22 de maio - Porto Alegre - RS

Garanta seu lugar

22 de maio - Porto Alegre - RS

Garanta seu lugar

Token para certificado digital: guia completo para advogados

10/07/2025doc9

A rotina jurídica moderna já se tornou digital. Prazos, protocolos, contratos e intimações acontecem em um ambiente online onde a agilidade é crucial e a segurança é inegociável. No centro dessa revolução digital está uma ferramenta que se tornou tão indispensável quanto o Vade Mecum: os certificados digitais e, consequentemente, o token para certificado digital

O certificado é a sua identidade, sua assinatura e a chave que abre as portas do sistema judiciário eletrônico. Já o token, por muito tempo, era associado apenas a um pequeno dispositivo físico, parecido com um pendrive, facilmente transportável. 

Por anos, ele foi o padrão de segurança da informação, o “cofre” físico para a sua identidade jurídica. A visão do que é um token não está errada, mas, em um mundo de trabalho remoto, equipes colaborativas e ameaças cibernéticas cada vez mais sofisticadas, será que o modelo de “carregar sua assinatura no bolso” ainda faz sentido

A gestão manual de tokens e senhas, que antes era vista como o auge da segurança, hoje se mostra como um dos maiores pontos de vulnerabilidade e ineficiência para escritórios e departamentos jurídicos.

Este guia completo foi criado para vocês, advogados e gestores jurídicos, que buscam entender a fundo essa tecnologia. Vamos desmistificar o que é o token, explorar as diferenças cruciais entre os tipos de certificados, expor os riscos que ninguém conta sobre o compartilhamento manual e, o mais importante, apresentar a evolução: a gestão em nuvem

Prepare-se para transformar a maneira como você pensa sobre segurança digital.

O que é um token para certificado digital?

Para entender o token, primeiro precisamos falar sobre o seu propósito: viabilizar a assinatura digital. Em sua essência, um token para certificado digital é um dispositivo criptográfico de hardware

Ainda podemos pensar nele como um cofre portátil e ultrasseguro, cuja função é armazenar o seu certificado digital e proteger as chaves privadas associadas a ele, garantindo que elas nunca saiam do ambiente seguro do dispositivo.

Quando você precisa assinar um documento ou se identificar em um portal, o token realiza a operação complexa da criptografia internamente, sem nunca expor sua “chave secreta” para o computador ou para a internet

Ele apenas comunica o resultado final: a assinatura válida. É essa arquitetura que confere ao certificado A3 sua robusta camada de segurança.

Para que serve a assinatura digital no dia a dia do advogado?

A assinatura digital, viabilizada pelo certificado, deixou de ser um diferencial para se tornar um requisito fundamental na prática jurídica moderna. Ela é a tecnologia que garante autenticidade, integridade e validade jurídica aos atos praticados em ambiente eletrônico.

No seu dia a dia, isso se traduz em poder para:

  • Peticionar e protocolar documentos nos sistemas de processo eletrônico (PJe, e-SAJ, Projudi, etc.) de qualquer lugar do país;
  • Assinar um contrato digital com clientes, parceiros e fornecedores com a mesma validade jurídica de uma assinatura em papel com firma reconhecida;
  • Acessar áreas restritas de portais governamentais, como o e-CAC da Receita Federal ou o INSS Digital, para representar os interesses de seus clientes;
  • Emitir procurações eletrônicas, garantindo agilidade e segurança na representação;
  • Assegurar a integridade dos documentos enviados, provando que não foram alterados após a sua assinatura.

Por que usar um certificado digital ao invés do tradicional?

A transição do papel para o digital na advocacia não é somente uma tendência, mas uma evolução estratégica impulsionada por benefícios concretos que otimizam a rotina, reduzem custos e, sobretudo, elevam o patamar de segurança. 

Adotar o certificado digital é modernizar a operação, trocando a vulnerabilidade do mundo físico pela robustez da tecnologia. Vamos detalhar os pilares dessa transformação:

1. Segurança em um novo nível: diferente de uma assinatura em papel, que pode ser falsificada, copiada ou questionada com facilidade, a assinatura digital utiliza criptografia avançada para criar um verdadeiro selo de segurança digital

Pense em um par de chaves únicas: uma pública, que todos podem ver, e uma privada, que só você possui e que está protegida pelo seu certificado. Qualquer alteração, por menor que seja, quebra esse lacre de forma irreversível. Isso garante três princípios fundamentais:

  • Autenticidade sobre quem assinou o documento;
  • Integridade de que o conteúdo do documento não foi alterado após a assinatura;
  • Não-repúdio (ou Irretratabilidade), pois o signatário não pode negar a autoria da assinatura. Para o advogado, isso é crucial, pois confere um grau de certeza probatória muito superior ao do papel.

