O certificado digital A3 ainda vale a pena em 2026 para quem precisa de alta segurança: a chave privada fica armazenada em um token USB ou cartão smartcard, nunca exposta na internet, com validade de 1 a 3 anos. Ele é obrigatório em alguns sistemas governamentais e recomendado para contadores, advogados e empresas que assinam documentos de alto valor com frequência. Na S&E Soluções Digitais, você emite o A3 com suporte completo e validação presencial ou por videoconferência.
O Que É o Certificado Digital A3 e Como Ele Funciona
O certificado digital A3 é um tipo de certificado ICP-Brasil no qual a chave criptográfica privada é gerada e armazenada dentro de um dispositivo de hardware dedicado — um token USB ou cartão smartcard —, e nunca sai desse hardware. Isso significa que, ao contrário do certificado A1 (que é um arquivo salvo no computador), a chave do A3 não pode ser copiada, exportada ou roubada por malware.
Na prática, toda vez que você precisa assinar um documento ou autenticar seu acesso em um sistema, o token realiza a operação criptográfica internamente. O computador envia o dado a ser assinado ao token, o token assina usando a chave privada armazenada nele e devolve apenas a assinatura — a chave em si jamais trafega pelo sistema operacional. Esse modelo de segurança é chamado de criptografia baseada em hardware e é o padrão exigido pelo ITI (Instituto Nacional de Tecnologia da Informação) para certificados da classe A3 na infraestrutura ICP-Brasil.
Diferença entre chave armazenada em hardware e em software
No certificado A1, a chave privada é um arquivo criptografado protegido por senha — se alguém obtiver esse arquivo e descobrir a senha, pode assinar documentos em seu nome de qualquer lugar do mundo. No A3, isso é impossível: mesmo que o token seja roubado, o atacante ainda precisaria do PIN correto, e após um número limitado de tentativas erradas (geralmente 3), o token bloqueia automaticamente e inutiliza a chave.
Essa diferença é determinante para profissionais que assinam contratos de alto valor, procurações eletrônicas ou petições judiciais, onde uma assinatura indevida pode causar prejuízos irreversíveis.
Como o token USB protege sua identidade digital
O token USB compatível com ICP-Brasil possui um chip criptográfico homologado que segue os padrões FIPS 140-2 ou equivalente. Ele funciona como um cofre eletrônico: você conecta ao computador, informa o PIN de 4 a 8 dígitos, e o dispositivo libera as operações de assinatura por aquela sessão. Desconectar o token encerra imediatamente qualquer acesso. Modelos comuns no mercado brasileiro incluem os tokens da SafeNet, Gemalto e eToken, todos homologados pela ICP-Brasil.
Quais sistemas aceitam exclusivamente o certificado A3
Alguns sistemas governamentais foram projetados para exigir o nível de segurança do A3 e não aceitam o A1. O principal exemplo é o PJe (Processo Judicial Eletrônico), utilizado por advogados em todo o Brasil, que exige certificado A3 para peticionamento eletrônico em vários tribunais. Além disso, determinados portais de licitação pública e sistemas de saúde (como o CNES e o SCNES) também demandam o A3. Antes de escolher seu certificado, verifique os requisitos específicos dos sistemas que você utiliza no dia a dia.
A3 Token USB vs A3 em Nuvem: Qual Escolher em 2026
Em 2026, você tem duas formas de usar um certificado A3: com o token USB físico tradicional ou com o A3 em nuvem, hospedado em um HSM (Hardware Security Module) certificado pela ICP-Brasil. Ambos têm a mesma validade jurídica — a diferença está na forma de acesso e na mobilidade que cada formato oferece.
O token USB exige que o dispositivo esteja fisicamente conectado ao computador no momento da assinatura. Já o A3 em nuvem permite que você assine documentos de qualquer dispositivo com acesso à internet — notebook, tablet ou smartphone — sem depender de um pendrive específico. A chave continua armazenada em hardware (o HSM do provedor), mas o acesso é remoto e autenticado por múltiplos fatores.
