A Instrução Normativa RFB nº 2.320/2026, publicada pela Secretaria Especial da Receita Federal do Brasil, estabelece novas diretrizes para o acesso a serviços digitais no âmbito do órgão, com impacto direto na rotina de contribuintes, empresas e profissionais da contabilidade.
A norma regulamenta o uso obrigatório da plataforma gov.br para autenticação, define critérios para autorizações de acesso e procurações digitais e impõe restrições ao uso de sistemas automatizados não oficiais.
O texto oficial da norma dispõe sobre autenticação, representação digital, vedações, cancelamento e bloqueios de acesso .
Segundo a contadora tributarista e professora universitária Camila Oliveira, a mudança atinge diretamente a operação dos escritórios e departamentos fiscais. “Na prática, a IN 2.320/2026 muda três pilares da operação fiscal: acesso, formalização e execução”, afirma.
A especialista destaca que a nova regulamentação aumenta a dependência de credenciais regulares, exige mais controle interno e pode afetar fluxos que hoje dependem de automações ou procedimentos menos estruturados.
Autenticação passa a exigir conta gov.br
A norma determina que, nas hipóteses em que o serviço exigir autenticação, o acesso será feito com base na conta digital da plataforma gov.br, observados os níveis mínimos de assinatura eletrônica exigidos para cada serviço .
No caso dos serviços relativos à pessoa jurídica, o acesso poderá ser efetuado pela pessoa física representante da empresa perante o CNPJ, com uso de certificado digital da pessoa jurídica ou por pessoa legalmente habilitada mediante autorização de acesso .
Para Camila Oliveira, esse ponto traz impacto imediato sobre a rotina operacional. “Há dependência obrigatória de gov.br nível Prata ou Ouro e redução de acessos compartilhados ou genéricos”, diz.
Na avaliação da especialista, esse novo desenho tende a exigir revisão dos fluxos internos de acesso em escritórios com múltiplos usuários e grande volume de clientes.
Autorização digital substitui modelo menos estruturado
A IN RFB nº 2.320/2026 também estabelece que o usuário autenticado poderá atuar como representante de outras pessoas, desde que previamente autorizado. O texto prevê que a autorização de acesso terá os mesmos efeitos de uma procuração, para uso restrito relativo aos serviços digitais, com habilitação em aplicação própria no Portal de Serviços da Receita Federal .
Além disso, a norma detalha que a autorização deverá estabelecer com exatidão os serviços autorizados e permitirá que a pessoa autorizada pratique, em meio digital, atos válidos em nome do titular, incluindo assinaturas digitais, apresentação de petições, impugnações, recursos, atos de ciência e anexação de documentos digitais .
Segundo Camila Oliveira, essa mudança altera a forma como os poderes são formalizados. “Há substituição da procuração tradicional por autorização digital estruturada e necessidade de validação dentro de prazos específicos”, afirma.
Prazos passam a exigir controle rigoroso
A norma fixa que a autorização concedida diretamente pelo titular deverá ser validada pelo representante digital em até 30 dias, contados da data da concessão. Também prevê que, em determinadas hipóteses, a autorização terá início de validade em até 60 dias contados da data de emissão, além de prazo determinado de, no máximo, cinco anos, a ser fixado pelo outorgante .
Para a especialista, esses prazos aumentam o risco de falhas operacionais em empresas e escritórios sem controle interno estruturado. “O risco de travamento operacional é alto no curto prazo, principalmente para quem utiliza robôs ou integrações não oficiais, não controla prazos de validação ou possui cadastros desatualizados no gov.br”, alerta.
Ela cita exemplos práticos de impacto na rotina. “Pode haver perda de acesso ao e-CAC no fechamento fiscal, impossibilidade de transmitir obrigações e até bloqueio de carteira de clientes por falha de validação”, afirma.
Receita proíbe robôs e acessos intermediados
Um dos pontos centrais da norma está nas restrições ao uso de automações. O art. 13 veda a utilização de aplicativo, webview, iframe, camada de intermediação ou qualquer sistema próprio do contribuinte ou de terceiros que, por meio de automação ou encapsulamento do ambiente dos serviços digitais oferecidos pela Receita Federal, possibilite outorga, alteração ou revogação das autorizações de acesso .
A norma também esclarece que se caracteriza como acesso intermediado a interação com o sistema por mecanismos automatizados ou semiautomatizados, incluindo robôs de software, scripts, automação de navegador e interfaces de programação não oficializadas pela Receita Federal .
