Entenda as principais mudanças da IN nº 32/2025 e veja como sua certificadora pode se adaptar de forma ágil e segura.
A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) entra em uma nova fase regulatória com a publicação da Instrução Normativa nº 32/2025 do Instituto Nacional de Tecnologia da Informação (ITI). Divulgada em 28 de abril de 2025 no Diário Oficial da União, a norma atualiza os critérios para auditorias em toda a cadeia da certificação digital — do credenciamento inicial à operação cotidiana dos Prestadores de Serviço de Certificação (PSCerts).
O objetivo principal dessa atualização é claro: reforçar a confiabilidade do sistema nacional de identidades digitais, elevando os padrões de controle, fiscalização e transparência. Segundo o ITI, trata-se de um avanço técnico e normativo que acompanha o crescimento do uso dos certificados digitais tanto em serviços públicos quanto privados. Para mais informações, acesse a íntegra da normativa.
O que muda com a nova normativa?
A IN nº 32/2025 traz mudanças significativas. Entre os principais destaques:
- Auditorias presenciais obrigatórias para novos credenciamentos a partir de julho, e também para as auditorias operacionais a cada dois anos;
- Fases bem definidas no processo de auditoria, divididas em: planejamento, execução (com avaliações in loco) e elaboração do relatório final;
- Classificação de riscos auditorias presenciais para ARs com pareceres técnicos como “Deficiente”, “Inadequado” ou “Inaceitável” em auditoria anterior;
- Prazos rígidos para correção de não conformidades, exigindo plano de ação em até 10 dias e regularização total em até 90 dias;
- Revogação da IN nº 06/2021, atualizando significativamente os parâmetros anteriores.
A nova normativa também fortalece o alinhamento com normas técnicas internacionais, como o WebTrust e a NBC TO 3000, agregando mais robustez e credibilidade ao ecossistema de certificação digital brasileiro.
Compromisso renovado com a conformidade
Como Autoridade Certificadora comprometida com segurança, qualidade e integridade, a Certifica acolhe as mudanças com seriedade e visão estratégica.
“Recebemos com responsabilidade e atenção as atualizações trazidas pela Instrução Normativa ITI nº 32, de 23 de abril de 2025, que aperfeiçoa os critérios de auditoria das Autoridades Certificadoras (ACs) e Autoridades de Registro (ARs).
As mudanças, especialmente a obrigatoriedade de auditorias presenciais bienais e in loco para novos credenciamentos, buscam fortalecer a confiança no ecossistema da certificação digital no Brasil.”
— Jéssica Alvarenga, Gerente de Normas e Compliance da Certifica
Jéssica também ressalta que a mudança normativa reflete a necessidade crescente por ambientes digitais mais confiáveis e auditáveis. Em suas palavras:
“A exigência de auditorias mais rigorosas acompanha a busca por excelência, respeito à legislação e proteção dos dados dos cidadãos.”
Além do olhar regulatório e de compliance, a visão operacional também desempenha um papel estratégico na adaptação às novas exigências da IN nº 32/2025. Para o COO – Certificação Digital do Grupo Certifica, Gustavo Mohr, responsável pela parte operacional e de normas e Compliance, o momento é de fortalecer processos internos, promover maior integração entre as áreas e garantir uma transição eficiente e alinhada com os novos padrões estabelecidos pelo ITI.
“Durante a pandemia, a flexibilização temporária permitiu que auditorias nas Autoridades de Registro (ARs) fossem realizadas de forma remota — uma medida emergencial que garantiu a continuidade dos processos dentro da ICP-Brasil. Com a publicação da nova Instrução Normativa pelo Instituto Nacional de Tecnologia da Informação (ITI), percebe-se agora um movimento claro em direção ao equilíbrio entre a praticidade do remoto e a necessidade de rigor da auditoria presencial.
O novo cenário normativo reforça a corresponsabilidade dos gestores das ARs, exigindo deles um acompanhamento mais próximo e contínuo da operação. Mais do que nunca, cabe ao gestor assegurar que sua AR atenda plenamente aos requisitos normativos e operacionais. Isso porque o desempenho insatisfatório poderá acarretar a obrigatoriedade de que a próxima auditoria ocorra de maneira presencial — um indicativo claro de que a atuação na ICP-Brasil requer seriedade e compromisso inegociáveis.
Essas medidas, além de fortalecerem o processo de auditoria, evidenciam o compromisso do ITI com a credibilidade do sistema. Ao exigir níveis consistentes de conformidade, mesmo em auditorias remotas, a nova regulamentação protege a robustez da cadeia e envia um sinal importante ao mercado: atuar na ICP-Brasil é um exercício de responsabilidade institucional.”
Gustavo Mohr – COO Certificação Digital
A Certifica promove periodicamente o programa Na Mesma Página, em que se discute temas relevantes do universo da certificação digital, como segurança das operações, marketing, análise de dados e muito mais. Tudo transmitido ao vivo para a nossa rede em todo o Brasil. Veja abaixo um dos nossos programas na íntegra, sobre a norma que regulamenta os procedimentos mínimos a serem adotados por uma Autoridade de Registro.
Quer ficar por dentro de todas as mudanças no mercado de certificação e receber apoio para crescer com segurança? Seja um parceiro Certifica!