Como funciona o A3 em nuvem (HSM) na prática
No modelo em nuvem, a chave privada é gerada e armazenada em um HSM físico mantido pelo provedor de certificação em um data center com certificação de segurança. Quando você precisa assinar, acessa o sistema via aplicativo ou extensão de navegador, autentica sua identidade (geralmente com senha + token de autenticação enviado ao celular) e o HSM realiza a assinatura remotamente. O resultado chega ao documento em segundos, sem que você precise ter nenhum hardware em mãos.
Esse modelo é especialmente útil para profissionais que trabalham de forma híbrida ou remota, ou que precisam assinar documentos enquanto estão em deslocamento — uma realidade cada vez mais comum entre contadores e advogados em 2026.
Vantagens e limitações do token USB em 2026
O token USB ainda tem vantagens claras: ele funciona sem internet (exceto para sistemas que exigem validação online), não depende de terceiros para a guarda da chave e é amplamente aceito em todos os sistemas que exigem A3. A limitação mais prática é a dependência do dispositivo físico — se você esquecer o token em casa, não consegue assinar nada. Além disso, tokens USB estão sujeitos a danos físicos, perda e problemas de compatibilidade com computadores mais novos que não têm porta USB-A.
Qual formato é mais indicado para contadores e advogados
Para contadores que trabalham em escritório fixo e precisam de compatibilidade garantida com todos os sistemas (incluindo os mais antigos que ainda não suportam A3 em nuvem), o token USB ainda é a escolha mais segura. Para advogados que peticionam de múltiplos locais ou profissionais com rotina híbrida, o A3 em nuvem oferece mais flexibilidade sem abrir mão da segurança. Verifique sempre se o sistema específico que você usa (PJe, e-CAC, SEFAZ) já aceita o formato em nuvem antes de migrar.
| Característica | A3 Token USB | A3 em Nuvem (HSM) | A1 (Arquivo) |
|---|---|---|---|
| Armazenamento da chave | Token USB físico | HSM em data center certificado | Arquivo no computador |
| Mobilidade | Requer o token em mãos | Qualquer dispositivo com internet | Depende do computador onde está instalado |
| Segurança | Alta — chave nunca sai do hardware | Alta — chave em HSM certificado | Média — arquivo pode ser copiado |
| Custo inicial | Certificado + token (R$ 150 a R$ 300 pelo dispositivo) | Certificado + mensalidade ou anuidade do HSM | Apenas o certificado (sem hardware adicional) |
| Validade | 1 a 3 anos | 1 a 3 anos | 1 a 3 anos |
| Compatibilidade com PJe | Sim — aceito em todos os tribunais | Parcial — depende do tribunal | Não — PJe exige A3 |
| Compatibilidade com e-CAC e SEFAZ | Sim | Sim | Sim |
| Compatibilidade com eSocial e NF-e | Sim | Sim | Sim |
| Risco de perda do dispositivo | Alto — token pode ser perdido ou danificado | Baixo — chave fica no servidor | Médio — arquivo pode ser perdido sem backup |
| Ideal para | Advogados (PJe), sistemas legados | Profissionais com rotina híbrida ou remota | Contadores, empresas com obrigações fiscais rotineiras |
Certificado A1 vs A3: Diferenças que Definem a Sua Escolha
A escolha entre A1 e A3 não é sobre qual é "melhor" — é sobre qual resolve o seu problema específico. O A1 atende à grande maioria das obrigações fiscais e contábeis do dia a dia de uma empresa ou escritório de contabilidade. O A3 se torna necessário quando o sistema exige hardware dedicado ou quando o risco de comprometimento da chave privada é inaceitável.
Em termos práticos: se você precisa emitir NF-e, acessar o e-CAC, enviar o eSocial e cumprir obrigações do SPED, o A1 resolve tudo isso com mais praticidade. Se você é advogado que usa o PJe, participa de licitações que exigem A3 ou assina contratos de alto valor jurídico com frequência, o A3 é o caminho correto.
Quando o A1 resolve e quando o A3 é necessário
O A1 resolve para: emissão de NF-e e NFS-e, acesso ao e-CAC da Receita Federal, envio de obrigações do eSocial, EFD-Reinf, SPED Fiscal e Contábil, acesso ao portal do Simples Nacional, e assinatura de contratos em plataformas que aceitam certificados ICP-Brasil sem restrição de tipo.
