Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
España es, con diferencia, el país europeo con mayor número de Prestadores Cualificados de Servicios de Confianza (QTSP) activos en la lista de confianza europea (TSL). Mientras que la mayoría de los Estados miembros cuentan con una decena o menos, España supera los cincuenta prestadores registrados, si bien varios se dedican solo a los Sellos de tiempo. Esta alto número de prestadores ha permitido cierta especialización, de modo que existen variantes de certificados poco conocidas incluso entre los propios profesionales del sector.
Este artículo intenta trazar un mapa completo de los tipos de certificados cualificados que se emiten en España y señalar cuáles son los más inusuales y quiénes los emiten.
La taxonomía básica de certificados: lo que todos conocen
El Reglamento eIDAS establece tres grandes familias de certificados cualificados:
Certificados de firma electrónica (art. 28 eIDAS): se emiten a personas físicas para que firmen en su propio nombre.
Certificados de sello electrónico (art. 38 eIDAS): se emiten a personas jurídicas para sellar documentos de forma automatizada.
Certificados de autenticación de sitios web (art. 45 eIDAS): los QWAC, que autentican servidores web.
Dentro de los certificados de firma, el más habitual es el de persona física simple, que identifica al titular únicamente por su nombre y número de documento. Le sigue el de representante de persona jurídica, que añade los datos de la entidad en cuyo nombre actúa el firmante. En el ámbito del sello, el más extendido es el sello de entidad genérico.
Estos tres tipos los emite prácticamente la totalidad de los QTSPs españoles: que emiten certificados FNMT, Camerfirma, Izenpe, ACCV, Firmaprofesional, ANF, Uanataca, DigitelTS, EADTrust, AC Notarial, Logalty y muchos otros. Son el producto de catálogo estándar.
Tipos de certificados específicos del sector público español
Aquí empiezan a verse diferencias. La legislación española —en particular la Ley 40/2015 y sus desarrollos técnicos— define tipos de certificados propios para la Administración Pública que no tienen equivalente directo en otros países europeos:
Certificado de empleado público
Identifica a la persona física como funcionario o trabajador de una administración determinada. Incluye el cargo u órgano al que pertenece. Existen varias modalidades según el nivel de seguridad definido por el ENS: medio/sustancial y alto.
No todos los QTSPs lo emiten porque requiere diseñar perfiles especiales con la expectativa de ser proveedor de las administraciones públicas, o o ser, de hecho uno de tales proveedores. .requieren, además, diseñar un proceso de verificación de los datos de empleo. Entre los que sí lo hacen destacan la FNMT, ACCV, Izenpe (para el País Vasco) y, entre los prestadores privados de ámbito estatal, EADTrust y Camerfirma.
Sello de órgano de la Administración Pública
Es el equivalente al sello de entidad, pero con el perfil técnico definido en el documento «Perfiles de Certificados Electrónicos» de la AAPP (cuya gestión corresponde gestionado al Ministerio de Transformación Digital). Identifica al órgano administrativo —no a la entidad jurídica completa— como la Dirección General X de un ministerio, por ejemplo. Se usa para el sellado automatizado de notificaciones, resoluciones y otros actos administrativos.
La casuística incluye también un uso particular: el Document Signing Certificate (DSC) para los Pasaportes COVID de la UE. EADTrust operó como CSCA (Certificate Signing Certificate Authority) de España en este contexto, emitiendo certificados de sello de órgano con OIDs específicos para test, vacunación y recuperación.
Sede electrónica administrativa (QWAC EV)
El certificado de sede electrónica es técnicamente un QWAC de Extended Validation, pero con perfil específico para administraciones públicas. Identifica el dominio web como sede electrónica oficial de un organismo público, con los campos de razón social y número de registro propios de la AAPP. Es obligatorio para toda sede electrónica de la Administración General del Estado y muchas autonómicas.
La combinación de los tres tipos anteriores —empleado público, sello de órgano y sede electrónica— la ofrecen muy pocos prestadores privados. EADTrust es uno de ellos, lo que la sitúa en un segmento especializado que la mayoría de los QTSPs genéricos no cubre.
Los certificados con seudónimo: los grandes desconocidos
Este es, probablemente, el territorio menos explorado del ecosistema de certificados cualificados español. La norma eIDAS permite que un certificado cualificado incluya un seudónimo en lugar del nombre real del titular (art. 28.4 eIDAS), siempre que así lo exija la legislación nacional. En España, dos ámbitos hacen uso de esta posibilidad.
Certificado de empleado público con seudónimo (AAPP)
Diseñado para funcionarios que realizan actuaciones que deben quedar amparadas por la confidencialidad de la función pública —por ejemplo, inspectores, investigadores o personal de inteligencia— pero que necesitan firmar electrónicamente con validez cualificada. El certificado contiene un seudónimo que permite identificar al titular ante la administración competente, pero no lo expone públicamente.
Existen perfiles de nivel alto (para firma y para autenticación por separado) definidos por el CTEAJE (en Justicia) y la AAPP española.
Certificado de empleado de la Administración de Justicia con seudónimo
Perfil específico desarrollado por el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE), recogido en el documento «Perfil de Certificado con Seudónimo Justicia V1.0». Lo usan jueces, fiscales y otros operadores jurídicos que necesitan firmar resoluciones judiciales electrónicamente sin que su identidad real quede expuesta en el documento firmado. El seudónimo los identifica ante los sistemas de la administración de Justicia, pero no ante el público general.
Estos dos tipos de certificado con seudónimo los emite en España un número muy reducido de prestadores. La FNMT los emite para los sistemas de Justicia del Estado; EADTrust los tiene recogidos en su DPC (v5.5) tanto para el ámbito AAPP como para Justicia. Sin embargo, a pesar de estar técnicamente disponibles, estos certificados tienen poca visibilidad en los catálogos públicos de los prestadores. Es una de las áreas con mayor potencial de difusión.
Certificados PSD2: un nicho regulatorio
La Directiva de Servicios de Pago (PSD2) obliga a las entidades financieras a exponer APIs abiertas para el acceso a cuentas y servicios asociados como los AISP y PISP. Para autenticar en esas APIs se utilizan dos tipos específicos de certificados, definidos en la norma ETSI TS 119 495:
QWAC PSD2 (Qualified Web Authentication Certificate para PSD2): autenticación mutua TLS entre el proveedor de servicios de pago y el banco.
QSealC PSD2 (Qualified Seal Certificate para PSD2): sellado de mensajes en la comunicación entre PSPs.
Ambos incluyen atributos especiales en la extensión `qcStatements` que indican los roles del prestador: PISP (Payment Initiation Service Provider), AISP (Account Information Service Provider) o PSP-IC (Issuing of Card-based Payment Instruments).
Los emiten en España varios QTSPs, entre ellos ACCV, Camerfirma, EADTrust, Firmaprofesional y algunos otros. El proceso de verificación requiere acreditar ante el Banco de España (u otro supervisor nacional) la autorización del solicitante como PSP, lo que limita este mercado a entidades financieras reguladas.
Certificados para la AEAT: la entidad sin personalidad jurídica
La Agencia Tributaria utiliza certificados cualificados para una variedad de trámites. Además de los tipos estándar (persona física, representante de persona jurídica, sello de entidad), existe un tipo poco conocido: el certificado de representante de entidad sin personalidad jurídica.
Este tipo cubre comunidades de bienes, herencias yacentes, UTEs (uniones temporales de empresas) y otras figuras que operan con NIF pero no tienen personalidad jurídica propia. En la práctica, el representante firma en nombre de la comunidad o UTE con un certificado que identifica explícitamente esta relación.
La FNMT es el emisor principal de este tipo de certificado en España, vinculado directamente a los procedimientos de la AEAT.
Certificados de titulado
SIGNE es un QTSP que colabora frecuentemente con las universidades españolas. Además de los tipos estándar, emite el eTítulo, un certificado cualificado que acredita que el titular posee un título universitario oficial reconocido en España.
Este es uno de los tipos más singulares del panorama español. No es simplemente un certificado de persona física con atributos adicionales: incluye información sobre la titulación, la universidad emisora y el número de registro del título. Su uso principal es la firma de documentos académicos con la garantía de que el firmante posee la titulación que declara.
Certificados de colegiado
Varios colegios profesionales tienen su propia CA o acuerdo con un QTSP: el Consejo General de la Abogacía (CGAE) emite certificados de abogado a través de su propia infraestructura, los colegios de médicos operan a través del Consejo General de Colegios Oficiales de Médicos, el Consejo General del Notariado cuenta con ANCERT, y los registradores tienen su propia CA. El Prestador Firmaprofesional ha definido perfiles de certificado de Colegiado adecuados para múltiples colegios profesionales.
Estos certificados identifican al titular no solo como persona física, sino también como profesional en ejercicio de una determinada disciplina, con número de colegiado verificado por la institución emisora. Su validez para trámites específicos —firma de escrituras notariales, prescripciones médicas electrónicas, comunicaciones judiciales— está reconocida en la legislación sectorial correspondiente.
Certificados EPREL: un nicho europeo
EPREL (European Product Registry for Energy Labelling) es el registro europeo de etiquetado energético de la Comisión Europea. Las empresas que comercializan productos sujetos a etiquetado energético deben registrar sus productos en EPREL, y para ello necesitan un certificado cualificado de sello electrónico de persona jurídica (QSeal) que cumpla ciertos requisitos técnicos.
