Você sabe quem está usando o certificado digital A1 da sua empresa neste exato momento? Essa pergunta parece simples, mas para a maioria dos escritórios de advocacia e departamentos jurídicos, a resposta honesta é: não. O certificado foi enviado por e-mail para dois colegas, instalado em três máquinas diferentes, e não há nenhum registro de quem o usou, quando e em qual sistema.
O certificado digital A1 é, de fato, o formato mais prático e adotado no Brasil: 58,1% dos certificados ativos no país são do tipo A1, segundo o Instituto de Tecnologia da Informação (ITI). A praticidade é real, mas ela vem com um risco que poucos gerenciam de forma adequada.
Neste artigo, você vai entender o que é o certificado A1, por que a forma como ele é gerenciado define o nível de risco da sua operação, e como garantir rastreabilidade e controle sem abrir mão da produtividade da sua equipe.
Os riscos reais do certificado A1 mal gerenciado
Antes de falar sobre o que é o A1, vale entender o cenário mais comum entre quem já o utiliza, porque é nesse ponto que a maioria das empresas está exposta sem saber.
Cenário 1: o certificado compartilhado por e-mail ou pendrive
É a prática mais comum e a mais perigosa. O colaborador precisa assinar um documento, o certificado está na máquina de outra pessoa, então alguém envia o arquivo .pfx por e-mail ou pendrive. O problema: a partir desse momento, você perdeu o controle sobre quem tem acesso ao certificado. Não há registro de quem o recebeu, quem o instalou, nem o que foi assinado com ele.
Cenário 2: certificado instalado em múltiplas máquinas sem controle
Por praticidade, muitos escritórios instalam o mesmo certificado em dois, três ou mais computadores. O resultado é que qualquer pessoa com acesso a essas máquinas pode usar o certificado — inclusive colaboradores que já saíram da empresa e ainda têm o notebook com o arquivo instalado. Sem log de auditoria, é impossível saber o que foi feito.
Cenário 3: sem política de acesso definida
Sem uma política formal, qualquer colaborador acessa o certificado a qualquer hora, em qualquer sistema, sem restrição. Isso significa que uma assinatura feita fora do horário comercial, por um usuário não autorizado, em um sistema que não deveria ser acessado, passa completamente despercebida.
O que diz a LGPD sobre isso?
A Lei Geral de Proteção de Dados é direta: o titular do certificado responde pelos atos realizados com ele, mesmo que outra pessoa o tenha usado. Se o certificado da sua empresa foi usado para acessar dados de terceiros sem autorização, a responsabilidade é da empresa, independente de quem executou a ação. A ausência de rastreabilidade não é uma defesa; é um agravante.
| Whom.doc9: rastreabilidade completa de cada acesso ao certificado É exatamente esse problema que o Whom.doc9 resolve. Com cofre de certificados em nuvem, log de auditoria e políticas de acesso por usuário, sua equipe usa o A1 com agilidade — e você sabe exatamente o que foi feito. Conheça o Whom.doc9 → |
O que é o certificado digital A1
O certificado digital A1 é um arquivo eletrônico — normalmente com extensão .pfx ou .p12 — que funciona como a assinatura digital de uma pessoa física ou jurídica no ambiente eletrônico. Ele tem validade legal reconhecida e pode ser usado para assinar contratos, autenticar documentos, emitir notas fiscais eletrônicas, acessar sistemas governamentais como e-CAC, eSocial e PJe, e realizar qualquer transação digital que exija identificação formal.
O número “1” do A1 indica o período de validade: um ano, após o qual o certificado precisa ser renovado. Ao contrário do A3 — que é armazenado em token físico ou cartão com chip —, o A1 existe como arquivo digital, o que permite instalá-lo em computadores, notebooks, tablets e smartphones.
É exatamente essa flexibilidade que torna o A1 o formato mais adotado por times jurídicos que precisam de acesso simultâneo a múltiplos sistemas. Mas é também essa flexibilidade que exige uma gestão ativa — porque um arquivo digital pode ser copiado, enviado e instalado sem nenhum controle, se não houver uma solução adequada.
