RoseLab
Entrar
Voltar ao BlogIntegridade de documentos 10 de julho de 2026 10 min de leitura

O que é assinatura digital e como verificar se um PDF está realmente assinado

Guia técnico completo sobre assinatura digital de documentos — diferença entre assinatura digital e digitalizada, como funciona a criptografia por trás do certificado ICP-Brasil e gov.br, como verificar a validade de uma assinatura em PDF, e por que uma assinatura quebrada pode não significar fraude.

Equipe RoseLab Verificado

Você recebe um PDF com o aviso "Assinado digitalmente" no cabeçalho. Mas como saber se essa assinatura é de fato válida? E qual a diferença entre um documento com assinatura digital e um com a imagem da assinatura manuscrita colada? Essas perguntas aparecem toda semana em escritórios jurídicos, contábeis e de RH — e a confusão tem custo: documentos sem validade tratados como válidos, e documentos válidos rejeitados por falta de entendimento do verificador.

Este guia explica, sem tecniquês desnecessários, como a assinatura digital funciona, como verificar se um PDF está assinado de forma válida, quais são os padrões aceitos no Brasil, e o que fazer quando o resultado da verificação é negativo.

A diferença que define tudo: assinatura digital vs. imagem de assinatura

Antes de qualquer verificação, é fundamental desfazer a confusão mais comum na área:

Imagem de assinatura (também chamada de "assinatura digitalizada" ou "assinatura escaneada") é uma foto ou imagem da assinatura manuscrita inserida como elemento gráfico no PDF. Ela parece uma assinatura, mas do ponto de vista técnico é apenas um retângulo de pixels — pode ser copiada de um documento para outro, não está vinculada matematicamente ao conteúdo, e não garante nada sobre integridade ou autoria.

Assinatura digital é um mecanismo criptográfico: a assinatura é calculada a partir do conteúdo do documento e da chave privada do signatário, e é matematicamente verificável por qualquer pessoa com a chave pública correspondente. Ela prova duas coisas ao mesmo tempo: que o signatário de fato assinou (autoria) e que o documento não foi modificado desde então (integridade).

A distinção prática é clara: uma assinatura digitalizada numa petição pode ser qualquer coisa — um print colado. Uma assinatura digital ICP-Brasil numa petição é verificável, rastreável e tem presunção de autenticidade reconhecida por lei.

Como funciona uma assinatura digital por dentro

O mecanismo é elegante e vale entender porque ele é frequentemente mal descrito:

Cada signatário tem um par de chaves criptográficas: uma chave privada, que permanece sob guarda exclusiva do titular (num token físico, num certificado A1 protegido por senha, ou num módulo seguro de hardware), e uma chave pública, que pode ser livremente distribuída.

Quando alguém assina digitalmente um PDF, acontece o seguinte:

  1. O software calcula o hash SHA-256 do documento (uma sequência de 64 caracteres que representa univocamente aquele conteúdo — o que é hash, explicado em detalhes);
  2. Esse hash é cifrado com a chave privada do signatário — o resultado é a assinatura;
  3. A assinatura, junto com o certificado digital do signatário (que contém a chave pública e os dados de identidade), é embutida no arquivo PDF.

Para verificar a assinatura, o verificador faz o caminho inverso:

  1. Decifra a assinatura usando a chave pública do signatário (obtida do certificado embutido);
  2. Obtém o hash original que foi assinado;
  3. Recalcula o hash do documento atual;
  4. Compara os dois hashes: se são iguais, a assinatura é válida — o documento não mudou desde que foi assinado. Se são diferentes, o documento foi modificado após a assinatura.

A segurança do mecanismo está na matemática: sem a chave privada do signatário, é computacionalmente inviável fabricar uma assinatura que passe na verificação. E qualquer alteração no documento — uma vírgula, um pixel — muda o hash e invalida a assinatura.

Certificados digitais no Brasil: ICP-Brasil e gov.br

A assinatura digital só prova autoria se o certificado que a acompanha for confiável — ou seja, se uma autoridade certificadora reconhecida confirmar que aquela chave pública pertence àquela pessoa ou empresa.

