PDF com Assinatura Digital Inválida: 7 Causas e Como Resolver em 2026

<p>Uma assinatura digital em PDF funciona com base em criptografia de chave pública (PKI — Public Key Infrastructure). Quando você assina um PDF, o software de assinatura cria um hash criptográfico do conteúdo do documento e o encripta com sua chave privada (armazenada no certificado digital). Qualquer pessoa com acesso à sua chave pública pode verificar que: (a) o hash foi criado com sua chave privada, e (b) o hash corresponde ao conteúdo atual do documento — provando que o documento não foi alterado desde a assinatura.</p><p>A assinatura fica <em>inválida</em> quando qualquer uma dessas verificações falha. Os leitores de PDF — Adobe Reader, Foxit, Chrome PDF Viewer, Pré-visualização do macOS — podem exibir mensagens diferentes: <strong>"Assinatura inválida"</strong>, <strong>"A assinatura não corresponde ao conteúdo do documento"</strong>, <strong>"A identidade do assinante é desconhecida"</strong>, <strong>"O certificado não é confiável"</strong>, ou <strong>"Não foi possível verificar a assinatura"</strong>. Cada mensagem indica um tipo diferente de problema com causas e soluções específicas.</p><p>O contexto importa muito: um PDF com assinatura inválida pode ser perfeitamente legítimo e juridicamente válido se o problema for apenas técnico — como a ausência do timestamp no momento da assinatura, ou o não-reconhecimento automático da AC (Autoridade Certificadora) pelo software leitor. Contratos assinados digitalmente com certificado ICP-Brasil têm validade jurídica garantida pela MP 2.200-2/2001, mesmo quando o leitor de PDF exibe avisos técnicos sobre a assinatura.</p><p>As sete causas principais de assinatura inválida, em ordem de frequência, são: (1) certificado expirado sem timestamp válido; (2) AC raiz não reconhecida pelo leitor; (3) modificação do arquivo após assinatura; (4) arquivo corrompido durante transmissão ou armazenamento; (5) problema de codificação do arquivo PDF (algumas ferramentas de criação geram PDFs não conformes com o padrão ISO 32000); (6) ausência de acesso à lista de revogação de certificados (CRL) no momento da verificação; (7) incompatibilidade entre a versão do padrão PDF/A ou PDF/UA usada na assinatura e o leitor atual.</p><p>Entender qual dessas sete causas está por trás do problema é o primeiro passo — e a seção seguinte mostra como diagnosticar com precisão.</p>

<p>O diagnóstico correto economiza horas de tentativa e erro. As ferramentas gratuitas disponíveis permitem identificar a causa exata do problema em menos de 5 minutos na maioria dos casos.</p><p>O Adobe Acrobat Reader DC (gratuito) é o melhor ponto de partida para diagnóstico: ao clicar na assinatura inválida, ele exibe um painel de detalhes que mostra o status de cada elemento da verificação — validade da identidade do assinante, integridade do documento e timestamp. Se o painel mostrar <strong>"Identidade do assinante é desconhecida"</strong> mas <strong>"O documento não foi modificado desde a assinatura"</strong>, o problema é de cadeia de certificação, não de integridade — e o conteúdo do documento é confiável.</p><p>Para verificação online, o Verificador do ITI (iti.gov.br/verificador) é a ferramenta oficial do governo brasileiro para validar assinaturas ICP-Brasil em PDFs. Ela verifica se o certificado utilizado era válido no momento da assinatura (mesmo que já tenha expirado) e se existe timestamp válido que prove a data e hora da assinatura. Um PDF que aparece com assinatura inválida no Adobe Reader mas passa na verificação do ITI tem problema de configuração do leitor — não de validade jurídica.</p><p>O Verificador de Conformidade da Adobe (disponível em adobe.com/devnet-docs/acrobatetk/tools/Labs/) analisa o PDF quanto à conformidade com o padrão ISO 32000 e PDF/A. Ele identifica problemas de codificação que causam falhas de verificação de assinatura em arquivos gerados por softwares não conformes — como alguns sistemas de gestão tributária ou ERPs que geram PDFs com assinaturas fora do padrão.</p><p>Para diagnóstico de nível técnico, o software livre VeraPDF (gratuito, disponível em verapdf.org) faz análise detalhada de conformidade PDF/A e gera relatório XML com todos os problemas encontrados — útil para equipes técnicas que precisam documentar a causa do problema para fornecedores de sistemas ou para processos judiciais onde a validade da assinatura é contestada.</p>

