A recém-publicada Instrução Normativa ITI 35/2026 altera definitivamente o cenário da segurança digital no Brasil ao atualizar os padrões criptográficos da ICP-Brasil para a versão 6.0, incorporando algoritmos resistentes à computação quântica. Mais do que uma atualização técnica, a norma formaliza o Selo Eletrônico no arcabouço regulatório nacional, garantindo que a nova identidade digital corporativa brasileira nasça blindada contra as ameaças cibernéticas do futuro.
Neste artigo técnico, vamos detalhar o que muda com a nova regulamentação do Instituto Nacional de Tecnologia da Informação (ITI), como os novos algoritmos funcionam na prática e por que a transição da atual cadeia V5 para a futura cadeia V12 representa o maior salto de segurança da história da certificação digital brasileira.
O que é o Q-Day e a ameaça à criptografia atual (A Cadeia V5)
Para compreender a magnitude da IN ITI 35/2026, é preciso primeiro entender o problema que ela resolve. Atualmente, a infraestrutura de chaves públicas em todo o mundo, incluindo a cadeia V5 da ICP-Brasil (vigente até março de 2029), baseia-se em algoritmos matemáticos assimétricos, majoritariamente o RSA (Rivest-Shamir-Adleman) e o ECC (Elliptic Curve Cryptography).
Esses algoritmos protegem desde o seu e-CNPJ A1 ou A3 até transações bancárias e comunicações militares. Eles funcionam sob uma premissa simples: a fatoração de números primos gigantescos ou o cálculo de curvas elípticas são tarefas fáceis de verificar, mas praticamente impossíveis de reverter usando computadores clássicos. Um supercomputador tradicional levaria milhões de anos para quebrar uma chave RSA de 2048 bits.
No entanto, a computação quântica muda as regras da física e da matemática aplicadas à tecnologia. O chamado "Q-Day" (Quantum Day) é o termo utilizado pela comunidade de segurança da informação para designar o momento em que um computador quântico criptograficamente relevante (CRQC) terá poder de processamento suficiente para executar o Algoritmo de Shor, quebrando instantaneamente o RSA e o ECC.
O risco imediato para as empresas não está apenas no futuro, mas no presente, através de uma tática conhecida como Harvest Now, Decrypt Later (HNDL — Colha Agora, Decifre Depois):
- Interceptação silenciosa: cibercriminosos e atores estatais já estão roubando e armazenando petabytes de dados corporativos criptografados hoje.
- Armazenamento de longo prazo: esses dados são guardados em servidores clandestinos, mesmo que não possam ser lidos no momento.
- Quebra futura: assim que a tecnologia quântica atingir a maturidade (o Q-Day), esses dados serão descriptografados, expondo segredos industriais, contratos assinados e dados fiscais.
É exatamente para mitigar esse risco de longo prazo que o ITI e a ICP-Brasil precisaram agir com antecedência, preparando o terreno para a cadeia-v5-vs-v12.
A Instrução Normativa ITI 35/2026 e a Versão 6.0
Publicada em março de 2026, a IN ITI 35/2026 estabelece os novos Padrões e Algoritmos Criptográficos da ICP-Brasil, inaugurando a versão 6.0 do documento técnico. A grande inovação desta norma é a adoção oficial dos algoritmos padronizados pelo NIST (National Institute of Standards and Technology dos EUA) para a era pós-quântica.
A norma introduz dois pilares fundamentais de criptografia baseada em reticulados (Lattice-based cryptography), uma área da matemática que até mesmo computadores quânticos têm extrema dificuldade em resolver.
1. ML-DSA (Module-Lattice-Based Digital Signature Algorithm)
O ML-DSA (anteriormente conhecido no meio acadêmico como CRYSTALS-Dilithium) é o novo padrão primário para assinaturas digitais. Na prática da certificação digital, é este algoritmo que garantirá a autoria, a integridade e o não-repúdio de um documento assinado digitalmente.
Quando uma empresa utilizar um Selo Eletrônico para assinar uma nota fiscal ou um contrato a partir da implementação da V12, a assinatura gerada utilizará o ML-DSA. Isso garante que, mesmo que um computador quântico tente forjar a assinatura da sua empresa no futuro, a matemática dos reticulados impedirá a fraude.
2. ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism)
O ML-KEM (anteriormente CRYSTALS-Kyber) é o algoritmo focado no estabelecimento de chaves seguras e no encapsulamento. Ele é utilizado para proteger a troca de informações confidenciais pela internet.
Para ilustrar o alinhamento global desta tecnologia, o Google já iniciou testes em larga escala com algoritmos baseados na mesma família do ML-KEM (como o X25519Kyber768) em seu navegador Chrome. A IN ITI 35/2026 coloca a infraestrutura brasileira exatamente no mesmo patamar de inovação das gigantes globais de tecnologia, algo amplamente discutido em fóruns internacionais como a RSAC 2026.