Como funciona tecnicamente
Quando o certificado é emitido, são geradas duas chaves criptografadas: uma chave pública, mantida pela autoridade certificadora, e uma chave privada, armazenada no arquivo do certificado. Sempre que o certificado é ativado — para assinar um documento ou acessar um sistema —, as duas chaves são combinadas para confirmar a identidade do titular. Isso garante a integridade e a autoria de cada ação realizada.
Como gerenciar o certificado A1 com segurança
Gerenciar o A1 com segurança não significa restringir o acesso da equipe — significa garantir que o acesso seja rastreável, controlado e auditável. Na prática, isso envolve três elementos:
1. Política de acesso por usuário
Uma política de acesso define quem pode usar o certificado, em quais sistemas, em quais horários e com quais permissões. Em vez de um certificado disponível para toda a equipe sem restrição, cada colaborador tem um perfil de acesso individual — com início, fim e escopo definidos. Se um colaborador sai da empresa, o acesso é revogado imediatamente, sem precisar localizar e desinstalar o arquivo em cada máquina.
2. Log de auditoria
O log de auditoria registra cada uso do certificado: quem acessou, quando, em qual sistema e qual ação foi executada. Esse histórico é o que permite responder com precisão em uma auditoria, um processo judicial ou uma investigação de uso indevido. Sem log, não há evidência — e sem evidência, não há defesa.
3. Gerenciador de certificados em nuvem
Em vez de instalar o certificado em cada máquina individualmente, o gerenciador armazena o arquivo em ambiente seguro na nuvem. O colaborador acessa o certificado via extensão de navegador, de forma segura e rastreável. Isso elimina o risco de cópia indevida, perda do arquivo e instalação não autorizada.
| O Whom.doc9 reúne os três elementos em uma única solução Gerenciador em nuvem, políticas de acesso por usuário, log completo de auditoria e integração com mais de 1.500 sistemas jurídicos e administrativos. Sua equipe usa o certificado com agilidade. Você tem rastreabilidade total. Agende uma demonstração → |
Vantagens do certificado digital A1 e como aproveitá-las com segurança
As vantagens do A1 são reais. O ponto é que cada uma delas tem uma condição implícita: só se realiza plenamente quando o certificado é gerenciado com controle adequado.
Acesso remoto e uso simultâneo
O A1 pode ser usado em qualquer dispositivo conectado à internet, por múltiplos usuários ao mesmo tempo. Para times jurídicos que atuam em diferentes sistemas — PJe, e-CAC, portais de tribunais —, isso é um diferencial operacional real. Mas uso simultâneo sem rastreabilidade significa que você não sabe o que cada pessoa fez com o certificado. Com um gerenciador como o Whom, o acesso simultâneo se mantém e cada acesso fica registrado.
Flexibilidade sem token
Diferente do A3, que exige um token físico ou cartão com leitora, o A1 não depende de hardware. Qualquer colaborador pode assinar um documento sem precisar de equipamento adicional. Isso elimina o custo e a logística do A3 — mas exige uma camada de controle de software que substitua a segurança física do token.
Redução de custos operacionais
O A1 elimina uma série de custos: impressão e envio de documentos físicos, reconhecimento de firma em cartório, transporte para assinatura presencial, armazenamento de documentos em papel. Para escritórios que lidam com alto volume documental, a economia é significativa — e cresce à medida que o uso do certificado se expande para mais sistemas e mais usuários.
Integração com sistemas governamentais e jurídicos
O A1 é aceito nos principais sistemas de uso obrigatório: e-CAC, eSocial, SPED, RAIS, PJe, e-SAJ, portais de tribunais, sistemas de emissão de NF-e e CTEOS. Para departamentos jurídicos e escritórios de advocacia, isso significa um único certificado funcionando em toda a operação digital da empresa.
Certificado A1 ou A3: qual escolher?