2. Validade jurídica inquestionável: a força da ICP-Brasil: a Medida Provisória 2.200-2/2001 e a Lei nº 14.063/2020 não apenas validam, mas equiparam a assinatura digital qualificada (feita com certificados padrão ICP-Brasil) à assinatura de próprio punho. A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) é a “espinha dorsal” do sistema, garantindo que todo certificado emitido no país siga um padrão rigoroso de segurança e confiabilidade. 

Na prática, isso significa que um documento assinado com seu certificado OAB, por exemplo, tem fé pública e é presumidamente verdadeiro perante a lei, o que pode inverter o ônus da prova em uma disputa judicial. Um contrato digital assinado por duas partes com seus certificados, por exemplo, tem a força de um título executivo extrajudicial, dispensando a necessidade de testemunhas.

3. Redução de custos visíveis e invisíveis: a economia gerada pela digitalização vai muito além do papel e do toner da impressora. É preciso considerar o “custo total da assinatura em papel”:

  • Custos diretos: impressão, envelopes, armazenamento físico (aluguel de espaço, caixas-arquivo), transporte por motoboy ou correio e taxas de cartório para reconhecimento de firma;
  • Custos invisíveis (e mais altos): o tempo da sua equipe. Pense no custo da hora de um advogado ou estagiário gasto em tarefas de baixo valor, como imprimir, conferir, assinar, escanear, enviar e depois arquivar fisicamente um documento. Esse tempo, quando liberado, pode ser reinvestido em atividades estratégicas, atendimento ao cliente e desenvolvimento de novas teses.

Além disso, a operação sem papel alinha seu negócio a práticas de sustentabilidade e governança (ESG), um diferencial cada vez mais relevante no mundo corporativo.

4. Agilidade e eficiência que destravam negócios: o que antes levava dias para ser resolvido, agora acontece em minutos. Imagine fechar um acordo importante com um cliente que está em outra cidade às 17h de uma sexta-feira. 

Com o processo tradicional, seria impossível. Com o certificado digital, o contrato é redigido, enviado, assinado por ambas as partes e validado em menos de 30 minutos, de qualquer lugar com conectividade.

Essa agilidade não está apenas no ato de assinar, mas em habilitar um fluxo de trabalho 100% digital. O documento já nasce eletrônico, é revisado em colaboração, assinado digitalmente e arquivado na nuvem, sem nunca precisar tocar em uma impressora. 

Agilidade protocolar em sistemas de tribunais (PJe, e-SAJ)

O exemplo mais palpável da revolução do certificado digital é o protocolo de petições. Lembre-se da rotina de alguns anos atrás: imprimir dezenas de páginas, assinar uma a uma, organizar os documentos, enfrentar o trânsito e as filas do fórum para garantir que o protocolo fosse feito antes do prazo final. 

Hoje, com seu certificado digital OAB, você acessa o sistema do tribunal, anexa o arquivo da petição e, com alguns cliques, realiza uma assinatura digital que protocola o documento quase instantaneamente, gerando um recibo com data e hora que possui fé pública. 

Essa agilidade não é apenas conveniência, é uma vantagem competitiva que libera tempo para o que realmente importa: a estratégia jurídica.

Leia também: Consultoria Jurídica: saiba quando contratar

Qual a diferença entre certificado digital A3 e o A1?

Esta é, talvez, a dúvida mais comum e a decisão mais importante na hora de adquirir um certificado. A diferença entre certificado A3 e A1 não é sobre “qual é melhor”, mas sobre qual se adequa à sua necessidade e, principalmente, ao seu modelo de gestão e segurança. 

A sigla se refere ao tipo de armazenamento e geração das chaves criptográficas.

Certificado digital A3

A característica fundamental de um certificado A3 é que o par de chaves criptográficas, que compõem sua identidade, é gerado e permanentemente armazenado em um dispositivo de hardware seguro, como um token ou um smart card, sendo tecnicamente impossível extraí-la ou copiá-la para outro ambiente.