La mayoría de los QTSPs exigen que el solicitante figure en el Registro Mercantil para verificar su existencia como persona jurídica. Sin embargo, la obligación de registrar productos en EPREL afecta también a autónomos, asociaciones, fundaciones y otras entidades que no están inscritas en el Registro Mercantil. EADTrust es, hasta donde se conoce, el único QTSP español que emite certificados EPREL para este tipo de entidades, verificando su identidad a través de otros registros públicos o medios alternativos. Este detalle no suele aparecer en los comparativos de QTSPs, pero es determinante para muchas pymes y profesionales autónomos que comercializan productos con etiquetado energético.
Tabla resumen: tipos de certificados y QTSPs representativos
Tipo de certificado
Categoría eIDAS
QTSPs representativos
Singularidad
Persona física (PF)
Firma
Todos los principales
Estándar
Representante de PJ
Firma
Todos los principales
Estándar
Sello de entidad (PJ)
Sello
Todos los principales
Estándar
Empleado público
Firma
FNMT, ACCV, Izenpe, Camerfirma, EADTrust
España-específico
Sello de órgano AAPP
Sello
FNMT, ACCV, Izenpe, EADTrust
España-específico
Sede electrónica (QWAC EV)
Web
FNMT, Camerfirma, EADTrust
España-específico
Seudónimo AAPP
Firma
FNMT, EADTrust
Muy infrecuente
Seudónimo Justicia
Firma
FNMT, EADTrust
Muy infrecuente
QWAC PSD2
Web
ACCV, Camerfirma, EADTrust, Firmaprofesional
Regulatorio PSD2
QSealC PSD2
Sello
ACCV, Camerfirma, EADTrust, Firmaprofesional
Regulatorio PSD2
Representante entidad sin PJ
Firma
FNMT
AEAT-específico
eTítulo (titulado)
Firma
SIGNE
Único en España
Colegiado (abogado, médico, notario…)
Firma
CGAE, CGOCOM, ANCERT, Firmaprofesional
Sectorial
EPREL
Sello
EADTrust (documentado)
Nicho europeo
Conclusiones
Una de las conclusiones más llamativas de este análisis es que los catálogos públicos de los QTSPs suelen mostrar solo una fracción de los tipos de certificados que técnicamente emiten. Los casos más evidentes son los certificados con seudónimo: aunque EADTrust los tiene perfectamente definidos en su DPC con perfiles técnicos completos, apenas aparecen en la web comercial. Ocurre algo similar con los certificados de sede electrónica o con la validación explícita para EPREL.
En un mercado donde los compradores toman decisiones de licitación o contratación basándose en lo que ven en la web, la cobertura real de un QTSP puede ser muy superior a lo que parece. Publicar y difundir adecuadamente los tipos de certificado disponibles —especialmente los más especializados— no es solo marketing: es información técnica relevante para quienes los necesitan.
Contacte con EADtrust
Contacte con EADTrust si necesita certificados especiales info(at)eadtrust.com – 917160555
Agradezco a iKN Spain que cuente conmigo como formador acompañando a Pere Brachfield en el evento formativo «Executive Training» que tendrá lugar los días 6 y 8 de julio de 2026 sobre la Factura Electrónica obligatoria B2B.
La parte que yo impartiré estará centrada en los aspectos técnicos de la factura electrónica B2B y Ver-Factu:
Arquitectura técnica: formato estructurado, XML, campos obligatorios y ciclo de vida de la factura.
Firma electrónica y sello electrónico: tipos (XAdES, CAdES, PAdES), certificados cualificados, sellado de tiempo.
Veri-Factu: qué es y cómo se relaciona con la factura electrónica B2B. Hashes encadenados y QR de verificación
Convergencias y divergencias entre Veri-Factu y la factura electrónica B2B: análisis comparativo para proyectos de implantación.
Requisitos técnicos del software de facturación: certificación, integridad, inalterabilidad, APIs y gestión de estados
Recursos técnicos oficiales AEAT: esquemas XSD, documentación de integración y entornos de homologación
Hoja de ruta para el proyecto de implantación: inventario de sistemas, elección de plataforma, pruebas y go-live
Estaré encantado de resolver cualquier duda que surja respecto a los retos de implantación y la forma de gestionar, por, ejemplo, sellos electrónicos de persona jurídica para la firma y el sellado electrónicos de facturas.
g-digital es la división de negocio digital del bufete Garrigues. Se trata de la plataforma tecnológica lanzada por el despacho de abogados Garrigues para ofrecer soluciones tecnológicas avanzadas que resuelven desafíos legales y regulatorios de alta complejidad en el entorno digital. Combina tecnología y derecho para crear herramientas prácticas de utilidad en entornos regulados. Garrigues es accionista mayoritario de EADTrust desde 2023, por lo que g-digital y EADTrust trabajan de forma muy integrada
g-digital acaba de publicar nuevos servidores MCP para facilitar la integración de sus soluciones de confianza digital en aplicaciones desarrolladas en entornos de IA agéntica.
La evolución de la IA generativa está desplazando el foco desde los asistentes conversacionales hacia sistemas capaces de recibir objetivos, planificar tareas, utilizar herramientas externas, ejecutar acciones y verificar resultados. Gestionar.
En ese contexto, el Model Context Protocol (MCP) se está consolidando como una capa estándar para conectar modelos y agentes con servicios externos, APIs y sistemas corporativos.
La contribución de g-digital se sitúa en una dimensión concreta: hacer que capacidades de confianza digital puedan ser invocadas por agentes y aplicaciones compatibles con MCP.
A través de los servicios MCPs de g-digital, se pueden integrar funcionalidades de servicios de confianza en las misiones encargadas a este tipo de IA gestota:
generación y certificación de evidencias electrónicas (protegida con sellos de tiempo cualificados)
envío de documentos a firma para la recogida de conformidad de intervinientes en procesos de interés legal
envío de notificaciones certificadas (notificaciones fehacientes).
custodia documental certificada (utilizable en contextos de escrow documental y muchos otros)
Si los agentes de IA van a participar en procesos con efectos jurídicos o empresariales relevantes, no basta con que sean capaces de generar texto o ejecutar tareas. También deberán operar sobre infraestructuras que permitan acreditar qué se hizo, cuándo, con qué contenido y bajo qué garantías.
No olvidemos que la observabilidad y cumplimiento de la propia IA son objeto de debate. Con las herramientas que se anuncian, pueden integrarse elementos de control y evidencia electrónica reforzada con servicios cualificado con facilidad en las propias capas de control de los enjambres de agentes que están llegando.
g-digital ha publicado los repositorios en GitHub para que desarrolladores, abogados con perfil técnico y equipos legaltech puedan probarlos, integrarlos y plantear casos de uso.
Desde EADTrust estaremos encantados de recibir vuestras sugerencias y comentarios sobre esta iniciativa y hacérselos llegar al equipo de g-digital
El Artículo 5 septies del Reglamento (UE) 2024/1183, conocido como eIDAS 2, introduce una obligación directa para algunas empresas del sector privado: a más tardar en diciembre de 2027 (36 meses después de la entrada en vigor tras su publicación de los actos de ejecución correspondientes), las entidades obligadas deberán aceptar la Cartera de Identidad Digital de la Unión Europea (EUDI Wallet) como medio de identificación y autenticación reforzada del usuario.
Esta obligación afecta a todas las entidades que, por disposición legal o contractual, deban realizar una autenticación reforzada del cliente (SCA – Strong Customer Authentication) conforme al Reglamento (UE) 2016/679 (RGPD), la Directiva PSD2 o normativa sectorial específica.
Salvo microempresas y pequeñas empresas de los sectores aludidos.
La Cartera funciona mediante declaraciones electrónicas de atributos basadas en estándares abiertos (ISO/IEC 18013-5, OpenID4VCI y OpenID4VP), lo que permite la divulgación selectiva de atributos y la firma criptográfica de pruebas de posesión, sin que el prestador de servicios almacene datos biométricos ni documentos.
A continuación se detallan los casos de uso técnicos principales de onboarding (contratación inicial) y autenticación posterior por cada sector referenciado en el artículo 5 septies.
1. Banca y servicios financieros
Onboarding: El usuario presenta su Cartera a través de un flujo OpenID4VP. El banco recibe, en tiempo real los Datos de Identificación Personal (DIP) del titular de la Cartera (DNI/NIE, datos de residencia, fecha de nacimiento y, opcionalmente, mediante Declaraciones Electrónicas de Atributos complementarias, otros datos como nivel de ingresos o scoring crediticio). Se elimina la necesidad de videoidentificación o carga manual de documentos. La cartera puede gestionar la firma electrónica cualificada (QES, Qualified Electronic Signature) del contrato, por lo que todo el proceso podría completarse en uno o dos minutos.
Autenticación para acceder al servicio: Login en banca online o app móvil mediante protocolo OpenID Connect con presentación de credencial firmada. La Cartera actúa como segundo factor criptográfico (equivalente a un dispositivo seguro), cumpliendo los requisitos de SCA de PSD2 y sustituyendo o complementando OTP y contraseñas.