1. 1Passo 1: Abra o PDF com o Adobe Acrobat Reader DC (versão gratuita). Clique na assinatura ou no painel de assinaturas na barra lateral. Leia a mensagem de status completa — ela distingue entre problema de identidade (AC não reconhecida), problema de integridade (documento modificado) e problema de timestamp.
2. 2Passo 2: Se o Adobe Reader mostrar problema de identidade, acesse iti.gov.br/verificador e faça upload do PDF para verificação oficial ICP-Brasil. Se o verificador do ITI confirmar a assinatura como válida, o problema é de configuração do Adobe Reader — não da assinatura em si.
3. 3Passo 3: Verifique as propriedades do certificado clicando em 'Propriedades da assinatura' no painel do Adobe Reader. Anote a data de validade do certificado, a AC emissora e se existe timestamp registrado. Essas informações determinam qual das 7 causas se aplica ao seu caso.
4. 4Passo 4: Se o documento foi modificado após a assinatura (mensagem 'O documento foi modificado'), compare com a versão original se disponível. O Adobe Reader permite ver as versões do documento assinado — clique em 'Versão assinada' para abrir apenas o conteúdo no estado em que estava quando a assinatura foi aplicada.

<p>O cenário mais comum de assinatura inválida no Brasil: um contrato assinado digitalmente em 2022 com certificado A1 de validade de 1 ano. Em 2024, o certificado expirou. Agora, ao abrir o PDF, o Adobe Reader exibe a assinatura como inválida porque não consegue verificar o certificado expirado pela hierarquia ICP-Brasil atual. O problema: a assinatura era perfeitamente válida em 2022, e juridicamente ela continua sendo válida.</p><p>A solução para esse problema é o <strong>timestamp qualificado</strong> (carimbo do tempo). O timestamp, quando presente na assinatura, prova criptograficamente que o documento existia com aquele conteúdo em um determinado momento — mesmo que o certificado do assinante tenha expirado depois. Se a assinatura foi feita com timestamp emitido por uma AC de Carimbo do Tempo credenciada pela ICP-Brasil, a validade jurídica permanece mesmo após a expiração do certificado.</p><p>Para verificar se o timestamp está presente: no Adobe Reader, acesse as propriedades da assinatura e verifique o campo <strong>"Data/hora de assinatura"</strong>. Se mostrar uma data com indicação de que foi verificada por uma autoridade de timestamp (geralmente indicado como "certificado pelo carimbo do tempo"), a assinatura tem proteção contra expiração de certificado. Se a data mostrada é apenas a data do sistema no momento da assinatura (sem verificação externa), o timestamp não estava presente — e a validade jurídica após a expiração do certificado pode ser questionada.</p><p>Para documentos importantes assinados sem timestamp — contratos de longo prazo, escrituras, procurações — é possível aplicar um timestamp retroativamente ao PDF? Tecnicamente, não: um timestamp aplicado depois não prova que o documento existia antes. A solução nesse caso é o processo jurídico de <em>reconhecimento de firma eletrônica</em> ou a obtenção de uma nova assinatura das partes. Em processos judiciais, logs de servidor de e-mail e metadados de sistemas de gestão documental podem ser usados como evidências complementares da data real da assinatura.</p><p>No Brasil, as ACTs (Autoridades de Carimbo do Tempo) credenciadas pela ICP-Brasil incluem a Serpro, a Certisign e a Valid, entre outras. O custo de um carimbo do tempo por transação é de R$ 0,10 a R$ 1,50, dependendo do volume e da AC escolhida. Para organizações que emitem muitos documentos assinados digitalmente — contratos, laudos, relatórios técnicos — a inclusão obrigatória de timestamp em todas as assinaturas é um investimento de baixo custo com alto impacto na durabilidade jurídica dos documentos.</p><p>A Medida Provisória 2.200-2/2001, que regulamenta a ICP-Brasil, presume que documentos assinados com certificados ICP-Brasil são autênticos e íntegros. Essa presunção se mantém mesmo após a expiração do certificado quando há registros complementares da data da assinatura — e é por isso que o <a href='/pt/blog/assinatura-digital-pdf-validade-juridica-brasil'>guia de validade jurídica da assinatura digital no Brasil</a> é leitura essencial para quem trabalha com documentos legais.</p>