ICP-Brasil é a Infraestrutura de Chaves Públicas Brasileira, regulada pelo ITI (Instituto Nacional de Tecnologia da Informação). Os certificados ICP-Brasil mais comuns são:

  • A1 (em software): instalado diretamente no computador ou navegador, com validade de 1 ano, protegido por senha. Mais prático, mas com menor nível de segurança, pois a chave privada está num arquivo no disco;
  • A3 (em hardware): armazenado num token USB ou cartão inteligente, com validade de até 3 anos. A chave privada nunca sai do dispositivo físico — é o padrão exigido para atos de maior impacto jurídico, como declarações ao fisco e peticionamento eletrônico;
  • e-CPF e e-CNPJ: os nomes populares dos certificados de pessoa física e jurídica no padrão ICP-Brasil.

Assinatura gov.br é o serviço de assinatura digital oferecido pelo governo federal, vinculado à conta gov.br. Existem três níveis de confiabilidade (bronze, prata, ouro), com o nível ouro exigindo validação biométrica. Juridicamente, a assinatura gov.br é aceita para a maioria dos atos com órgãos públicos e tem crescente aceitação no setor privado — mas pode não ser aceita em atos que exigem especificamente certificado ICP-Brasil.

DocuSign, ClickSign, D4Sign e similares são plataformas de assinatura eletrônica. Elas podem operar com certificados ICP-Brasil, com a assinatura gov.br, ou com mecanismos proprietários de menor força probatória (e-mail como evidência de anuência, por exemplo). A validade jurídica depende de qual mecanismo foi usado e do que o contrato ou regulamento aplicável exige.

Como verificar se um PDF está assinado digitalmente — passo a passo

No Adobe Acrobat Reader (gratuito)

O Adobe Acrobat Reader exibe um painel de assinaturas que é o método mais acessível para a maioria dos usuários:

  1. Abra o PDF no Adobe Acrobat Reader;
  2. Se o documento tiver assinatura digital, aparecerá um painel de assinaturas na barra lateral esquerda (ícone de crachá) ou uma barra azul/verde no topo da tela;
  3. Clique no painel ou na barra para ver os detalhes: nome do signatário, data e hora da assinatura, certificadora, status de validade;
  4. O ícone verde com visto (✓) indica que a assinatura é matematicamente válida e o documento não foi alterado; o ícone de alerta indica problema (ver seção abaixo).

No Validador ITI (referência oficial brasileira)

O ITI (Instituto Nacional de Tecnologia da Informação) disponibiliza o Validador de Assinaturas em validar.iti.gov.br — a referência oficial para verificação de assinaturas ICP-Brasil:

  1. Acesse o portal e faça o upload do arquivo (ou da assinatura separada, no caso de assinatura destacada);
  2. O relatório indica: quem assinou, quando, qual certificadora emitiu o certificado, se o certificado estava válido na data da assinatura, e se o documento não foi alterado após a assinatura.

Para documentos que nunca devem sair do seu computador (contratos sigilosos, documentos com dados sensíveis), a opção de upload pode ser uma preocupação. Nesse caso, o verificador do Acrobat Reader processa localmente — e para verificar a integridade do arquivo sem depender de assinaturas, o verificador de integridade do RoseLab calcula o hash SHA-256 localmente, sem enviar o arquivo para servidor algum.

Verificação do hash como complemento

Independentemente de assinatura, o verificador de integridade responde uma pergunta fundamental: este arquivo é exatamente o mesmo que recebi, sem nenhuma alteração? Isso é útil mesmo quando a assinatura é verificada separadamente — hash e assinatura digital se complementam. Para entender a relação entre os dois mecanismos, leia o nosso guia sobre hash SHA-256.

O que significam os alertas de assinatura

Nem todo alerta de assinatura inválida significa fraude. Os casos mais comuns têm explicações técnicas:

"Documento modificado após a assinatura" Este é o alerta mais sério: o arquivo foi alterado depois que foi assinado. Pode indicar adulteração, mas também pode ser resultado de uma compressão de PDF, divisão em partes, remoção de páginas ou até mesmo uma re-exportação inadvertida. Antes de concluir fraude, verifique o histórico do arquivo. Se quiser identificar o que mudou em relação à versão originalmente assinada, abra as duas versões no comparador de PDF com o destaque de diferenças ativado.

"Certificado desconhecido" ou "Certificado não confiável" O leitor de PDF não conseguiu verificar a cadeia de certificação — ou seja, não conseguiu confirmar que o certificado do signatário foi emitido por uma autoridade reconhecida. Isso ocorre frequentemente com certificados ICP-Brasil quando as raízes da cadeia não estão instaladas no computador. Solução: instale os certificados raiz ICP-Brasil disponíveis no site do ITI e verifique novamente.