O Selo Eletrônico: a identidade que já nasce pós-quântica
A introdução da criptografia pós-quântica coincide com a maior reformulação estrutural da ICP-Brasil: a transição da cadeia V5 para a cadeia V12, prevista para emissão a partir de março de 2029.
Hoje, na cadeia V5, as empresas utilizam o e-CNPJ (nos formatos A1 em arquivo ou A3 em cartão/token). O grande problema estrutural do e-CNPJ é que ele carrega o CPF do titular (o responsável legal perante a Receita Federal) dentro de sua criptografia. Isso gera um gargalo operacional massivo: se o diretor de uma empresa sai do cargo, o CPF diverge da base da Receita, obrigando a revogação imediata do certificado e paralisando o faturamento da empresa.
Com a IN ITI 35/2026 e a chegada da V12, o cenário muda drasticamente:
- Substituição definitiva: o e-CNPJ deixa de existir e dá lugar ao Selo Eletrônico.
- Identidade puramente corporativa: o Selo Eletrônico NÃO carrega mais o CPF do representante legal dentro da criptografia. Ele é a identidade da empresa.
- Fim da paralisia por troca de diretoria: como não há CPF embutido na chave criptográfica, a tendência técnica é que a troca de representante legal não gere divergência criptográfica, eliminando a necessidade de revogação automática que assombra as empresas na V5.
Além de resolver este problema de governança, a IN 35/2026 garante que o Selo Eletrônico já nasça operando sob os algoritmos ML-DSA e ML-KEM. Ou seja, a nova identidade digital das empresas brasileiras será nativamente resistente a ataques quânticos.
Para Leandro Albertini, que atua com certificação digital desde 2016 e fundou o Selo Eletrônico, essa mudança transcende a burocracia. O especialista aposta que a adoção antecipada da criptografia pós-quântica será um diferencial competitivo vital para grandes corporações. "Empresas que lidam com propriedade intelectual, dados de saúde ou segredos industriais não podem esperar até 2029 para entender essa transição. O Selo Eletrônico não é apenas uma mudança de nome; é a blindagem do patrimônio de dados da empresa contra ameaças que já estão sendo orquestradas hoje", defende Albertini.
Certificados de Aplicações Específicas e a Automação
Outro ponto crucial da IN ITI 35/2026 é a formalização e preparação dos chamados Certificados de Aplicações Específicas. Com o avanço da Inteligência Artificial e da Internet das Coisas (IoT), as empresas dependem cada vez mais de sistemas automatizados, APIs e agentes de IA que precisam se comunicar de forma segura.
O Selo Eletrônico, aliado aos novos padrões criptográficos, fornecerá a base de confiança para essas interações máquina a máquina (M2M). Um servidor que emite milhares de notas fiscais por minuto de forma autônoma utilizará o Selo Eletrônico da empresa, protegido por ML-DSA, garantindo que nenhum agente externo possa interceptar ou adulterar as transações.
Vale ressaltar que, enquanto o Selo Eletrônico assume o papel da Pessoa Jurídica, as pessoas físicas também passarão por uma revolução na V12. O e-CPF (que continua com este nome e NÃO deve ser confundido com selo) deixará de existir em mídias físicas (A1 e A3 cartão) e passará a existir exclusivamente em nuvem. A emissão desse e-CPF em nuvem será impulsionada pela AR Eletrônica, um processo 100% digital via biometria, sem necessidade de interação humana.
Na experiência do Certificado Campinas, que já acompanhou a evolução de mais de 100.000 emissões ao longo dos anos, as transições de cadeia sempre geram dúvidas no mercado. No entanto, a migração para a V12 e para o Selo Eletrônico será a mais justificada de todas, pois o ganho em segurança (pós-quântica) e em governança (remoção do CPF do certificado da empresa) resolve as maiores dores dos empresários brasileiros.
O cronograma de implementação
A publicação da IN ITI 35/2026 em 2026 é um passo preparatório. A ICP-Brasil opera com planejamento de longo prazo para garantir a estabilidade do ecossistema.
- Hoje (Cadeia V5): emissões continuam normalmente com algoritmos RSA/ECC. Os certificados e-CNPJ emitidos hoje têm validade máxima ajustada para não ultrapassar a data limite da cadeia.
- Fase de testes e auditorias: Autoridades Certificadoras (ACs) e Autoridades de Registro (ARs) credenciadas iniciam a adequação de seus sistemas e HSMs (Hardware Security Modules) para suportar a versão 6.0.