Essa arquitetura confere ao A3 um alto nível de segurança. A assinatura de um documento ocorre internamente no processador do dispositivo, que é protegido por uma senha pessoal (PIN). O computador solicita a assinatura, mas é o hardware que a executa em seu ambiente blindado, devolvendo apenas o resultado pronto.

Contudo, a dependência do objeto físico significa que, se você o perder, esquecê-lo no escritório ou danificá-lo, sua capacidade de assinar documentos e acessar sistemas é instantaneamente interrompida até que um novo certificado seja emitido. 

Para equipes, o problema se multiplica, criando o dilema de compartilhar fisicamente o dispositivo, uma prática que, além de ineficiente, gera enormes riscos de segurança.

Sua validade mais longa, que pode chegar a cinco anos, reduz a preocupação com renovações anuais, mas também representa um longo período no qual o dispositivo está sujeito a perdas e ao desgaste do uso contínuo.

Entendendo o hardware: o que é o token e o smart card?

Embora ambos armazenem certificados A3, seu formato e uso são um pouco diferentes.

  • Tokens: são dispositivos USB que se parecem com um pendrive. É a forma mais comum de hardware para certificados A3 de pessoa física ou e-CNPJ. Basta conectá-lo à porta USB do computador para que ele seja reconhecido (após a instalação dos drivers corretos);
  • Smart card: é um cartão de plástico com um chip embutido, muito parecido com um cartão de crédito. O exemplo mais conhecido no meio jurídico é a própria carteira da OAB com chip, que funciona como um certificado digital OAB. Para usá-lo, é necessário um hardware adicional: uma leitora de cartões conectada ao computador.

Certificado digital A1

Em contrapartida, o certificado digital A1 é uma representação eletrônica da identidade de uma pessoa física ou jurídica. Funciona como um arquivo de software, uma identidade digital com extensões .pfx ou .p12, que é gerada e armazenada diretamente no disco rígido do computador, celular ou tablet. 

Por ser um digital, ele elimina a dependência de um dispositivo físico, podendo ser instalado simultaneamente no computador do escritório, no notebook de casa e até em servidores, o que flexibiliza o uso por diferentes pessoas ou sistemas automatizados.

O custo inicial mais baixo e a facilidade de aquisição online o tornam uma opção atraente, mesmo tendo uma validade menor do que o certificado A3, sendo apenas 12 meses. Isso exige uma disciplina de renovação para não haver interrupção dos trabalhos. 

A grande questão do A1, no entanto, reside na sua segurança, que é diretamente proporcional à segurança do ambiente onde ele está instalado. Se o certificado A3 é um cofre, o A1 é um documento valioso guardado dentro de uma pasta em uma sala que deve ser bem protegida.

A partir do momento em que o arquivo .pfx é copiado e sua senha de proteção é descoberta, múltiplos “vocês” digitais podem existir e agir simultaneamente sem o seu conhecimento. 

A prática, infelizmente comum, de enviar o certificado por e-mail para um colaborador é o equivalente a tirar fotocópias da chave mestra da sua empresa e distribuí-las sem qualquer controle, expondo completamente sua identidade jurídica a riscos imensuráveis.

Quais os riscos no compartilhamento de informações?

Em um ambiente de escritório ou departamento jurídico, a colaboração é essencial. Um estagiário precisa protocolar uma petição, um advogado do setor financeiro precisa acessar o e-CAC, outro colaborador precisa assinar um documento em seu nome. 

É nesse momento que a gestão manual de certificados se torna um campo minado de riscos. A prática de enviar o arquivo A1 e a senha por e-mail, ou de deixar o token certificado digital passando de mão em mão pela equipe, cria vulnerabilidades críticas como:

  1. Perda de controle absoluto: a partir do momento em que a senha do seu certificado é compartilhada, você não tem mais conhecimento de quem a possui, quem a utiliza e para qual finalidade. O arquivo A1 pode ser copiado infinitas vezes e o token físico pode ser usado por qualquer pessoa que tenha o PIN;
  2. Risco de fraude e transações indevidas: uma pessoa mal-intencionada ou um ex-colaborador insatisfeito em posse do seu certificado pode assinar contratos, alterar registros societários, realizar transações bancárias ou acessar informações fiscais sigilosas em seu nome. E o pior: com plena validade jurídica;
  3. Responsabilidade jurídica: em caso de uso indevido, a responsabilidade legal recai sobre o titular do certificado. Provar que não foi você quem realizou a assinatura é um processo extremamente complexo e, muitas vezes, impossível. O risco de uma indenização por vazamento de dados ou por fraude se torna iminente;
  4. Inviabilidade de auditoria: sem um sistema de controle, é impossível rastrear quem usou o certificado. Se um erro for cometido em um protocolo, como saber quem foi o responsável? Essa falta de rastreabilidade é um pesadelo para a governança e para a gestão de riscos.

