratada somente poderá emitir o certificado digital na modalidade em Prestador de

Serviço de Confiança – PSC de armazenamento de chaves criptográficas e a habilitação do uso de

chaves somente poderá ocorrer após o batimento biométrico (1:1) ou após conclusão do

cadastramento biométrico.

Parágrafo único. A individualização na base biométrica, mencionada no inciso I, do caput, poderá ser

realizada pelo CPF ou outro indexador viável entre os sistemas.

CAPÍTULO V

DA AR ELETRÔNICA

Art. 51. A emissão por AR Eletrônica é restrita a certificado de pessoa física e deve utilizar canal eletrônico

automatizado e sem intervenção humana, baseando-se na validação biométrica em bases reconhecidas

pela ICP-Brasil.

Art. 52. A emissão de certificado na modalidade AR Eletrônica é restrita à Autoridade Certificadora com

instalações operacionais, recursos de segurança lógica e de pessoas compatíveis com a atividade de

certificação.

Art. 53. A emissão por AR Eletrônica deve ser realizada exclusivamente por meio de dispositivo móvel,

com aplicativo (APP) guiado da AC dotado de mecanismos de segurança que garantam, autenticidade,

integridade e confidencialidade das informações capturadas.

Art. 54. O início da operação na modalidade AR Eletrônica está condicionado à autorização pelo ITI, que

verificará a disponibilização do aplicativo da AC nas respectivas plataformas de distribuição dos

provedores de sistemas operacionais de dispositivos móveis.

Art. 55. A chave privada do certificado digital emitido por meio de AR Eletrônica deverá ser gerada e

mantida por Prestador de Serviço de Confiança – PSC.

Art. 56. É vedada a emissão de certificado na modalidade de AR Eletrônica para Pessoas Expostas

Politicamente – PEP ou autoridades do Poder Judiciário e do Ministério Público.

Requisitos e procedimentos para emissão por AR Eletrônica

Art. 57. O aplicativo guiado da AC deve:

I - preservar a integridade e a confidencialidade da comunicação entre o APP e sistemas da AC por

meio da utilização de sessões protegidas com criptografia “ponta-a-ponta”;

II - verificar a sua integridade e a do seu ambiente de execução, garantindo que o dispositivo utilizado

pelo requerente esteja íntegro, sem indícios de desbloqueio de privilégios administrativos do

sistema operacional, devendo tal condição ser verificada por mecanismos técnicos automáticos;

III - garantir que a identidade do dispositivo móvel do requerente seja única, imutável e

atestada por elemento identificador de hardware;

IV - possibilitar a captura em tempo real de imagens;

V - possibilitar a captura da fotografia do documento identificação físico;

VI - possibilitar a captura das biometrias facial e de impressão digital ou ambas;

VII - permitir a detecção obrigatória de vivacidade (liveness) do requerente para minimizar

manipulação de rosto e voz em montagens de vídeo conhecidas como “deepfake”, com o emprego

de meios de detecção de ataque de apresentação para garantir que a biometria utilizada para a

identificação seja de uma pessoa viva presente no momento da prova de identidade e que não se

trata de um fraudador;

VIII - aplicar meios de prevenção e detecção de ataques de injeção biométrica para assegurar

que nem o requerente nem um atacante externo possam injetar, de forma indetectável, um fluxo

de vídeo previamente gravado ou artificialmente gerado; e

IX - ser testada periodicamente por entidades independentes, de modo a avaliar o

desempenho e efetividade das tecnologias de detecção de ataque de apresentação.

Parágrafo único. Na impossibilidade de realização de detecção de vivacidade, conforme disposto no inciso

VII, do caput, o requerente deve ser direcionado para outra modalidade de emissão de certificado, por

meio da qual seja possível a coleta da biometria da impressão digital.

Art. 58. O processo de emissão por AR Eletrônica deve compreender, no mínimo:

I - a autorização expressa do requerente para todo o processo de identificação, incluindo a captura

de fotografias, imagens, documentos de identificação, a submissão de verificação biométrica e a

inclusão de todas as informações e arquivos em dossiê eletrônico do titular do certificado.

II - a validação automática do documento de identificação físico em aplicativos e bases oficiais;

III - o batimento biométrico positivo em base de dados da Carteira Nacional de Identidade –

CIN, da Identificação Civil Nacional – ICN ou da Infraestrutura Pública Digital – IPD de Identificação

Civil;

IV - a observância dos critérios mínimos de aceitação da verificação biométrica e biográfica,

nos termos do §3º do art. 39 deste Regulamento, admitindo-se exclusivamente o conceito

equivalente à altíssima probabilidade; e

V - o batimento negativo na lista negativa do PSBio.

§1º Para os documentos mencionados no inciso II do caput, que contenham tecnologias verificáveis,

como QR Code, MRZ, NFC, Chip ou similares, a validação do código ou tecnologia embarcada deverá ser

realizada por meio de leitura automatizada.

§2º O batimento biométrico de que trata o inciso III do caput pode ser substituído pelo batimento positivo

na base de dados da Carteira Nacional de Habilitação, por meio do Datavalid, combinado com o batimento

biométrico positivo no PSBio, até que uma das bases de dados nele previstas esteja disponível em âmbito

nacional.

