Ao entender como fazer assinatura digital, muitas empresas chegam à mesma dúvida: certificado digital A1 ou A3 não muda só o formato de armazenamento, mas também a rotina operacional, o custo recorrente, a mobilidade do time e o nível de atrito em processos de assinatura, emissão fiscal e integração com sistemas. Em termos práticos, os dois têm validade jurídica dentro da ICP-Brasil, mas funcionam melhor em cenários diferentes de uso, volume e governança.
O A1 costuma ser mais aderente a empresas que precisam de fluidez, automação e uso recorrente em ERP, emissão de notas e fluxos internos com mais escala. O A3, por outro lado, ainda aparece em operações que valorizam mídia criptográfica, uso mais controlado e menor frequência de acionamento. A escolha correta tende a nascer menos de preferência pessoal e mais de critérios objetivos de produtividade, risco operacional, renovação e compliance.
Na prática corporativa, comparar apenas preço de emissão costuma levar a decisões incompletas. O ganho real aparece quando a empresa observa tempo gasto por operação, dependência de hardware, impacto em equipes distribuídas, compatibilidade com plataformas e o quanto o certificado acompanha a maturidade digital do negócio.
Resumo
- A1 e A3 têm validade jurídica, mas diferem em armazenamento, mobilidade e forma de uso.
- O A1 costuma favorecer automação, integração com ERP e rotinas empresariais recorrentes.
- O A3 pode atender operações pontuais, com uso controlado por token, cartão ou nuvem.
- Empresas devem comparar custo total, falhas operacionais, tempo de execução e escala de uso.
- O cenário regulatório evoluiu, então a revisão periódica da escolha passou a ser ainda mais necessária.
Fatos rápidos
- Segundo a Polícia Federal, certificados A1 têm validade de um ano e A3 de três anos no contexto apresentado para uso empresarial no sistema GESP.
- De acordo com o Comitê Gestor da ICP-Brasil, os certificados A1 seguem admitidos e utilizáveis até 02 de março de 2029.
- Conforme a Resolução CG ICP-Brasil nº 211/2024, os tipos A3 e A4 passaram a ser emitidos exclusivamente para pessoas físicas, enquanto o selo eletrônico foi definido para pessoas jurídicas.
Como avaliar certificado digital A1 ou A3 na rotina da empresa?
Antes de olhar para fornecedor, vale mapear o processo. Uma empresa que assina contratos em volume, roda integrações com sistema de gestão e precisa reduzir gargalos costuma avaliar o certificado como peça de infraestrutura operacional, não como item isolado de TI. Esse ponto muda toda a análise.
Quando o uso acontece todos os dias, o certificado deixa de ser um acessório e passa a influenciar produtividade, SLA interno, resposta comercial e custo por documento processado. Em cenários assim, a decisão entre A1 e A3 deve considerar frequência, quantidade de usuários, necessidade de backup e tolerância a falhas.
O que são os certificados A1 e A3?
Os certificados da categoria A são voltados à assinatura digital e à autenticação com verificação de integridade. O modelo A1 é emitido como arquivo digital, enquanto o A3 tradicionalmente fica vinculado a mídia criptográfica, como token ou cartão, embora existam variações de uso em nuvem conforme a política da autoridade certificadora.
No meio empresarial, essa distinção mexe diretamente com a operação. O A1 tende a ser mais simples para instalação, cópia segura e integração com softwares. O A3, por exigir um meio físico em muitos cenários, adiciona uma camada de controle, mas também pode aumentar a fricção no dia a dia de times que dependem de velocidade.
Validade jurídica e escopo de uso
Do ponto de vista jurídico, a base está na ICP-Brasil. Isso significa que a comparação não é entre um modelo válido e outro inválido, mas entre dois formatos que podem servir a necessidades empresariais distintas. Para quem lida com contratos, obrigações acessórias e autenticação, essa diferença de enquadramento precisa ficar muito clara.
Em muitos times, ainda existe a ideia de que um certificado de pessoa jurídica A1 ou A3 serviria apenas para NF-e. Esse entendimento é limitado. No conteúdo que produzimos sobre ICP-Brasil, explicamos que a própria estrutura da certificação ajuda a mostrar que a aplicação costuma ser mais ampla quando a política da AC não restringe o uso.
Ao longo das orientações públicas, o ITI esclarece que certificados digitais de pessoa jurídica dos tipos A1 e A3 são de uso amplo, geral e irrestrito, sem limitação exclusiva para nota fiscal ou finalidade única, salvo previsão expressa da política da autoridade certificadora emitente.
Armazenamento e mobilidade
Esse costuma ser o divisor mais visível. O A1 é um arquivo instalado em máquina ou ambiente compatível, o que facilita o uso em rotinas automatizadas e em mais de um equipamento dentro de uma política segura de backup. Já o A3, em sua forma mais conhecida, depende de token ou cartão conectado no momento do uso.