2. Suministros (empresas eléctricas, de gas y de agua)
Onboarding: Contratación de nuevo punto de suministro o cambio de comercializadora. La Cartera entrega atributos verificados de titularidad y domicilio, permitiendo la activación inmediata del contrato sin intervención manual. La cartera puede gestionar la firma electrónica cualificada a distancia del contrato,
Autenticación para acceder al servicio: Acceso al área de cliente para consulta de consumos, facturas o modificación de potencia contratada. La integridad criptográfica garantiza que solo el titular autorizado pueda modificar datos sensibles.
3. Telecomunicaciones
Onboarding: Alta de línea móvil, fibra óptica, servicios audiovisuales o paquete convergente. Verificación automática de identidad y titularidad sin videollamada ni envío de documentación. El operador recibe, en tiempo real los Datos de Identificación Personal (DIP) del titular de la Cartera (DNI/NIE, datos de residencia, fecha de nacimiento).
Autenticación para acceder al servicio: Login en la app del operador para gestión de la línea, portabilidades o contratación adicional de servicios complementarios. Ideal para procesos que requieren SCA (cambio de titular, eSIM, etc.).
4. Transporte
Onboarding: Compra de abonos de transporte, alquiler de vehículos o contratación de seguros de viaje. La Cartera puede entregar atributos verificados del carnet de conducir o pasaporte.
Autenticación para acceder al servicio: Validación de títulos de transporte digitales o acceso a plataformas de movilidad compartida. La credencial permite la verificación offline y online con firma de prueba de posesión. Podría controlar la interfaz NFC para que la propia cartera se pueda usar como título de transporte.
5. Sanidad
Onboarding: Alta en plataformas de telemedicina, contratación de seguros médicos privados o integración en sistemas de historial clínico compartido.
Autenticación para acceder al servicio: Login seguro para consulta de resultados, recetas electrónicas o citas. La divulgación selectiva protege datos de salud especialmente sensibles (art. 9 RGPD). Posible uso en farmacias para la dispensación de medicamentos.
6. Educación
Onboarding: Matrícula en universidades privadas, plataformas de formación continua o cursos de posgrado. Con posibilidad de aportar Declaraciones Electrónicas de Atributos de haber superado cierto nivel formativo cuando se exige para matricularse en otro superior.
Autenticación para acceder al servicio: Acceso a campus virtuales, entrega de exámenes o consulta de calificaciones, presentación de trabajos. La Cartera puede portar credenciales académicas verificadas (títulos, certificados de competencias).
7. Otros servicios básicos y plataformas en línea de muy gran tamaño (VLOPs)
Onboarding: Contratación de servicios postales premium, infraestructuras críticas o cualquier servicio que requiera SCA.
Autenticación para acceder al servicio: Gestión de envíos, seguimiento o acceso a portales de infraestructuras.
Caso específico de VLOPs (X, Google y Microsoft)
El párrafo 3 del artículo 5 septies impone una obligación específica a las plataformas definidas como Very Large Online Platforms (VLOPs) conforme al artículo 33 del Digital Services Act (Reglamento (UE) 2022/2065): cuando requieran autenticación del usuario para acceder a sus servicios en línea, deberán aceptar y facilitar el uso de la Cartera de Identidad Digital Europea (EUDI Wallet) para la autenticación, siempre bajo petición voluntaria del usuario y limitándose a los datos mínimos necesarios para el servicio concreto.
Esta obligación entra en vigor en el mismo plazo que para el resto del sector privado (diciembre de 2027) y busca reducir el fraude, mejorar la verificación de edad, combatir cuentas falsas y garantizar el cumplimiento del principio de minimización de datos del RGPD.
X: Autenticación reforzada para cuentas verificadas, funciones premium (X Premium) o publicación de contenido monetizado. La Cartera permite verificación de identidad real mediante divulgación selectiva y firma de prueba de posesión, reduciendo significativamente cuentas falsas y bots sin necesidad de vincular cuentas externas. Soporte técnico mediante OpenID4VP.
Google: Login en Gmail, YouTube, Google Workspace o Google Play Store mediante protocolo OpenID4VP. Ejemplos prácticos incluyen verificación de edad para contenido restringido (sin revelar la fecha de nacimiento), autenticación en Workspace para empresas o compras en Play Store. La Cartera actuaría como credencial única, eliminando la necesidad de contraseñas o factores adicionales y facilitando el cumplimiento de normativas de protección de menores.
Microsoft: Autenticación en Microsoft 365, Azure (Entra ID), Outlook o Xbox. Especialmente relevante en entornos B2B y educativos, donde la trazabilidad criptográfica y la Wallet Attestation garantizan el cumplimiento de políticas de seguridad corporativa y permiten single sign-on (SSO) con credenciales verificadas de forma nativa.
En todos los casos, las VLOPs deben implementar los flujos de presentación de credenciales (OpenID4VP) y respetar el principio de minimización de datos.
Cómo prepararse: hoja de ruta técnica para entidades obligadas
Se sugiere a las empresas obligadas que reserven presupuesto para llevar a cabo los trabajos de adaptación durante 2026 y 2027:
Diagnóstico (Q3-Q4 2026): Mapear todos los procesos que requieren SCA y evaluar el impacto de la obligación.
Integración técnica (2026-2027):
Implementar endpoints OpenID4VCI / OpenID4VP y soporte para Wallet Attestation.
Conectar con un servicio cualificado de archivo electrónico (conforme al Reglamento de Ejecución (UE) 2025/2532) para conservar las evidencias de presentación.
Adaptar sistemas de backend para procesar Verifiable Credentials y Selective Disclosure.
Certificación y auditoría: Obtener certificación eIDAS como Qualified Trust Service Provider (QTSP) o contratar uno ya acreditado.
Formación y gobernanza: Designar un Responsable de la Cartera Digital y actualizar políticas de privacidad y seguridad.
Pruebas piloto: Participar en los entornos sandbox de la Comisión Europea o en los pilotos nacionales.
Las entidades que inicien la preparación en 2026 contarán con ventaja competitiva y evitarán sanciones por incumplimiento.
EADTrust, tu aliado para la transición
En EADTrust ya prestamos servicios cualificados de confianza (certificados para la firma electrónica cualificada y para el sello electrónico cualificado, sello de tiempo cualificado y archivo electrónico) y ya contamos con implementaciones de cartera que se adaptan a los proyectos.
Participamos en el CSC Interoperability Event 2026 en Bucarest con nuestra herramienta de Firma Remota que se puede invocar desde diferentes despliegues de Cartera.
Ofrecemos consultoría especializada para la integración de la EUDI Wallet.
Nuestro equipo de especialistas en Confianza Digital puede ayudarte a cumplir el artículo 5 septies de forma ágil y conforme a la normativa publicada.
The CSC Trust Without Borders Summit 2026 – Bogotá, Colombia (May 13–14, 2026) will bring together government representatives, regulators, policymakers, industry leaders, and business experts to discuss the future of digital trust and identity in Latin America and beyond
The summit focuses on interoperable digital signatures, digital identity, trust frameworks, and the policy and technical alignment needed to support secure cross-border digital services. Participants will explore emerging topics such as post-quantum readiness, trusted digital infrastructure, and global regulatory cooperation while connecting with the international community shaping the future of digital trust.
Viky Manaila is the President of the Cloud Signature Consortium and an internationally recognised expert in eIDAS, digital identity, electronic signatures and digital transformation. She has been instrumental in advancing secure electronic business and trusted services across Europe and globally. As former Chair of DTCE – Digital Trust and Compliance Europe and long-standing adviser to the European Commission, she contributed to the regulatory design and assessment of the eIDAS framework and its evolution toward eIDAS 2.0, shaping a secure and interoperable digital identity ecosystem for the Single Digital Market.
In parallel with her CSC presidency, Viky serves as Trust Services Director at Intesi Group, driving collaboration between industry, regulators and trust service providers to strengthen global digital trust.
Alejandro Munévar is the CEO of GSE and an authority in digital transformation, with over 20 years of expertise at the nexus of finance and technology. He has spearheaded the conception and deployment of smart cities solutions in Latin America. Today, he champions solutions in critical sectors that strengthen digital citizenship, enabling secure transactions through digital identity and trusted platforms. His method unites strategic foresight and technological execution to develop digital ecosystems that are robust, streamlined, and user-focused.
Admir Abdurahmanovic is SVP Strategy at Keyfactor, where he focuses on strategic planning, enterprise partnerships, and M&A activities in the field of digital trust. With a background spanning over three decades, he combines deep expertise in mathematics, computer science, and applied cryptography to address real-world challenges. Admir is a strong advocate for pragmatic, trust-based business relationships and high professional standards.
He has played a key role in positioning organizations as leaders in PKI and cybersecurity. Passionate about innovation, he supports open source as a driver for quality and peer review, while maintaining a practical, results-oriented approach.
Andras A. Barsi is a senior executive specialised in C-level strategy, business development and legal tech. With over twenty years of international leadership experience, he has led companies in Europe, North America and the Middle East across sectors including financial services, utilities, e-commerce and government. He has held roles such as Acting Group CEO, Head of Strategy and Chief Strategy Officer, with a strong focus on digital identity, e-signatures, trust services and regulatory compliance.
