Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
Ayer, 17 de abril de 2026, se publicó, con fecha 16 de abril de 2026, por el Ministerio de Hacienda, el Proyecto de Orden Ministerial por la que se regula la solución pública de facturación electrónica, de acuerdo con lo dispuesto en la Disposición final tercera del Real Decreto 238/2026, de 25 de marzo, por el que se desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales y por el que se modifica el Reglamento por el que se regulan las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre.
Dicho Proyecto de Orden se completa de los siguientes documentos:
Este proyecto de Orden Ministerial se dicta al amparo de la disposición final tercera del Real Decreto 238/2026, de 25 de marzo, que desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales. hacienda A su vez, ese RD desarrolla reglamentariamente el artículo 2 bis de la Ley 56/2007 y la disposición adicional vigesimoprimera introducida por la Ley 7/2024. La cadena normativa es, por tanto: Ley 18/2022 → Ley 7/2024 → RD 238/2026 → esta Orden Ministerial.
Objeto y finalidad
La Orden regula los elementos técnicos y funcionales de la Solución Pública de Facturación Electrónica (SPFE), cuyo desarrollo y gestión corresponde a la Agencia Estatal de Administración Tributaria (AEAT). La SPFE cumple tres funciones principales:
Plataforma alternativa gratuita para pymes y profesionales que quieran emitir y recibir facturas electrónicas sin acudir a plataformas privadas.
Repositorio universal de todas las facturas electrónicas emitidas al amparo de la obligación legal.
Receptor de información de pagos, para monitorizar plazos y combatir la morosidad.
Obligaciones clave derivadas del RD 238/2026
Los empresarios que no usen la SPFE para emitir sus facturas están obligados a remitir, simultáneamente a la emisión, una copia electrónica fiel en sintaxis UBL a la solución pública.
Los destinatarios de facturas deberán comunicar electrónicamente a la SPFE el pago efectivo, el rechazo o el impago de las facturas.
Estructura de la Orden (10 artículos)
Artículo
Contenido
Art. 1
Objeto de la orden
Art. 2
Ámbito de aplicación (por remisión al art. 3 del RD 238/2026)
Art. 3
Especificaciones técnicas de las facturas emitidas/interconectadas: modelo semántico EN16931, sintaxis UBL
Art. 4
Elementos técnicos de la copia fiel (contenido mínimo, identificación como copia, prohibición de anexos)
Art. 5
Procedimiento de uso: formulario web (para emisión individual) o servicios web (para interconexión y copias fieles); validación y acuse de recibo
Art. 6
Código único de factura: concatenación de NIF del emisor + número + serie + fecha
Art. 7
Servicio de comunicación de pagos: rechazo, pago, cobro e impago
Art. 8
Procedimiento para comunicar pagos (vía web service o formulario); plazo de 4 días si hay incidencia técnica
Art. 9
Recuperación de facturas: las plataformas privadas deben automatizar el acceso a la SPFE para recuperar los mensajes intercambiados
Art. 10
Autenticación: certificados electrónicos o sistema Cl@ve; posibilidad de actuar mediante representación
Aspectos destacados
Estándar técnico: UBL con modelo semántico europeo EN16931. Las facturas no podrán llevar ficheros embebidos, salvo firma electrónica en los casos de interconexión.
Gratuidad: El acceso a la solución pública y sus distintos usos tendrán carácter gratuito para los usuarios.
Disponibilidad previa: La SPFE deberá estar disponible al menos dos meses antes de la primera aplicación efectiva de la orden.
Entrada en vigor: La orden entrará en vigor el 1 de octubre de 2026, fecha a partir de la cual comienzan a computar los plazos transitorios previstos en la Ley 18/2022 y en el RD 238/2026. h
El documento se encuentra en trámite de audiencia e información pública desde el 17 de abril de 2026, por lo que aún puede ser objeto de modificaciones antes de su aprobación definitiva.
Por las fechas indicadas en el propio proyecto de Orden Ministerial, la previsión es que se apruebe pronto.
La proliferación de siglas y normativas en torno a la facturación en España puede resultar abrumadora, incluso para quienes seguimos este ecosistema de cerca.
¿Qué diferencia hay entre Veri-Factu y el SII? ¿A qué obliga ya la Ley Crea y Crece tras el Real Decreto 238/2026? ¿Qué pasa en Navarra o en el País Vasco? ¿Y el sello electrónico remoto cualificado?
En este artículo trato de trazar un mapa claro de todos estos conceptos, sus solapamientos y sus diferencias, y termino explicando por qué el sello electrónico remoto cualificado es una pieza técnica que los une a todos.
1. El terreno de juego: dos grandes familias de obligaciones
Antes de entrar en detalle, conviene distinguir dos líneas normativas que a menudo se confunden porque comparten vocabulario pero tienen objetivos distintos:
Las obligaciones de control fiscal (SII, Veri-factu): nacen de la potestad de la Agencia Tributaria para verificar en tiempo real —o casi— que las facturas emitidas existen y son íntegras. El destinatario de la información es la Administración.
La obligación de facturar electrónicamente entre empresas (Ley 18/202 Crea y Crece / Real Decreto 238/2026)
): nace del derecho del acreedor a recibir su factura en formato estructurado y de la ambición de reducir la morosidad. El destinatario es el cliente B2B.
Son obligaciones que pueden coexistir, complementarse y, en muchos casos, satisfacerse con la misma infraestructura técnica, pero que responden a lógicas diferentes.
2. El SII: el pionero del reporte en tiempo real
El Suministro Inmediato de Información (SII) se introdujo en 2017 (Real Decreto 596/2016) y obliga a determinados contribuyentes —grandes empresas, grupos de IVA, inscritos en el REDEME— a enviar a la AEAT los registros de facturación en un plazo máximo de cuatro días hábiles desde la expedición o recepción de la factura.
¿Qué se envía?
No se envía la factura en sí, sino un registro de facturación en XML con los campos esenciales (fecha, importe, NIF, tipo de IVA…). La factura original puede seguir siendo en papel o en cualquier formato, siempre que el registro llegue a tiempo.
¿Quién está obligado?
Hoy en día están obligados al SII unos 62.000 contribuyentes que representan aproximadamente el 80 % de la recaudación de IVA en España. Para el resto, sigue siendo voluntario.
La llave técnica: certificado de empresa (sello)
Las comunicaciones al SII se realizan mediante servicios web de la AEAT, autenticados con el certificado de representante de persona jurídica o el certificado de sello de persona jurídica emitido por una autoridad de certificación cualificada. Esto ya anticipa la distinción que abordaremos más adelante sobre firma vs. sello.
3. Veri-factu: integridad de secuencia en el registro en origen
Veri-factu (oficialmente, el sistema de emisión de facturas verificables regulado por el Real Decreto 1007/2023 (modificado por RD 254/2025 y RD-ley 15/2025) y desarrollado por la Orden HAC/1177/2024) tiene una naturaleza diferente al SII: no es un sistema de envío a la Administración en tiempo real (aunque puede serlo), sino un sistema de integridad en origen.
La idea central
Todo software de facturación que no esté acogido al SII deberá, a partir de su entrada en vigor, generar facturas que:
Incluyan un código QR que permita al receptor verificar la factura en la sede electrónica de la AEAT.
Incorporen un mecanismo de hashes encadenados en el sistema de control de llevanza de facturas consecutivas, de modo que cualquier alteración posterior sea detectable (adición o eliminación de registros).
Puedan enviarse a la AEAT de forma voluntaria (modalidad VERI*FACTU) o simplemente conservarse en el sistema del emisor (modalidad de registro seguro) a disposición de que lo solicite la AEAT.
¿Quién está obligado?
Todos los empresarios y profesionales no obligados al SII que utilicen sistemas informáticos de facturación, con las excepciones habituales (contribuyentes que ya están en el SII quedan fuera del ámbito de Veri-factu, precisamente porque ya reportan la información al instante).
Fecha de entrada en vigor
Tras el Real Decreto-ley 15/2025, de 2 de diciembre
Personas jurídicas (Entidades del Impuesto sobre Sociedades): 1 de enero de 2027
Personas físicas (autónomos): 1 de julio de 2027
En resumen: el SII manda el registro a Hacienda; Veri-factu garantiza que el origen de la factura no ha sido manipulado y facilita la verificación posterior. Son excluyentes
4. La factura electrónica B2B: la Ley Crea y Crece
La Ley 18/2022, de creación y crecimiento de empresas (conocida como Ley Crea y Crece), establece en su artículo 12 la obligación de facturar electrónicamente entre empresarios y profesionales en sus relaciones B2B. Esta obligación se concreta en el Real Decreto 238/2026, de 25 de marzo que señala la futura publicación de la Orden Ministerial para dar cobertura a la solución pública gestionada por la AEAT
Plazos de aplicación efectiva (contados desde la publicación de la Orden Ministerial de desarrollo de la solución pública de facturación electrónica):
12 meses → empresas con volumen de operaciones > 8 millones €.
