Llevo casi 20 años explicando por qué la regulación española que obliga a los Prestadores de Servicios de Confianza Digital (especialmente a los cualificados) a constituir un seguro de responsabilidad civil (o un aval bancario o seguro de caución) por importes fijos y elevados está mal enfocada y resulta, en la práctica, poco útil.

Mientras preparo mi ponencia para el evento Espacio tiSec 2026: El deber de ir sobre seguro (donde hablaré del impacto de las EUDI Business Wallets en el perfil de riesgo de las empresas y su relación con los ciberseguros), veo que es necesario volver a poner sobre la mesa este tema que, lejos de haberse resuelto, sigue arrastrando los mismos problemas desde la época de la Ley de Firma Electrónica.

El artículo 9 de la Ley 6/2020: un vestigio que persiste

El artículo 9 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece:

b) Constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, excepto si el prestador pertenece al sector público. Si presta más de un servicio cualificado de los previstos en el Reglamento (UE) 910/2014, se añadirán 500.000 euros más por cada tipo de servicio.
La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución…

Esta obligación no proviene directamente del Reglamento eIDAS (UE 910/2014). El artículo 24.2.c) del Reglamento europeo solo exige a los prestadores cualificados:

mantener recursos financieros suficientes y/o obtener un seguro de responsabilidad civil adecuado, de conformidad con el Derecho nacional.

Es decir, eIDAS deja margen a los Estados miembros para definir qué se considera “suficiente” o “adecuado”. España optó por mantener (y actualizar ligeramente) un modelo de cuantías fijas y elevadas heredado de la antigua Ley 59/2003 de firma electrónica y del Real Decreto-ley 14/1999.

¿Por qué este enfoque es problemático? (Lo que ya expliqué en artículos anteriores)

Ya en 2006 (La Amenaza Fantasma y Seguro de Responsabilidad Civil de PSC) y con más detalle en 2012 El seguro obligatorio de los PSC y 2013 Alternativas al seguro de responsabilidad civil… señalaba varios problemas estructurales que siguen vigentes:

1. Las cuantías son arbitrarias y no responden a un análisis de riesgo real
   No existe base actuarial que justifique los 1,5 millones de euros (ni los 500.000 € adicionales por servicio). El riesgo real depende del volumen de certificados emitidos, del tipo de uso, de los límites de responsabilidad que el propio prestador establezca, etc. Fijar cantidades iguales para un pequeño prestador y para uno grande no tiene sentido.
2. El aval bancario y el seguro de caución no son sustitutos válidos
   Estas figuras exigen designar un beneficiario concreto (normalmente la Administración). Sin embargo, el objetivo del seguro de responsabilidad civil es indemnizar al perjudicado (el titular del certificado o el tercero que confía en él). Un aval o caución ejecutado por la Administración no garantiza que el dinero llegue al damnificado ni que se corresponda con el daño real sufrido. Son instrumentos pensados para otro tipo de obligaciones (licitaciones, contratos administrativos), no para responsabilidad civil frente a terceros.
3. En la práctica, el mercado español no ofrece este seguro
   Durante años las aseguradoras españolas han rechazado este tipo de pólizas específicas. Los prestadores se ven obligados a buscar soluciones en el extranjero o a incumplir formalmente la norma (o a buscar interpretaciones creativas). Esto genera inseguridad jurídica y un coste innecesario.
4. Contradicción con el espíritu de eIDAS
   El Reglamento europeo apuesta por un enfoque proporcionado y basado en el riesgo. La Ley 6/2020, en cambio, mantiene un esquema rígido y cuantitativo que penaliza especialmente a los prestadores más pequeños e innovadores.

Hacia un enfoque más moderno y efectivo

En lugar de mantener este requisito heredado, sería mucho más coherente con eIDAS y con la realidad del mercado actual:

• Exigir recursos financieros suficientes demostrables (reservas, patrimonio, líneas de crédito) o un seguro de responsabilidad civil adecuado según el perfil de riesgo real del prestador.
• Permitir pólizas de responsabilidad civil profesional / cyber insurance bien diseñadas, que cubran los riesgos reales (errores en la emisión/validación, fallos de seguridad, etc.).
• Obligar a los prestadores a publicar de forma clara en su web los límites de responsabilidad y el mecanismo de reclamación (algo que ya recomendaba la Directiva 1999/93/CE y que sigue sin cumplirse de forma generalizada).
• Actualizar las cuantías (o eliminarlas) mediante el real decreto que la propia Ley 6/2020 permite.

En el contexto actual de eIDAS 2.0 y la implantación masiva de las Carteras de Identidad Digital Europea (EUDI Wallet), el número de prestadores cualificados y no cualificados va a crecer significativamente. Mantener requisitos desproporcionados o ineficaces solo dificulta la entrada de nuevos actores y encarece innecesariamente los servicios.

Conclusión

El seguro de responsabilidad civil de los Prestadores de Servicios de Confianza Digital sigue siendo, en gran medida, una amenaza fantasma: existe sobre el papel, genera costes y trámites, pero no ofrece una protección real y proporcionada ni a los prestadores ni a los usuarios.

Es hora de alinear definitivamente la regulación española con el enfoque flexible y basado en riesgos del Reglamento europeo. De lo contrario, seguiremos arrastrando durante otra década un requisito que nació en 1999 y que ya entonces era cuestionable.

En mi intervención en Espacio tiSec 2026 abordaré cómo los nuevos modelos de uso de las EUDI Wallets están modificando el perfil de riesgo de las organizaciones y qué implicaciones tiene esto para los seguros (ciber y de responsabilidad). El debate sobre el seguro de los prestadores de confianza digital es solo una pieza más de un puzzle mucho más amplio: cómo transferir, mitigar o asumir los riesgos en el ecosistema digital de confianza.