Andras is recognised for building growth strategies, leading investor relations and advising organisations on secure digital transformation.
Andrea Sassetti is the Chief Executive Officer of Aruba PEC S.p.A., Director of Trust Services and Head of Public Affairs at the Aruba Group. He has worked in the sector of qualified trust services, digital identity, and dematerialisation processes for over 24 years, contributing to the development of reliable digital solutions that comply with the main national and European regulatory frameworks.
In his role as Head of Public Affairs, he oversees and coordinates the Aruba Group’s institutional relations activities, particularly those related to Trust Services, Cloud, and Data Centres. He engages in dialogue with authorities, industry associations, and stakeholders on matters concerning regulation, digital trust, and the evolution of infrastructure and cloud services.
He is President of AssoCertificatori and a supporting member of ANORC, ETSI, ESD and the Cloud Signature Consortium. He actively participates in working groups on regulatory compliance, standardisation and interoperability of solutions at Italian and European levels.
Andrea Valle is a Principal Product Manager for Adobe Sign within Adobe Document Cloud, where he leads cross-functional teams across Engineering, Design, Product Marketing, and Legal to deliver digital signature and identity solutions aligned with customer needs and regulatory frameworks. He directs the Adobe Approved Trust List (AATL) Program and plays a key role in shaping strategic partnerships through the Cloud Signature Consortium.
As Past President of the Cloud Signature Consortium, Andrea has actively contributed to advancing interoperability, standards adoption, and collaboration across the global digital trust ecosystem. He is a long-standing contributor to ETSI ESI standardization activities and has been directly involved in the development and review of key standards, including ETSI EN 319 142 (PAdES) and ETSI TS 119 432 (Remote Electronic Signature Protocols). He is also recognized as an expert in EU Regulation 910/2014 (eIDAS) and global electronic signature compliance
Anthony Kamers
Co-founder | Rubrix-lat
Anthony Kamers is the Co-founder of Rubrix-lat, a digital signature solution focused on interoperability in Latin America, and the founder of Zeruz IA. He also serves as a federal project manager for the Brazilian Digital Signature Standard (PBAD) and is the technical lead for high-impact national solutions, including Validar and AssinaGov.
ETSI Working Group Electronic Signatures and Infrastructures Vice Chair
Arno Arno Fiedler joins the CSC Trust Without Borders Summit in his capacity as ETSI ESI expert, bringing more than 20 years of leadership in identity and trust service infrastructures. Founder of Nimbus Technologieberatung, he has advised numerous European institutions and trust service providers on the implementation of legal and technical frameworks including eIDAS, PSD2, DSGVO, VDG and CA/B Forum requirements.
Previously with Bundesdruckerei, Arno played a key role in shaping Germany’s trusted digitisation ecosystem. He publishes extensively on trust infrastructures and actively contributes to ETSI, CA/B Forum, Bitkom, TeleTrusT, ENISA and the board of the Secure Digital Identity Association.
Carmine Auletta is Managing Director Europe at eMudhra and a seasoned executive with more than 20 years of international leadership experience across ICT, digital trust, innovation, regulatory affairs, and strategic transformation. Based in Italy, he has held senior leadership roles in organisations including InfoCert, Terna, Bain & Company, and the Cloud Signature Consortium, where he currently serves as Executive Board Member and Advocacy Committee Chair. Carmine brings extensive expertise in digital identity, trust services, compliance, and innovation-driven growth across global markets. He holds an engineering background and an MBA from Northwestern University’s Kellogg School of Management.
EVP of Strategic Partnerships & Business Development | SSL.com
Board Member | Cloud Signature Consortium
Daniel Rendon is Executive Vice President of Strategic Partnerships and Business Development at SSL.com, a globally trusted provider of PKI solutions, cloud signing and identity trust services. In this role, he leads strategic growth initiatives, partnerships, enterprise sales and market expansion. With over 18 years of experience across digital media, technology, and enterprise solutions, Daniel brings a strong business-driven perspective to digital trust and secure online interactions. He joined SSL.com in 2020 as Product Manager before progressing into senior commercial leadership roles, including Head of Sales, where he oversaw sales, marketing, and complex enterprise implementations. Daniel is also a Board Member of the Cloud Signature Consortium, where he contributes to advancing interoperability, standards adoption, and collaboration across the global digital trust ecosystem.
Director of Digital Ecosystem Strategy | Decipher Identity
David Kelts is Director of Digital Ecosystem Strategy at Decipher Identity, LLC, with over 20 years of experience in digital identity, biometrics, and trust frameworks. He has played a key role in advancing mobile driver’s licenses (mDL) and identity ecosystems, including leading initiatives within ISO, the Secure Technology Alliance, and the FIDO Alliance.
David has contributed to the development and deployment of interoperable identity solutions across public and private sectors, with a strong focus on privacy, standards, and user-centric design. A Certified Information Privacy Technologist, he is a recognized expert in digital trust, identity verification, and ecosystem strategy.
International consultant and project director with over 20 years of experience advising governments and companies on digital certification and secure digital transformation.
He has led projects for the World Bank, the European Union, SICA, and U.S. cooperation agencies, supporting regulatory development and trust frameworks across more than 20 countries in Europe and Latin America.
A lawyer with advanced degrees in international operations, project management, compliance, and an MBA from IESE Business School, he is also Professor at the University of Barcelona and Co-Founder & Director of IDForo, the leading Ibero-American platform on digital trust.
Executive Director|Organismo Nacional de Acreditación de Colombia (ONAC)
Edwin Cristancho-Pinilla is Executive Director of the Organismo Nacional de Acreditación de Colombia (ONAC), where he leads Colombia’s national accreditation framework and oversees the institutional architecture that underpins quality, conformity assessment, and international recognition.
With a background in economics and science and technology policy, he has held senior leadership roles across Colombia’s public innovation ecosystem, including Director of the National Institute of Metrology (INM) and Coordinator for Science, Technology and Innovation at the National Planning Department.
Holding a PhD in Science and Technology Policy from the University of Sussex, United Kingdom, he brings a policy-driven perspective to standards, metrology, innovation governance, and the strategic alignment between accreditation, digital transformation, and international cooperation
Qualified Lawyer and Digital Trust Professional|Ascertia
Fábio Rego is a Qualified Lawyer and digital trust professional at Ascertia, specializing in electronic signatures, PKI, and trust services. With a strong focus on regulatory compliance, including eIDAS, he supports organizations in implementing secure, standards-based digital signature solutions that enable trusted digital transformation. Fábio combines legal expertise with technical and business insight, helping bridge the gap between law, technology, and innovation. He previously lectured in Digital Law at a Portuguese public university, reflecting his commitment to advancing knowledge in this evolving field. Passionate about secure digital ecosystems, he actively contributes to building trust in global electronic transactions.
Gertrudis Martínez is Executive Director, Board Member, and Co-Founder of ID Foro, a leading Ibero-American platform dedicated to advancing knowledge and collaboration around digital identity, electronic signatures, and digital trust services. In this role, she leads strategy and ecosystem development, coordinating ID Foro’s annual international summit and ID Day events, which bring together public authorities, industry leaders, and experts to foster dialogue on secure, inclusive, and interoperable digital transformation.
Alongside her work at ID Foro, Gertrudis serves as Head of Marketing & Communication for Iberia and LATAM at Namirial, where she supports market positioning and stakeholder engagement across the digital trust ecosystem. She previously held senior roles in corporate affairs, institutional relations, and strategic partnerships at Uanataca and Bit4id, working closely with regulators, international organizations, and technology partners across Europe and Latin America.
Guillaume Forget is Executive Vice President at Cryptomathic, leading global product and innovation strategy across key domains including digital identities and signatures, key management, mobile security and payment. With more than 20 years in the security and trust ecosystem, he has held senior leadership roles in Europe managing product portfolios, strategy execution, partner management and go-to-market development.
Guillaume is also a Board Member of the Cloud Signature Consortium, where he contributes to advancing interoperability and trust in digital ecosystems. He is recognised for his expertise in eSignature, eIDAS, cryptography and secure digital transformation.
Strategically leads all activities related to technology, electronic invoicing, and regulatory compliance within companies. Possesses a combination of strong managerial skills, technological expertise, and in-depth knowledge of relevant industry regulations and standards.
Igor Marcolongo is a leading expert in digital identity, trust services and secure electronic transactions. As Head of Business Evolution at Tinexta InfoCert, he drives innovation by connecting products, markets, regulation and technology to shape scalable business models and strengthen Europe’s digital-trust ecosystem. With nearly two decades in trust services, he has helped advance eIDAS adoption, digital signatures and identity-driven services across major sectors. Igor also serves on the Boards of the Cloud Signature Consortium and AssoCertificatori, fostering collaboration between industry and regulators.
Associate Professor of Computer Science | Federal University of Santa Catarina (UFSC), Brazil
Jean Everson Martina is an Associate Professor of Computer Science at the Federal University of Santa Catarina (UFSC), Brazil. His work focuses on digital identity, electronic documents, interoperability, and trust services, combining applied cryptography, PKI, and large-scale public-sector infrastructures. Jean has extensive hands-on experience working with governments, regulators, and industry across Brazil and Latin America on qualified trust services, digital signatures, and cross-border interoperability initiatives aligned with frameworks such as eIDAS. He regularly advises public institutions and private providers on building scalable, interoperable, and future-ready digital trust ecosystems.