24 meses → resto de empresarios y profesionales.
Durante los primeros 12 meses las grandes empresas podrán acompañar la factura electrónica con un PDF legible (salvo que el cliente acepte expresamente el formato estructurado).
¿Qué exige?
Que la factura se emita en un formato estructurado (UBL, CII, EDIFACT y Facturae) y se transmita por plataformas de intercambio interoperables.
Que las plataformas —tanto la pública (FACeB2B) como las privadas acreditadas— garanticen la autenticidad e integridad de las facturas.
Que el receptor no pueda rechazar la recepción de facturas electrónicas. La eliminación del requisito de aceptación del destinatario en el artículo 232 de la Directiva del IVA es el cambio del paquete “IVA en la era digital” (ViDA) con la Directiva 2025/516, el Reglamento 2025/517 y el Reglamento de Ejecución 2025/518 que permite a los Estados miembros hacer obligatoria la factura electrónica también para el receptor.
¿Qué no es la factura electrónica?
Un PDF enviado por correo electrónico no es una factura electrónica a efectos de la Ley Crea y Crece, aunque la normativa de IVA lo tolere cuando hay acuerdo entre partes. La factura electrónica en sentido estricto requiere un formato estructurado y un canal de transmisión que garantice la autenticidad.
La firma y el sello en la factura electrónica
El reglamento Facturae y el estándar FacturaE ya exigen desde hace años la firma electrónica de la factura. Para una persona jurídica (empresa), lo que técnicamente corresponde es un sello electrónico —no una firma—, tal como veremos en el apartado dedicado a esta distinción.
5. Los regímenes forales: Navarra y el País Vasco
España no tiene un sistema tributario unitario. El régimen foral de Navarra y de los tres Territorios Históricos vascos (Álava, Gipuzkoa y Bizkaia) les otorga competencia normativa propia en materia de IRPF, Impuesto de Sociedades e IVA (en el caso vasco, a través del Concierto Económico; en el caso navarro, mediante el Convenio Económico) del art. 45.3 LORAFN (Ley Orgánica 13/1982). El nuevo RD 238/2026 incluye una disposición adicional específica para garantizar la interoperabilidad.
¿Los regímenes forales tienen su propio SII y Veri-factu?
Sí, y este es un punto que sorprende a muchos:
Régimen
SII
Veri-Factu equivalente
Factura electrónica B2B (RD 238/2026)
Territorio Común (AEAT)
Real Decreto 596/2016
RD 1007/2023 (plazos 2027)
Obligatoria (plazos según volumen)
País Vasco
Propio (a través de Concierto Económico)
TicketBAI
Adaptada vía acuerdos con Haciendas Forales
Navarra
Propio (Convenio Económico)
Sistema equivalente (NaTicket u homólogo)
Adaptada vía acuerdos con Hacienda Foral
TicketBAI y BATUZ: el adelanto vasco
TicketBAI es el sistema de facturación verificable del País Vasco, conceptualmente muy similar a Veri-factu pero anterior en el tiempo: encadena facturas con hash, genera un código QR verificable y exige que el software de facturación esté certificado por las Haciendas Forales. BATUZ es el proyecto más amplio que incluye TicketBAI y el sistema de libros de registro (LROE – Libro de Registro de Operaciones Económicas), que sustituye a los modelos 130, 303 y 347 para los contribuyentes vascos.
El País Vasco, en definitiva, ha sido el laboratorio de lo que luego se ha exportado al territorio común como Veri-factu.
Implicaciones prácticas para empresas que operan en ambos territorios
Una empresa con sede en Madrid que venda a clientes en el País Vasco no está obligada a TicketBAI (esa obligación recae sobre los contribuyentes del foro vasco). Sin embargo, si tiene un establecimiento permanente en Bizkaia o es contribuyente foral, sí aplica. Las empresas que operan en ambos territorios deben implementar sistemas que puedan adaptarse a ambas normativas, o invertir en soluciones que soporten múltiples regímenes.
6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara
Llegamos al punto que, en mi opinión, genera más confusión técnica y jurídica en todo este ecosistema.
Lo que dice la normativa tributaria
El artículo 10 del Real Decreto 1619/2012 (Reglamento de facturación) exige que las facturas electrónicas garanticen la autenticidad del origen y la integridad del contenido mediante firma electrónica avanzada basada en certificado reconocido o cualificado. Muchos textos normativos recientes hablan genéricamente de «firma electrónica» sin mayor precisión.
Lo que dice el Reglamento eIDAS (910/2014/UE)
El Reglamento (UE) 910/2014 (eIDAS), que es de aplicación directa en toda la UE, establece una distinción fundamental:
La firma electrónica (electronic signature) es un mecanismo exclusivo de personas físicas. Solo una persona física puede «firmar» en sentido eIDAS.
El sello electrónico (electronic seal) es el mecanismo equivalente para personas jurídicas: acredita el origen y la integridad de un documento emitido por una organización, sin que deba intervenir ninguna persona física concreta.
Esta distinción no es un tecnicismo menor: una empresa que «firma» una factura con el certificado personal de su director financiero está creando un vínculo jurídico innecesario con esa persona física, exponiéndola a responsabilidades que en realidad son de la empresa. Además, cuando esa persona cambia de cargo o abandona la empresa, el sistema deja de funcionar o genera facturas con certificados caducados.
¿Por qué la normativa tributaria no lo deja claro?
La normativa tributaria española se redactó —y en muchos casos sigue redactándose— con anterioridad o sin plena integración del enfoque eIDAS. Cuando el Reglamento de facturación habla de «firma electrónica reconocida», hay que leerlo como un requisito de nivel de garantía equivalente al de un sello electrónico cualificado cuando quien emite la factura es una persona jurídica. La Directiva sobre facturación electrónica (2014/55/UE) y los estándares EN 16931 ya apuntan en esta dirección.
La lectura correcta, por tanto, es:
Si emite la factura una persona física (autónomo): usa firma electrónica cualificada.
Si emite la factura una persona jurídica (empresa, sociedad): usa sello electrónico cualificado.
El sello electrónico cualificado es el mecanismo técnico que garantiza la autenticidad e integridad tanto en Veri-Factu, en el SII como en la nueva factura electrónica B2B. Es la misma tecnología que ya se podía usar para el SII y que ahora se extiende al resto de obligaciones.”
7. El sello electrónico cualificado remoto: la pieza que lo une todo
Tanto el SII como Veri-factu, TicketBAI/BATUZ y la factura electrónica B2B requieren que las facturas o los mensajes transmitidos a las Administraciones vayan autenticados con un certificado válido de la persona jurídica emisora. El sello electrónico cualificado es el instrumento técnico-jurídico adecuado para ello.
La evolución más relevante de los últimos años es la consolidación del sello electrónico remoto: el material criptográfico (la clave privada) reside en un HSM (dispositivo cualificado de creación de firma en la nube), operado por un prestador de servicios de confianza cualificado (QTSP). El software de facturación invoca el sello a través de una API sin necesidad de gestionar localmente ningún certificado ni hardware.
Ventajas del sello remoto cualificado para la facturación
Escenario
Beneficio del sello remoto
SII (envíos masivos a AEAT)
El servidor de facturación sella miles de registros por segundo sin gestión local de tokens
Veri-factu (hash + QR)
Cada factura queda sellada en origen de forma automática e integrada en el flujo de negocio
TicketBAI / BATUZ
Los sistemas de facturación para el País Vasco ya prevén integración con APIs de sello remoto
Factura electrónica B2B
Las plataformas de intercambio pueden sellar en nombre de la empresa emisora sin depender de certificados locales que caducan o se pierden
Factura electrónica en Navarra
El sello remoto permite centralizar la emisión aunque la empresa opere bajo el Convenio Económico
8. Cuadro comparativo final
Concepto
Quién obliga
A quién aplica
Qué garantiza
Instrumento de autenticación
SII
AEAT (territorio común)
Grandes empresas y grupos de IVA
Reporte de registros en tiempo real
Certificado de sello / representante de PJ
Veri-factu
AEAT (territorio común)
Resto de empresarios no en SII
Integridad en origen + verificación QR
Hash encadenado + sello en envío voluntario
TicketBAI / BATUZ
Haciendas Forales vascas
Contribuyentes forales vascos
Integridad en origen + reporte LROE
Certificado reconocido / sello
SII foral navarro
Hacienda Foral Navarra
Contribuyentes de Navarra
Reporte de registros
Certificado emitido bajo normativa foral
Factura electrónica B2B
Ley Crea y Crece + reglamento pendiente
Todos los empresarios y profesionales
Formato estructurado + autenticidad e integridad
Sello electrónico cualificado de la PJ emisora
9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado
Si tu empresa necesita adaptarse a alguno —o a varios— de los marcos normativos descritos en este artículo, la pieza transversal que simplifica todos los escenarios es el sello electrónico remoto cualificado.
