Instrução Normativa ITI nº 35/2026 e a proteção da informação no Brasil contra a ameaça quântica.

Introdução

A publicação da Instrução Normativa ITI nº 35, de 30 de janeiro de 2026, pelo Instituto Nacional de Tecnologia da Informação, representa um passo relevante na modernização da segurança da informação no Brasil. A norma atualiza os requisitos criptográficos aplicáveis à Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), considerando um cenário tecnológico em rápida transformação, especialmente o avanço da computação quântica.

Embora computadores quânticos plenamente operacionais ainda não façam parte do cotidiano, há consenso internacional de que, quando amadurecerem, poderão comprometer algoritmos criptográficos amplamente utilizados hoje. Diante disso, a IN nº 35/2026 antecipa esse risco e posiciona o Estado brasileiro de forma preventiva.

Criptografia, certificados digitais e por que isso afeta todos nós

De forma simples, criptografia é o conjunto de técnicas matemáticas usadas para proteger informações. Ela está presente quando um cidadão assina um documento digital, acessa serviços públicos on-line ou quando órgãos do governo trocam dados sensíveis.

No Brasil, em especial para serviços públicos digitais, essa proteção é estruturada pela ICP-Brasil, que define regras para certificados digitais — arquivos eletrônicos que comprovam a identidade de pessoas físicas, empresas e sistemas. Esses certificados dependem de algoritmos criptográficos e de chaves criptográficas (números matemáticos complexos) para garantir confidencialidade, integridade e autenticidade das informações.

O que muda com a computação quântica?

Os computadores tradicionais resolvem problemas passo a passo. Já os computadores quânticos exploram propriedades da física quântica para testar muitas possibilidades ao mesmo tempo. Isso os torna especialmente perigosos para a criptografia atual, pois algoritmos hoje considerados seguros podem ser quebrados em tempo viável no futuro.

Organismos internacionais, como o National Institute of Standards and Technology (NIST), alertam que informações protegidas hoje podem ser capturadas agora e quebradas no futuro (“harvest now, decrypt later”). Por isso, cresce a adoção da chamada criptografia pós-quântica, baseada em problemas matemáticos que permanecem difíceis mesmo para computadores quânticos.

A importância da Instrução Normativa ITI nº 35/2026

A Instrução Normativa ITI nº 35/2026 insere o Brasil de forma consistente no movimento internacional de preparação para os impactos da computação quântica sobre a segurança da informação, ao promover a atualização dos parâmetros criptográficos aceitos no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e ao alinhar esses parâmetros às discussões e aos padrões internacionais relacionados à criptografia resistente a ataques quânticos. Essa atualização fortalece a base técnica sobre a qual se apoiam as assinaturas digitais, os mecanismos de autenticação e a integridade das informações utilizadas pelos sistemas governamentais, reforçando, simultaneamente, a segurança jurídica desses instrumentos.

Além de seu alcance técnico, a norma possui reflexos diretos no campo das contratações públicas de tecnologia da informação e comunicação, especialmente quando considerada em conjunto com a Instrução Normativa nº 94, que disciplina o processo de contratação de soluções de TIC no âmbito da Administração Pública federal. Ao exigir que as contratações observem padrões de segurança da informação, gestão de riscos e conformidade normativa, a IN nº 94 impõe aos órgãos e entidades o dever de incorporar, desde o planejamento da contratação, requisitos compatíveis com os parâmetros criptográficos definidos pelo ITI. Nesse sentido, a IN nº 35/2026 passa a constituir referência obrigatória para a definição de requisitos técnicos, critérios de segurança e especificações contratuais relacionadas a certificação digital, autenticação e proteção de dados.

Esse alinhamento normativo assume especial relevância no contexto da proteção das infraestruturas críticas do governo, que englobam sistemas essenciais à continuidade do Estado, como plataformas de identificação digital, serviços eletrônicos ao cidadão, sistemas financeiros, fiscais e de gestão pública. Ao atualizar os fundamentos criptográficos que sustentam essas infraestruturas, a IN nº 35/2026 contribui para reduzir vulnerabilidades estruturais e mitigar riscos sistêmicos decorrentes da evolução tecnológica, especialmente aqueles associados à futura capacidade dos computadores quânticos.

Embora seja um ato normativo de natureza eminentemente técnica, seus efeitos são estratégicos e de longo prazo: preservar a confiabilidade dos serviços digitais do Estado brasileiro, fortalecer a resiliência das infraestruturas críticas governamentais e assegurar a proteção de dados públicos e privados frente a ameaças tecnológicas emergentes, em consonância com as boas práticas internacionais e com as obrigações já estabelecidas no regime de contratações públicas de TIC.

Criptoagilidade: conceito-chave para o futuro

Nesse contexto, ganha destaque o conceito de criptoagilidade, entendido como a capacidade de sistemas e infraestruturas digitais substituírem, de forma planejada e tempestiva, seus algoritmos criptográficos quando estes se tornam vulneráveis ou obsoletos, sem a necessidade de reconstrução completa das soluções tecnológicas. Trata-se de um princípio de engenharia e governança de segurança da informação que busca responder à evolução constante das capacidades computacionais e das técnicas de ataque.