- Março de 2029 (Cadeia V12): início oficial da emissão exclusiva de certificados na nova cadeia. Nasce oficialmente o Selo Eletrônico para PJs e o e-CPF exclusivamente em nuvem para PFs, já operando sob os algoritmos ML-DSA e ML-KEM.
Perguntas frequentes (FAQ)
O que é a IN ITI 35/2026?
É uma Instrução Normativa do Instituto Nacional de Tecnologia da Informação que atualiza os padrões criptográficos da ICP-Brasil para a versão 6.0. Ela incorpora algoritmos pós-quânticos (ML-DSA e ML-KEM) para proteger as identidades digitais brasileiras contra futuros computadores quânticos.
O que são os algoritmos ML-DSA e ML-KEM?
São algoritmos criptográficos baseados em reticulados, padronizados globalmente pelo NIST. O ML-DSA é focado em garantir a segurança das assinaturas digitais, enquanto o ML-KEM protege o encapsulamento de chaves e a troca de informações confidenciais.
Como o Selo Eletrônico se beneficia da criptografia pós-quântica?
O Selo Eletrônico, que substituirá o e-CNPJ na cadeia V12 a partir de 2029, já nascerá operando sob as regras da IN 35/2026. Isso significa que a identidade digital da sua empresa será nativamente imune a ataques de computadores quânticos, protegendo contratos e dados corporativos.
O e-CNPJ atual (V5) vai parar de funcionar imediatamente?
Não. A cadeia V5 continua operando legalmente e de forma segura até o seu vencimento programado para março de 2029. A transição para a V12 e para o Selo Eletrônico ocorrerá de forma estruturada para garantir que nenhuma empresa fique paralisada.
Uma AR Eletrônica pode emitir o Selo Eletrônico com a nova criptografia?
Não. A AR Eletrônica serve única e exclusivamente para emitir o e-CPF em nuvem para pessoas físicas. O Selo Eletrônico (para empresas) possui um fluxo de validação próprio junto a uma Autoridade de Registro (AR) credenciada.
Conclusão
Ignorar a transição regulatória imposta pela IN ITI 35/2026 é um erro que pode custar a continuidade do seu negócio. Ao manter-se apegado a processos antigos e não se preparar para a chegada da cadeia V12, sua empresa corre dois riscos gravíssimos: primeiro, a vulnerabilidade ao modelo Harvest Now, Decrypt Later, onde seus dados atuais podem ser expostos no futuro; segundo, a paralisia operacional severa que o atual e-CNPJ causa toda vez que um diretor deixa a empresa, já que o CPF dele está amarrado à criptografia.
O Selo Eletrônico não é apenas uma atualização de nomenclatura, mas a evolução definitiva da identidade corporativa no Brasil. Ele desvincula o CPF da pessoa física da assinatura da empresa e implementa uma blindagem matemática pós-quântica. Antecipar-se a essa mudança e entender a nova infraestrutura é o único caminho para garantir que as operações, o faturamento e os segredos da sua empresa permaneçam intactos na próxima década.
Perguntas frequentes
O que é a IN ITI 35/2026?
É uma Instrução Normativa do Instituto Nacional de Tecnologia da Informação que atualiza os padrões criptográficos da ICP-Brasil para a versão 6.0. Ela incorpora algoritmos pós-quânticos (ML-DSA e ML-KEM) para proteger as identidades digitais brasileiras contra futuros computadores quânticos.
O que são os algoritmos ML-DSA e ML-KEM?
São algoritmos criptográficos baseados em reticulados, padronizados globalmente pelo NIST. O ML-DSA é focado em garantir a segurança das assinaturas digitais, enquanto o ML-KEM protege o encapsulamento de chaves e a troca de informações confidenciais.
Como o Selo Eletrônico se beneficia da criptografia pós-quântica?
O Selo Eletrônico, que substituirá o e-CNPJ na cadeia V12 a partir de 2029, já nascerá operando sob as regras da IN 35/2026. Isso significa que a identidade digital da sua empresa será nativamente imune a ataques de computadores quânticos, protegendo contratos e dados corporativos.
O e-CNPJ atual (V5) vai parar de funcionar imediatamente?
Não. A cadeia V5 continua operando legalmente e de forma segura até o seu vencimento programado para março de 2029. A transição para a V12 e para o Selo Eletrônico ocorrerá de forma estruturada para garantir que nenhuma empresa fique paralisada.
Uma AR Eletrônica pode emitir o Selo Eletrônico com a nova criptografia?
Não. A AR Eletrônica serve única e exclusivamente para emitir o e-CPF em nuvem para pessoas físicas. O Selo Eletrônico (para empresas) possui um fluxo de validação próprio junto a uma Autoridade de Registro (AR) credenciada.