EADTrust es un prestador de servicios de confianza cualificado (QTSP) inscrito en la Lista de Confianza española (TSL), que ofrece servicios de sello electrónico remoto cualificado en la nube especialmente orientados a entornos de facturación masiva. Sus características clave:
Alta disponibilidad y escalabilidad: apropiado para entornos SII con miles de operaciones diarias.
Integración por API: los sistemas de facturación (ERP, plataformas B2B, software de TicketBAI) se conectan sin cambios de arquitectura.
Cumplimiento eIDAS y normativa tributaria española: el sello es cualificado conforme al Reglamento 910/2014, lo que cubre los requisitos de autenticidad e integridad exigidos por el Reglamento de facturación y la Ley Crea y Crece.
Soporte multi-régimen: el mismo sello sirve para el SII de la AEAT, para Veri-factu, para plataformas de intercambio B2B y para los entornos forales vascos y navarro.
Gestión del ciclo de vida del certificado: renovaciones, revocaciones y auditorías sin impacto en los sistemas del cliente.
Si quieres más información sobre cómo integrar el sello remoto cualificado de EADTrust en tu plataforma de facturación, puedes contactar con su equipo técnico llamando al 917160555 (también 902 365 612) o consultar la documentación disponible en su web.
Conclusión
El ecosistema de la facturación en España es, como hemos visto, un mosaico de obligaciones con distinto origen normativo, distinto ámbito subjetivo y distintos plazos. La buena noticia es que todos estos marcos comparten una misma necesidad técnica: garantizar la autenticidad e integridad de las facturas mediante criptografía. Y la solución idónea para las personas jurídicas —que es la inmensa mayoría de los obligados— es el sello electrónico cualificado, preferiblemente en modalidad remota para facilitar la integración y la escalabilidad.
La distinción entre firma (personas físicas) y sello (personas jurídicas) que establece el Reglamento eIDAS no es un detalle menor: es el fundamento jurídico que da validez duradera a todos los documentos electrónicos que emitimos como empresas. Leer la normativa tributaria con las gafas de eIDAS no es optativo: es necesario para implementar bien.
¿Tienes dudas sobre qué sistema aplica a tu empresa o cómo integrar el sello remoto en tu plataforma? Llámanos al 917160555 o al 902 365 612.
Sesión práctica desde el Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE para tratar sobre el marco legal, operación y gobierno de la nueva identidad digital europea.
Se presentarán enfoques y arquitecturas de despliegue, con resultados de proyectos piloto europeos contados por quienes los han construido. Se abordarán los estándares disponibles para Declaraciones Electrónicas de Atributos (DEA) (considerando sus 3 modalidades) y sus oportunidades en el mercado y la sociedad europea.
La sesión reunirá a expertos del ámbito público, tecnológico y jurídico para analizar el estado de despliegue de la European Digital Identity Wallet (EUDI Wallet), los avances derivados de eIDAS2 y las experiencias prácticas de implementación en los pilotos europeos.
Ya tenemos un primer borrador de las intervenciones previstas:
Bienvenida y apertura. Albi Rodríguez Jaramillo, coordinador del Observatorio Legaltech Garrigues-ICADE.
Hoja de ruta de la Cartera de Identidad Digital de la UE. Ainhoa Inza Blasco, Responsable de Políticas Tecnológicas de EADTrust.
La Cartera Nacional Española. La implementación desde el Estado con Angel Luis Martín Bautista, Subdirector del Departamento de Tecnologías Disruptivas e Integridad de la Información. de la Agencia Estatal de Administración Digital y Sancho Canela Sancho, Experto Senior de Identidad Digital y Director de Proyectos en NTT Data.
Las Declaraciones Electrónicas de Atributos (DEA) en Poderes y Representación. Referencias al Catálogo Estatal de Apoderamientos (CEA) impulsado por el Ministerio de Justicia. Moisés Menéndez Andrés, codirector del Observatorio Legaltech Garrigues-ICADE.
Panel: Pilotos Europeos y casos de uso
DC4EU, con Lluis Alfons AriñoMartín Adjunto a la Dirección y Comisionado de Gobierno Abierto y TIC de la Universitat Rovira i Virgili y Nacho AlamilloDomingo– Director – Astrea La Infopista Jurídica S.L.
EWC. con Ivan Basart Carrillo, Director de eWallet y de los Productos de Firma Electrónica en España. en Signaturit (Namirial)
WEBUILD. con Raquel Garay Ruiz De Azúa, Responsable del Área de Cumplimiento de Izenpe.
El reto de desarrollo de ecosistema: una experiencia práctica, –Lucas CarmonaAmpuero – Director de Identidad Digital Descentralizada de Teknei
Consideraciones sobre la certificación de Carteras y Cierre. Julián InzaAldaz, Presidente EAD Trust y miembro del Ad Hoc Working Group on EU Digital Identity Wallets Cybersecurity Certificaction de Enisa.
El 31 de marzo de 2026 se publicó en el BOE el Real Decreto 238/2026, de 25 de marzo, que desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales (B2B), que repasaremos en este artículo.
Esta norma representa, por fin, la concreción reglamentaria de una obligación que ya se esbozaba en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
Han pasado casi veinte años desde que aquella ley estableciera la regulación sobre factura electrónica en el sector público (remitiendo a futuros cambios en la normativa de contratación en el sector público) y anunciándola también para el sector privado —con el objetivo de impulsar la digitalización, reducir costes operativos y reducir la morosidad— hasta que el Real Decreto 238/2026 la hace efectiva y operativa para todo el tejido empresarial español.
El retraso es injustificable y ha privado durante dos décadas a pymes y autónomos de los beneficios de la trazabilidad digital y la agilidad en los cobros.
Como autor del Manual de Factura Electrónica, cuya edición de 2010, fue la tercera versión y la de 2006 (y el grupo de trabajo de factura electrónica de ASIMELEC que la auspició ) llegó a influenciar la publicación de a Ley 56/2007), yo mismo anticipaba con entusiasmo los avances que traería la generalización la factura electrónica. Hoy, casi dos décadas después, celebro que el RD 238/2026
En sus páginas ya analizaba los primeros pasos en el sector público y defendía su extensión al ámbito privado como herramienta clave de modernización. Hoy, casi dos décadas después, celebro que el RD 238/2026 cierre por fin ese círculo, aunque con un retraso que ha lastrado la competitividad de nuestras empresas.
Contexto y objetivos del Real Decreto 238/2026
El decreto desarrolla expresamente el artículo 2 bis de la Ley 56/2007, modificado por la Ley 18/2022 de creación y crecimiento de empresas, y su disposición adicional vigesimoprimera, introducida por la Ley 7/2024. Lo que en 2007 se planteó como un marco general de impulso a la sociedad de la información se convierte ahora en obligación concreta para todas las operaciones B2B.
Sus objetivos principales son los mismos que inspiraron la Ley 56/2007:
Reducir la morosidad comercial mediante la trazabilidad real de los plazos de pago.
Digitalizar procesos y ahorrar costes administrativos en empresas y profesionales.
Mejorar la información tributaria disponible para la AEAT y luchar contra el fraude fiscal.
Garantizar la interoperabilidad entre plataformas privadas de facturación y la solución pública gratuita de la AEAT.
Alinearse con las directivas europeas sobre morosidad y facturación electrónica.
La norma consta de 15 artículos, 7 disposiciones adicionales, 3 transitorias y 4 finales. Su entrada en vigor se produce el 20 de abril de 2026, si bien la aplicación efectiva quedará supeditada a la futura orden ministerial que desarrolle la solución pública de la AEAT.
Una advertencia importante: el retraso no es solo una cuestión histórica. Durante estos casi veinte años, miles de empresas han seguido gestionando facturas en papel o en PDF no estructurados, con todos los costes, errores y retrasos en cobros que la Ley 56/2007 ya pretendía evitar. Ese lastre sigue siendo real.