§3º Quando a identificação do requerente, na modalidade AR Eletrônica, for realizada com a leitura e

verificação automatizada dos dados biográficos e biométricos obtidos do Passaporte Eletrônico Brasileiro,

ficam dispensados os incisos II e III do caput.

Art. 59. Todo o processo referente à emissão por AR Eletrônica deverá ser encadeado, assinado

digitalmente, armazenado em repositório seguro e auditável.

CAPÍTULO VI

DA COMUNICAÇÃO DE OCORRÊNCIA DE FRAUDE OU INDÍCIO

Art. 60. Quando a AR ou a AC concluir ter ocorrido fraude ou tentativa de fraude na identificação

biométrica e na emissão de certificados digitais, deve comunicar tal fato ao ITI, mediante o procedimento

descrito neste Capítulo e a prestação de informações constantes no adendo Métodos de Interface do

Serviço de Lista Negativa (ADE-ICP-05.02.B), disponível no site do ITI.

Art. 61. A comunicação de fraude ou tentativa de fraude deve ser realizada por meio do preenchimento

de campos obrigatórios e opcionais, dispostos na interface do sistema de comunicação de fraude da AC,

determinado no método descrito no adendo referente aos Métodos de Interface do Serviço de Lista

Negativa.

§1º No momento do preenchimento dos campos na interface do sistema de comunicação de fraude,

poderá ser requerido o upload de imagens específicas dos supostos fraudadores.

§2º As impressões digitais e a face devem ser enviadas pela AC ou PSS ao seu Sistema Biométrico para

inserção dessas biometrias no respectivo repositório de Lista Negativa biométrica.

§3º As informações prestadas durante o preenchimento dos campos referentes às características dos

supostos fraudadores devem retratá-los o mais fidedignamente possível.

§4º As informações mencionadas no §3º serão utilizadas posteriormente por todas as ACs para as

pesquisas por características físicas na Lista Negativa da AC, sendo fundamental que estejam corretas

para que se tornem eficientes.

Art. 62. Após o preenchimento dos campos do comunicado e upload das imagens, deve-se fazer uma

verificação de todas as informações inseridas e, caso estejam corretas, deve ser enviado o comunicado

ao ITI, conforme descrito no ADE-ICP-05.02.B.

Art. 63. Qualquer cancelamento de fraude, feito pelas ACs por processos de auditoria e análise detalhada,

deve ser enviado ao endereço de correio eletrônico comunicafraude@iti.gov.br com a descrição

detalhada dos motivos do cancelamento.

Art. 64. A AC emissora do certificado digital deve notificar, ou cuidar para que se notifique a ocorrência

de fraude à autoridade policial competente mais próxima do ocorrido.

Art. 65. Após o registro na Lista Negativa, o dossiê de emissão do certificado, os dossiês dos AGRs que

atuaram na identificação do requerente e a cópia do Boletim de Ocorrência devem ser encaminhados ao

ITI, aos cuidados da Diretoria de Auditoria, Fiscalização e Normalização – DAFN.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 66. As ACs devem realizar a pós-verificação dos certificados emitidos, de forma aleatória e distribuída

entre os tipos de emissão e os tipos de certificados.

Art. 67. Todos os Prestadores de Serviços de Certificação – PSCert que tiverem acesso aos dados do

requerente devem cumprir todas as disposições legais relativas à Lei Geral de Proteção de Dados - LGPD.

Art. 68. A atualização biométrica prevista no § 3º do art. 25 deste Regulamento torna-se obrigatória após

90 (noventa) dias da entrada em vigor desta Instrução Normativa.

Art. 69. Os mecanismos de segurança referentes à videoconferência, previstos nos incisos II e III do §1º

do art. 37 deste Regulamento, passam a ser exigíveis após 90 (noventa) dias da entrada em vigor desta

Instrução Normativa.

Art. 70. A utilização de documento físico na emissão por videoconferência, nos termos dos incisos I e III

do art. 38 deste Regulamento, passa a ser obrigatória após 90 (noventa) dias da entrada em vigor desta

Instrução Normativa.

Art. 71. As entidades da ICP-Brasil devem atualizar suas Declarações de Práticas de Certificação – DPCs e

Políticas de Certificados – PCs, em conformidade com a Instrução Normativa nº 03, de 3 de abril de 2020,

no prazo de até 60 (sessenta) dias, contados da entrada em vigor desta Instrução Normativa.

Art. 72. Ficam revogados:

I - a Instrução Normativa ITI nº 16, de 17 de novembro de 2020;

II - o artigo 1º da Instrução Normativa ITI nº 05, de 22 de fevereiro de 2021;

III - os incisos I e II do artigo 4º da Instrução Normativa ITI nº 05, de 22 de fevereiro de 2021; e

IV - a Instrução Normativa ITI nº 23, de 23 de março de 2022.

Art. 73. Esta Instrução Normativa entra em vigor em 05 de maio de 2026.

ENYLSON FLAVIO MARTINEZ CAMOLESI