Síntese executiva

IN ITI 36 + 37/2026: O Que Muda para as ARs e Checklist dos Próximos 60 e 90 Dias

Por · · Atualizado em · 16 min de leitura
Resumo executivo

As instruções normativas IN ITI 35, 36 e 37/2026, publicadas no DOU em 04/05/2026 e em vigor desde 05/05/2026, mudaram em definitivo o regulamento da AR Eletrônica na ICP-Brasil. Para Autoridades de Registro, dois prazos são críticos: 60 dias para adequação documental de DPCs/PCs (final 04/07/2026) e 90 dias para travas técnicas antifraude (final 05/08/2026). Mudanças-chave: 4 Bases Oficiais Nacionais taxativas (CIN, ICN/TSE, CNH/Senatran, IPD/SGD) — PSBio não é Base Oficial; AR Eletrônica vedada para PEPs, magistrados, MP e Tribunal de Contas; e-mail OTP único por CPF; videoconferência em 3 fases obrigatória; biometria renovada a cada 5 anos; DataValid obrigatório em 100% das emissões; NFIQ 2.0 ≥ 70, FAR 0,01%, deduplicação semestral. Responsabilidade solidária AR + AC + AGR + titular. A DPN atualizada é o primeiro instrumento jurídico de defesa em auditoria. Este artigo entrega o checklist operacional em 3 blocos (jurídico, técnico, organizacional) e a sequência recomendada de 13 semanas para cumprir ambos os prazos.

Status oficial — INs em vigor

IN ITI 35/2026 (cripto pós-quântica), IN ITI 36/2026 (AR Eletrônica e match biométrico) e IN ITI 37/2026 (qualidade biométrica) foram publicadas no DOU em 04/05/2026 e estão em vigor desde 05/05/2026. Os prazos para adequação começam a contar da publicação — 04/07/2026 (DPC) e 05/08/2026 (técnico).

Em 04 de maio de 2026 o Instituto Nacional de Tecnologia da Informação (ITI) publicou no Diário Oficial da União, no mesmo dia, três instruções normativas que em conjunto reescreveram o regramento da ICP-Brasil pela primeira vez em uma década. As IN ITI 35, 36 e 37/2026 entraram em vigor no dia seguinte e instalaram dois relógios para todas as Autoridades de Registro do país: um de 60 dias para adequar a documentação oficial (DPCs e PCs) e outro de 90 dias para implementar as travas técnicas antifraude. Os relogios já estão rodando.

Este artigo é uma síntese executiva e prática para ARs e AGRs que precisam transformar o conteúdo das três normas em ação operacional. Sem rodeios, sem teoria desnecessária. Três blocos de checklist (jurídico, técnico, organizacional) e a sequência recomendada de 13 semanas para fechar tudo antes dos prazos.

Contexto: o que cada IN faz

Antes do checklist, vale ter clareza sobre o que cada uma das três normas trata. São complementares e devem ser lidas em conjunto:

  • IN ITI 35/2026 — introduz cripto-agilidade e a transição para algoritmos pós-quânticos (ML-DSA, ML-KEM) no ecossistema ICP-Brasil. Impacto mais distante para a operação diária das ARs, mas reforce a comunicação de roadmap;
  • IN ITI 36/2026 — o regulamento oficial da AR Eletrônica. Define as 4 Bases Oficiais Nacionais, regulamenta o match biométrico obrigatório, normatiza a videoconferência em 3 fases e estabelece vedações por categoria de titular. É a IN que mais exige ação no curto prazo. Veja a análise completa do regulamento;
  • IN ITI 37/2026 — cuida especificamente da qualidade biométrica: NFIQ 2.0 ≥ 70, FAR de 0,01%, TAR mínimo de 99,0% (e 99,4% em rotinas específicas), deduplicação semestral das bases biométricas.

O foco operacional deste guia está nas INs 36 e 37, que têm prazos curtos e impacto direto na operação diária das ARs.