A diferença principal está no armazenamento e na validade. O A1 é um arquivo digital com validade de um ano; o A3 é armazenado em token físico ou cartão com chip e tem validade de até três anos.
Para times que precisam de acesso simultâneo, remoto e em múltiplos sistemas, o A1 é a escolha mais prática. Para profissionais que operam de forma individual e preferem a segurança física do token, o A3 pode ser mais adequado.
Se sua operação envolve mais de um usuário acessando o mesmo certificado, o A1 é o caminho — mas é também onde a gestão se torna indispensável.
Para uma comparação detalhada entre os dois formatos, leia também: Certificado digital A3 e A1: conheça as diferenças e qual a melhor opção.
Flexibilidade com controle: o que separa um bom uso do A1 de um uso arriscado
O certificado digital A1 é a escolha certa para a maioria dos times jurídicos — pela praticidade, pela integração com os principais sistemas do mercado e pela eliminação de custos operacionais. Mas a vantagem do A1 só se realiza completamente quando a gestão é adequada.
Ter o certificado não é suficiente. O que define o nível de risco da sua operação é saber quem está usando, quando, em qual sistema — e ter essa informação documentada e auditável.
O Whom.doc9 foi desenvolvido para garantir exatamente isso: sua equipe acessa o certificado com a mesma agilidade de sempre, e você tem rastreabilidade completa de cada uso, conformidade com a LGPD e controle real sobre um dos ativos mais críticos da sua operação jurídica.
FAQ — Perguntas frequentes
Posso instalar o certificado A1 em mais de um computador?
Sim, tecnicamente é possível. O arquivo .pfx ou .p12 pode ser instalado em múltiplas máquinas. O problema não é técnico — é de controle. Sem saber em quantas máquinas o certificado está instalado e quem tem acesso a cada uma, você não tem como rastrear o uso. Uma solução de gestão como o Whom centraliza o acesso em cofre na nuvem, eliminando a necessidade de instalação local e mantendo o controle centralizado.
O que acontece se o certificado A1 for usado sem minha autorização?
Do ponto de vista legal, qualquer ação realizada com o certificado é de responsabilidade do titular — seja a empresa ou a pessoa física que o emitiu. Provar que o uso foi indevido exige um log de auditoria detalhado, com registro de quem acessou, quando e o que fez. Sem esse registro, não há como contestar o uso indevido.
Como saber quem acessou meu certificado A1?
Com a instalação tradicional (arquivo local), não há como saber. O sistema operacional não registra quem usou o certificado nem em qual operação. Para ter esse histórico, é necessário uma plataforma de gestão que registre cada acesso em log de auditoria — como o Whom.doc9, que armazena quem acessou, qual sistema foi utilizado e qual ação foi executada.
Certificado A1 e LGPD: qual é a responsabilidade da empresa?
A LGPD estabelece que o controlador dos dados é responsável por qualquer acesso ou uso indevido — mesmo que realizado por terceiros usando as credenciais da empresa. O certificado digital é uma credencial de alto valor: qualquer ação realizada com ele tem validade legal e é atribuída ao titular. Garantir que apenas pessoas autorizadas o utilizem, com registro de cada acesso, é parte da conformidade com a LGPD.
Como renovar o certificado digital A1?
Certificados A1 do tipo e-CNPJ e NF-e podem ser renovados online junto à Autoridade Certificadora (AC). O custo varia entre R$ 70 e R$ 200 por ano, dependendo da AC e do tipo de certificado. Recomenda-se iniciar o processo pelo menos 30 dias antes do vencimento — certificados vencidos impedem a emissão de notas fiscais e invalidam transações digitais. O Whom.doc9 emite alertas automáticos de vencimento e permite a renovação integrada com a Certisign.
| Gerencie seus certificados com controle total e zero risco Conheça o Whom.doc9 — a plataforma líder em gestão de certificados digitais no Brasil, escolhida por centenas de times jurídicos. Fale com um especialista do Whom.doc9 → |
