Meu token bloqueou por senha errada. O que fazer?

Se você ainda tem o código PUK (fornecido na emissão), pode redefinir o PIN pelo software do token (SafeSign ou SafeNet). Se não tem o PUK ou ele também bloqueou, o token está permanentemente bloqueado e será necessário emitir um novo certificado.

Onde encontro meu PIN e PUK?

O PIN e PUK foram fornecidos no momento da emissão do certificado, geralmente em uma folha impressa ou por e-mail. Se você não encontrar, entre em contato com a Autoridade de Registro onde emitiu o certificado. Infelizmente, não é possível recuperar senhas perdidas por questões de segurança.

Quantas tentativas erradas bloqueiam o token?

Geralmente de 3 a 5 tentativas incorretas de PIN bloqueiam o acesso. Após o bloqueio do PIN, você tem de 3 a 5 tentativas de PUK. Se ambos forem bloqueados, o token fica inutilizado permanentemente. Não há como reverter o bloqueio duplo.

Existe certificado digital que não bloqueia por senha?

Sim. O certificado A1 é um arquivo digital que não usa PIN/PUK e não bloqueia por tentativas erradas. O A3 Nuvem (SafeID) também não usa token físico e a autenticação é feita por app no celular. Ambos eliminam o risco de bloqueio de mídia.

Token ou Cartao Bloqueado: Como Resolver PIN e PUK

Por que o Token ou Cartão de Certificado Digital Bloqueia?

O bloqueio do token ou cartão inteligente é um dos problemas mais recorrentes entre usuários de certificados digitais do tipo A3. Em análise de atendimentos realizados entre janeiro e fevereiro de 2026, o bloqueio por PIN/PUK aparece como o segundo problema mais frequente nas ligações de suporte. O motivo é simples: ao digitar a senha errada repetidas vezes, o dispositivo trava como medida de segurança, impedindo o acesso ao certificado digital.

Para resolver esse problema, é essencial entender como funcionam o PIN e o PUK, os dois códigos de segurança que controlam o acesso ao seu certificado A3 armazenado em token USB ou cartão inteligente (smart card).

O que é PIN e PUK do Certificado Digital?

PIN (Personal Identification Number)

O PIN é a senha pessoal de acesso ao certificado digital armazenado no token ou cartão. É o código que você digita toda vez que precisa usar o certificado, seja para assinar um documento, emitir uma nota fiscal ou acessar um sistema do governo. Características do PIN:

Tamanho: geralmente de 4 a 8 dígitos, dependendo do fabricante do token
Definido na emissão: o PIN é criado no momento da emissão do certificado, durante a videoconferência
Uso diário: é solicitado sempre que o certificado é utilizado
Tentativas limitadas: errar o PIN repetidamente bloqueia o acesso ao certificado

PUK (PIN Unlock Key)

O PUK é a chave mestra de desbloqueio, usada exclusivamente para redefinir o PIN quando este é bloqueado. Funciona como uma "senha de recuperação" do dispositivo. Características do PUK:

Tamanho: geralmente 8 dígitos
Fornecido na emissão: entregue ao titular em folha impressa ou por e-mail no momento da emissão
Uso emergencial: só é necessário quando o PIN for bloqueado
Também tem limite de tentativas: errar o PUK repetidamente bloqueia o token permanentemente

Como o Token ou Cartão Fica Bloqueado?

O bloqueio ocorre por uma cadeia de tentativas incorretas de senha. O processo funciona assim:

Bloqueio do PIN: ao exceder o número máximo de tentativas erradas de PIN (geralmente 3 a 5 tentativas, dependendo do fabricante), o acesso ao certificado é bloqueado. O certificado ainda existe no dispositivo, mas não pode ser utilizado.
Desbloqueio com PUK: neste estágio, é possível usar o código PUK para redefinir o PIN e recuperar o acesso normalmente.
Bloqueio do PUK: se o PUK também for digitado incorretamente por 3 a 5 vezes, o dispositivo fica permanentemente bloqueado. Neste caso, o certificado digital é perdido e não há como recuperá-lo.

Atenção: o bloqueio duplo (PIN + PUK) é irreversível. Nenhuma assistência técnica, fabricante ou Autoridade Certificadora consegue desbloquear o dispositivo. O certificado é perdido definitivamente.

Como Desbloquear o Token com o PUK

Se apenas o PIN está bloqueado e você ainda possui o código PUK, é possível redefinir a senha e recuperar o acesso ao certificado. O procedimento depende do software de gerenciamento do seu token:

Para tokens com SafeSign (Morpho/Idemia)

Conecte o token USB ao computador
Abra o software SafeSign Identity Client
Clique em "Token" no menu superior e selecione "Desbloquear PIN"
Digite o código PUK quando solicitado
Defina um novo PIN e confirme
Pronto: o token está desbloqueado e funcionando com o novo PIN

Para tokens com SafeNet (Gemalto/Thales)

Conecte o token USB ao computador
Abra o SafeNet Authentication Client
Clique com o botão direito no ícone do token na bandeja do sistema
Selecione "Alterar Senha do Token" ou "Unlock Token"
Insira o código PUK (chamado de "Administrator Password" em alguns modelos)
Defina e confirme o novo PIN

Se tiver dificuldade com o procedimento, oferecemos suporte remoto via AnyDesk. Nosso técnico acessa seu computador e realiza o desbloqueio junto com você. Basta entrar em contato pelo WhatsApp (19) 4042-2204.