Os dois prazos críticos

A IN ITI 36/2026 estabelece dois prazos distintos contados da data de publicação no DOU (04/05/2026):

Prazo 1 — 60 dias (até 04/07/2026): adequação documental

Reescrita integral de DPCs (Declarações de Práticas de Certificação) e PCs (Políticas de Certificação) para refletir:

  • As 4 Bases Oficiais Nacionais do Art. 5º
  • Vedações por categoria de titular (PEPs, magistrados, MP, Tribunal de Contas)
  • Procedimento de e-mail OTP único por CPF
  • Processo de videoconferência em 3 fases
  • Política de renovação biométrica quinquenal
  • Lista de documentos aceitos e rejeitados
  • Procedimento de tratamento para PJs Inaptas e Suspensas (lacuna normativa — interpretação conservadora)

Aparentemente jurídico, mas tem implicações contratuais: contratos com AGRs, fornecedores e clientes precisam ser revisados para refletir a responsabilidade solidária.

Prazo 2 — 90 dias (até 05/08/2026): travas técnicas e antifraude

Implementação efetiva, no ambiente técnico da AR, de:

  • Match biométrico 1:1 obrigatório em 100% das emissões
  • Liveness detection 3D contra fraudes de deepfake (conexão com IN 37)
  • Integração com DataValid em todas as emissões
  • Armazenamento e auditoria das gravações de videoconferência
  • Trava no sistema para bloquear emissão quando perfil for vedado
  • Arquitetura de renovação biométrica quinquenal nos sistemas

Este é o prazo mais crítico operacionalmente. Exige integrações de API, atualização de sistemas core, testes de segurança e treinamento de AGRs. Quem não começou já, está atrasado.

As mudanças principais que afetam a operação diária

As 4 Bases Oficiais Nacionais (Art. 5º)

O Art. 5º da IN ITI 36/2026 lista taxativamente as 4 Bases Oficiais Nacionais que podem ser usadas como fonte primária pela AR Eletrônica:

  1. CIN — Carteira de Identidade Nacional (RIC/Receita Federal)
  2. ICN — Identificação Civil Nacional (Tribunal Superior Eleitoral)
  3. CNH — Carteira Nacional de Habilitação (Senatran)
  4. IPD — Identidade Profissional Digital (SGD — Secretaria de Governo Digital)

Atenção: a PSBio (Plataforma de Serviços Biométricos) não é Base Oficial Nacional. É base auxiliar válida, mas não substitui as 4 Bases do Art. 5º. O passaporte eletrônico está tratado em rota alternativa do Art. 58 §3º.

Vedação por categoria de titular

Mesmo possuindo passaporte, CIN ou CNH, estão vedados de emitir certificado digital via AR Eletrônica:

  • PEPs — Pessoas Politicamente Expostas (definição do COAF/Lei 9.613/1998)
  • Magistrados — juízes de todas as instâncias
  • Membros do Ministério Público
  • Membros do Tribunal de Contas (União, Estados e Municípios)

Esses titulares seguem emitindo presencialmente em AR física. Para ARs com base relevante de clientes políticos ou Judiciário/MP, isso significa manter ou reforçar pontos de atendimento presencial.

Documentos rejeitados

Documentos que não podem ser aceitos em nenhuma hipótese de emissão:

  • Documentos vencidos (CNH, RG, passaporte expirados)
  • Documentos deteriorados (rasgados, ilegiveis, sem foto reconhecível)
  • e-Título com tarja "NÃO É VÁLIDO PARA IDENTIFICAÇÃO CIVIL"

PF analfabeta exige assinatura a rogo presencial obrigatoriamente — não pode ser emitido via AR Eletrônica.

PJs por situação cadastral

  • Ativa — permitida
  • Inapta — lacuna normativa (interpretação conservadora recomendada)
  • Suspensa — lacuna normativa (interpretação conservadora recomendada)
  • Baixadavedada
  • Nulavedada

E-mail OTP único por CPF

Regra de 1 e-mail = 1 CPF para fins de OTP. Acaba a prática de contadores e escritorios usarem o próprio e-mail para receber códigos OTP de múltiplos clientes. Mudança operacional relevante para escritorios contábeis e para o atendimento da AR.

Videoconferência em 3 fases obrigatórias

  1. Pré-call — upload do documento de identidade pelo titular antes da chamada
  2. Call ao vivo — AGR confere documento físico em videoconferência gravada
  3. Match biométrico 1:1 — comparação facial com biometria das Bases Oficiais via DataValid

DataValid agora é obrigatório em 100% das emissões (antes era "fortemente recomendado"). Mudança operacional significativa: ARs que ainda não tinham integração ativa com DataValid precisam contratar e ativar imediatamente.

