Brasil — MP 2.200-2/2001 (ICP-Brasil)
Medida Provisória 2.200-2 de 24082001. Cria a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Ainda em vigor (MPs anteriores a 2001-09-11 não decaem por força da EC 32). Base de toda assinatura digital brasileira com presunção de autenticidade.
O que estabelece
- Art. 1º: institui a ICP-Brasil pra garantir autenticidade, integridade e validade jurídica de documentos eletrônicos.
- Art. 2º: cria o Comitê Gestor da ICP-Brasil (CG), vinculado à Casa Civil.
- Art. 3º: define a Autoridade Certificadora Raiz (AC Raiz) — exercida pelo ITI (Instituto Nacional de Tecnologia da Informação), autarquia federal.
- Art. 4º: define competências da AC Raiz: emitir, expedir, distribuir, revogar e gerenciar certs das ACs imediatamente subsequentes; auditar; fiscalizar.
- Art. 5º: ACs (Autoridades Certificadoras) emitem, expedem, distribuem, revogam e gerenciam certificados pra usuários finais.
- Art. 6º: ARs (Autoridades de Registro) fazem a identificação presencial do solicitante e o vínculo com a AC.
- Art. 10: estabelece a presunção:
- §1º — documentos eletrônicos assinados com certificado ICP-Brasil presumem-se verdadeiros em relação aos signatários.
- §2º — não obsta uso de outro meio de comprovação, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.
§2º é a base legal pra assinaturas privadas (DocuSign, Clicksign não-ICP, signature embarcada da Koder, etc.) terem valor entre as partes — mas com ônus probatório maior.
Estrutura hierárquica resultante
ITI (AC Raiz)
├── AC nível 1 (Serpro, Caixa, SERASA, Soluti, Certisign, …)
│ ├── AC nível 2 (sub-ACs especializadas)
│ │ └── AR (ponto presencial / videoconferência aprovada)
│ │ └── Titular do certificado (PF ou PJ)ITI publica:
- DOC-ICP-01 — Declaração de Práticas de Certificação da AC Raiz
- DOC-ICP-04 — Requisitos mínimos pra políticas de cert na ICP-Brasil
- DOC-ICP-15 — Visão geral sobre assinaturas digitais ICP-Brasil (perfis AD-RB, AD-RT, AD-RV, AD-RC, AD-RA — variantes PAdESXAdESCAdES brasileiras)
Documentos vivos em iti.gov.bricp-brasillegislacao.
Categorias de certificado (Resolução CG ICP-Brasil)
| Tipo | Mídia da chave | Validade típica | Casos |
|---|---|---|---|
| A1 | Software (arquivo .pfx / .p12) |
1 ano | NF-e, eSocial, declaração IR |
| A3 | Hardware (smart card, token USB, HSM) | 1–5 anos | Procurador, contador, advogado |
| A4 | Hardware com chave RSA ≥ 4096 ou EC ≥ 384 | 1–5 anos | Bancário, grande volume |
| S1S3S4 | Equivalentes a A1A3A4 mas pra sigilo (cifragem), não assinatura | — | Raros |
| T3/T4 | Tipo Tempo — só timestamping | — | Restrito a ACTs |
Detalhes em 05-icp-brasil/02-tipos-de-certificado.kmd (planejado).
Identidades comuns
- e-CPF — PF, vincula certificado ao CPF do titular
- e-CNPJ — PJ, vincula ao CNPJ
- NF-e — variante e-CNPJ pra emissão fiscal
Interação com Lei 14.063/2020
MP 2.200-2 continua vigente. A Lei 14.0632020 (ver 02-brazil-law-14063.kmd) adiciona 3 níveis (simplesavançada/qualificada) pro relacionamento cidadão↔governo. Qualificada = ICP-Brasil. As duas leis coexistem.
Implicações pra produto Koder
Pra um futuro Koder Sign ter validade jurídica plena no Brasil:
- Aceitar certificados ICP-Brasil A1/A3 → produto vira aplicação cliente (mais simples).
- Integrar com AC credenciada (Soluti, Certisign, Bry, Birdid, etc.) via API pra emissão remota A1 → produto fica acoplado.
- Ser AC credenciada dentro da ICP-Brasil → custo regulatório altíssimo, mesma ordem de grandeza de virar CA TLS (
06-ssl-and-tls/05-creating-a-letsencrypt-style-ca.kmd), porém com auditoria do ITI no lugar de WebTrust. Auditoria por OAC credenciado (≈ R$ 200-400k/ano). - Não-ICP pra fluxos B2B onde as partes concordam (Art. 10 §2º) → libera produto, mas exige UX clara sobre valor jurídico.
Rota recomendada inicial: combo (1)+(4) — aceitar ICP-Brasil pra fluxos formais + assinatura nativa pra contratos privados, ambos com a mesma UX.