NT 2026.001 — Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos - PAA

Publicado em 2026-03-01 · Versão 1.00

Sobre

Esta NT institui o Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos (PAA), um intermediário técnico habilitado que realiza a assinatura digital e o envio de NF-e/NFC-e ao SEFAZ em nome do contribuinte. A mudança beneficia principalmente MEIs, produtores rurais e optantes pelo Simples Nacional, simplificando o processo de emissão. São definidos novos layouts XML (grupo ZG/infPAA), nova faixa de série (970-979), novo código de processo de emissão (procEmi=4) e novas regras de validação específicas para o PAA, com autorização centralizada na SEFAZ Virtual RS (SVRS).

Datas de Vigência

• homologação: 2026-06-08
• produção: 2026-08-03

Mudanças (19)

• processo [alto] — Criação do modelo PAA (Provedor de Assinatura e Autorização de Documentos Fiscais Eletrônicos), que permite que um intermediário homologado pelo ENCAT realize a assinatura digital e o envio de documentos fiscais eletrônicos em nome do contribuinte emitente, sem alterar a responsabilidade tributária do emitente.
• layout_xml [alto] — Inclusão do novo Grupo ZG (infPAA) no XML da NF-e (Modelos 55 e 65) e no evento de cancelamento, contendo: CNPJPAA (CNPJ do provedor), PAASignature com SignatureValue (assinatura RSA SHA1 em base64 do atributo Id do DFe) e RSAKeyValue com Modulus e Exponent (chave pública RSA do emitente).
• layout_xml [alto] — Atualização do campo 'serie' (B07) no Grupo B da NF-e para incluir a faixa 970-979, reservada exclusivamente para emissão por PAA, com assinatura pelo e-CNPJ do PAA e numeração sequencial por CNPJ do emitente controlada pelo PAA.
• layout_xml [médio] — Adição do valor '4' no campo procEmi (B26) para identificar emissão de NF-e por Provedor de Assinatura e Autorização - PAA.
• regra_validação [alto] — Nova regra B26-10: rejeição quando o processo de emissão não for PAA (procEmi<>4) e a série estiver na faixa 970-979 (uso exclusivo do PAA), ou quando o processo for do contribuinte (procEmi<>1,2) e a série estiver fora das faixas 0-889 ou 920-969. Implementada em todos os ambientes autorizadores.
• regra_validação [alto] — Nova regra B26-20: rejeição quando o processo de emissão for PAA (procEmi=4) e a série estiver fora da faixa 970-979. Implementada somente na SVRS.
• regra_validação [médio] — Nova regra C21-20: rejeição de emissão via PAA para contribuintes enquadrados no Regime Normal (CRT=3) ou Simples Nacional com excesso de sublimite (CRT=2). Exceção: produtores rurais (tpIE=5 no CCC) estão isentos desta restrição. Implementada somente na SVRS.
• regra_validação [médio] — Exceção adicionada à regra F03: quando o autorizador for SVRS e o DFe/Evento possuir o grupo infPAA preenchido, a validação de CNPJ-Base do emitente versus CNPJ-Base do certificado digital não será aplicada.
• regra_validação [médio] — Exceção adicionada à regra F03A: quando o autorizador for SVRS e o DFe/Evento possuir o grupo infPAA preenchido, a validação de CPF do emitente versus CPF do certificado digital não será aplicada.
• regra_validação [alto] — Nova regra ZG01-10: quando o grupo infPAA estiver informado, o ambiente de autorização da NF-e/NFC-e deve obrigatoriamente ser o da SEFAZ Virtual RS (SVRS). Implementada em todos os ambientes autorizadores.
• regra_validação [médio] — Nova regra ZG02-10: quando o grupo infPAA estiver informado, o CNPJ do PAA deve ser válido (zeros e dígito verificador). Implementada somente na SVRS.
• regra_validação [alto] — Nova regra ZG02-20: quando o grupo infPAA estiver informado, o CNPJ do PAA deve constar na relação de Provedores homologados pelo ENCAT. Implementada somente na SVRS.
• regra_validação [alto] — Nova regra ZG02-30: quando o grupo infPAA estiver informado, o emitente (CNPJ/CPF) deve possuir vínculo ativo com o PAA informado (CNPJPAA). Implementada somente na SVRS.
• regra_validação [alto] — Nova regra ZG02-40: quando o grupo infPAA estiver informado e o CNPJ do certificado de assinatura for diferente da SVRS, o CNPJ do certificado de assinatura deve ser igual ao CNPJ do PAA. Implementada somente na SVRS.
• regra_validação [alto] — Nova regra ZG04-10: quando o grupo infPAA estiver informado, a assinatura RSA (SignatureValue) deve ser validada com a chave pública do emitente (RSAKeyValue). Implementada somente na SVRS.
• regra_validação [médio] — Nova regra P09-10 para eventos: DFe emitido com PAA deve ter o ambiente da SVRS. Implementada em todos os ambientes autorizadores de NF-e/NFC-e.
• credencial_acesso [alto] — Definição do processo de credenciamento do PAA: o contribuinte deve vincular-se a um PAA homologado pelo ENCAT no portal da SVRS, autenticando-se via gov.br. O portal gera um par de chaves RSA (pública e privada) para uso exclusivo naquele vínculo. O vínculo pode ser encerrado a qualquer tempo pelo emitente, pela administração tributária ou pelo PAA, com efeito imediato.
• processo [médio] — Definição do padrão criptográfico RSA 1024 bits (formato PEM, especificação OpenSSL) para o par de chaves utilizado na assinatura avançada do PAA, com algoritmo de assinatura RSA SHA1 e resultado em base64.
• processo [baixo] — Previsão de integração futura com o ambiente nacional de dados do Art. 59 da LC 214/2025 para informações cadastrais, a ser implementada até o final de 2026 ou quando disponível.

Histórico de versões

• v1.00 — 2026-03-01 (vigente)