<p>O Adobe Acrobat Reader, por padrão, reconhece automaticamente apenas as Autoridades Certificadoras (ACs) raiz incluídas na Adobe Approved Trust List (AATL) e na European Trust List (EUTL). A ICP-Brasil — a hierarquia de certificação digital oficial do governo brasileiro — está parcialmente inclusa nessas listas, mas nem todas as ACs intermediárias são reconhecidas automaticamente em todas as versões do Adobe Reader. Resultado: certificados emitidos por algumas ACs credenciadas ICP-Brasil causam o erro <strong>"A identidade do assinante é desconhecida"</strong> em leitores de PDF não configurados para reconhecer a hierarquia ICP-Brasil.</p><p>A solução mais simples é instalar os certificados raiz da ICP-Brasil no repositório de certificados do sistema operacional — o que faz todos os aplicativos que usam os certificados do sistema (incluindo o Adobe Reader em modo confiança do sistema) passarem a reconhecer assinaturas ICP-Brasil automaticamente. O ITI disponibiliza gratuitamente o instalador dos certificados raiz ICP-Brasil em iti.gov.br/certificados. A instalação leva menos de 2 minutos e resolve permanentemente o problema de não-reconhecimento para todos os documentos ICP-Brasil.</p><p>Para o Adobe Reader especificamente, existe uma configuração adicional: em <em>Editar > Preferências > Assinaturas > Verificação > Mais...</em>, ative a opção <strong>"Validar assinaturas ao abrir o documento"</strong> e desative a opção que limita a validação apenas à AATL quando você já instalou os certificados ICP-Brasil no sistema. Essa configuração faz o Adobe Reader usar tanto a AATL quanto os certificados do sistema operacional para validação.</p><p>No Google Chrome — que tem seu próprio visualizador de PDF — as assinaturas digitais não são verificadas pelo visualizador nativo: o Chrome simplesmente exibe o PDF sem checar as assinaturas. Isso significa que um PDF com assinatura inválida pode aparecer perfeitamente normal no Chrome (sem qualquer aviso), enquanto o Adobe Reader mostra o aviso correto. Para verificação real de assinaturas, use sempre o Adobe Reader ou o verificador oficial do ITI — não o visualizador do Chrome.</p><p>Para organizações que recebem regularmente PDFs assinados de parceiros e clientes, a implantação de um processo de verificação padronizado — sempre via Adobe Reader com certificados ICP-Brasil instalados ou via verificador do ITI — elimina falsos alertas de assinatura inválida e aumenta a confiança no processo de verificação de documentos.</p>

1. 1Passo 1: Acesse iti.gov.br/certificados e baixe o instalador dos certificados raiz ICP-Brasil para o seu sistema operacional (Windows, macOS ou Linux). Execute o instalador com permissões de administrador — ele instala automaticamente todos os certificados da hierarquia ICP-Brasil no repositório do sistema.
2. 2Passo 2: Após instalar os certificados ICP-Brasil, reinicie o Adobe Reader. Abra o PDF com assinatura anteriormente inválida e verifique se o status mudou para válido. Na maioria dos casos de AC não reconhecida, esse passo resolve o problema completamente.
3. 3Passo 3: Se o problema persistir no Adobe Reader após instalar os certificados, acesse Editar > Preferências > Assinaturas > Verificação e verifique se as configurações de validação estão corretas. Ative 'Usar certificados do sistema operacional para verificação' se essa opção estiver disponível na sua versão.
4. 4Passo 4: Para verificação definitiva independente do leitor, acesse iti.gov.br/verificador, faça upload do PDF e obtenha o relatório oficial de verificação. Esse relatório tem validade para fins legais e pode ser usado para demonstrar que a assinatura era válida mesmo quando o leitor de PDF exibe aviso de não-reconhecimento.