Como gerenciar certificados digitais com segurança e eficiência?

A resposta para os riscos do compartilhamento manual não é proibir a colaboração, mas sim adotar uma abordagem tecnológica que permita o trabalho em equipe sem abrir mão da segurança

A solução é parar de compartilhar o certificado (a “chave mestra”) e passar a compartilhar apenas o acesso controlado a ele, possível através de um gerenciador de certificados digitais. O conceito se baseia em três pilares fundamentais:

Centralize todos os certificados em um único cofre digital

Imagine um painel onde todos os certificados da sua organização (A1 e A3, de sócios, associados e o e-CNPJ) estão armazenados de forma segura e criptografada. Você tem uma visão clara de todos os ativos digitais, suas validades e seus responsáveis, acabando com a desorganização de arquivos e tokens espalhados. 

Leia também: Entenda a importância da autenticação de documentos e como a doc9 facilita o processo

Defina permissões de acesso granulares para cada colaborador

Com a gestão centralizada, o titular do certificado não precisa mais compartilhar sua senha principal. Em vez disso, ele cria usuários para os membros da equipe e define, com um clique, o que cada um pode fazer. 

Por exemplo, o estagiário “A” só pode usar o certificado para protocolar no PJe-TJSP, enquanto o advogado “B” pode usá-lo para acessar o e-CAC. O controle é total e granular.

Audite e rastreie 100% das assinaturas em tempo real

Toda e qualquer utilização do certificado através da plataforma é registrada. O sistema cria uma trilha de auditoria completa, informando qual usuário acessou, qual certificado foi usado, em qual data e hora, e em qual site ou sistema a ação foi realizada. 

Essa rastreabilidade é uma ferramenta poderosa para a conformidade e para a segurança jurídica.

A evolução do token para a gestão em nuvem

O conceito de gerenciamento centralizado é a base da inovação que está aposentando a dependência do token físico. Soluções em nuvem, como o Whom.doc9, são a materialização dessa evolução. 

Elas pegam a segurança robusta do certificado A3 e a flexibilidade do A1, eliminam suas desvantagens e entregam uma solução superior.

O Whom.doc9 é uma solução pioneira no Brasil, desenvolvida por quem entende as dores do setor jurídico. Ela foi projetada para transformar a gestão de acessos e certificados de um ponto de estresse e risco em um diferencial de eficiência e governança.

Centralização e controle total de acesso

Com o Whom.doc9, você gerencia facilmente seus certificados A1 e pode conectar seus certificados A3 (armazenados em servidores HSM, o mais alto padrão de segurança), tudo a partir de um dashboard intuitivo. 

Você cria perfis para sua equipe e atribui permissões de forma simples. Um colaborador foi desligado? Com um clique, o acesso dele é revogado instantaneamente, algo impossível de garantir quando um arquivo A1 foi compartilhado.

Rastreabilidade e auditoria completa

A plataforma oferece relatórios detalhados que servem como prova irrefutável do uso de cada certificado. Essa funcionalidade é essencial não apenas para a segurança interna, mas também para demonstrar conformidade com a LGPD e outras regulamentações, protegendo o escritório e seus clientes.

Posso compartilhar o token do certificado digital?

Compartilhar o token físico e sua senha PIN é uma prática de alto risco que anula a principal vantagem dos certificados A3 e A1: a segurança de que apenas o titular tem acesso. 

Ao compartilhar o certificado digital com outra pessoa, você está, na prática, entregando uma procuração em branco com poderes ilimitados no mundo digital. Ou seja, com base em tudo o que vimos, a resposta é um sonoro não! Pelo menos, não de qualquer jeito. 

Dicas de segurança no compartilhamento de certificados digitais

A única forma verdadeiramente segura de “compartilhar” um certificado é não compartilhar o certificado em si, mas sim o acesso a ele por meio de uma ferramenta de gestão como o Whom.doc9. 