Para suporte técnico diretamente com a Autoridade Certificadora, ligue para a Safeweb: 0800-728-5900 (segunda a sexta, 7h às 19h; sábado, 8h às 12h).

Onde Encontrar o PIN e PUK do seu Certificado

O PIN e o PUK são fornecidos no momento da emissão do certificado digital. Dependendo da Autoridade de Registro, eles podem ter sido entregues das seguintes formas:

Folha impressa: um papel com os códigos PIN e PUK, entregue junto com o token ou cartão
E-mail: enviado para o endereço de e-mail cadastrado no momento da emissão
Definido pelo próprio titular: em algumas emissões, o cliente define o PIN durante a videoconferência e recebe apenas o PUK

Muitos clientes perdem essa informação com o tempo. Infelizmente, não é possível recuperar o PIN ou PUK perdidos por questões de segurança. Nem a Autoridade Certificadora nem a Autoridade de Registro possuem cópias dessas senhas. Se não encontrar os códigos e o token estiver bloqueado, será necessário adquirir um novo certificado.

O que Fazer se o PUK Também Bloqueou?

Se tanto o PIN quanto o PUK foram bloqueados, o token ou cartão está permanentemente inutilizado. O certificado digital armazenado nele foi perdido e não pode ser recuperado. Nessa situação, as opções são:

Emitir um novo certificado: é necessário realizar uma nova compra e passar por todo o processo de emissão novamente (compra, envio de documentos e videoconferência)
Considerar mudar de modelo: aproveite a renovação para migrar para um modelo que não apresente risco de bloqueio, como o certificado A1 ou o A3 Nuvem (SafeID)

Alternativas ao Token Físico: Certificados que Não Bloqueiam

Se o bloqueio de token é um problema recorrente ou se a preocupação com PIN/PUK gera insegurança, existem modelos de certificado digital que eliminam completamente esse risco:

Certificado A1 (Arquivo Digital)

O certificado A1 é armazenado como um arquivo digital (.pfx) diretamente no computador. Suas vantagens sobre o A3 em token:

Sem PIN/PUK: não utiliza códigos de bloqueio. A proteção é feita por senha do arquivo, que pode ser redefinida
Sem dispositivo físico: nada para perder, quebrar ou bloquear
Múltiplos computadores: pode ser instalado em mais de uma máquina simultaneamente
Compatível com ERPs na nuvem: funciona com sistemas como Bling, Tiny, Omie e outros que exigem integração direta
Backup facilitado: basta copiar o arquivo para ter um backup seguro
Preço: e-CPF A1 a partir de R$99 (12 meses) e e-CNPJ A1 a partir de R$149 (12 meses)

Para uma comparação detalhada entre os modelos, consulte nosso artigo A1 vs A3: Qual Certificado Digital Escolher?

Certificado A3 Nuvem (SafeID)

O A3 Nuvem combina a segurança do modelo A3 com a praticidade da nuvem. O certificado fica armazenado em servidor seguro e a autenticação é feita pelo aplicativo SafeID no celular. Vantagens:

Sem token físico: nada para conectar, perder ou bloquear
Autenticação por app: cada uso é autorizado pelo celular, sem digitar PIN no computador
Acesso de qualquer dispositivo: funciona em qualquer computador com internet, sem instalação de drivers
Ideal para Gov.br e e-CAC: perfeito para quem usa o certificado apenas para acessar sistemas do governo
Preço acessível: a partir de R$89 (12 meses) ou R$189 (36 meses)

Saiba mais sobre essa opção no artigo Certificado Digital na Nuvem: Como Funciona o A3 Nuvem (SafeID)

Como Prevenir o Bloqueio do Token

Se você já possui ou vai adquirir um certificado A3 em token ou cartão, siga estas recomendações para evitar o bloqueio:

Anote o PIN e o PUK separadamente: guarde cada código em um local seguro e diferente. Nunca armazene ambos junto com o token
Não confie apenas na memória: senhas pouco usadas são facilmente esquecidas. Registre os códigos em local seguro assim que recebê-los
Cuidado com tentativas: se não lembra do PIN, pare de tentar antes de esgotar as tentativas. Procure primeiro o PUK antes de arriscar
Não empreste o token: terceiros podem errar a senha e bloquear o dispositivo
Verifique a validade: se o certificado está próximo do vencimento, pode ser mais vantajoso renovar para um modelo sem token do que arriscar o desbloqueio

O bloqueio de token ou cartão é um problema sério, mas prevenível. Se você já enfrentou essa situação ou quer eliminar esse risco no futuro, avalie a migração para o certificado A1 ou A3 Nuvem. Ambos oferecem segurança equivalente sem a fragilidade do dispositivo físico. Para orientação sobre qual modelo é mais adequado ao seu caso, entre em contato pelo WhatsApp (19) 4042-2204.

Autor: Leandro Albertini, Certificado Digital Belo Horizonte

Token ou Cartão Bloqueado? Como Resolver Problemas de PIN e PUK