Johannes Leser is Managing Director Trust Services at IDnow and a recognized expert in digital identity, trust services, and AML compliance. With more than 17 years of experience in electronic signatures, eIDAS-qualified trust services, and digital onboarding, he has played a leading role in shaping secure digital transformation initiatives across Europe. In parallel, he serves as CEO of IDnow Trust Services AB, the group’s certified Qualified Trust Service Provider in Sweden. Johannes is particularly active in the areas of eIDAS 2.0, EUDI Wallets, Qualified Electronic Signatures (QES), and verified credentials, helping organizations implement compliant and user-friendly digital trust solutions at scale.
John has more than two decades experience in roles spanning Regulatory Affairs, Strategic Partnerships and Product Management, working with companies across the digital identity and trust services arena. As Provider Relationship lead for eID Easy he oversees the development and expansion of the eID Easy marketplace, which brings together global eID, wallet and digital signature solutions for international customers.
José Fernando Medina T., Industrial Engineer, Master in Finance and MBA, with over 30 years of experience in the technology sector leading sales, operations, and technology teams in Colombia, and experience opening markets in other Latin American countries. He has in-depth knowledge of the Latin American market for Software as a Service (SaaS) solutions, including products such as document management, omnichannel communication, digital marketing, data processing, electronic invoicing, biometrics, and trust services, among others. He is currently CEO of Tinexta Camerfirma LATAM.
Juan Pablo García Cairello is a computer engineer specialising in information security, with more than 20 years of experience delivering ICT projects across Latin America. He is Digital Identity Manager at AGESIC (Uruguay’s Electronic Government Agency), where he leads the national PKI, the ID Uruguay digital identification platform, and firma.gub.uy. He works closely with multilateral organisations and regional digital government networks, including on the Latin American and Caribbean Digital Identification Model (IdLAC) and the “broker” model to standardise and integrate digital IDs across the region.
Senior Vice President Innovation | Bundesdruckerei GmbH
Kim Nguyen is Senior Vice President Innovation at Bundesdruckerei GmbH, where he leads initiatives at the intersection of trusted AI, digital identity, quantum technologies, and digital sovereignty. With more than two decades of experience in cryptography and secure digital infrastructures, he has held senior leadership roles spanning security research, trusted services, and innovation strategy. Kim holds a PhD in Pure Mathematics with a focus on number theory and cryptography and has worked across academia, industry, and public-sector ecosystems. A frequent speaker and advisor, he focuses on translating European regulation and innovation into practical, secure solutions that strengthen digital trust and resilience across Europe
Tech Partnership Director | GSE (Gestión de Seguridad Electrónica)
Leonardo Maldonado is Tech Partnership Director at GSE (Gestión de Seguridad Electrónica), Colombia’s leading digital identity and trust services provider.
With over 20 years of experience in digital identity since 2004, Leonardo has pioneered critical projects, including biometric fingerprint authentication using Colombia’s national database for banks and notaries.
He has championed cryptographic evolution, leading GSE’s implementation of the CSC API for cloud signatures and integration with Adobe Acrobat Sign. As local host for Trust Without Borders 2026, Leonardo brings deep expertise in digital transformation, PKI, and biometric authentication to advance interoperability and trusted digital services across borders.
Bogotá Convention Bureau Manager | Invest in Bogotá
Luisa Fernanda Vásquez is a global-minded leader working at the intersection of business, cities, and international opportunities. With a background in Marketing and International Business, and graduate studies in leadership and strategy, she has built her career connecting people, institutions, and markets across borders. She has held strategic roles in Colombia’s public sector, where she contributed to strengthening the country’s tourism competitiveness and international positioning. Today, she leads the Bogotá Convention Bureau at Invest in Bogotá, where she focuses on attracting international events that not only bring visitors, but also drive investment, knowledge exchange, and long-term impact for the city. Luisa believes that events are not just moments in time, they are platforms to transform cities, industries, and connections.
Marcos Allende is the Co-Founder and CEO of Blerify, a platform than enables digital IDs and ID Wallets in Latin America and the Caribbean following eIDAS framework and ISO/IEC 18013 standard. Marcos is Quantum Physicist who joined the Inter-American Development Bank (IDB) in 2017 and led as a specialists areas of blockchain, digital credentials, and quantum technologies. He is known by his pioneer work on quantum cryptography and blockchain, having developed the first end-to-end solution for quantum resistance in EVM-compatible blockchain networks, published in Nature’s magazine Scientific Reports in 2023 and feature as top100 Engineering Papers. Marcos served in leadership roles for more than 20 emerging tech projects in Latin America and the Caribbean, including the first bond tokenization in the region with the Central Bank of Colombia. Co-founder and former CTO of LACChain, the largest blockchain in LATAM. Post-grad studies in Quantum Computing & Cryptography at MIT, and Finance & Management at LSE. Marcos has also contributed to 25+ publications in collaboration with IDB, WEF, and other global thought leaders.
Markus Vesely is CEO of A-Trust GmbH, Austria’s leading trust service provider, where he oversees the development of secure digital identity, authentication, and signature solutions used across the public and private sectors. With a background spanning technology, strategy, and business leadership, Markus brings extensive experience in regulated environments and large-scale digital transformation. Prior to A-Trust, he held senior roles at Rohde & Schwarz and Frequentis AG, working at the intersection of critical infrastructure, cybersecurity, and innovation. His work focuses on building trustworthy, interoperable digital services that bridge regulatory requirements and real-world implementation.
Director of Business Services & Deputy General Counsel | Kentucky Secretary of State
Michael is an attorney with over 20 years of experience in commercial law and public-sector administration. He oversees business filings, record authentications, and leads digital modernization initiatives, including e-Apostille technology for cross-border authentication of public documents. He brings a policy-driven perspective to digital identity systems, emphasizing legal recognition, fraud prevention, and the durable architecture of public trust. His work bridges law and technology, turning innovation into solutions that are legally recognized and widely adopted.
Michał Tabor is a Board Member at Obserwatorium.biz with hands-on experience delivering and scaling electronic signature solutions for public and private-sector use cases, supporting Trust Service Providers in the development and compliance of their services. He contributes to ETSI standardisation work focused on trust services and interoperability, and he has co-authored and contributed to ENISA publications on digital identity and trust services. His work bridges implementation reality with regulatory and standards requirements across the European eIDAS ecosystem.
Milton Quiroga is a cryptographer, entrepreneur, and inventor with more than 20 years of experience driving early adoption of emerging technologies to optimize business processes. He has advised leading organizations across Latin America, supporting digital transformation from the early days of TCP/IP and the internet to blockchain, cryptography, and, more recently, quantum computing. Milton is the General Manager of Cyte and a Professor at Universidad de los Andes. He holds an MSc in Security from Carnegie Mellon University and specializes in information security, post-quantum cryptography, and secure cryptographic systems
Nestor Markowicz is Chief Operating Officer at CertiSur and a highly experienced digital security professional with more than 25 years of expertise in authentication, digital signatures, PKI, SSL, brand protection, and secure document management. Based in Argentina, he has played a key role in the development and deployment of digital trust solutions across Latin America, leading complex projects for financial institutions, public entities, and enterprise clients. Throughout his career at CertiSur, Nestor has combined deep technical knowledge with strong operational leadership, helping organizations implement secure and scalable digital ecosystems. He holds a background in Information Systems Engineering and remains actively engaged in advancing digital trust and cybersecurity innovation in the region.
CSO | IDnow Trust Services AB / ETSI / CEN / ENISA
Sebastian Elfors is Senior Architect and Chief Security Officer at IDnow, and a recognised expert in digital identity, electronic signatures, trust services, and cybersecurity standards. He brings more than two decades of experience working at the intersection of standardisation, architecture, and secure digital service deployment.
In his current role, Sebastian focuses on eIDAS2, Qualified Trust Service Providers (QTSPs), and the European Digital Identity Wallet (EUDI Wallet). He is an active contributor to leading international and European standards bodies, including ETSI ESI, CEN TC224, W3C, the FIDO Alliance, and the Cloud Signature Consortium, where he contributes to the CSC API specifications. He also serves as an external expert to ENISA, supporting work on digital identity, remote identity proofing, and EUDI Wallet certification.
Previously, Sebastian held senior technical and leadership roles at organisations such as Yubico and TrustWeaver, building deep expertise across PKI, authentication, identity wallets, and future-ready trust architectures. He is widely recognised for bridging regulation, technology, and implementation to deliver interoperable and secure digital trust solutions.
CTO (Signing and PKI) at Tinexta InfoCert | CSC Technical Committee Chair
Sven Prinsloo serves as Technical Committee Chair at the Cloud Signature Consortium, where he plays a key role in shaping global standards for interoperability and trust in digital signatures and identity services.
In parallel, he is Chief Technology Officer at Ascertia, leading the development of secure digital platforms supporting enterprise-scale identity, signing and trust services. With more than a decade of experience in PKI, remote signing, cybersecurity and digital identity, Sven has held senior positions across product operations, engineering and technical architecture. He is recognised for aligning technology innovation with strategic business needs to enable resilient and secure digital ecosystems.