Essa é a dica de segurança fundamental. Qualquer outra medida é paliativa e mantém um nível de risco elevado. Se, por alguma razão, você ainda depende do método manual, as dicas são para redução de danos, não para segurança real:

  1. Nunca compartilhe o PIN: a senha do token é pessoal e intransferível;
  2. Jamais envie arquivos .pfx (A1) por e-mail ou mensageiros;
  3. Mantenha o controle físico: saiba sempre onde seu token está;
  4. Crie processos rígidos: tenha um termo de responsabilidade para o uso e um procedimento claro para a devolução do token quando um colaborador se desliga.

Contudo, fica claro que todos esses processos manuais são frágeis e pouco eficientes. A segurança real e a produtividade moderna estão na tecnologia de gestão em nuvem.

Mantenha suas práticas de segurança atualizadas!

O mundo jurídico evoluiu, e as ferramentas que usamos precisam acompanhar esse ritmo. O certificado digital antigo cumpriu, e ainda cumpre um papel, mas a dinâmica de trabalho atual – colaborativa, remota e ágil – exige uma solução que vá além da simples posse de um dispositivo físico

Continuar dependendo de tokens físicos que se perdem, e senhas compartilhadas em notas adesivas, não é apenas ineficiente, é um risco que a advocacia moderna não pode mais correr.

É exatamente aqui que a tecnologia se torna a maior aliada da sua rotina, substituindo a incerteza por controle e a burocracia por produtividade. A resposta para esse desafio não é um conceito abstrato, mas uma solução prática e robusta, desenvolvida no Brasil pela doc9: o Whom.doc9.

O Whom.doc9 foi projetado para ser o centro de comando da sua identidade digital. Ele transforma a gestão de certificados de um ponto de vulnerabilidade em um pilar de segurança e governança para sua operação.

  • Para a perda de controle, ele oferece um dashboard onde você centraliza todos os certificados e define, com permissões granulares, exatamente quem pode usá-los, quando e para qual finalidade;
  • Para a insegurança jurídica, ele entrega uma trilha de auditoria completa e inviolável. Cada assinatura é registrada, gerando relatórios que garantem a conformidade e a tranquilidade que você precisa;
  • Para a ineficiência do token físico, ele traz a inovação da gestão em nuvem, permitindo que você e sua equipe usem a segurança máxima do certificado A3 sem nunca mais precisar do dispositivo físico.

Adotar uma ferramenta de gestão de certificados digitais como o Whom.doc9 não é apenas um upgrade; é uma decisão estratégica que blinda seu nome e os dados dos seus clientes

É a certeza de que sua prática jurídica está apoiada na melhor tecnologia disponível, liberando seu tempo para o que realmente importa: advogar.

Quer transformar a gestão dos seus certificados em um diferencial competitivo? Agende uma demonstração do Whom.doc9 e veja na prática como a tecnologia pode simplificar sua rotina com total segurança.

FAQ

Qual a principal diferença entre o certificado A1 e o A3 (com token)?

A principal diferença está no armazenamento da chave privada. No A1, ela é um arquivo de software (.pfx) salvo no seu computador. Enquanto no A3, a chave fica em um hardware físico.

É seguro enviar o arquivo do certificado A1 ou a senha do token por e-mail para um colaborador?

Não, essa é uma das práticas mais perigosas. Enviar um certificado A1 por e-mail cria cópias vulneráveis do arquivo e você perde o controle sobre ele para sempre. Compartilhar a senha do token anula seu propósito de segurança. 

Meu certificado OAB é A3 em cartão. Consigo usá-lo sem a leitora o tempo todo?

Não, se você possuir um certificado OAB do tipo A3, em cartão, você não consegue utilizá-lo sem a leitora de cartão. O que você pode fazer é adquirir um certificado em um token, ou um certificado digital A1.

O que faz um gerenciador de certificados digitais?

Um gerenciador de certificados digitais, como o Whom.doc9, centraliza todos os certificados e permite a concessão de permissões de uso específicas para um número irrestrito de usuários, com rastreabilidade e auditoria em 100% das assinaturas.

Compartilhe:

Compartilhe:

Fale com um
especialista doc9

    + Leia mais sobre

    Todos Tecnologia Jurídica Segurança da informação Gestão Correspondentes Jurídicos
    Sua dose de 
    inovação jurídica 
    Assine a newsletter e receba novidades quizenalmente
    plugins premium WordPress