Para entender esse contraste, vale observar o que o portal gov.br descreve: o A1 tem validade de um ano e pode ser instalado em vários computadores mediante backup do arquivo, enquanto o A3 costuma usar token ou cartão e exige conexão ao computador a cada utilização.
Em empresas com equipe híbrida, operação distribuída ou múltiplos pontos de emissão, esse detalhe pesa bastante. Quem usa certificado em uma única estação pode conviver melhor com mídia física. Já quem precisa de continuidade, redundância controlada e menor dependência de presença local geralmente vê mais aderência no modelo A1.
Necessidade de token, cartão ou hardware
O hardware pode ser visto como vantagem ou limitação, dependendo do processo. Em operações mais pontuais, o token cria um ritual de uso controlado e bem delimitado. Em operações frequentes, ele pode virar gargalo, seja por incompatibilidade de driver, troca de máquina, esquecimento físico do dispositivo ou fila entre usuários.
Na página de conceitos do ITI, o token é descrito como dispositivo de armazenamento seguro do certificado digital com conexão via USB. Essa característica ajuda a explicar por que o A3 tradicional pode ser percebido como mais rígido no manuseio e menos fluido em processos empresariais de alta repetição.
Quando o jurídico, o financeiro e o fiscal compartilham a mesma necessidade de assinatura ou autenticação, a existência de uma mídia física pode gerar dependência de uma pessoa específica, de uma máquina específica ou de um horário específico. Esse tipo de concentração tende a aumentar o risco operacional e reduzir a elasticidade do processo.
Comparativo prático entre A1 e A3 para empresas
Em vez de comparar os modelos só pela validade, vale cruzar critérios operacionais e financeiros. Uma empresa que assina dez documentos por mês avalia o problema de forma diferente de outra que emite centenas de documentos fiscais, integra sistemas e precisa sustentar operação contínua sem parada.
| Critério | A1 | A3 | Leitura para a empresa |
|---|---|---|---|
| Armazenamento | Arquivo digital | Token, cartão ou modelo equivalente | O A1 tende a favorecer automação; o A3 tende a exigir mais manejo operacional. |
| Validade | Menor | Maior em muitos cenários | O A3 pode reduzir frequência de renovação, mas isso não resolve gargalos de uso. |
| Mobilidade interna | Alta, com política de segurança | Média ou baixa, conforme a mídia | O A1 costuma funcionar melhor em equipes e sistemas distribuídos. |
| Integração com ERP | Mais simples | Pode exigir etapas adicionais | Para processos automatizados, o A1 geralmente oferece menor atrito. |
| Risco de indisponibilidade | Ligado a backup e gestão do arquivo | Ligado a perda, dano ou ausência da mídia | Ambos exigem governança, mas o tipo de risco muda bastante. |
Se o critério central for integração com software de gestão, o A1 normalmente sai na frente. Logo, fica claro como a automação depende de menos barreiras técnicas entre o certificado e o ambiente onde a operação realmente acontece.
Tempo de operação e produtividade
Um KPI útil aqui é o tempo médio para concluir uma ação que depende do certificado. Pode ser assinar um lote, autenticar acesso, emitir documentos fiscais ou executar uma etapa do fechamento financeiro. Quanto mais repetitiva for a tarefa, mais relevante se torna eliminar passos manuais e dependências físicas.
Em um cenário com uso recorrente, o A1 tende a reduzir o tempo por operação porque elimina a necessidade de conectar mídia, validar presença física do dispositivo e contornar indisponibilidades básicas de hardware. Isso costuma refletir em ganho de produtividade por colaborador e menor impacto sobre prazos internos.
Falhas operacionais e continuidade
Outro KPI importante é a incidência de falhas. Aqui entram perda de token, esquecimento de senha, incompatibilidade de leitor, troca de computador, impossibilidade de uso remoto e paralisação por ausência do dispositivo. O custo dessas falhas raramente aparece no preço do certificado, mas pesa no custo total de propriedade.
Empresas que já discutem gestão de processos e otimização de processos costumam perceber mais rápido esse efeito. Um certificado pode ser barato na aquisição e caro na operação, principalmente quando vira gargalo entre áreas, aprovações ou janelas de atendimento ao cliente.
Custo de renovação e custo total
O A3 pode parecer vantajoso por ter validade superior em muitos contextos comerciais, reduzindo a necessidade de renovação frequente. Só que esse ponto, isoladamente, não fecha a conta. O custo total envolve horas do time, suporte, interrupções, necessidade de dispositivo e eventual ociosidade causada por um certificado pouco aderente ao fluxo real.
Já o A1 costuma exigir renovação mais frequente, porém compensa esse intervalo menor quando a operação depende de agilidade, integração e uso recorrente. Para quem busca redução estrutural de despesas, a conta precisa considerar custo por operação concluída, não apenas custo unitário do certificado.