O A3 é necessário para: peticionamento no PJe em tribunais que exigem hardware, participação em licitações públicas com requisito explícito de A3, acesso a sistemas de saúde como o CNES, e cenários onde a política de segurança da empresa ou do cliente exige que a chave privada nunca seja armazenada em software.
Custo total de propriedade: A1 vs A3 ao longo de 3 anos
Considere o seguinte cenário para um contador pessoa física ao longo de 3 anos:
- e-CPF A1 (3 anos): Custo do certificado apenas — sem hardware adicional. Renovação simples por videoconferência.
- e-CPF A3 (3 anos): Custo do certificado + token USB (entre R$ 150 e R$ 300 na primeira emissão). Na renovação, se o token ainda estiver funcionando, não é necessário comprar outro.
No longo prazo, se o token durar mais de um ciclo de renovação, o custo adicional do A3 se dilui. O ponto de atenção é o risco de dano ou perda do token, que implicaria em novo investimento no dispositivo físico.
Compatibilidade com sistemas da Receita Federal, e-CAC e SEFAZ
Tanto o A1 quanto o A3 são aceitos no e-CAC, no portal da SEFAZ para emissão de NF-e, e nos sistemas do eSocial. Segundo as regras do ITI e da Receita Federal, qualquer certificado ICP-Brasil válido — seja A1 ou A3 — tem a mesma validade jurídica para autenticação nesses portais. A diferença está apenas nos sistemas que impõem restrição adicional ao tipo de certificado, como o PJe.
e-CPF A3 e e-CNPJ A3: Vantagens e Desvantagens Reais
O e-CPF A3 é o certificado digital de pessoa física com chave armazenada em hardware, enquanto o e-CNPJ A3 é o equivalente para pessoas jurídicas. Na prática, o e-CPF A3 é mais comum entre advogados, contadores e profissionais liberais que precisam do PJe ou de assinaturas com alto nível de segurança. O e-CNPJ A3 é usado por empresas que operam sistemas que exigem autenticação por hardware ou que têm política interna de segurança mais restritiva.
A principal vantagem real do A3 — seja e-CPF ou e-CNPJ — é a impossibilidade técnica de cópia da chave privada. Isso é especialmente relevante para empresas que delegam o uso do certificado a funcionários: com o A3, o titular tem controle físico do token e pode revogar o acesso simplesmente retendo o dispositivo.
Quem é obrigado a usar o e-CNPJ A3 em 2026
Não existe uma obrigação legal ampla que force todas as empresas a usarem o e-CNPJ A3 em detrimento do A1. A obrigatoriedade do A3 existe em contextos específicos: alguns tribunais para o PJe empresarial, determinados processos de licitação pública (especialmente em editais de órgãos federais que especificam o tipo de certificado), e sistemas de saúde suplementar. Empresas que participam regularmente de pregões eletrônicos devem verificar o edital de cada licitação para confirmar o requisito.
Desvantagens práticas do A3 no dia a dia do contador
Para um contador que trabalha com múltiplos clientes e precisa acessar o e-CAC de cada um, o A3 pode ser menos prático do que o A1. Cada acesso exige que o token esteja conectado e o PIN seja informado. Em escritórios com vários colaboradores, o token do sócio não pode ser compartilhado com segurança — cada pessoa que precisa assinar deve ter seu próprio certificado. Já com o A1, é possível (embora não recomendável do ponto de vista de segurança) instalar o certificado em mais de um computador do escritório.
Outro ponto prático: a compatibilidade do token com sistemas operacionais mais novos. Alguns tokens mais antigos exigem drivers que não têm versão para macOS recente ou para Windows 11, gerando problemas de compatibilidade que demandam suporte técnico.
Como renovar o e-CPF A3 sem perder acesso aos sistemas
A renovação do e-CPF A3 deve ser feita antes do vencimento do certificado atual. Ao contrário do que muitos pensam, o token USB em si não vence — o que vence é o certificado armazenado dentro dele. Na renovação, um novo certificado é gravado no mesmo token (se ele ainda estiver funcionando e tiver capacidade), ou em um novo dispositivo. Durante o processo de renovação, você mantém acesso aos sistemas com o certificado antigo até a data de vencimento. Planeje a renovação com pelo menos 30 dias de antecedência para evitar interrupções.