Vijayakumar Manjunatha is a globally recognised expert in digital trust, public key infrastructure (PKI), and digital identity, with over two decades of experience in building and scaling secure digital ecosystems. As Secretary General of the Asia PKI Consortium, he brings together government authorities, regulators and industry leaders across regions to advance interoperability, mutual recognition and cross-border digital trust frameworks.
Vijay has played a pivotal role in shaping foundational digital trust initiatives, including contributing to India’s Aadhaar-based eSign ecosystem and leading the development of a globally trusted Certifying Authority, enabling secure digital transactions at scale for web security. He has actively contributed to international standardisation and policy forums, including the CA/Browser Forum, FIDO Alliance, Cloud Signature Consortium and United Nations initiatives on cross-border trade and digital cooperation. He is also a member of India’s national standards body, where he chairs the panel on Digital Signatures, and collaborates with ETSI on the adoption of global standards across regions.
In addition to his global engagements, Vijay advises governments and enterprises on digital identity, trust services, compliance frameworks and emerging areas such as post-quantum cryptography and digital public infrastructure. His work focuses on bridging policy, technology and real-world implementation to enable trusted and scalable digital economies worldwide.
1. ¿Cuándo debe tener servicios activables por la Cartera IDUE la Administración Pública?
Muchos organismos y ayuntamientos (los que al menos conocen que existirá una «Cartera IDUE») empiezan a inquietarse porque la fecha del 24 de diciembre de 2026 se acerca y no saben qué tienen que hacer ni si recibirán apoyo de organismos más especializados. Otros, los que ni siquiera saben que en 2024 se publicó el Reglamento UE 2024/1083 y que sus disposiciones son obligatorias en toda Europa, no son conscientes de que en Navidades estarán al margen de la Ley y no cumplirán sus obligaciones de dar servicios a sus ciudadanos y mantener los sistemas de interlocución telemática a la que están obligados (en aplicación de otras leyes que también rigen en este nuevo contexto: La Ley 39/2015 «LPACAP» y el RD 203/2021).
Es urgente la adaptación de los organismos públicos que prestan servicios electrónicos, desde los ayuntamientos más pequeños hasta los grandes ministerios, universidades y organismos reguladores.
¿Cómo deben prepararse los ayuntamientos y otros organismos públicos para aceptar la EUDI Wallet a tiempo, antes de finales de 2026, y cómo pueden aprovecharla en casos de uso concretos?
La buena noticia es que muchas administraciones ya cuentan con una base sólida de administración electrónica, Cl@ve, DNIe, sede electrónica y archivo electrónico, carpeta ciudadana que puede reutilizarse. La mala noticia, vista la proximidad de los plazos, es que las entidades que aún no han iniciado la adaptación a la EUDI Wallet ya van tarde y corren un riesgo evidente de no llegar a tiempo si no actúan con rapidez.
2. Qué es la EUDI Wallet y por qué afecta tanto a ayuntamientos y organismos públicos
La EUDI Wallet, o Cartera IDUE es la Cartera de Identidad Digital de la Unión Europea prevista en el nuevo Reglamento de identidad digital europea y servicios cualificados de confianza digital que modifica Reglamento eIDAS (al nuevo Reglamento se le denomina eIDAS2).
Permitirá a ciudadanos y empresas:
Identificarse digitalmente ante servicios públicos y privados en toda la UE.
Presentar atributos verificables (edad, domicilio, titulaciones, licencias, calidad de representante, etc.) de forma segura y estandarizada.
Desde la perspectiva de un ayuntamiento o de cualquier organismo público, la EUDI Wallet no es simplemente un nuevo botón en la pantalla de acceso de la sede electrónica:
Es un canal europeo estandarizado para autenticación e intercambio seguro de datos y certificados.
Permite desplegar de forma real el principio de “solo una vez” (once‑only): dejar de pedir al ciudadano que aporte documentos que ya obran en poder de las administraciones.
Facilita trámites transfronterizos, algo cada vez más relevante en ciudades con alta movilidad de estudiantes, trabajadores y jubilados europeos.
En el contexto municipal y regional, algunos de los atributos que podrían gestionarse a través de la EUDI Wallet son:
Domicilio de empadronamiento (certificado de empadronamiento).
Condición de familia numerosa u otros títulos específicos autonómicos.
Titulaciones académicas emitidas por universidades públicas.
Licencias y autorizaciones (apertura, obras, terrazas, espectáculos, etc.).
Condición de representante de una empresa o entidad ante el ayuntamiento.
3. Marco normativo y plazos: qué debe estar listo para finales de 2026
El Reglamento EIDAS2 establece que todos los Estados miembros deben ofrecer al menos una EUDI Wallet interoperable y gratuita para ciudadanos y empresas el 24 de diciembre de 2026 (24 meses tras la entrada en vigor de los primeros «Reglamentos de ejecución» que se publicaron el 4 de diciembre de 2024).
Se están adoptando actos de ejecución que concretan los requisitos técnicos de las wallets, de los emisores de declaraciones de atributos y de los servicios que las aceptan.
A finales de 2026 deberán existir EUDI Wallets operativas en los Estados miembros. La Cartera IDUE de España ya se presentó en el evento «EUDI Wallet launchpad» organizado por la Comisión Europea los días 10, 11 y 12 de diciembre de 2025 en Bruselas, Bélgica.
Se espera que las administraciones públicas estén en condiciones de aceptar la cartera como medio de identificación y de intercambio de atributos en ese mismo horizonte.
En este contexto, el mensaje ya no es “conviene empezar pronto”, sino mucho más contundente:
Las administraciones que deban adaptarse a la EUDI Wallet y no hayan iniciado ya el proceso de análisis y adaptación están, de facto, llegando tarde.
No se trata de generar alarma, pero sí de transmitir que el margen para “experimentar con calma” se está agotando.
4. Impacto en la prestación de servicios electrónicos públicos
La introducción de la EUDI Wallet impacta en varios niveles de la prestación de servicios electrónicos:
4.1. Identificación y acceso a la sede electrónica
La EUDI Wallet se convierte en un nuevo método de autenticación que deberá convivir con los ya existentes (DNIe, Cl@ve, certificados). En la práctica, implicará:
Añadir un botón de “Acceder con Cartera de Identidad Digital Europea / EUDI Wallet” en la sede electrónica.
Gestionar flujos de autenticación basados en los estándares europeos definidos en el ARF.
4.2. Aportación de documentos y datos
Muchos documentos hoy aportados como PDF escaneados (certificados, justificantes, etc.) pueden transformarse en declaraciones de atributos verificables suministrados por la EUDI Wallet, tras obtenerlos de una Fuente Auténtica a través de un Prestador de Declaraciones de Atributos.
El ciudadano ya no sube un PDF de un certificado, sino que autoriza a la cartera a compartir un atributo oficial y verificable con el organismo.
4.3. Automatización del back‑office y reducción de subsanaciones
Al recibir datos estructurados y verificados, los sistemas de gestión pueden:
Validar más campos de forma automática.
Reducir requerimientos de subsanación por documentación incorrecta o ilegible.
Disminuir tiempos de tramitación y cargas administrativas.
5. Casos de uso en ayuntamientos y otros organismos públicos
Para visualizar el impacto real, es útil aterrizar la EUDI Wallet en casos de uso concretos.
5.1. Empadronamiento y certificado de empadronamiento
Caso de uso 1: solicitud de alta en el padrón municipal
El ciudadano se identifica con su EUDI Wallet en la sede del ayuntamiento.
Autoriza la lectura de atributos de identidad y, eventualmente, de domicilio procedentes de otras administraciones.
El ayuntamiento utiliza esos datos para pre‑rellenar el formulario de empadronamiento y verificar la identidad.
Una vez completado el trámite (tras las verificaciones pertinentes), el ayuntamiento puede emitir una declaración electrónica de atributo “domicilio empadronado en el municipio X” que el ciudadano incorpora a su cartera.
Caso de uso 2: obtención del certificado de empadronamiento
En lugar de descargar un PDF desde la sede, el ciudadano podría:
Recuperar desde su EUDI Wallet un atributo de empadronamiento emitido previamente por el ayuntamiento.
Presentarlo en otros organismos sin necesidad de solicitar de nuevo el certificado.
5.2. Bonificaciones y ayudas municipales (familia numerosa, transporte, tasas)
Caso de uso 3: bonificación de tasas para familias numerosas
La comunidad autónoma emite una declaración deatributos de “familia numerosa” que el ciudadano guarda en su EUDI Wallet.
Al solicitar una bonificación en el IBI, tasas escolares o actividades deportivas, el ciudadano:
Se identifica con la EUDI Wallet.
Autoriza la transmisión del atributo “familia numerosa”.
El sistema municipal valida automáticamente el requisito, sin PDFs ni copias en papel.
Caso de uso 4: ayudas al alquiler u otras ayudas sociales
Atributos como situación de desempleo o determinada información tributaria pueden presentarse desde la cartera.
El ayuntamiento reduce al mínimo la documentación aportada manualmente y los errores de cumplimentación.
5.3. Licencias urbanísticas y de actividad
Caso de uso 5: solicitud de licencia de obras o apertura de negocio
Personas físicas y representantes de empresas se identifican con la EUDI Wallet, presentando atributos de identidad y de representación.