¿A quien afecta? Ámbito de aplicación y excepciones
La obligación afecta a todos los empresarios y profesionales que deban expedir facturas conforme al Reglamento de facturación (RD 1619/2012), cuando el destinatario sea otro empresario/profesional establecido en España.
Excepciones principales
Facturas simplificadas (salvo las cualificadas, que sí quedan incluidas).
Determinados sectores regulados: operadores energéticos e IATA.
País Vasco y Navarra: se aplicarán mediante acuerdos con las respectivas Haciendas Forales.
El “Sistema Español de Factura Electrónica”
El artículo 5 crea el llamado «Sistema Español de Factura Electrónica», que se articula en torno a dos elementos:
Plataformas privadas de facturación, que deberán cumplir los requisitos técnicos y de seguridad establecidos en la norma.
La solución pública gratuita de la AEAT, que actuará como canal universal, repositorio centralizado y sistema de seguimiento de estados.
Las empresas podrán elegir libremente entre ambas opciones. Sin embargo, cuando se use una plataforma privada, será obligatorio remitir una copia fiel de cada factura a la plataforma pública. Si no existe acuerdo entre las partes sobre la plataforma a utilizar, se aplicará por defecto la solución pública.
Requisitos técnicos de la factura electrónica
El artículo 7 establece que todas las facturas electrónicas deberán cumplir tres condiciones simultáneamente:
Formato estructurado conforme a la norma europea EN 16931. Los formatos admitidos son UBL, CII, EDIFACT y Facturae.
Firma electrónica avanzada basada en certificado cualificado (en el caso de empresas, sello electrónico avanzado basado en certificado cualificado) om mejor, firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado), que garantice la autenticidad e integridad del documento firmado o sellado electrónicamente.
Formato elegido por la AEAT para su plataforma pública
CII
Cross Industry Invoice (UN/CEFACT)
Norma europea EN 16931
Facturae
Formato español preexistente
Compatible con el sistema; ya usado en B2G
EDIFACT
Estándar EDI clásico
Para sectores con implantación previa
Interoperabilidad entre plataformas privadas
Los artículos 8 y 9 establecen la obligación de interconexión entre plataformas privadas. Cuando un cliente lo solicite, las plataformas deberán establecer esa conexión de forma gratuita y en un plazo máximo de un mes. Esta medida es esencial para evitar que la fragmentación del mercado genere fricciones operativas entre empresas que usen distintos operadores.
Obligaciones de información: estados de las facturas y pagos
Uno de los elementos más relevantes del decreto para la lucha contra la morosidad son las obligaciones de información sobre el ciclo de vida de la factura:
El destinatario de la factura dispone de 4 días naturales para comunicar su aceptación o rechazo.
También debe notificar el pago completo en el mismo plazo desde que se produzca.
Todos estos datos se remiten automáticamente a la AEAT, que los utilizará para elaborar indicadores públicos de morosidad comercial.
Esta trazabilidad en tiempo real es, probablemente, el avance más importante del decreto desde el punto de vista de la salud financiera de pymes y autónomos. Por primera vez existirá información sistemática y verificable sobre el cumplimiento de los plazos de pago en España.
Requisitos de las plataformas privadas
El artículo 13 establece que las plataformas privadas de facturación electrónica deberán cumplir, entre otros, los siguientes requisitos:
Certificación ISO/IEC 27001 de gestión de la seguridad de la información.
Uso de protocolos seguros AS2 o AS4 para el intercambio de facturas.
Implementación de firma electrónica conforme a los requisitos del decreto.
Plan de continuidad de negocio documentado.
Cumplimiento de la norma UNE 0080.
Calendario de implantación: ¿cuándo me afecta a mí?
El siguiente cuadro resume los hitos clave del calendario de implantación:
Fecha / Hito
Empresas afectadas
Obligación
20 de abril de 2026
Todas
Entrada en vigor del RD 238/2026
Tras la Orden Ministerial AEAT
Todas
Arranca el cómputo de plazos de implantación
12 meses tras la OM
Volumen > 8 M€/año
Obligación efectiva de emitir facturas electrónicas
24 meses tras la OM
Resto de empresas y autónomos
Obligación efectiva de emitir facturas electrónicas
Importante: el punto de partida del reloj no es el 20 de abril de 2026 (entrada en vigor del RD), sino la fecha en que se publique la orden ministerial que regule la solución pública de la AEAT. Hasta ese momento, las empresas deberán prepararse técnica y organizativamente, pero la obligación formal aún no será exigible.
Durante el período transitorio, se permitirá el envío de la factura en formato PDF como complemento a la factura electrónica estructurada, y la AEAT pondrá a disposición entornos de pruebas para facilitar la adaptación.
Implicaciones prácticas: ¿qué deben hacer las empresas?
El momento de actuar es ahora. Aunque la obligación efectiva aún no es exigible, las empresas que empiecen a prepararse hoy tendrán una ventaja competitiva clara y evitarán adaptaciones de última hora costosas y arriesgadas.
1. Audita tu situación actual
Identifica qué sistema de facturación utilizas actualmente, qué volumen de facturas B2B emites y recibes, y si ya trabajas con algún software compatible con los formatos estructurados exigidos (UBL, CII, Facturae, EDIFACT).
2. Evalúa si tu software actual es suficiente
Muchos programas de contabilidad y ERP ya ofrecen soporte para factura electrónica estructurada. Consulta con tu proveedor si la versión actual cumple con EN 16931 y si podrá conectarse con la plataforma pública de la AEAT cuando esté operativa.
3. Decide entre plataforma privada y pública
Si emites un volumen elevado de facturas o tienes necesidades avanzadas de integración con tu ERP, una plataforma privada puede ser más adecuada. Para pymes y autónomos con volumen moderado, la solución pública gratuita de la AEAT puede ser suficiente. En cualquier caso, ambas opciones son complementarias, no excluyentes.
4. Obtén los certificados de firma electrónica necesarios
La norma exige firma electrónica (en realidad, sello electrónico) basados en certificado cualificado o bien firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado) en todas las facturas. Si aún no dispones de un certificado cualificado de sello electrónico para tu empresa o de un servicio de sellado remoto integrable con tu software de facturación, este es el momento de solicitarlo a EADTrust.
5. Prepárate para informar sobre estados y pagos
La obligación de notificar la aceptación, rechazo y pago de facturas en 4 días naturales implica adaptar los procesos internos de tu departamento financiero o de administración. Asegúrate de que tus flujos de trabajo internos y tu software contemplan esta funcionalidad.
Valoración crítica: luces y sombras del RD 238/2026
El decreto es, en conjunto, positivo y necesario. Sin embargo, con más de quince años de experiencia en el ámbito de la factura electrónica, identifico algunos aspectos mejorables:
La norma llega veinte años tarde. Ese retraso tiene un coste real y mensurable en términos de morosidad acumulada, costes administrativos innecesarios y pérdida de competitividad de las empresas españolas frente a países europeos que implantaron la facturación electrónica B2B hace años.
La aplicación efectiva queda supeditada a una orden ministerial cuya fecha de publicación es incierta. Esto introduce incertidumbre en la planificación empresarial.
La fragmentación de plataformas privadas podría generar fricciones si los mecanismos de interoperabilidad no funcionan ágilmente en la práctica. La obligación de interconexión en un mes es un paso en la dirección correcta, pero habrá que vigilar su cumplimiento.
La elección del formato UBL para la plataforma pública es acertada. Es un estándar maduro, bien documentado y con amplia adopción internacional, que facilitará la integración con sistemas europeos.
Los indicadores de morosidad que elaborará la AEAT son una herramienta muy valiosa que debería complementarse con mecanismos de transparencia y, eventualmente, con consecuencias para las empresas con peor comportamiento de pago.
Modificaciones al Reglamento de Facturación
La disposición final primera del decreto introduce ajustes puntuales en el Real Decreto 1619/2012 (Reglamento de facturación) para adaptarlo al nuevo régimen de facturación electrónica obligatoria. Estos cambios afectan principalmente a la definición de factura electrónica y a los requisitos de autenticidad e integridad.
Conclusión
El Real Decreto 238/2026 es un paso adelante largamente esperado. Supone la concreción real de un mandato que lleva veinte años en el ordenamiento jurídico español sin materializarse de forma operativa para el sector privado.
La norma tiene virtudes claras: apuesta por estándares europeos e internacionales, garantiza la gratuidad de la solución pública, establece mecanismos de interoperabilidad y crea la infraestructura para luchar contra la morosidad de forma sistemática. También tiene sombras: llega tarde, delega la operatividad real en una orden ministerial pendiente y genera cierta incertidumbre en el calendario.