Biometria renovada a cada 5 anos

O §2º do Art. 60 da IN ITI 36/2026 institui renovação biométrica quinquenal obrigatória. Aplica-se a AR Eletrônica e AR Presencial. Conexão direta com a IN 37/2026 (deduplicação semestral nas bases biométricas).

Qualidade biométrica (IN 37/2026)

Padrões técnicos obrigatórios:

  • NFIQ 2.0 (NIST Fingerprint Image Quality) ≥ 70
  • FAR (False Acceptance Rate) ≤ 0,01% — máximo 1 em 10.000
  • TAR (True Acceptance Rate) ≥ 99,0% (padrão) e 99,4% (alta segurança)
  • Deduplicação semestral obrigatória nas bases biométricas

Checklist Bloco 1 — Jurídico-Documental (prazo 60 dias / 04/07/2026)

  1. Reescrever DPC/PC integralmente refletindo as 9 mudanças listadas acima
  2. Documentar vedações para PEPs/Judiciário/MP/TC com base legal expressa
  3. Atualizar DPN (Declaração de Práticas de Negócio) com novos processos e responsabilidades
  4. Revisar contratos com AGRs — refletir responsabilidade solidaria
  5. Revisar contratos com fornecedores — DataValid, ferramenta de videoconferência, OCR, antifraude
  6. Revisar política de cookies e LGPD em todos os ambientes do CNPJ — não só na operação de AR (auditorias do ITI/AC/ANPD alcançam atendimento, marketing, vendas e RH)
  7. Atualizar manual interno do AGR com procedimentos de análise documental e categorias vedadas
  8. Submeter DPC atualizada à AC vinculada até 04/07/2026

Checklist Bloco 2 — Técnico (prazo 90 dias / 05/08/2026)

  1. Integrar DataValid para match biométrico 1:1 em 100% das emissões
  2. Implementar liveness detection 3D obrigatório em todo fluxo de videoconferência
  3. Configurar e-mail único por CPF no sistema de OTP, com validação de unicidade
  4. Configurar videoconferência em 3 fases com gravação e armazenamento audível
  5. Implementar trava por categoria de titular bloqueando emissão para PEPs/magistrados/MP/TC
  6. Implementar validação de status PJ — bloquear Baixada/Nula, sinalizar Inapta/Suspensa para revisão humana
  7. Implementar validação documental automática — rejeitar vencidos, deteriorados, e-Título com tarja
  8. Configurar arquitetura de renovação biométrica quinquenal com alertas automáticos
  9. Implementar validação NFIQ 2.0 ≥ 70 na captura biométrica
  10. Configurar deduplicação semestral da base biométrica com relatório auditável
  11. Validar conformidade FAR/TAR com fornecedor de tecnologia biométrica

Checklist Bloco 3 — Organizacional (contínuo)

  1. Treinar AGRs nas novas regras de análise documental e procedimento da videoconferência em 3 fases
  2. Treinar equipe de atendimento para esclarecer publico de que perfis não podem usar AR Eletrônica
  3. Reorganizar fluxo com contadores parceiros — novo modelo de e-mail único por CPF
  4. Reforçar pontos de atendimento presencial para perfis vedados (oportunidade de negócio de ticket médio elevado)
  5. Criar central de comunicação com clientes existentes sobre as mudanças (e-mail, blog, redes sociais)
  6. Indicar DPO e revisar o programa de privacidade da PJ inteira

Sequência recomendada de 13 semanas

Conta-se a partir de hoje (segunda quinzena de maio/2026). Quem ainda não começou, este é o cronograma ideal:

  • Semana 1-2 (19/05 a 02/06): leitura técnica da IN 36 e 37 + mapeamento de gaps no sistema atual. Reunião de kickoff com equipes jurídica e técnica;
  • Semana 3-4 (02/06 a 16/06): contratação ou alocação de equipe jurídica externa para reescrita de DPC/PC + equipe técnica para integração DataValid + liveness 3D;
  • Semana 5-6 (16/06 a 30/06): rascunho final da nova DPC + prova de conceito da integração técnica em ambiente de homologação;
  • Semana 7 (30/06 a 07/07): validação interna + ajustes finais + submissão de DPC atualizada à AC vinculada (prazo final 04/07/2026 — este é o limite);
  • Semana 8-10 (07/07 a 28/07): implementação técnica em produção, treinamento intensivo de AGRs e atendimento;
  • Semana 11-12 (28/07 a 05/08): testes finais de segurança, ajustes, hardening + deploy das travas técnicas em produção (prazo final 05/08/2026 — este é o limite);
  • Semana 13+ (05/08 em diante): operação em conformidade total + auditoria interna mensal + comunicação ao mercado.