Se consumen atributos relativos a:
Capacidad de representación de la empresa solicitante.
Situación censal o registral de la entidad.
El ayuntamiento realiza más rápido las verificaciones previas, reduciendo requerimientos posteriores.
Caso de uso 6: declaraciones responsables y comunicaciones previas
En procedimientos basados en declaración responsable, el solicitante puede firmarla electrónicamente a través de credenciales vinculadas a su cartera, reforzando la vinculación jurídica entre identidad, atributos y acto.
5.4. Educación y servicios universitarios en universidades públicas
Caso de uso 7: matrícula y servicios universitarios
Estudiantes se identifican con la EUDI Wallet para matricularse o acceder a servicios universitarios.
Aportan atributos como:
Titulaciones previas.
Reconocimiento de discapacidad para bonificaciones.
La universidad puede emitir credenciales académicas verificables (títulos, certificados de notas) que el estudiante incorpora a su cartera para trámites futuros, incluso en otros países de la UE.
5.5. Transporte público y servicios metropolitanos
Caso de uso 8: abonos de transporte y tarifas reducidas
La autoridad de transporte utiliza la EUDI Wallet para:
Identificar al usuario.
Verificar atributos como edad, condición de estudiante, familia numerosa o discapacidad.
La asignación de tarifas reducidas se automatiza y se evitan múltiples aportaciones de documentos a lo largo del tiempo.
5.6. Reserva de instalaciones deportivas municipales y acceso a las instalaciones
Caso de uso 9: reserva de frontones, piscinas pistas, pabellones y otros espacios deportivos
El ciudadano accede a la sede electrónica o al portal de reservas del ayuntamiento.
Se identifica con su EUDI Wallet, lo que permite al sistema:
Verificar la identidad y, si procede, atributos como edad (por ejemplo, horario o tarifa para menores), condición de estudiante o residente del municipio.
El ayuntamiento asocia automáticamente la reserva a la identidad verificada del usuario, reduciendo fraudes o usos de reserva de terceros.
En el pago de las tasas (si aplica), el ciudadano puede autorizar, desde la misma cartera, la presentación de atributos necesarios para bonificaciones (familia numerosa, estudiantes, etc.), sin necesidad de presentar documentos adicionales.
Caso de uso 10: autenticación en el acceso físico a las instalaciones
En el acceso a las instalaciones deportivas municipales (pabellón, polideportivo, pistas), el usuario puede:
Autenticarse mediante la EUDI Wallet en un terminal o punto de control electrónico (lectura de QR, NFC, o integración con sistemas de control de acceso).
El sistema valida la identidad y la reserva activa o el pase de uso almacenado en la cartera.
En entornos donde se requiera verificación de capacidad de representación (por ejemplo, menor acompañado por un adulto), el ayuntamiento puede validar también ese atributo procedente de la cartera, sin necesidad de presentar documentos en papel en el acceso.
Este doble flujo —reserva online con identidad verificada y acceso físico basado en la misma cartera— convierte a la EUDI Wallet en un elemento articulador entre la administración electrónica y los servicios presenciales, reforzando la seguridad, reduciendo fraudes y mejorando la experiencia de usuario.
6. Relación con Cl@ve, DNIe, Carpeta Ciudadana, certificados y otros medios actuales
España parte de una posición ventajosa gracias a sistemas como Cl@ve, el uso extendido del DNIe y los certificados electrónicos, que ya proporcionan una alta capilaridad de identificación electrónica en servicios públicos. Posiblemente la autenticación por EUDI Wallet se incorpore a las opciones de autenticación por Cl@ve simplificando la adopción de este sistema de autenticación
Pero también habrá organismos que den la opción de autenticación por EUDI Wallet en su propia página web de sede electrónica sin sustituir de un día para otro el resto de sistemas de autenticación:
Durante años, veremos un escenario de coexistencia: Cl@ve, certificados, DNIe y EUDI Wallet.
Muchas inversiones en infraestructura de administración electrónica, carpeta ciudadana, firma y sello electrónicos y archivo electrónico son directamente reutilizables en el nuevo modelo.
El foco de la transformación se desplaza desde el “cómo identifico al ciudadano” al “cómo gestiono, admito y genero declaraciones de atributos”, donde la EUDI Wallet se convierte en el articulador principal.
7. Hoja de ruta de adaptación para ayuntamientos y organismos públicos
Con los plazos ya tan próximos, la hoja de ruta deja de ser un ejercicio teórico y se convierte casi en un plan de choque para quienes aún no han empezado.
7.1. Gobernanza y planificación del proyecto
La integración de la EUDI Wallet no es un proyecto exclusivamente TIC. Requiere:
Un equipo de proyecto con: TIC, servicios jurídicos, administración electrónica/procedimientos, protección de datos y atención ciudadana.
Alinear la cartera con proyectos ya en marcha: carpeta ciudadana, archivo electrónico, cita previa, sistemas de gestión interna, etc.
7.2. Análisis de procedimientos y sedes electrónicas
Es imprescindible identificar con rapidez:
Procedimientos prioritarios por volumen e impacto (empadronamiento, ayudas, licencias, transporte, educación).
Puntos de fricción donde la EUDI Wallet pueda aportar más valor (mucha documentación, colas, subsanaciones reiteradas).
7.3. Integración técnica: ARF, APIs y proveedores
La integración se basará en:
Interfaces alineados con el Architectural Reference Framework (ARF) europeo.
APIs y SDKs de la solución de EUDI Wallet que despliegue el Estado miembro.
Colaboración con prestadores cualificados de servicios de confianza y proveedores especializados en identidad y firma.
7.4. Seguridad, eIDAS2, ENISA y esquemas nacionales de certificación (en España, Lince)
La EUDI Wallet estará sometida a esquemas de certificación de seguridad. Para los organismos públicos eso implica:
Tratar la integración con la cartera como una función crítica soportada por TIC, sujeta a análisis de riesgos, medidas de seguridad y continuidad.
Alinear las soluciones con marcos nacionales como el Esquema Nacional de Seguridad (a través de «Lince») y la normativa vinculada a NIS2, cuando resulte aplicable.
7.5. Comunicación y gestión del cambio con la ciudadanía
La adopción no será homogénea:
Es necesario diseñar campañas informativas explicando qué es la cartera, cómo se obtiene y en qué trámites locales ya aporta ventajas.
Deben mantenerse métodos alternativos de acceso, para no discriminar a quienes no usen la cartera.
Hay que formar al personal de atención presencial y telefónica para que ayude a los ciudadanos a utilizar la EUDI Wallet.
8. Oportunidades y riesgos de la inacción
La EUDI Wallet abre una ventana de oportunidad para:
Aplicar de forma real el principio once‑only.
Reducir cargas administrativas para ciudadanía y empresas.
Facilitar la movilidad europea en el ámbito local (estudiantes, trabajadores, jubilados, teletrabajadores).
Pero la inacción tiene costes claros:
Desfase tecnológico frente a otras administraciones y entidades privadas que ya aceptan la cartera.
Proyectos de última hora con sobrecostes y mayor riesgo operativo.
Percepción negativa de la ciudadanía, que puede ver a su administración local “a remolque” en identidad digital y servicios electrónicos.
9. Conclusiones: quien no haya empezado, ya llega tarde
Los plazos normativos nos sitúan ante una realidad difícil de ignorar:
La EUDI Wallet debe estar operativa a escala de la UE en el entorno de finales de 2026.
Las administraciones públicas deberán estar preparadas para aceptarla como medio de identificación y de generación o aceptación de declaraciones de atributos.
En este contexto, el mensaje para ayuntamientos, comunidades autónomas, universidades y otros organismos públicos es claro:
Las entidades que deban adaptarse a la EUDI Wallet y no estén ya trabajando activamente en ello, van tarde.
Eso no significa que sea imposible llegar, pero sí que el margen de maniobra se ha reducido drásticamente.
Los próximos meses deberían concentrarse en:
Acelerar la gobernanza y la planificación, sin dilaciones.
Priorizar casos de uso de alto impacto como los descritos.
Apoyarse en proveedores expertos en identidad digital y servicios de confianza, evitando comenzar desde cero.
La EUDI Wallet no es solo un tema de cumplimiento regulatorio: es una oportunidad estratégica para simplificar trámites, reducir cargas, mejorar la experiencia de la ciudadanía y posicionar a cada administración en el ecosistema europeo de identidad digital. Quien se mueva ahora con decisión aún puede llegar a tiempo; quien siga esperando, probablemente no.
EADTrust acompaña la adaptación a la EUDI Wallet
Para las administraciones públicas y otros organismos que ya están descubriendo que la adaptación a la EUDI Wallet no es un “próximo proyecto”, sino una prioridad de año 2026, el reto no solo es técnico, sino también de gobernanza, integración y pruebas controladas.
EADTrust ofrece servicios de consultoría especializada para:
Analizar y adaptar los sistemas existentes (sede electrónica, portales de reservas, sistemas de control de acceso, gestión de ayudas, etc.) a un entorno preparado para el uso de la EUDI Wallet.
Definir casos de uso prioritarios (empadronamiento, ayudas, licencias, reservas de instalaciones deportivas, educación, etc.) y alinearlos con la hoja de ruta de la entidad pública.
