Certificado digital e INSS: saiba por que o modelo A3 será obrigatório a partir de 30 de junho de 2026, o que muda, quem é afetado e como automatizar a emissão.
A partir de 30 de junho de 2026, o acesso de usuários externos às plataformas institucionais do INSS passará a exigir, exclusivamente, o certificado digital do tipo A3. A medida foi comunicada pela Diretoria de Tecnologia da Informação (DTI) do INSS.
Para software houses, gestores de TI e desenvolvedores, isso significa uma coisa muito concreta: é preciso garantir que os fluxos de autenticação dos sistemas estejam prontos para lidar com certificados A3 antes do prazo.
O INSS agora exige o certificado digital A3
O INSS lida diariamente com dados previdenciários sensíveis, como informações sobre benefícios, vínculos empregatícios, histórico contributivo de milhões de brasileiros. E, paralelo a isso, há o crescimento da demanda por acessos externos – contadores, advogados, profissionais de RH, empresas… Sendo assim, o modelo de autenticação por login e senha passou a representar um risco real de segurança.
O certificado digital A3 resolve esse problema. Além de exigir um processo de validação presencial do titular, armazena a chave criptográfica em hardware dedicado (token, cartão ou nuvem certificada). Isso torna praticamente impossível o uso indevido da identidade digital por terceiros.
“A adoção do certificado digital A3 pelo INSS é um movimento esperado e alinhado com o que vemos em outras plataformas governamentais sensíveis. Do ponto de vista técnico, é a resposta correta para o problema de autenticação fraca em acessos externos a dados críticos.” — Clayton Verly, Especialista em Certificação Digital da TecnoSpeed.
O resultado direto dessa decisão: o modelo atual de autenticação por login e senha do INSS deixará de existir para usuários externos. A partir de 30 de junho, o acesso com certificado digital do tipo A3 será obrigatório. Sem ele, não será possível fazer login nos sistemas do INSS.
Então, o INSS não aceita mais o certificado A1?
Essa é uma das dúvidas mais frequentes e merece uma resposta direta: o certificado A1 continuará válido para outras finalidades (como assinar documentos fiscais, por exemplo), mas não será aceito para acessar os sistemas do INSS como usuário externo a partir de 30 de junho de 2026.
O A1 é um arquivo de software armazenado no computador, o que significa que pode ser copiado, extraído ou comprometido sem que o titular perceba. Para o INSS, isso representa um risco inaceitável dado o volume e a sensibilidade dos dados em jogo.
O A3, por outro lado, armazena a chave criptográfica em hardware seguro ou em um servidor de nuvem certificado. A chave nunca sai do dispositivo, garantindo que apenas o titular legítimo pode usá-la.
Se seus clientes utilizam hoje o A1 para acessar os sistemas do INSS, a migração para o A3 é obrigação.
Certificado A1 x A3: entenda a diferença de uma vez por todas
Ainda existe muita confusão entre os dois tipos de certificado digital. A tabela abaixo resume o essencial:
| Característica | Certificado A1 | Certificado A3 |
| Armazenamento | Arquivo digital (.pfx ou .p12) | Mídia física (Token/Cartão) ou Nuvem (HSM) |
| Portabilidade | Limitada ao dispositivo | Alta. É possível usar em qualquer lugar |
| Nível de segurança | Médio. Pode ser copiado e exportado | Alto. Chave privada inacessível e não exportável |
| Aceito pelo INSS | Não | Sim. Obrigatório a partir de 30 de junho de 2026 |
| Validade máxima | Até 1 ano | Até 3 anos |
| Uso em nuvem | Instalação no servidor | Exige integração via API ou Driver local |
Quem é afetado pela mudança do certificado digital e INSS?
A exigência se aplica aos chamados usuários externos. Ou seja, profissionais e empresas que acessam os sistemas do INSS em nome de terceiros. Isso inclui:
- Contadores, escritórios de contabilidade e profissionais de RH ao lidar com dados de empregados e benefícios;
- Advogados e escritórios de advocacia da área previdenciária;
- Empresas e órgãos públicos com obrigações junto ao INSS;
- Sistemas de software que automatizam ou intermediam esses acessos.
Se o seu produto realiza consultas, envios ou qualquer integração com os sistemas do INSS via API ou automação, a adequação ao A3 é mandatória.
O acesso do cidadão comum pelo portal gov.br não é afetado pela mudança.
O que é o Gerid e qual sua relação com o certificado digital e INSS?
O Gerid (Sistema de Gestão de Representantes e Intermediários do INSS) é a porta de entrada para usuários externos que precisam operar nos sistemas do órgão. É por ele que contadores, advogados e representantes de empresas realizam suas atividades.
Sem o certificado digital A3, nenhum usuário externo conseguirá acessar o Gerid após 30 de junho de 2026. Isso paralisa completamente as operações de qualquer sistema que dependa dessa integração.
Certificado digital e INSS: O impacto para empresas de software
É importante se atentar que o suporte ao certificado A3 traz desafios que o A1 não apresentava. Enquanto o A1 pode ser instalado diretamente no servidor da sua aplicação (SaaS), o A3 exige a presença física do dispositivo ou uma integração via API para certificados em nuvem.
“Muitos desenvolvedores focam apenas na assinatura, mas o desafio do A3 no contexto do INSS está na latência de comunicação com o hardware e na compatibilidade de drivers nos terminais dos usuários”, afirma Clayton Verly, Especialista em Certificação Digital da TecnoSpeed.