<p>Quando o Adobe Reader exibe <strong>"O documento foi modificado desde que foi assinado"</strong>, isso significa que o hash criptográfico do conteúdo atual do PDF não corresponde ao hash registrado na assinatura. Qualquer modificação no arquivo — mesmo aparentemente inofensiva como compressão de imagens, alteração de metadados ou inserção de comentários — quebra a integridade da assinatura.</p><p>Esse é o comportamento esperado e correto do sistema de assinatura digital: ele detecta modificações para proteger contra adulteração. O problema é que algumas ferramentas fazem modificações não intencionais em PDFs ao processá-los. As mais comuns: ferramentas de compressão que reescrevem o arquivo (não apenas comprimem os dados), ferramentas de conversão que salvam o PDF em um formato levemente diferente, impressão para PDF (que recria o arquivo do zero sem as assinaturas), e alguns visualizadores de PDF que adicionam dados de anotação ao salvar.</p><p>Se você recebeu um PDF com assinatura inválida por motivo de modificação, a primeira pergunta é: quem modificou o arquivo e por quê? Se o arquivo foi comprimido ou processado por alguém da sua organização antes de chegar a você, solicite o arquivo original antes da modificação. Arquivos assinados digitalmente não devem ser processados por ferramentas que reescrevem o conteúdo — apenas ferramentas que operam em modo de leitura ou que adicionam dados sem modificar o conteúdo existente.</p><p>Uma exceção importante: o padrão PDF permite múltiplas assinaturas incrementais, onde cada assinante adiciona sua assinatura ao documento sem invalidar as anteriores. Isso funciona porque a assinatura incremental adiciona dados ao final do arquivo sem reescrever o conteúdo existente. Uma ferramenta que comprime o PDF reescrevendo os dados (como muitas ferramentas online fazem) invalida todas as assinaturas existentes. Uma ferramenta que apenas adiciona dados ao final (como o Adobe Reader ao adicionar comentários) pode preservar as assinaturas existentes.</p><p>Para verificar qual versão do documento corresponde à assinatura original: no Adobe Reader, ao clicar em uma assinatura inválida por modificação, existe a opção <strong>"Ver versão assinada"</strong>. Essa opção abre apenas o conteúdo do PDF no estado em que estava no momento da assinatura — permitindo visualizar e salvar a versão autêntica do documento, mesmo que versões posteriores tenham sido modificadas. Essa funcionalidade é extremamente útil em disputas sobre o conteúdo de contratos assinados.</p><p>Para evitar o problema no futuro: nunca comprima, converta ou reprocesse PDFs assinados digitalmente. Se precisar reduzir o tamanho de um documento antes da assinatura, use a ferramenta compress do LazyPDF <em>antes</em> de assinar — não depois. Se precisar mesclar um PDF assinado com outros documentos, use a ferramenta merge do LazyPDF com atenção: a mesclagem cria um novo PDF e não preserva as assinaturas digitais dos arquivos originais (é necessário que as partes assinem novamente o PDF mesclado). Consulte também o guia sobre <a href='/pt/blog/dicas-seguranca-pdf-dados-pessoais'>segurança de documentos PDF</a> para boas práticas que evitam problemas de integridade documental.</p>

<p>Alguns problemas de assinatura inválida ocorrem apenas no momento da verificação — não porque a assinatura seja inválida, mas porque o software leitor não consegue verificá-la por problemas de conectividade. O Adobe Reader, ao verificar uma assinatura, tenta contatar a AC emissora do certificado para checar o status de revogação (CRL — Certificate Revocation List, ou OCSP — Online Certificate Status Protocol). Se essa conexão falha — por firewall corporativo, ausência de internet, ou indisponibilidade temporária do servidor da AC — o leitor pode exibir a assinatura como inválida ou não verificada.</p><p>23% das organizações brasileiras relatam ter recebido PDFs com assinaturas aparentemente inválidas que, após verificação em rede com acesso à internet, mostraram-se válidas, segundo pesquisa da ABPDP (Associação Brasileira de Profissionais de Proteção de Dados) de 2024. A causa: verificação feita em computadores sem acesso à internet ou com acesso bloqueado aos servidores das ACs ICP-Brasil por políticas de firewall corporativo.</p><p>Para resolver problemas de verificação de revogação: no Adobe Reader, acesse <em>Editar > Preferências > Assinaturas > Verificação > Mais...</em> e verifique as configurações de verificação de revogação. A opção <strong>"Verificar revogação do certificado ao verificar assinaturas"</strong> pode ser configurada como <em>Always</em> (sempre — requer internet), <em>When online</em> (apenas quando online) ou <em>Never</em> (nunca — não verifica revogação). Para ambientes corporativos com firewall restrito, a opção <em>When online</em> é mais adequada, pois não causa falsos negativos quando a conexão aos servidores de revogação está bloqueada.</p><p>Outra fonte de problemas: o protocolo SHA-1, substituído pelo SHA-256 como padrão de hash em 2017. Assinaturas digitais geradas com SHA-1 (comuns em documentos anteriores a 2017) são marcadas como inválidas por versões recentes do Adobe Reader, que não considera mais o SHA-1 como algoritmo seguro. Nesse caso, o problema não é com a assinatura em si — era válida quando feita — mas com a política de segurança do leitor atual. Para fins legais, o que importa é se o algoritmo era considerado seguro no momento da assinatura, não se é considerado seguro hoje.</p><p>Em casos onde a assinatura de um documento importante é questionada e os meios técnicos não resolvem definitivamente o problema, o caminho é a perícia judicial ou extrajudicial. Peritos em forense digital credenciados pelo CNJ podem analisar o PDF e emitir laudo técnico sobre a validade da assinatura — documento aceito em processos judiciais. O laudo pericial examina não apenas os metadados do PDF, mas também logs de servidores, registros de carimbo do tempo em bases de dados de ACs e outros elementos que podem provar a autenticidade mesmo quando o arquivo apresenta problemas técnicos de verificação.</p>