Resumo
- O certificado digital A3 armazena a chave privada em hardware (token USB ou HSM em nuvem), garantindo que ela nunca fique exposta em arquivos do computador — padrão exigido por sistemas de alto risco.
- Em 2026, o A3 em nuvem (HSM) surge como alternativa moderna ao token físico: mantém a segurança do hardware com a mobilidade do acesso remoto, sem depender de um pendrive específico.
- O A1 ainda é suficiente para a maioria das obrigações fiscais (NF-e, e-CAC, eSocial), mas o A3 é obrigatório em sistemas como o PJe (Processo Judicial Eletrônico) e em alguns contratos de licitação pública.
- O custo total do A3 inclui o token USB (entre R$ 150 e R$ 300 para o dispositivo físico) mais o certificado em si, tornando-o mais caro que o A1 no curto prazo, mas vantajoso para quem precisa de validade jurídica reforçada e segurança máxima da chave privada.
- A S&E Soluções Digitais emite e-CPF A3 e e-CNPJ A3 com suporte para escolha do formato ideal — token USB ou nuvem — de acordo com o perfil de uso do cliente.
- Segundo o ITI (Instituto Nacional de Tecnologia da Informação), certificados A3 seguem o padrão ICP-Brasil com requisitos de hardware homologado, garantindo validade jurídica plena em todo o território nacional.
Para emitir ou renovar seu e-CPF ou e-CNPJ com rapidez e segurança, conte com a S&E Soluções Digitais. Somos credenciados ICP-Brasil e atendemos todo o Brasil com agilidade. Confira nossos planos e emita o seu certificado digital A3 hoje mesmo.
Perguntas Frequentes sobre o Certificado Digital A3 em 2026
O certificado digital A3 ainda vale a pena em 2026 ou o A1 é suficiente?
Depende do seu uso: o A1 resolve a maioria das obrigações fiscais e contábeis do dia a dia, mas o A3 é obrigatório para sistemas como o PJe e recomendado quando a segurança da chave privada é prioridade, como em assinaturas de contratos de alto valor. Se você é advogado ou participa de licitações públicas, o A3 continua sendo indispensável em 2026.
Qual a diferença entre o A3 em token USB e o A3 em nuvem?
O token USB exige que o dispositivo físico esteja conectado ao computador no momento da assinatura, enquanto o A3 em nuvem (HSM) permite assinar de qualquer lugar com internet — ambos têm a mesma validade jurídica pelo padrão ICP-Brasil. A escolha depende da sua rotina: token para quem trabalha em local fixo e usa sistemas que ainda não suportam nuvem; HSM para quem tem rotina híbrida ou remota.
O token USB do certificado A3 funciona em qualquer computador?
Sim, desde que o driver do token seja instalado — a maioria dos tokens compatíveis com ICP-Brasil tem drivers disponíveis para Windows, macOS e Linux, mas é necessário instalar o software antes do primeiro uso. Alguns tokens mais antigos podem ter limitações de compatibilidade com versões recentes do macOS ou Windows 11, então verifique com o fabricante antes de adquirir.
Posso usar o e-CPF A3 para assinar documentos jurídicos e acessar o e-CAC?
Sim, o e-CPF A3 tem validade jurídica plena para assinaturas eletrônicas de documentos e acesso a sistemas da Receita Federal como o e-CAC, além de ser aceito no PJe e em portais de licitação pública. Ele é, na verdade, o formato mais indicado para advogados justamente por ser exigido pelo PJe na maioria dos tribunais brasileiros.
Quanto tempo leva para emitir um certificado A3 na S&E Soluções Digitais?
O processo de emissão do A3 pode ser concluído no mesmo dia em validações presenciais, ou em até 24 horas úteis em validações por videoconferência, conforme as regras do ITI para certificados ICP-Brasil. Após a validação, o certificado é gravado no token e você já pode utilizá-lo imediatamente nos sistemas que demandam o A3.