"Certificado revogado" O certificado do signatário foi cancelado antes ou depois da assinatura. Se foi revogado antes da assinatura, a assinatura não é válida. Se foi revogado depois, a assinatura pode continuar válida — o que importa é o status na data da assinatura, e um carimbo de tempo confiável é a evidência. Mais sobre isso no nosso guia de criptografia de documentos.

"Certificado expirado" Similar à revogação: o que importa é se o certificado estava válido no momento da assinatura, não na data de verificação. Um contrato assinado em 2022 com certificado válido naquela data continua sendo uma assinatura feita em 2022, mesmo que o certificado tenha expirado em 2023.

Assinatura digital e o fluxo correto de manipulação de PDFs

Uma vez que você entende como a assinatura digital funciona, a regra operacional fica evidente:

Toda manipulação do PDF vem antes da assinatura. Se o documento precisa ser comprimido, dividido em partes, ter páginas removidas, ser juntado com outros arquivos ou ter imagens convertidas — tudo isso deve acontecer antes de coletar qualquer assinatura digital.

Depois de assinar, o arquivo é intocável. Qualquer alteração — mesmo uma não intencional — invalida a assinatura. Guarde o original assinado com seu hash registrado (verificador) e trabalhe apenas em cópias quando precisar manipular o arquivo.

Para uma visão completa do fluxo de preparação, comparação e protocolamento de documentos, leia o guia do fluxo completo para comparar documentos e provar o que mudou.

Perguntas frequentes

Assinatura digital tem validade jurídica no Brasil sem ICP-Brasil? A Lei nº 14.063/2020 e o Marco Civil estabelecem que documentos eletrônicos são válidos como prova, avaliados caso a caso. A assinatura ICP-Brasil tem presunção legal de autenticidade (o ônus de provar a falsidade é de quem contesta). Assinaturas por outros mecanismos (gov.br, plataformas privadas) têm validade contratual entre as partes que as aceitaram, mas a presunção legal é menor. Para atos que exigem forma específica (escrituras, certos atos societários), a lei pode exigir ICP-Brasil explicitamente.

Posso assinar um PDF gratuitamente? A assinatura gov.br é gratuita e juridicamente reconhecida para grande parte dos atos. O certificado ICP-Brasil tem custo de emissão (varia por certificadora, geralmente R$ 150–400 para pessoa física). Plataformas como DocuSign e ClickSign têm planos gratuitos com limite de documentos.

Como saber se meu PDF tem assinatura digital ou apenas imagem de assinatura? A forma mais simples: abra o PDF no Adobe Acrobat Reader. Se não aparecer nenhum painel de assinaturas nem barra de status de assinatura, o que você vê é apenas uma imagem — sem validade criptográfica. A assinatura digital sempre gera um painel de verificação no Acrobat.

Posso verificar a assinatura sem instalar nada? Para verificação básica de integridade, o verificador do RoseLab funciona direto no navegador, sem instalação, calculando o hash localmente. Para verificação formal de assinatura digital ICP-Brasil, o Validador ITI em validar.iti.gov.br é a referência oficial e também funciona no navegador.

Quantas pessoas podem assinar o mesmo PDF? Múltiplas assinaturas digitais podem ser embutidas num mesmo PDF — cada signatário assina o documento no estado em que estava quando assinou. Se o documento for modificado após a primeira assinatura, apenas as assinaturas anteriores à modificação ficam invalidadas; as assinaturas posteriores (feitas sobre o documento já modificado) continuam válidas em relação ao conteúdo que cobrem.

Há diferença entre assinar com token físico e assinar pelo celular? A diferença está no local onde a chave privada fica armazenada e na proteção contra exfiltração. Com token A3 (USB ou cartão), a chave nunca sai do hardware — a assinatura é calculada dentro do token e apenas o resultado é exportado. Com certificado A1 no celular ou computador, a chave está num arquivo protegido por senha — mais conveniente, mas com superfície de ataque maior. Para fins de verificação, ambas geram assinaturas ICP-Brasil matematicamente equivalentes.

Ferramentas

Pronto para colocar em prática?

Grátis, sem cadastro — e seus arquivos nunca saem do seu computador.

Verificar a integridade do meu documento — grátis