O debate sobre criptoagilidade surge de forma mais estruturada a partir da década de 2010, impulsionado por dois fatores principais: a constatação de que algoritmos antes considerados seguros tornaram-se quebráveis com o avanço do poder computacional e a perspectiva concreta de que a computação quântica poderá comprometer algoritmos criptográficos amplamente utilizados. A partir desse cenário, organismos internacionais e governos passaram a recomendar arquiteturas criptográficas flexíveis, capazes de evoluir ao longo do tempo.

Atualmente, países como Estados Unidos, membros da União Europeia, Canadá e Austrália incorporam explicitamente o princípio da criptoagilidade em suas estratégias nacionais de cibersegurança e em documentos técnicos relacionados à transição para a criptografia pós-quântica. Nos Estados Unidos, por exemplo, o National Institute of Standards and Technology (NIST) enfatiza a necessidade de sistemas criptoagéis como condição para a adoção segura dos novos algoritmos pós-quânticos. De forma semelhante, a Agência da União Europeia para a Cibersegurança (ENISA) recomenda que organizações públicas estruturem seus sistemas para facilitar a substituição de algoritmos criptográficos ao longo do ciclo de vida das soluções.

Diversos padrões e referenciais internacionais reforçam esse entendimento. Documentos do NIST, recomendações da International Organization for Standardization (ISO), especialmente no âmbito da família ISO/IEC 27000, e orientações da International Telecommunication Union (ITU-T) convergem ao apontar a criptoagilidade como requisito essencial para a resiliência digital. No campo das políticas públicas, a Organisation for Economic Co-operation and Development (OCDE) destaca a criptoagilidade como elemento central para a construção de ecossistemas digitais seguros e adaptáveis, capazes de sustentar serviços públicos críticos ao longo do tempo.

A Instrução Normativa ITI nº 35/2026 materializa esse princípio no contexto brasileiro ao não apenas atualizar algoritmos e parâmetros criptográficos, mas também ao preparar a governança da ICP-Brasil para um processo contínuo de evolução tecnológica. Ao adotar uma abordagem alinhada à criptoagilidade, a norma reduz riscos de dependência tecnológica, evita rupturas abruptas decorrentes da obsolescência criptográfica e fortalece a resiliência dos serviços digitais do Estado frente a ameaças presentes e futuras.

Conclusão

A Instrução Normativa ITI nº 35/2026 deve ser compreendida como um movimento estratégico de antecipação do Estado brasileiro frente a transformações tecnológicas que já remodelam o cenário global de segurança da informação. Ao reconhecer explicitamente os riscos associados à evolução da computação quântica e ao alinhar a Infraestrutura de Chaves Públicas Brasileira às práticas internacionais emergentes, a norma sinaliza uma mudança de postura: da reação tardia à gestão preventiva e estruturada do risco criptográfico.

Nesse sentido, a IN nº 35/2026 fortalece o papel da ICP-Brasil como infraestrutura crítica do Estado, cuja confiabilidade é condição essencial para a continuidade dos serviços públicos digitais, para a validade jurídica das interações eletrônicas e para a proteção de dados sensíveis de cidadãos, empresas e da própria Administração Pública. A robustez criptográfica está diretamente relacionada à soberania digital, à confiança social nos meios eletrônicos e à resiliência das políticas públicas baseadas em tecnologia.

No contexto das contratações públicas regidas pela Instrução Normativa nº 94, tem-se o reforço da segurança da informação alinhando-se os requisitos da contratante aos parâmetros definidos pelo ITI que passam a integrar o núcleo dos requisitos técnicos e de governança a orientar o planejamento, a seleção de soluções e a gestão contratual, em especial ao tratar o risco criptográfico como elemento central da tomada de decisão na arquitetura das soluções digitais de governo.

Por fim, ao incorporar de forma explícita os fundamentos da criptoagilidade, a IN nº 35/2026 projeta a ICP-Brasil para um modelo de evolução contínua, capaz de absorver mudanças tecnológicas sem rupturas abruptas e sem dependência excessiva de soluções estáticas. Essa abordagem reconhece que a segurança da informação é um processo dinâmico, e não um estado permanente, e que a capacidade de adaptação será tão relevante quanto a escolha dos algoritmos em si. Assim, a norma consolida-se como um marco regulatório que não apenas responde às ameaças do presente, mas prepara o Estado brasileiro para enfrentar, com maior maturidade institucional, os desafios criptográficos do futuro.

Referências Bibliográficas (ABNT)

BRASIL. Instituto Nacional de Tecnologia da Informação. Instrução Normativa ITI nº 35, de 30 de janeiro de 2026. Diário Oficial da União: seção 1, Brasília, DF, 2026.

BRASIL. Instituto Nacional de Tecnologia da Informação. Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil: conceitos e fundamentos. Brasília: ITI, s.d. Disponível em: https://www.gov.br/iti

. Acesso em: 6 fev. 2026.

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Post-Quantum Cryptography Standards. Gaithersburg, MD: NIST, 2024. Disponível em: https://www.nist.gov

. Acesso em: 6 fev. 2026.

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Digital security risk management for economic and social prosperity. Paris: OECD Publishing, 2015.

EUROPEAN UNION AGENCY FOR CYBERSECURITY. Post-Quantum Cryptography: current state and quantum mitigation. Heraklion: ENISA, 2023.

INTERNATIONAL TELECOMMUNICATION UNION. Security aspects of post-quantum cryptography. Geneva: ITU-T, 2022.