Como Funciona a Análise Automática de XML NF-e para Recuperação de Créditos

O XML da NF-e contém tudo — o problema é ler em escala

Cada Nota Fiscal Eletrônica emitida no Brasil desde 2008 gera um arquivo XML assinado digitalmente pela SEFAZ. Esse XML contém, entre outros dados:

• Valor do ICMS calculado, base de cálculo e alíquota (<ICMS>)
• ICMS-ST retido e base de ST (<ICMSSt>)
• PIS e COFINS por item, com base de cálculo e alíquota (<PIS>, <COFINS>)
• CST (Código de Situação Tributária) para cada tributo por linha de produto
• NCM do produto — determinante para identificar monofásico, substituição tributária, Imposto Seletivo
• A partir de 2026: campos <cbs> e <ibs> conforme NT 2024.001 da SEFAZ

Uma empresa com 10 fornecedores e 200 pedidos/mês tem 2.000 XMLs por mês — 120.000 em 5 anos. Analisar isso manualmente, verificando cada CST e cruzando com as teses tributárias vigentes, é humanamente inviável sem erros de amostragem.

O que o parser REVEX detecta

O parser REVEX é escrito em C++23 compilado para WebAssembly (via Emscripten), rodando diretamente no navegador do usuário ou no servidor. Ele lê os XMLs e executa as seguintes verificações, de forma determinística (sem IA para calcular valores):

1. Tese do Século — RE 574.706

O ICMS destacado em cada nota (<vICMS>) não deveria compor a base de cálculo do PIS e do COFINS (julgamento STF 2017, modulação 2021). O parser extrai <vBC> (base de cálculo do PIS/COFINS conforme escriturado) e <vICMS>, calcula a diferença e projeta o crédito por competência.

Exemplo: Nota com vBC = R$ 100.000 e vICMS = R$ 12.000. Base correta: R$ 88.000. PIS/COFINS pagos a maior: 9,25% × R$ 12.000 = R$ 1.110 por nota.

2. PIS/COFINS monofásico pago em duplicidade

Para produtos das listas do art. 4º da Lei 9.718/98 (combustíveis), art. 3º da Lei 10.485/02 (veículos) e similares, o PIS/COFINS é concentrado no produtor/importador. O CST correto para o distribuidor é 04, 05, 06, 07 ou 08. Notas com CST 01, 02 ou 03 para esses NCMs indicam tributação indevida.

O parser cruza o NCM de cada item com a lista de monofásicos e verifica o CST correspondente — sinalizando automaticamente as notas com divergência.

3. ICMS-ST bitributado

Em operações com Substituição Tributária, o ICMS já foi retido pelo substituto tributário na entrada da cadeia. Se o substituído recolhe ICMS próprio adicionalmente (<vICMS> > 0 com <modBC> indicando ST na mesma operação), há bitributação. O parser identifica esse padrão cruzando <CST> + <ICMSSt> + <vICMS>.

4. CBS/IBS (2026 em diante)

Com a NT 2024.001 da SEFAZ, notas emitidas a partir de 01/01/2026 começam a incluir campos de CBS e IBS em paralelo com o PIS/COFINS. O parser já valida:

• Alíquota CBS aplicada vs. alíquota de teste correta (0,9% em 2026, conforme LC 214/2025)
• Alíquota IBS (0,1% em 2026)
• Consistência entre <cbs> e a base de cálculo do CBS

5. Diferencial de alíquota (DIFAL)

Operações interestaduais para consumidor final não contribuinte (EC 87/2015) geram DIFAL. O parser verifica se o DIFAL foi calculado sobre a alíquota interna do estado de destino correta — erros são comuns em vendas interestaduais de e-commerce.

Por que é mais confiável que análise manual

Critério	Análise manual	REVEX
Cobertura	Amostra (5-20% das notas)	100% dos XMLs
Velocidade	3-8 semanas	15 minutos
Repetibilidade	Depende do analista	Determinística
Rastreabilidade	Planilha	HMAC-SHA256 por relatório
Erros de digitação	Frequentes	Zero (parse direto do XML)
Cruzamento de listas (NCM × CST)	Manual e sujeito a desatualização	Compilado em código com constexpr

A análise manual por amostragem é especialmente problemática porque tende a selecionar notas de alto valor — subestimando sistematicamente o crédito em operações de muitas notas pequenas (como varejo de combustíveis).

LGPD e segurança dos dados

Os XMLs de NF-e contêm dados pessoais (CPF/CNPJ do comprador, dados do transportador, endereços). O REVEX trata isso de forma compatível com a LGPD (Lei 13.709/2018):

Processamento local (modo browser)

Quando o usuário faz upload no navegador, o parser WASM executa localmente no browser — os dados tributários são extraídos no cliente antes de qualquer transmissão. O que vai para o servidor são apenas os resultados agregados (valores por competência, CSTs, divergências identificadas) — nunca os dados brutos do XML.

Armazenamento

Os XMLs enviados para análise são armazenados em bucket criptografado (AES-256) no Supabase Storage. O acesso é isolado por tenant via RLS (Row Level Security) — nenhum dado de um cliente é acessível por outro. Após 90 dias, os XMLs originais são deletados automaticamente; apenas o relatório processado permanece.

Relatório HMAC

Cada relatório gerado recebe uma assinatura HMAC-SHA256 com chave controlada pelo REVEX. Isso garante que o relatório não foi alterado após emissão — requisito para uso em processos administrativos na Receita Federal.

Conformidade

• Base legal LGPD: legítimo interesse (execução de contrato de análise tributária, art. 7º, V)
• Dados sensíveis: nenhum dado de saúde ou biométrico é processado
• DPO: contato disponível em [email protected]
• Incidente: notificação à ANPD em até 72h conforme art. 48

O que o parser não faz

O parser detecta divergências com base em regras determinísticas compiladas. Ele não:

• Decide se a empresa deve ou não protocolar a recuperação (essa é uma decisão do contador/advogado)
• Processa XMLs inválidos ou com assinatura digital comprometida
• Interpreta narrativas ou contextos específicos de cada empresa (ex.: acordos de isenção negociados individualmente com a SEFAZ)

Para teses novas ou complexas, o relatório flagra a nota para revisão humana — o LLM embarcado explica o contexto, mas nunca computa o valor.

Próximos passos

1. Exporte seus XMLs do sistema de gestão (ERP/contador) — formatos aceitos: .xml individual ou .zip com múltiplos arquivos.
2. Faça sua análise gratuita em revexia.com.br — sem instalação, sem cadastro de dados bancários.
3. Revise o relatório com seu contador — cada linha tem a nota de origem, o valor divergente e a base legal aplicável.
4. Decida junto com seu contador se o valor justifica o protocolo de PER/DCOMP.