Mi recomendación es no esperar a esa orden ministerial para empezar a prepararse. Las empresas que comiencen ahora a auditar sus sistemas, seleccionar plataformas y obtener los certificados necesarios estarán en una posición mucho mejor cuando llegue el momento de la obligación efectiva.
¿Tienes dudas sobre cómo adaptarte al nuevo sistema? Para la obtención de certificados de sello electrónico avanzado o cualificado, o para integrar un servicio de sellado remoto en tu aplicación de facturación, puedes contactar con EADTrust en el teléfono 91 716 05 55 o en el 902 365 612.
Ayer, 8 de abril de 2026, se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO DE EJECUCIÓN (UE) 2026/798 DE LA COMISIÓN de 7 de abril de 2026 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia y especificaciones para la incorporación a distancia de usuarios a las carteras europeas de identidad digital por medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia cuando la combinación cumpla los requisitos del nivel de seguridad alto.
Este acto de ejecución se basa en el artículo 5 bis, apartado 24, del Reglamento eIDAS (UE) 910/2014.
Su objetivo es fijar normas técnicas y especificaciones armonizadas para permitir la incorporación remota (onboarding) segura de usuarios a las carteras europeas de identidad digital (EUDI Wallets), utilizando medios de identificación electrónica (eID) de nivel de seguridad sustancial, y procedimientos adicionales para alcanzar el nivel alto. Esto garantiza confianza, seguridad y coherencia en toda la UE.
Los «Considerandos» principales:
La incorporación remota es esencial para verificar la identidad del usuario y vincularla a la cartera y al dispositivo.
Se utilizan normas ya consolidadas (basadas en ETSI) adaptadas al contexto de las carteras europeas.
Cuando el eID ya tiene nivel alto, no es necesario repetir verificaciones.
Para eID no notificados, se exige evaluación por organismos acreditados.
Se aplican plenamente las normas de protección de datos (RGPD, Reglamento 2018/1725 y Directiva 2002/58/CE).
Incluye 2 artículos:
Artículo 1: Establece que las normas de referencia y especificaciones aplicables figuran en el Anexo.
Artículo 2: Entrada en vigor y aplicabilidad (ver abajo).
El Anexo remite a la norma ETSI TS 119 461 V2.1.1 (febrero 2025) y selecciona/adapta sus cláusulas para dos escenarios:
Incorporación remota con eID de nivel sustancial (Baseline LoIP).
Procedimientos adicionales para alcanzar nivel alto (Extended LoIP).
Sección 1 – Cláusulas aplicables (selección de la ETSI TS 119 461):
Gestión de riesgos operativos, políticas y prácticas, gestión del servicio de verificación de identidad, requisitos del servicio, casos de uso concretos (con documento de identidad atendido/no atendido, por autenticación con eID, y refuerzo de nivel).
Gestión del servicio (notificaciones, conservación de pruebas, gestión de crisis, acuerdos de cese).
Protección de datos por diseño y por defecto (limitación de datos biométricos).
Requisitos de verificación de identidad: uso de eID notificados o certificados por organismo acreditado, captura de imagen facial segura (comunicación de campo cercano con chip), tasas de falsa aceptación/rechazo (FAR/FRR).
Refuerzo de nivel: procedimientos para pasar de Baseline a Extended LoIP (solo cuando no se usó comparación facial automatizada).
Todo el proceso debe cumplir los requisitos de los Reglamentos de Ejecución (UE) 2015/1502 y ETSI EN 319 401.
Disposiciones finales
Entrada en vigor: a los veinte días de su publicación en el DOUE (es decir, el 28 de abril de 2026).
Aplicabilidad: obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.
Con este acto de ejecución se confirma que decae (pierde aplicabilidad efectiva) la Orden ETD/465/2021 en el contexto de la incorporación remota a las carteras europeas de identidad digital (EUDI Wallets) y en las evaluaciones de conformidad de sistemas de verificación de identidad remota.
Por esta razón:
El Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) y especialmente el Reglamento de Ejecución (UE) 2026/798 establecen un marco armonizado a nivel europeo.
Ambos remiten directamente a la norma ETSI TS 119 461 (versión 2.1.1 o posterior) como estándar único para la verificación de identidad remota.
La Orden ETD/465/2021 era una norma aplicable en España antes de la publicación del EIDAS2 (Reglamento UE 2024/1183) que detallaba cómo realizar la identificación remota y pierde sentido una vez publicada la norma europea armonizada ETSI TS 119 461.
Todavía podría utilizarse la Orden ETD/465/2021 en España para la expedición de certificados cualificados “tradicionales” (no para gestionar la identidad en «wallets»). Pero para esa funcionalidad también es posible optar por aplicar la norma ETSI TS 119 461.
En el sector de la ciberseguridad a menudo preferimos anticiparnos a las amenazas. Por eso se ha acuñado el término «Criptocalipsis» —ese momento teórico en el que un ordenador cuántico sea lo suficientemente potente como para romper en poco tiempo la criptografía asimétrica que protege Internet (la base de los algoritmos de cifrado asimétrico y de firma electrónica como RSA y ECC)— .
A ello ha contribuido las recomendaciones de los organismos de estandarización (IETF, NIST, ETSI, ISO) y los grandes proveedores de infraestructura que se toman en serio los riesgos detectados .
Y el riesgo actual tiene un nombre técnico bastante inquietante: «Harvest Now, Decrypt Later» (Recolectar ahora, descifrar después).
Cabe pensar que el tráfico cifrado que circula hoy por las redes podría estar siendo recogido y almacenado masivamente por organismos de algunos estados o por grandes organizaciones delictivas con recursos económicos a su disposición.
La información que se guarda cifrada, sin conocer la clave de descifrado, parece poco útil, pero dentro de 5, 10 o 15 años, cuando llegue el llamado «Q-Day» (el día que un ordenador cuántico relevante esté operativo), esa «caja fuerte» de datos grabados hoy podría abrirse en espacios de tiempo cortos usando el algoritmo de Shor.
Si la confidencialidad de los datos de las empresas y organismos (secretos industriales, comunicaciones diplomáticas, datos médicos a largo plazo) debe durar más de una década, la criptografía convencional podría no ser suficiente.
Uno de los usos del cifrado se da en las comunicaciones seguras de los browsers o navegadores con los sitios web que tendrán instalado un certificado para que se pieda activar esa comunicación cifrada.
El protocolo utilizado se llamaba antiguamente SSL pero ya no se usa esa denominación porque ese protocolo incluía importantes vulnerabilidades, que se han resuelto posteriormente.
Ahora se emplea el protocolo TLS , la evolución del SSL, pero tampoco vale cualquier versión. No valen la versiones anteriores a la 1.2 y pronto dejará de utilizarse esta, conforme se generalice la versión TLS 1.3.
Y en el protocolo se usa un certificado X.509 en el servidor en base al cual se gestiona el intercambio de claves
Si un ataque en base a computación cuántica desvelara la clave privada del certificado, el atacante podría suplantar el servidor (lo que requeriría más operaciones para la suplantación como atacar los DNS). Incluso si eso sucede, habría indicios que permitirían al propietario del servidor web legítimo detectarlo y reaccionar.
La Confidencialidad de las comunicaciones se basa en el intercambio de claves de cifrado: Si un ataque en base a computación cuántica desvelara la clave de cifrado, de un intercambio de información del pasado (preservada por el atacante), podría descifrar todo el intercambio de información.
Por eso, la prioridad del IETF en su actualización del protocolo ha sido blindar el intercambio de claves. Y ya está publicado como estándar.
Enfoque híbrido del intercambio de claves: compatibilidad y reforzamiento
El reto en el intercambio de claves en TLS es que el objetivo de usar nuevos algoritmos postcuánticos (PQC) como Kyber (ahora estandarizado por NIST como ML-KEM), debería ser compatible con el uso de algoritmos muy probados como RSA o las Curvas Elípticas (ECC). ¿Qué pasa si al profundizar en los nuevos algoritmos se descubre una vulnerabilidad matemática no detectada en los análisis previos?
La respuesta del IETF en el reciente estándar para TLS 1.3 es el pragmatismo puro: el Intercambio de Claves Híbrido.
La idea es simple y práctica: no sustituir lo viejo por lo nuevo, sino usar ambos simultáneamente. Es una estrategia de «compatibilidad y refuerzo». Para que un atacante rompa la sesión, tendría que romper a la vez la criptografía clásica (X25519, híper probada) Y la nueva criptografía postcuántica (Kyber). Si el ordenador cuántico no da con la clave, nos protege la criptografía clásica. Si el ordenador cuántico expone la clave basada en criptografía clásica, nos protege la basada en criptografía postcuántica.