1. 1Passo 1: Se a assinatura aparece inválida apenas em um computador específico, teste em outro computador com acesso irrestrito à internet. Se validar no segundo computador, o problema é de conectividade ou configuração do primeiro — não da assinatura. Verifique as configurações de proxy e firewall.
2. 2Passo 2: Para problemas de verificação de revogação, acesse Editar > Preferências > Assinaturas > Verificação > Mais no Adobe Reader e ajuste a política de verificação de revogação para 'When online' em vez de 'Always'. Isso evita falsos negativos em ambientes com firewall restrito.
3. 3Passo 3: Verifique se os domínios das ACs ICP-Brasil estão liberados no firewall corporativo — os principais são crl.icpbrasil.gov.br, ocsp.icpbrasil.gov.br, e os domínios específicos das ACs emissoras (como crl.certisign.com.br, crl.serpro.gov.br). Esses domínios precisam estar acessíveis na porta 80 (HTTP) para que a verificação de revogação funcione.
4. 4Passo 4: Para verificação definitiva sem depender de conectividade do leitor local, use o verificador online do ITI (iti.gov.br/verificador) — que realiza a verificação completa no servidor, incluindo consulta à CRL e validação do timestamp, e retorna um relatório com validade legal.

<p>A maioria dos problemas de assinatura inválida em PDF se resolve com os passos técnicos descritos acima. Mas há situações onde é necessário ir além da solução técnica — especialmente quando o documento tem implicações legais significativas ou quando há suspeita real de adulteração.</p><p>Procure ajuda especializada quando: (1) o verificador do ITI confirma que a assinatura é inválida (não apenas o Adobe Reader); (2) o documento foi modificado após a assinatura e há suspeita de adulteração intencional; (3) o documento é central em processo judicial, arbitragem ou disputa comercial; (4) a assinatura é de um signatário que nega ter assinado o documento; (5) o certificado usado foi revogado antes da data da assinatura (indicando possível comprometimento da chave privada).</p><p>Em processos judiciais, a prova de validade de uma assinatura digital pode ser feita por três meios: (a) verificação pelo verificador oficial do ITI com relatório impresso; (b) laudos de peritos forenses em informática credenciados pelo TJ estadual ou pelo CNJ; (c) registros de logs de servidores da AC que demonstram que o certificado estava ativo e não revogado no momento da assinatura — dados que podem ser requisitados judicialmente às ACs.</p><p>A Lei 14.063/2020, que dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos, estabelece três níveis de assinatura: simples, avançada e qualificada (ICP-Brasil). Para atos jurídicos entre particulares, o Código Civil brasileiro reconhece qualquer meio de prova admitido em direito — o que inclui assinaturas digitais mesmo de fora da ICP-Brasil, desde que a autenticidade seja demonstrável. Isso significa que um PDF com assinatura de plataformas como DocuSign, ClickSign ou Contraktor tem validade legal no Brasil mesmo não sendo ICP-Brasil — mas pode aparecer com status diferente de validação em leitores configurados para ICP-Brasil.</p><p>Para organizações que precisam de um processo robusto de gestão de documentos assinados — prevenindo problemas futuros de invalidação, adulteração e perda de validade jurídica ao longo do tempo —, as melhores práticas incluem: sempre assinar com timestamp qualificado ICP-Brasil; usar certificados A3 (token ou smart card) em vez de A1 para documentos de alta relevância; arquivar o relatório de verificação do ITI junto com cada documento assinado como evidência contemporânea de validade; e nunca processar PDFs assinados com ferramentas que reescrevem o conteúdo. Para mais orientações sobre proteção e segurança de documentos PDF no contexto empresarial, consulte o guia de <a href='/pt/blog/proteger-pdf-com-senha-gratis-lgpd'>proteção de PDF com senha e conformidade LGPD</a>.</p>