Exemplo de empresa com uso recorrente
Pense em uma software house com volume diário de contratos, emissão recorrente de documentos e times integrados a CRM, ERP e financeiro. Nesse caso, a empresa tende a ganhar mais com um certificado que acompanhe automação e reduza intervenção manual. O A1 faz mais sentido porque conversa melhor com escala e repetição.
Nesse mesmo contexto, temas como assinatura eletrônica para empresas e ROI da assinatura digital ajudam a visualizar o ganho real: menor tempo de tramitação, menos erros de execução e melhor experiência de cliente nas etapas de formalização.
Exemplo de empresa com uso pontual
Agora imagine uma empresa menor, com baixa frequência de uso, poucos responsáveis e preferência por um processo mais centralizado. Se o certificado for acionado em momentos específicos e sob controle de um único ponto, o A3 ainda pode atender bem, desde que a dependência da mídia não gere atraso relevante.
Nesse caso, a empresa aceita mais facilmente a ritualização do uso. A troca pode ser razoável quando o volume é baixo, a necessidade de automação é limitada e o processo não depende de múltiplas pessoas ou múltiplos sistemas trabalhando de forma simultânea.
Confira também estes conteúdos relacionados:
- Assinatura com certificado digital ajuda a entender em quais fluxos corporativos o certificado entra de forma mais objetiva.
- Certificado digital em nuvem como funciona mostra onde mobilidade e governança podem coexistir com mais fluidez.
- Como assinar documento com certificado digital detalha a aplicação prática do certificado em rotinas de assinatura.
Há ainda um ponto regulatório que precisa entrar no radar do gestor. A modernização da ICP-Brasil criou o selo eletrônico para pessoa jurídica e definiu uma transição normativa. Isso não invalida o debate atual entre A1 e A3 para empresas de imediato, mas mostra que decisões tomadas hoje precisam ser revisadas periodicamente.
Ao tratar de compliance digital e conformidade em assinatura digital, vale considerar não só o modelo atual mais aderente, mas também a capacidade da empresa de adaptar seus fluxos, fornecedores e integrações a mudanças regulatórias e tecnológicas nos próximos anos.
Qual escolha tende a funcionar melhor em cada cenário empresarial
Para a maior parte das empresas que buscam agilidade, integração com ERP, menor dependência de hardware e mais produtividade em rotinas recorrentes, o A1 tende a ser a opção mais coerente hoje. Para operações pontuais, centralizadas e com menor necessidade de automação, o A3 ainda pode atender com consistência.
O ponto principal é que certificado digital A1 ou A3 deve ser revisto à luz do processo real, da escala, do volume de assinaturas e emissões, dos indicadores de falha e do desenho de compliance da empresa. Quando a decisão é guiada por operação e não só por costume, fica mais fácil reduzir custo, preservar segurança e elevar eficiência.
Nesse contexto, sua empresa pode avaliar a solução de certificado digital da ZapSign como parte dessa análise.
Perguntas frequentes (FAQ)
Qual é a principal diferença entre certificado A1 e A3?
A diferença mais conhecida está no armazenamento. O A1 funciona como arquivo digital instalado em ambiente compatível, enquanto o A3 costuma depender de token, cartão ou outra mídia controlada. Essa distinção afeta mobilidade, integração com sistemas, velocidade de uso e o risco operacional envolvido em rotinas empresariais frequentes.
O certificado A1 é menos seguro do que o A3?
Não dá para concluir isso de forma genérica. Os dois estão dentro da lógica de certificação digital e exigem boas práticas de governança. O que muda é o tipo de risco. No A1, o foco recai sobre backup, controle de acesso e gestão do arquivo. No A3, o cuidado maior envolve posse, conservação e disponibilidade da mídia criptográfica.
Qual modelo costuma funcionar melhor para integração com ERP?
Em geral, o A1 tende a ser mais aderente a integrações com ERP e automações empresariais, porque opera como arquivo digital e reduz atritos de hardware no fluxo. Isso costuma favorecer emissão recorrente, autenticação sistêmica e processos de alto volume. Ainda assim, a compatibilidade depende do software utilizado e da política do fornecedor.
Empresas ainda podem usar certificados A1 e A3?
Sim. O cenário normativo passou por atualização, mas os certificados A1 continuam admitidos até 02 de março de 2029, segundo o Comitê Gestor da ICP-Brasil. Por isso, a discussão segue atual para operações em andamento. O que mudou foi a direção regulatória, que exige mais atenção à revisão periódica dos processos e da estratégia de certificação.
Como escolher entre A1 e A3 sem errar?
O melhor caminho é comparar frequência de uso, número de usuários, integração com sistemas, necessidade de mobilidade, custo de renovação, incidência de falhas e impacto em produtividade. Quando a empresa mede tempo por operação e dependência de hardware, a escolha deixa de ser abstrata e passa a refletir o que realmente acontece na rotina.
Getúlio Santos é CEO da ZapSign, advogado, entusiasta de tecnologia e empreendedor.