3. Cómo funciona el nuevo «Handshake» TLS 1.3 Híbrido
¿Cómo se modifica un protocolo tan establecido como TLS 1.3 para negociar dos tipos de criptografía radicalmente distintos en una sola ida y vuelta, sin perder eficiencia?
El cambio ocurre en las extensiones clave del handshake inicial:
A. El Cliente propone (ClientHello)
En un TLS 1.3 normal, el cliente usa la extensión supported_groups para decir «soporte la curva elíptica X25519» y la extensión key_share para enviar «aquí tienes mi mitad de la clave pública X25519».
En el nuevo TLS híbrido, el cliente da un paso más:
En supported_groups, indica soporte para nuevos identificadores «compuestos», por ejemplo, uno que significa específicamente «X25519 combinado con Kyber768».
En el key_share, el cliente no envía solo una clave. Envía un paquete concatenado: [Su clave pública X25519] + [Su clave pública Kyber].
B. El Servidor elige (ServerHello)
El servidor recibe la propuesta. Si soporta ese grupo híbrido y decide usarlo:
Selecciona el grupo compuesto.
Genera sus propias claves para ambos algoritmos.
Realiza la operación clásica Diffie-Hellman con la parte X25519.
Utiliza el mecanismo de Encapsulación de Clave (KEM) de Kyber para generar un «secreto compartido» y encapsularlo para el cliente.
Devuelve en su ServerHello el paquete: [Su clave pública X25519] + [El criptograma encapsulado de Kyber].
C. La Magia: La Derivación de la Clave Maestra
Este es el punto crítico. Al final de este intercambio, tanto cliente como servidor tienen en sus manos dos secretos compartidos distintos:
El secreto resultante del intercambio clásico (ECDH).
El secreto compartido desencapsulado del intercambio postcuántico (KEM).
El estándar dicta que el key schedule de TLS 1.3 (la «coctelera» criptográfica que deriva las claves finales de cifrado simétrico AES o ChaCha20) debe combinar ambos secretos. Se introducen los dos ingredientes en la función de derivación.
El resultado matemático es fundamental: la clave de sesión final resultante depende criptográficamente de ambos secretos. Si un atacante cuántico logra romper la parte de X25519 en el futuro, no le servirá de nada, porque le falta el ingrediente de Kyber para poder reconstruir la clave de sesión. La confidencialidad futura queda asegurada hoy.
4. Una nota sobre el futuro de la Autenticación (Firmas y Certificados)
Los lectores más atentos notarán que solo hemos hablado del intercambio de claves. ¿Qué pasa con el certificado que presenta el servidor para autenticarse?
A día de hoy, ese certificado (el que emiten prestadores como EADTrust o Google) sigue utilizando firmas clásicas RSA o ECDSA. Como se ha indicado al principio, esto se considera un riesgo aceptable temporalmente, ya que romper esto solo permite ataques en tiempo real, no descifrado retroactivo.
La migración a certificados con firmas postcuánticas es un desafío logístico mucho mayor que implicará actualizar todas las raíces de confianza en navegadores y sistemas operativos.
Cuando llegue ese momento, la industria se debate entre varios candidatos del NIST. Mientras que Dilithium (ML-DSA) parece el estándar para propósito general, para casos de uso específicos como la firma de documentos y PDF, FALCON se perfila como una opción técnicamente superior debido a su eficiencia y al tamaño extremadamente compacto de sus firmas, algo crítico para no engordar innecesariamente los documentos electrónicos a largo plazo.
La Agencia europea ENISA acaba de lanzar una consulta pública sobre el borrador del esquema candidato de certificación para la Cartera de Identidad Digital Europea (EUDI Wallet), tras su desarrollo por el Grupo de Trabajo Ad Hoc (Ad Hoc Working Group) auspiciado por ENISA y del que me honro en formar parte.
Tras la adopción del Reglamento que establece el Marco Europeo de Identidad Digital (EIDAS2), la Comisión Europea solicitó a ENISA que apoyara la certificación de las Carteras de Identidad Digital Europea, incluyendo el desarrollo de un esquema europeo de certificación de ciberseguridad conforme al Cybersecurity Act.
Ahora, la Agencia europea ENISA publica el borrador de la norma y lo somete a una consulta pública.
La consulta pública tiene como objetivo validar los principios y la organización general del esquema propuesto, así como recopilar comentarios sobre los elementos del borrador y sus anexos. El plazo para enviar respuestas finaliza el 30 de abril de 2026.
Próximo seminario web
ENISA organizará un webinar para presentar el borrador del esquema candidato de la EUDI Wallet y responder preguntas: el Miércoles 8 de abril, de 15:00 a 16:30 CEST.
Esquemas nacionales de certificación de la EUDI Wallet
En febrero de 2026, ENISA firmó un Acuerdo de Contribución por 1,6 millones de euros con la Comisión Europea, con una duración de dos años, para apoyar el desarrollo, despliegue e implementación de esquemas nacionales de certificación de la Cartera de Identidad Digital Europea.
Financiado por el Programa Europa Digital (DEP) 2025–2027, el acuerdo establece los siguientes ámbitos de actividad:
Desarrollo de esquemas nacionales de certificación por parte de los Estados miembros
Aumento del conocimiento, capacidades y confianza mutua entre los Estados miembros y el ecosistema de certificación
Incremento de la capacidad y eficacia operativa para los Estados miembros y el ecosistema
Inicio de la alineación y transición efectiva desde los esquemas nacionales hacia un esquema europeo de certificación de ciberseguridad
Los Estados miembros deberán proporcionar al menos una Cartera de Identidad Digital Europea certificada antes de finales de 2026.
ENISA apoyará a la Comisión Europea y a los Estados miembros en la definición de controles de ciberseguridad en el ámbito de la identificación digital, facilitando su adopción oportuna en toda la UE.
¿Qué es la EUDI Wallet?
El uso de carteras digitales (EUDI Wallet, European Union Digital Identity Wallet) es un paso clave hacia una identificación fluida y segura tanto en el mundo físico como en el digital. Garantiza la seguridad y la protección de la privacidad de los usuarios y de sus datos personales.
El esquema de certificación verificará que cada cartera cumple altos requisitos de seguridad.
Hasta 2026, las implementaciones de carteras digitales rara vez habían pasado por procesos formales de certificación. El desarrollo de esquemas de certificación responde a la necesidad de un marco coherente de ciberseguridad que facilite el cumplimiento para los fabricantes, mejore la transparencia y apoye el uso seguro de productos y servicios digitales.
Las Carteras de Identidad Digital Europea también se debatirán en la Conferencia Europea de Certificación de Ciberseguridad 2026, titulada “Construir confianza mediante la certificación: las afirmaciones de seguridad deben demostrarse, no prometerse”, el 15 de abril de 2026 en Chipre.
Esquema de Certificación propuesto (EUDIW v0.4.614) para Revisión Pública
Esta publicación es una versión preliminar del esquema candidato de certificación de EUDIW (Esquema Europeo de Certificación de Ciberseguridad para las Carteras de Identidad Digital Europeas —EUDI Wallets— y los sistemas de identidad electrónica bajo los cuales se proporcionan).
El documento es el resultado del trabajo conjunto de los expertos del Ad Hoc Working Group (creado según lo previsto en el Artículo 48.2 del Reglamento (UE) 2019/881 «Ley de Ciberseguridad») y se presenta como base para una revisión pública, cuyo objetivo es:
Validar los principios y la organización general del esquema propuesto.
Recoger comentarios y observaciones sobre los elementos del borrador y sus anexos.
El esquema aborda la certificación de la ciberseguridad de los servicios en la nube relacionados con:
Las Carteras de Identidad Digital Europea (EUDI Wallets).
Los sistemas de identidad electrónica que las sustentan.
El borrador se acompaña de una versión preliminar del documento:
Requisitos de Seguridad para Proveedores de Servicios Relacionados con la Cartera (Wallet-Related Service Provider Security Requirements), v0.5.614
Este documento se incluye solo como referencia y para obtener una opinión temprana sobre el enfoque seguido.