Quem está começando agora ainda dá tempo, mas não tem folga. Quem ainda não começou em junho, perde o prazo de 04/07/2026.

A responsabilidade solidária: por que a DPN bem-feita é defesa jurídica

A IN ITI 36/2026 reafirma o conceito de responsabilidade solidária no ecossistema ICP-Brasil. Em uma fraude ou falha:

  • Titular responde pelos atos praticados com seu certificado
  • AGR responde pelo ato de validar a identidade
  • AR responde pela conduta do AGR e pela integridade do processo
  • AC vinculada responde pela conformidade da AR habilitada

A DPN (Declaração de Práticas de Negócio) atualizada e fiel ao processo executado é o primeiro instrumento jurídico de defesa em auditoria ou ação judicial. Se a DPN está alinhada com as INs vigentes e reflete exatamente o que a AR pratica, você tem o suporte de defesa documentado. Se não, fica vulnerável.

Riscos de não cumprir os prazos

Três tipos de risco:

Risco regulatório

Fiscalização do ITI e da AC vinculada pode resultar em advertência, suspensão temporária de atividades ou descredenciamento da AR. ARs são credenciadas, não auto-reguladas — falhas estruturais são reportadas e têm consequência direta no credenciamento.

Risco civil e penal (através da responsabilidade solidária)

Em ambiente de responsabilidade solidária, AR + AC + AGR + titular respondem conjuntamente em caso de fraude. Uma DPN/DPC desatualizada deixa a AR vulnerável em qualquer litigio.

Risco comercial

ARs que cumprirem antes do prazo capturam diferencial competitivo — podem comunicar conformidade ao mercado, capturar contas que migram de ARs não-conformes, e participar do crescimento da AR Eletrônica. ARs que atrasarem perdem janela de mercado e podem ter restrições temporárias de emissão aplicadas pela AC vinculada.

LGPD no CNPJ inteiro — a pegadinha

Vale repetir o alerta da Dra. Gisele Strey (AARB) no 7º Encontr[AR] — veja a cobertura completa: a LGPD obriga compliance em todos os fluxos de dados pessoais da pessoa jurídica, não apenas no escopo da operação de AR. Muitas ARs tratam LGPD só no processo de emissão, deixando descobertos atendimento, marketing, vendas e RH. Auditorias do ITI, da AC vinculada e da ANPD podem alcançar todos os ambientes operacionais do CNPJ — não só o sistema de emissão.

O prazo de 60 dias para reescrita de DPCs é também oportunidade para profissionalizar a governança de privacidade da empresa inteira.

Quem está começando na frente sai na frente

Três sinais de mercado estão emergindo:

  1. Algumas ARs começaram em janeiro de 2026 — ou seja, antes mesmo da publicação final das INs. Essas estarão em operação conforme em junho/julho;
  2. Mercado de fornecedores técnicos está aquecido — integradores de DataValid, liveness e videoconferência estão com agenda lotada. Quem precisa contratar agora vai pagar premium ou esperar fila;
  3. Profissionais especializados em DPCs ICP-Brasil estão sendo disputados — advogados especialistas em normas do ITI têm agenda escassa entre maio e julho.

A janela de 60-90 dias é suficiente para quem começar agora com prioridade. Quem deixar para junho/julho corre risco real de não entregar.

Conclusão

As IN ITI 36 e 37/2026 não são reformas cosméticas. São reescrita estrutural do regramento da ICP-Brasil. Para ARs, significam reescrever DPCs, implementar travas técnicas, treinar equipes, reorganizar fluxos com contadores e reforçar a operação presencial para perfis vedados — tudo em 60 a 90 dias.