Caso esse tipo de uso seja identificado, a Receita poderá interromper a sessão, bloquear preventivamente o uso do acesso como representante digital e cancelar autorizações de acesso ou procurações digitais eventualmente outorgadas .
Na leitura de Camila Oliveira, a mudança afeta diretamente o ecossistema tecnológico do setor. “A norma não proíbe tecnologia, mas proíbe a intermediação não oficial do acesso”, explica.
Ela detalha que serão impactados “robôs que simulam login no e-CAC, ferramentas com webview ou iframe da Receita e scripts que automatizam outorga de poderes”. Por outro lado, segundo a especialista, “permanecem viáveis sistemas que utilizam APIs oficiais, quando disponíveis, e ferramentas de gestão interna, sem acesso direto ao ambiente da RFB”.
Responsabilidade do contador ganha peso jurídico
Outro efeito relevante da nova norma, segundo a especialista, está no aumento da responsabilização dos representantes digitais.
A IN estabelece que a autorização de acesso tem os mesmos efeitos de uma procuração para uso restrito relativo aos serviços digitais . A partir disso, Camila Oliveira avalia que a responsabilização jurídica tende a crescer. “A norma eleva significativamente o nível de responsabilização”, afirma.
Ela acrescenta que a equiparação a mandato aumenta o peso jurídico dos atos praticados. “O representante digital passa a ter efeitos jurídicos diretos e os atos praticados possuem presunção de legitimidade”, diz.
Segundo a especialista, entre os riscos estão “responsabilização solidária, dependendo do caso, além de questionamentos sobre falha de controle interno, uso de credenciais indevidas e ausência de governança”.
Camila também faz um alerta específico sobre automações vedadas pela norma. “O uso de automações proibidas pode ser interpretado como violação de norma administrativa e fragilidade na guarda de credenciais”, afirma.
Situação cadastral irregular pode impedir o acesso
A norma também proíbe o uso dos serviços digitais em que a autenticação for exigida quando, no momento do acesso, a situação cadastral no CNPJ for nula; quando a situação no CPF do titular ou do representante da pessoa jurídica for cancelada, nula ou de titular falecido; ou quando o número de inscrição no CPF do responsável registrado no e-CNPJ não corresponder ao do representante legal responsável pela pessoa jurídica no CNPJ .
Esse ponto, combinado com a exigência de autenticação estruturada, tende a ampliar a necessidade de atualização cadastral e conferência prévia de acessos antes de períodos críticos de entrega de obrigações.
Cancelamento, bloqueio e suspensão estão previstos
A IN RFB nº 2.320/2026 estabelece que a autorização de acesso será emitida e cancelada pelo usuário exclusivamente pela internet . Também autoriza a Cogea a cancelar, de ofício, autorizações de acesso e procurações digitais em hipóteses como descumprimento dos requisitos da norma, constatação de falsidade, fraude ou indício relevante de irregularidade, uso de acesso intermediado e extrapolação de limites fixados para autorizações ativas .
Além disso, a coordenação poderá bloquear preventivamente o uso da autorização de acesso ou procuração digital por representante que incorrer em uso inadequado das representações digitais ou quando houver indícios de irregularidade .
Governança de acessos deixa de ser opcional
Na avaliação de Camila Oliveira, a nova norma exige uma virada de chave na governança interna dos escritórios e empresas. “Com a nova norma, governança de acessos deixa de ser opcional”, afirma.
Entre as práticas que ela considera indispensáveis estão a gestão de identidades, o controle de autorizações, a gestão de prazos, a segregação de funções, a trilha de auditoria e uma política de revogação imediata em casos de desligamento de colaborador, mudança de função ou encerramento de contrato.
A especialista resume os principais cuidados. “É preciso garantir que todos os acessos estejam em nível Prata ou Ouro, evitar logins compartilhados, manter inventário atualizado das autorizações e monitorar prazo de validade, status de validação e expiração”, diz.
Ela também destaca a necessidade de separar responsabilidades. “É preciso separar quem solicita, quem aprova e quem executa, além de manter registro dos acessos realizados, operações executadas e responsável por cada ação”, afirma.
No entendimento da especialista, empresas e escritórios que não adotarem essas medidas estarão mais expostos. “Quem não implementar esses controles estará sujeito a bloqueios operacionais, riscos fiscais e questionamentos em fiscalizações”, alerta.