Está abierta una revisión pública mediante el siguiente formulario (EUDIW Public Review) con Fecha límite:jueves 30 de abril de 2026 (incluido)
La computación cuántica ya no es ciencia ficción. Los avances recientes (como el chip Majorana 1 de Microsoft o los estándares NIST ya publicados) están acelerando el llamado “criptocalipsis”: el momento en que los algoritmos actuales de cifrado (RSA, ECC…) podrán ser rotos por un ordenador cuántico. ¿Está preparada tu organización para proteger sus datos, firmas electrónicas, transacciones y sistemas críticos frente a esta amenaza real?
EADTrust, como Qualified Trust Service Provider (QTSP) líder en España, organiza la nueva edición presencial de su curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica”, los días 22 y 23 de abril de 2026 (de 9:30 a 17:30 h) en el Hotel Zenith Conde Orgaz de Madrid.
¿A quién está especialmente dirigido este curso?
Este curso está pensado para quienes toman decisiones estratégicas en ciberseguridad, tecnología, cumplimiento normativo y protección de activos críticos. No requiere conocimientos previos de física ni criptografía: está diseñado para perfiles directivos y técnicos que necesitan entender el riesgo y planificar la migración.
Empresas e instituciones a las que más interesa:
Entidades financieras, bancarias y aseguradoras (bancos, fintech, medios de pago, seguros): para proteger transacciones, identidades digitales y activos financieros.
Administraciones públicas y organismos de defensa, seguridad e infraestructuras críticas: para cumplir con EIDAS 2.0, recomendaciones del CCN, ENISA y ETSI.
Empresas tecnológicas, telecomunicaciones y proveedores de servicios estratégicos: que gestionan PKI, firmas electrónicas o datos sensibles.
Sectores regulados como salud, energía, industria 4.0 y legaltech: donde la confidencialidad y la integridad a largo plazo son esenciales.
Responsables de ciberseguridad, CIOs, CTOs, DPOs y equipos de cumplimiento: que deben diseñar hojas de ruta de criptoagilidad y migración a PQC.
Si tu organización maneja información sensible, certificados digitales, firmas electrónicas o sistemas que deben seguir siendo seguros durante décadas, este curso es para ti.
¿Qué vas a aprender en dos días intensivos?
Día 1 (nivel introductorio): Historia de la física cuántica, qubits, superposición, entrelazamiento, puertas cuánticas y circuitos. Práctica real con el IBM Quantum Composer.
Día 2 (nivel avanzado y aplicado): Algoritmos cuánticos (Shor, Grover…), impacto en la criptografía actual, “criptocalipsis”, estándares NIST (ML-KEM, ML-DSA, etc.), hoja de ruta europea y del CCN, estrategias de migración híbrida y criptoagilidad.
Todo con la metodología ENSAR (Experience, Name, Speak, Apply & Repeat), material didáctico completo (incluido el IQC Kit), ejercicios prácticos, casos reales y ponentes expertos: Jorge Christen, Julián Inza, Ainhoa Inza y Antonio Peris.Incluye: certificado oficial de asistencia, comidas y pausas-café durante las dos jornadas.
Precio y descuentos
Precio general: 900 € + IVA
Descuento especial (hasta 25 %) para clientes de EADTrust o referenciados → hasta el 18 de abril de 2026. Solicita tu oferta personalizada.
No esperes al último momento. La transición a criptografía postcuántica es un proceso que lleva años y los plazos regulatorios (2026-2030-2035) ya están encima.
¿Quieres que tu organización esté preparada antes que la competencia? Reserva tu plaza ahora y da el primer paso hacia la criptoagilidad real.
¿Tienes dudas o quieres que tu equipo asista en grupo? Escríbenos a contacto@eadtrust.eu (mailto:contacto@eadtrust.eu) o comenta abajo.
La Universidad Pontificia Comillas (ICADE) organiza los días 22 y 23 de abril de 2026 el Congreso del Observatorio de Derechos Digitales, bajo el título “Una mirada multidisciplinar a los Derechos Digitales”, en el que me han invitado a participar.
El evento se celebrará de forma presencial en el Auditorio del Espacio de Investigación y Transferencia de la universidad, ubicado en la calle Rey Francisco 4, Madrid.
El congreso, dirigido por los profesores Íñigo A. Navarro Mendizábal (Codirector del Observatorio Legaltech Garrigues-ICADE) y Ricardo Pazos Castro (Director del Centro Internacional de Investigación Jurídica Comillas-ICADE), tiene como objetivo principal analizar desde una perspectiva interdisciplinar los principales desafíos jurídicos y sociales que plantean las tecnologías digitales en la actualidad. Se abordarán cuestiones relacionadas con los derechos fundamentales en el entorno digital, con especial atención a su dimensión multidisciplinar.
Información práctica
Fechas y horario: 22 de abril de 2026 (inicio a las 09:00 h) y 23 de abril de 2026 (cierre a las 13:15 h).
Lugar: Auditorio del Espacio de Investigación y Transferencia, Universidad Pontificia Comillas, C/ Rey Francisco 4, Madrid.
Formato: Exclusivamente presencial.
La inscripción estará abierta desde el 27 de marzo de 2026 a las 08:00 h hasta el 21 de abril de 2026 a las 14:00 h.
Este congreso representa una oportunidad para académicos, profesionales del derecho, responsables de políticas públicas y expertos en tecnología interesados en el análisis riguroso de los derechos digitales. La organización corresponde a la Facultad de Derecho de la Universidad Pontificia Comillas en el marco del Observatorio de Derechos Digitales.
Para más detalles sobre el programa definitivo, ponentes y agenda, se recomienda consultar la página web del evento, donde se publicará la información actualizada a medida que se acerque la fecha de celebración.
Si su actividad profesional o académica está relacionada con el derecho digital, la protección de datos, la ciberseguridad o la regulación de las tecnologías emergentes, este congreso constituye un espacio relevante para el intercambio de conocimiento y la reflexión conjunta.
El Programa (sujeto a cambios), es el siguiente:
22 de abril – mañana –
09:00-09:15. Recepción de los participantes
09:15-09:30. Bienvenida
Abel Veiga Copo, Decano de la Facultad de Derecho, Universidad Pontificia Comillas (ICADE) Pendiente de determinar, Red.es Íñigo A. Navarro Mendizábal, Profesor Propio Ordinario, Universidad Pontificia Comillas. Codirector del Observatorio Legaltech Garrigues-ICADE
Primer bloque. LegalTech: identidad digital, privacidad y ciberseguridad Modera Íñigo A. Navarro Mendizábal Codirector del Observatorio Legaltech Garrigues-ICADE
09:30-09:55. Derechos del ciudadano frente a la IA generativa: El Reglamento de Inteligencia Artificial y el Reglamento General de Protección de Datos. Alejandro Padín, Socio de Garrigues, responsable del área de Economía del Dato, Privacidad y Ciberseguridad
09:55-10:20. Arquitectura y Servicios de Confianza para una Identidad Digital Europea Centrada en el Usuario. Julián Inza, Presidente de EADTrust
10:20-10:45.Debate
10:45-11:10. Pausa café
Segundo bloque Modera Andrés Chomczyk Penedo Investigador posdoctoral, Universidad Pontificia Comillas
11:10-11:35. Título por determinar Edoardo Celeste, Associate Professor, Dublin City University
11:35-12:00. La responsabilidad civil por daños causados por productos defectuosos. En especial, la inteligencia artificial. Ana I. Berrocal Lanzarot, Profesora Contratada Doctora (acred. a Profesora Titular) de Derecho Civil, Universidad Complutense de Madrid
12:00-12:25.Debate
12:25-12:30. Pausa
Tercer bloque. La disrupción tecnológica en el ámbito laboral. Modera Ana Belén Muñoz Ruiz. Profesora Titular (acred. a Catedrática) de Derecho del Trabajo y de la Seguridad Social, Universidad Carlos III de Madrid
12:30-12:55. ¿Neuroderechos laborales o Derechos Fundamentales aumentados? Jesús Mercader Uguina, Catedrático de Derecho del Trabajo y la Seguridad Social, Universidad Carlos III de Madrid
12:55-13:20. La irrupción de la IA en el ámbito retributivo. Ana Matorras Díaz-Caneja, Profesora Propia Ordinaria, Universidad Pontificia Comillas
13:20-13:45.Debate
13:45. Comida
22 de abril – tarde
Primer bloque. Autoprotección, y protección de los vulnerables. Modera Myriam Cabrera Martín Directora de la Cátedra de Derechos del Niño
16:00-16:25. Nuevos hábitos y cultura en la época de la IA Jaime García Chaparro, Senior AI Engineer, Devoteam
16:25-16:50. Derechos de la infancia en el entorno digital Laura Barroso Gonzalo, Investigadora predoctoral, Universidad Pontificia Comillas