Para não perder o prazo de 30 de junho de 2026, sua aplicação precisa estar pronta para consumir APIs que abstraiam a complexidade da assinatura digital. Conheça a API TecnoSign para integração de assinaturas e simplifique a implementação do modelo A3 no seu ERP.
Quais são as opções de certificado A3 para o INSS?
O INSS aceita exclusivamente certificados A3 ICP-Brasil emitidos por Autoridades Certificadoras credenciadas. Existem duas opções e ambas têm o mesmo nível de segurança e validade jurídica para acesso aos sistemas do órgão.
Certificado A3 em dispositivo físico (cartão ou token)
A chave criptográfica fica armazenada em um hardware dedicado, seja um token USB ou um cartão com chip. Para utilizá-lo, é necessário ter o dispositivo em mãos e, no caso do cartão, uma leitora conectada ao computador. Costuma ser a opção mais conhecida e utilizada por contadores e advogados que trabalham em ambientes fixos.
Certificado A3 em nuvem
A chave fica armazenada em um servidor seguro de uma Autoridade Certificadora credenciada pela ICP-Brasil. O acesso é feito por aplicativo no celular ou computador, ou seja, sem a necessidade de hardware físico.
Para software houses e equipes de TI, essa é a modalidade mais estratégica, já que elimina a dependência de dispositivos físicos, facilita integrações via API e permite que o sistema escale sem limitações de hardware.
Como a obrigatoriedade do certificado digital e INSS afeta o dia a dia do seu cliente
O usuário que tenta acessar o portal Meu INSS ou o Centralizador de Serviços para empresas sentirá a mudança imediatamente. Sem o certificado digital INSS padrão A3, operações como consulta de extratos de contribuição de funcionários, requerimentos de benefícios por incapacidade e contestações de nexo técnico podem ser bloqueadas.
OS pontos de atenção para o gestor de software são:
- Compatibilidade de navegadores: O uso de tokens A3 muitas vezes depende de componentes (como o Java ou extensões específicas) que podem conflitar com navegadores modernos.
- Certificado em nuvem: O A3 também existe na versão “nuvem” (RemoteID, BirdID, etc.). Esta é a melhor saída para sistemas SaaS, pois mantém a validade jurídica do A3 com a praticidade do A1.
- Renovação de prazos: Clientes que possuem o A1 válido após 30 de junho precisarão adquirir um novo A3 para continuar operando com o INSS, gerando um custo extra não planejado.
O que acontece se não se adequar a obrigatoriedade até 30 de junho?
A resposta é direta: o acesso aos sistemas do INSS é bloqueado.
Sem o certificado digital A3, o usuário externo não consegue acessar os sistemas do INSS. Isso significa que não é possível protocolar documentos, consultar processos ou realizar qualquer tipo de movimentação digital. Na prática, essa ausência pode comprometer seriamente a rotina de escritórios e profissionais em todo o Brasil.
Para software houses e sistemas integrados, o impacto vai além do bloqueio imediato. Todas as rotinas automatizadas que dependem de acesso externo ao INSS param de funcionar e o erro não aparece no ambiente de testes. Ele aparece na produção do cliente, no pior momento possível.
Como se adaptar à mudança do certificado digital e INSS?
Se você precisa adaptar seu sistema para trabalhar com certificados A3, existem dois caminhos principais:
Caminho 1 — Integração direta com hardware: Usar bibliotecas como PKCS#11 ou Microsoft CryptoAPI para ler tokens e cartões. Demanda conhecimento técnico mais aprofundado e testes com diferentes dispositivos.
Caminho 2 — API especializada em assinatura digital: Integrar uma API que já elimina toda a complexidade do certificado A3, tanto físico quanto em nuvem. É o caminho mais rápido e escalável para software houses.
A TecnoSpeed oferece a API TecnoSign, desenvolvida exatamente para esse tipo de cenário: integração com certificados digitais ICP-Brasil, incluindo suporte a A3, com documentação completa e suporte especializado.
FAQ sobre o certificado digital e INSS
Quando a exigência do certificado digital e INSS entra em vigor? A partir de 30 de junho de 2026. Após essa data, apenas usuários com certificado digital A3 ICP-Brasil poderão acessar os sistemas externos do INSS.
O certificado A1 para acesso ao INSS ainda funciona? Não. Para acesso de usuários externos ao INSS, somente o A3 será aceito. Certificados A1 não serão reconhecidos após 30 de junho de 2026.
Cidadãos comuns precisam se adequar? Não. A exigência é exclusiva para profissionais e sistemas que acessam o INSS em nome de terceiros. O cidadão que acessa o Meu INSS pelo gov.br não é afetado.
Preciso de e-CPF A3, e-CNPJ A3 ou ambos? Depende do contexto. O e-CPF A3 identifica o profissional pessoa física. O e-CNPJ A3 representa uma pessoa jurídica. Para a maioria dos casos de acesso ao INSS, o e-CPF A3 é suficiente, mas se o sistema opera em nome de uma empresa, o e-CNPJ A3 pode ser necessário.
Como integrar o certificado A3 ao ERP sem hardware físico? Por meio de APIs que suportem certificado digital A3 ICP-Brasil. A API do TecnoSign, por exemplo, automatiza todos os processos de certificação digital.
O que acontece com sistemas que não se adequarem? Param de funcionar em qualquer operação que exija acesso externo ao INSS. Isso inclui consultas, envios de documentos, representação de segurados e qualquer outra atividade realizada via Gerid.