O bom: existe um caminho claro. O checklist desta síntese cobre os 3 blocos (jurídico, técnico, organizacional) e a sequência de 13 semanas garante o cumprimento dos dois prazos. Quem seguir, chega bem.

O Selo Eletrônico, junto com o Certificado Campinas e demais empresas do Grupo Meta ID, estão adequando operações em paralelo com este cronograma. Quando ARs e parceiros estão alinhados no mesmo prazo, a transição flui com menos atrito — e a janela de oportunidade da AR Eletrônica abre cedo para quem se preparou.

Para aprofundamento, consulte a análise artigo por artigo da IN ITI 36/2026 e a síntese jurídica das 3 INs pela Dra. Gisele Strey no 7º Encontr[AR] da AARB.

Perguntas frequentes

Qual o prazo final para ARs adequarem suas DPCs à IN ITI 36/2026?

04 de julho de 2026 — 60 dias contados da publicação em 04/05/2026. DPCs e PCs precisam ser integralmente atualizadas com 4 Bases Oficiais Nacionais, vedações, e-mail OTP único, videoconferência 3 fases, biometria 5 anos e lista de documentos rejeitados.

Qual o prazo final para implementar as travas técnicas?

05 de agosto de 2026 — 90 dias contados de 04/05/2026. Inclui match biométrico 1:1 em 100% das emissões via DataValid, liveness 3D, gravação de videoconferência auditavel, trava por categoria de titular, e arquitetura de renovação biométrica quinquenal.

Quais são as 4 Bases Oficiais Nacionais?

Art. 5º IN ITI 36/2026: (1) CIN; (2) ICN/TSE; (3) CNH/Senatran; (4) IPD/SGD. PSBio não é Base Oficial — é base auxiliar válida. Passaporte é rota alternativa Art. 58 §3º.

Quem está vedado de usar AR Eletrônica?

PEPs (Pessoas Politicamente Expostas), magistrados, membros do Ministério Público e do Tribunal de Contas — mesmo com passaporte, CIN ou CNH. Seguem emitindo presencialmente em AR física.

Que documentos não podem mais ser aceitos?

Vencidos, deteriorados (rasgados/ilegiveis), e-Título com tarja "NÃO É VÁLIDO PARA IDENTIFICAÇÃO CIVIL". PF analfabeta exige assinatura a rogo presencial obrigatória. PJs Baixada e Nula vedadas; Inapta e Suspensa em lacuna normativa.

Como funciona o e-mail OTP único por CPF?

1 e-mail = 1 CPF. Acaba a prática de contadores receberem OTPs de múltiplos clientes no próprio e-mail. Cada CPF cadastra um e-mail único para receber o código de validação.

Quais são as 3 fases da videoconferência obrigatória?

(1) Pré-call — upload do documento; (2) Call ao vivo — AGR confere documento físico em videô-conferência gravada; (3) Match biométrico 1:1 — comparação facial com biometria das 4 Bases via DataValid (agora obrigatório em 100% das emissões).

O que muda na qualidade biométrica com a IN 37/2026?

NFIQ 2.0 ≥ 70, FAR 0,01%, TAR ≥ 99,0% padrão / 99,4% alta segurança, deduplicação semestral obrigatória. Biometria precisa ser renovada a cada 5 anos (§2º Art. 60 IN 36).

Qual a sequência recomendada para cumprir os prazos?

13 semanas: 1-2 (mapeamento), 3-4 (contratação equipe), 5-6 (rascunho DPC + POC técnico), 7 (submissão DPC à AC até 04/07), 8-10 (implementação + treinamento), 11-12 (deploy travas até 05/08), 13+ (operação conforme).

O que acontece se a AR não cumprir os prazos?

Risco regulatório (advertência, suspensão, descredenciamento), risco civil (responsabilidade solidária em caso de fraude — AR + AC + AGR respondem juntos), risco comercial (perde janela de mercado da AR Eletrônica). DPN atualizada é o primeiro instrumento jurídico de defesa.

Leandro Albertini

Leandro Albertini

Empresário e fundador do Selo Eletrônico e do Certificado Campinas. Atua com certificação digital ICP-Brasil desde 2016, com mais de 100.000 emissões realizadas e 11.020 avaliações no Google.

LinkedIn Site