17:15-17:40.Debate
17:40-17:45. Pausa
Segundo bloque. Protección penal de la identidad y la intimidad en el entorno digital Modera María Quintas Pérez Profesora Ayudante Doctora, Universidad Pontificia Comillas
17:45-18:10. Lasuplantación de identidad digital. M.ª Eugenia Sanmartín, Magistrada del Tribunal de Instancia de Navalcarnero
18:10-18:35. Delitos contra la intimidad en el entorno laboral ligados a la vigilancia del uso de dispositivos digitales facilitados por el empleador. Javier Gómez Lanz, Profesor Propio Ordinario, Universidad Pontificia Comillas
18:35-19:00.Debate
19:00. Fin de la primera jornada
23 de abril – mañana
Primer bloque: Transformación digital y fiscalidad Modera Francisco Javier Alonso Madrigal Codirector de la Cátedra Deloitte Legal de Tributación Empresarial
09:30-09:55. La digitalización y el papel de la inteligencia artificial en la AEAT Javier Hurtado, Inspector de Hacienda en AEAT Carlos Serrano, Socio de Deloitte Legal
09:55-10:20. Desafíos futuros. La inteligencia artificial y el principio de buena administración “digital” Elena Martínez Pastor, Counsel Deloitte Legal
10:20-10:45.Debate
10:45-11:15. Pausa café
Segundo bloque. Investigación digital y cooperación judicial en el ciberespacio: una perspectiva procesal Modera Marta Gisbert Pomata Profesora Propia Ordinaria, Universidad Pontificia Comillas
11:15-11:40. El ciberpatrullaje en el ciberespacio y la externalización del law enforcement Juan Carlos Ortiz Pradillo, Profesor Titular, Universidad Complutense de Madrid
11:40-12:05. Cooperación judicial y acceso transfronterizo a prueba electrónica Elisabet Cueto Santa Eugenia, Profesora Colaboradora Asistente, Universidad Pontificia Comillas
12:05-12:30.Debate
Tercer bloque. Una mirada prospectiva desde la filosofía Presenta M.ª ÁngelesBengoechea Gil Profesora Propia Adjunta, Universidad Pontificia Comillas
12:30-12:55. La persona en el Estado digital. ¿Sujeto de derechos sin circunstancias? Vanesa Morente Parra, Profesora Colaboradora Asistente, Universidad Pontificia Comillas
12:55-13:15.Debate
13:15. Clausura del congreso
Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los Derechos Digitales
En mayo de 2026, Bogotá acogerá una de las citas más relevantes del año en el ámbito de la identidad digital y los servicios de confianza interoperables: el CSC Trust without Borders Summit 2026, organizado por el Cloud Signature Consortium (CSC).
El lema “Trust without Borders” capta muy bien el espíritu del evento: tender puentes entre marcos regulatorios, infraestructuras y servicios de confianza en Europa y América, con foco especial en la interoperabilidad de la firma electrónica, la identidad digital y las wallets de identidad.
Lugar: Bogotá, Colombia. El 13 de mayo en el Hilton Bogotá Corferias y el 14 de mayo en la Universidad de los Andes, Edificio Mario Laserna
Organización: Cloud Signature Consortium (CSC).
Inscripción:
Página oficial en español: https://cscsummit.com/es (desde ahí se accede al registro de asistentes, condiciones para expositores y, si procede, a la convocatoria de ponentes).
La cumbre se plantea como un punto de encuentro entre reguladores, autoridades de identidad, proveedores de servicios de confianza, fabricantes de infraestructuras de seguridad, academia y estándares, con el objetivo común de avanzar hacia un ecosistema de confianza globalmente interoperable.
Entre los temas clave que se abordarán:
Interoperabilidad de la firma electrónica y servicios de confianza en el contexto de eIDAS 2.0 europeo y marcos latinoamericanos.
Identidad digital, wallets y cómo alinear infraestructuras europeas (EUDI Wallet, eID de base eIDAS) con ecosistemas de identidad en Colombia y en la región.
Criptografía Post‑cuántica, infraestructuras de confianza resilientes y estándares abiertos (CSC, ETSI, W3C, FIDO, etc.).
Regulación, reciprocidad jurídica y comercio internacional seguro, con especial atención a la interoperabilidad entre la UE y las Américas.
El programa reúne un panel muy sólido de expertos internacionales, con figuras conocidas en el ámbito de la identidad digital, eIDAS, servicios de confianza y estándares de firma. A continuación una selección orientativa (la lista completa está disponible en la web oficial de ponentes: https://cscsummit.com/speakers).
Viky Manaila – Presidenta del Cloud Signature Consortium y experta en eIDAS/eIDAS 2.0, mercados digitales seguros y servicios de confianza.
Borja Carreras – Presidente de GSE y fundador de bemyself ID, con décadas de experiencia en identidad digital, autosoberanía y ciberseguridad en Europa y Latinoamérica.
Kim Nguyen – Senior VP de Innovación en Bundesdruckerei, trabajando en identidad digital, IA de confianza, post‑cuántica y soberanía digital.
Jean Everson Martina – Profesor asociado de Ciencia de la Computación (UFSC, Brasil), especializado en identidad digital, documentos electrónicos y proyectos de interoperabilidad en América Latina.
Sebastian Elfors – CTO/CSO en IDnow, experto en eIDAS 2.0, QTSP, wallets de identidad y estándares internacionales (ETSI, CEN, W3C, FIDO, CSC).
Sven Prinsloo – Presidente del Comité Técnico del CSC y CTO de Ascertia, con fuerte experiencia en estándares de firma y API CSC para interoperabilidad.
Guillaume Forget – EVP de innovación en Cryptomathic, trabajando en firmas digitales, identidades, gestión de claves, pagos y seguridad móvil.
Arno Fiedler – Vicepresidente de ETSI Working Group ESI, con amplia experiencia en infraestructuras de confianza, eIDAS, PSD2, GDPR y CA/B Forum.
Daniel Rendon – EVP de Strategic Partnerships & Business Development en SSL.com, contribuyendo al ecosistema de certificados y servicios de identidad.
Igor Marcolongo – Head of Business Evolution en Tinexta InfoCert, miembro de la Junta del CSC y experto en eIDAS y servicios de confianza europeos.
Es especialmente interesante el enfoque de muchas sesiones en arquitecturas de identidad, interoperabilidad entre frameworks y adopción práctica de estándares como CSC.
En el Summit se combinarán mesas de alto nivel, sesiones técnicas y talleres prácticos, con un enfoque híbrido entre regulación, estándares y despliegue en el mundo real. Entre los bloques que más podrían interesar a tu audiencia:
Regulación e interoperabilidad
Armonización de la firma electrónica y la identidad digital en el marco de eIDAS 2.0 y de iniciativas latinoamericanas.
Reciprocidad jurídica y reconocimiento de servicios de confianza para el comercio transfronterizo en la UE y América.
Tecnología, estándares y arquitecturas
Infraestructuras de identidad y PKI alineadas con eIDAS 2.0, API CSC y estándares de interoperabilidad.
Criptografía Post‑cuántica, wallets de identidad europea y latinoamericana, y modelos de autosoberanía compatible con marcos regulatorios existentes.
Casos de uso y adopción en Latinoamérica
Proyectos de gobierno digital, e‑administración y servicios financieros electrónicos en Colombia y otros países de la región.
Lecciones aprendidas de despliegues de identidad digital y firmas interoperables en distintos contextos regulatorios.
Negocio y ecosistema de servicios de confianza
Cómo los frameworks de CSC y la estandarización abierta fortalecen el “business case” de proveedores, autoridades de identidad y fintech.
Nuevas iniciativas de CSC LATAM y alianzas público‑privadas para impulsar la confianza digital en la región.
Para los expertos en identidad digital, servicios de confianza, eIDAS y gobierno digital, el Summit de Bogotá es una oportunidad privilegiada para:
Conectar con los actores clave que están definiendo la interoperabilidad de la firma electrónica y la identidad digital en el Atlántico.
Contrastar la evolución de marcos europeos (eIDAS 2.0, EUDI Wallet) con la realidad de la adopción en Latinoamérica, y entender cómo se pueden articular ambos mundos.
Participar en debates muy concretos sobre estándares CSC, API de firma, adaptación a la criptografía post‑cuántica y arquitecturas de identidad que ya están en pruebas de campo.
Si te interesa seguir de cerca la evolución de los servicios de confianza interoperables entre la UE y América Latina, el CSC Trust without Borders Summit 2026 en Bogotá es una cita imprescindible.
Todo es electrónico 