O Instituto Nacional do Seguro Social (INSS) anunciou que, a partir de 30 de junho de 2026, o acesso de usuários externos aos seus sistemas será feito exclusivamente por meio de certificado digital do tipo A3. O modelo atual, baseado em login e senha, será descontinuado para esse público. A medida foi divulgada em 18 de abril de 2026 e tem impacto direto em contadores, advogados previdenciários, procuradores de entidades e empresas que interagem com as plataformas institucionais do órgão.
O que muda para o usuário externo
Usuários externos são todos os agentes que se conectam aos sistemas do INSS sem integrar a estrutura interna da autarquia. Esse universo inclui escritórios de contabilidade que gerenciam benefícios e obrigações de clientes, advogados previdenciários que acompanham processos administrativos, entidades parceiras e empresas responsáveis por benefícios de seus colaboradores. A partir da data-limite, o login tradicional deixa de funcionar para esse grupo. O ingresso aos sistemas só acontecerá mediante autenticação com certificado digital A3, seja em cartão, seja em token USB.
Por que o INSS mudou o padrão de acesso
A medida busca reforçar a segurança das informações e proteger a integridade dos serviços prestados. O INSS processa dados previdenciários extremamente sensíveis, incluindo histórico de contribuição, dados biométricos e informações familiares. O aumento da demanda por acessos externos e a sofisticação de golpes digitais tornaram insuficiente o modelo baseado em usuário e senha. O certificado digital A3, por armazenar a chave criptográfica em hardware dedicado, oferece camada adicional de proteção que dificulta tanto o furto de credenciais quanto o compartilhamento indevido.
Diferença entre certificados A1 e A3
Para quem ainda trabalha apenas com certificado A1, vale recordar as diferenças mais relevantes:
- A1: armazenado em arquivo digital no computador ou em um servidor. Tem validade tipicamente de um ano e é exportável.
- A3: armazenado em mídia criptográfica dedicada (cartão com leitor ou token USB). Tem validade de um a três anos e não é exportável, o que reduz o risco de cópia indevida.
A exigência de A3 pelo INSS, portanto, não é apenas uma troca de padrão: representa a elevação substantiva do grau de segurança exigido do ecossistema previdenciário.
Quem precisa providenciar certificado
A recomendação oficial é que todos os usuários externos regularizem a situação antes de 30 de junho de 2026. Na prática, isso inclui:
- Escritórios de contabilidade que administram benefícios por conta de seus clientes.
- Departamentos de RH e DP de empresas com acesso direto a sistemas do INSS.
- Advogados previdenciários que acompanham processos administrativos.
- Procuradores de sindicatos e entidades de classe.
- Agentes credenciados por entidades parceiras do INSS.
O custo do certificado é, como já ocorre em outros sistemas do governo federal, de responsabilidade da própria pessoa ou entidade que acessa o sistema.
Como se preparar: plano de adequação em 60 dias
Para chegar a 30 de junho com operação estável, sugerimos um plano simples de adequação:
- Diagnóstico: mapear quem, dentro do escritório ou da empresa, acessa sistemas do INSS e sob qual credencial.
- Aquisição: contratar certificados A3 em autoridades certificadoras credenciadas pelo ICP-Brasil, preferindo fornecedores com boa capilaridade e suporte técnico.
- Configuração: instalar drivers, testar leitores e tokens, garantir compatibilidade com os sistemas operacionais em uso.
- Governança: definir um responsável por cada certificado, registrar seu uso em cadastro interno e evitar compartilhamentos.
- Treinamento: capacitar as equipes para o uso correto do A3, incluindo rotinas de senha, guarda do dispositivo e procedimentos em caso de perda ou roubo.
Impactos operacionais
Para o escritório contábil, a mudança exige ajustes em várias frentes. A primeira é o dimensionamento da quantidade de certificados necessários. A segunda é a organização dos acessos, uma vez que o A3 é vinculado ao dispositivo físico, o que limita o uso simultâneo por vários colaboradores. A terceira é a comunicação com clientes, para alinhar expectativas sobre prazos de atendimento e segurança dos dados trafegados.
Para a empresa com RH interno que opera sistemas do INSS, o momento é oportuno para revisar controles de acesso, integrar processos previdenciários ao fluxo de compliance e garantir que a troca de funcionários não deixe credenciais ativas desnecessariamente.
Risco de não se adequar
Quem não migrar antes do prazo estará sujeito a interrupção imediata do acesso aos sistemas do INSS. Na prática, isso significa atraso em demandas como requerimento de benefícios, consulta de processos, solicitação de certidões e interação eletrônica em geral. O impacto é direto no atendimento ao segurado e pode gerar, inclusive, problemas reputacionais em escritórios que deixarem de cumprir prazos.
Boas práticas de segurança com A3
Mais do que cumprir a exigência, é desejável elevar a maturidade de governança:
- Guardar o token ou cartão em local seguro, nunca compartilhando com terceiros.
- Definir senha forte e não anotá-la em ambientes acessíveis.
- Monitorar o vencimento e planejar renovações com pelo menos 30 dias de antecedência.
- Associar o uso do certificado a registros de auditoria, com rastreabilidade de operações.
- Manter um inventário dos dispositivos, vinculando cada certificado ao colaborador responsável.
Conclusão
A exigência de certificado digital A3 pelo INSS, válida a partir de 30 de junho de 2026, integra uma tendência maior de elevação do nível de segurança nos sistemas públicos brasileiros. Escritórios de contabilidade, departamentos de RH e profissionais previdenciários têm janela suficiente para se preparar, desde que encarem a mudança como projeto estratégico. O Grupo BRA 360 acompanha o tema e apoia clientes na organização da governança digital necessária para atender o novo padrão sem perda de produtividade.
Fonte: Portal Contábeis
Deixe um comentário