Implementar entornos de prueba a modo “sandbox”, donde los organismos públicos pueden:
Probar integraciones con la EUDI Wallet.
Validar flujos de autenticación y de atributos.
Formar a equipos de TIC y de atención ciudadana en un entorno realista pero sin riesgo para la producción.
Las entidades interesadas en conocer cómo EADTrust puede ayudarles a adaptarse a la EUDI Wallet, a definir proyectos de integración o a acceder a un entorno de prueba, pueden solicitar más información en el sitio web:
👉 usercentric.id (plataforma de EADTrust dedicada a soluciones de identidad digital y servicios de confianza).
La normativa del Registro Europeo de Productos de Etiquetado Energético (EPREL), se orienta, en su diseño, al registro de personas jurídicas como responsables de los productos, asignando al Identificador de Organización Europeo (NTR) el rol de identificación oficial de la organización, tal como se recoge en el «User Manual for Suppliers» publicada por la Comisión Europea en el sitio oficial de EPREL (última versión: 27‑06‑2025). A partir del 22 de abril de 2025, solo se admitirán sellos electrónicos que incluyan el NTR como identificador de organización, en aplicación de lo establecido en el Reglamento de Ejecución (UE) 2024/994.
Aunque es posible que el responsable de un producto eléctrico afectado por la normativa de eficiencia energética sea una persona física (o natural), como por ejemplo, un trabajador autónomo, o sea una entidad sin figura jurídica clásica (y, por tanto, sin inscripción en el Registro Mercantil), como algunos tipos de cooperativas y asociaciones, siempre que se cumplan los requisitos de verificación y de identificación establecidos, debe poder registrar productos eléctricos en EPREL.
La norma oficial de EPREL no es clara en cuanto a la forma de inscribir trabajadores autónomos, Cooperativas y Asociaciones en EPREL y en cuanto a la forma de obtener certificados cualificados para ese fin.
Sin embargo, EADTrust ha cooperado con el Registro EPREL para resolver esta problemática específica.
Aunque no existe un “manual específico” público para autónomos, asociaciones o cooperativas, sino un marco general que admite distintos tipos de organizaciones y de identificadores, EADTrust, la entidad de confianza que emite el certificado, sigue las pautas definidas por el organismo EPREL y actúa con criterio técnico y jurídico, sin añadir interpretaciones que puedan generar incertidumbre regulatoria.
Si es su caso, contacte con EADtrust en el 91 7160555 o 902 365 612
La proliferación de siglas y normativas en torno a la facturación en España puede resultar abrumadora, incluso para quienes seguimos este ecosistema de cerca.
¿Qué diferencia hay entre Veri-Factu y el SII? ¿A qué obliga ya la Ley Crea y Crece tras el Real Decreto 238/2026? ¿Qué pasa en Navarra o en el País Vasco? ¿Y el sello electrónico remoto cualificado?
En este artículo trato de trazar un mapa claro de todos estos conceptos, sus solapamientos y sus diferencias, y termino explicando por qué el sello electrónico remoto cualificado es una pieza técnica que los une a todos.
1. El terreno de juego: dos grandes familias de obligaciones
Antes de entrar en detalle, conviene distinguir dos líneas normativas que a menudo se confunden porque comparten vocabulario pero tienen objetivos distintos:
Las obligaciones de control fiscal (SII, Veri-factu): nacen de la potestad de la Agencia Tributaria para verificar en tiempo real —o casi— que las facturas emitidas existen y son íntegras. El destinatario de la información es la Administración.
La obligación de facturar electrónicamente entre empresas (Ley 18/202 Crea y Crece / Real Decreto 238/2026)
): nace del derecho del acreedor a recibir su factura en formato estructurado y de la ambición de reducir la morosidad. El destinatario es el cliente B2B.
Son obligaciones que pueden coexistir, complementarse y, en muchos casos, satisfacerse con la misma infraestructura técnica, pero que responden a lógicas diferentes.
2. El SII: el pionero del reporte en tiempo real
El Suministro Inmediato de Información (SII) se introdujo en 2017 (Real Decreto 596/2016) y obliga a determinados contribuyentes —grandes empresas, grupos de IVA, inscritos en el REDEME— a enviar a la AEAT los registros de facturación en un plazo máximo de cuatro días hábiles desde la expedición o recepción de la factura.
¿Qué se envía?
No se envía la factura en sí, sino un registro de facturación en XML con los campos esenciales (fecha, importe, NIF, tipo de IVA…). La factura original puede seguir siendo en papel o en cualquier formato, siempre que el registro llegue a tiempo.
¿Quién está obligado?
Hoy en día están obligados al SII unos 62.000 contribuyentes que representan aproximadamente el 80 % de la recaudación de IVA en España. Para el resto, sigue siendo voluntario.
La llave técnica: certificado de empresa (sello)
Las comunicaciones al SII se realizan mediante servicios web de la AEAT, autenticados con el certificado de representante de persona jurídica o el certificado de sello de persona jurídica emitido por una autoridad de certificación cualificada. Esto ya anticipa la distinción que abordaremos más adelante sobre firma vs. sello.
3. Veri-factu: integridad de secuencia en el registro en origen
Veri-factu (oficialmente, el sistema de emisión de facturas verificables regulado por el Real Decreto 1007/2023 (modificado por RD 254/2025 y RD-ley 15/2025) y desarrollado por la Orden HAC/1177/2024) tiene una naturaleza diferente al SII: no es un sistema de envío a la Administración en tiempo real (aunque puede serlo), sino un sistema de integridad en origen.
La idea central
Todo software de facturación que no esté acogido al SII deberá, a partir de su entrada en vigor, generar facturas que:
Incluyan un código QR que permita al receptor verificar la factura en la sede electrónica de la AEAT.
Incorporen un mecanismo de hashes encadenados en el sistema de control de llevanza de facturas consecutivas, de modo que cualquier alteración posterior sea detectable (adición o eliminación de registros).
Puedan enviarse a la AEAT de forma voluntaria (modalidad VERI*FACTU) o simplemente conservarse en el sistema del emisor (modalidad de registro seguro) a disposición de que lo solicite la AEAT.
¿Quién está obligado?
Todos los empresarios y profesionales no obligados al SII que utilicen sistemas informáticos de facturación, con las excepciones habituales (contribuyentes que ya están en el SII quedan fuera del ámbito de Veri-factu, precisamente porque ya reportan la información al instante).
Fecha de entrada en vigor
Tras el Real Decreto-ley 15/2025, de 2 de diciembre
Personas jurídicas (Entidades del Impuesto sobre Sociedades): 1 de enero de 2027
Personas físicas (autónomos): 1 de julio de 2027
En resumen: el SII manda el registro a Hacienda; Veri-factu garantiza que el origen de la factura no ha sido manipulado y facilita la verificación posterior. Son excluyentes
4. La factura electrónica B2B: la Ley Crea y Crece
La Ley 18/2022, de creación y crecimiento de empresas (conocida como Ley Crea y Crece), establece en su artículo 12 la obligación de facturar electrónicamente entre empresarios y profesionales en sus relaciones B2B. Esta obligación se concreta en el Real Decreto 238/2026, de 25 de marzo que señala la futura publicación de la Orden Ministerial para dar cobertura a la solución pública gestionada por la AEAT
Plazos de aplicación efectiva (contados desde la publicación de la Orden Ministerial de desarrollo de la solución pública de facturación electrónica):
12 meses → empresas con volumen de operaciones > 8 millones €.
24 meses → resto de empresarios y profesionales.
Durante los primeros 12 meses las grandes empresas podrán acompañar la factura electrónica con un PDF legible (salvo que el cliente acepte expresamente el formato estructurado).
¿Qué exige?
Que la factura se emita en un formato estructurado (UBL, CII, EDIFACT y Facturae) y se transmita por plataformas de intercambio interoperables.
Que las plataformas —tanto la pública (FACeB2B) como las privadas acreditadas— garanticen la autenticidad e integridad de las facturas.
Que el receptor no pueda rechazar la recepción de facturas electrónicas. La eliminación del requisito de aceptación del destinatario en el artículo 232 de la Directiva del IVA es el cambio del paquete “IVA en la era digital” (ViDA) con la Directiva 2025/516, el Reglamento 2025/517 y el Reglamento de Ejecución 2025/518 que permite a los Estados miembros hacer obligatoria la factura electrónica también para el receptor.
¿Qué no es la factura electrónica?
Un PDF enviado por correo electrónico no es una factura electrónica a efectos de la Ley Crea y Crece, aunque la normativa de IVA lo tolere cuando hay acuerdo entre partes. La factura electrónica en sentido estricto requiere un formato estructurado y un canal de transmisión que garantice la autenticidad.
La firma y el sello en la factura electrónica
El reglamento Facturae y el estándar FacturaE ya exigen desde hace años la firma electrónica de la factura. Para una persona jurídica (empresa), lo que técnicamente corresponde es un sello electrónico —no una firma—, tal como veremos en el apartado dedicado a esta distinción.
5. Los regímenes forales: Navarra y el País Vasco
España no tiene un sistema tributario unitario. El régimen foral de Navarra y de los tres Territorios Históricos vascos (Álava, Gipuzkoa y Bizkaia) les otorga competencia normativa propia en materia de IRPF, Impuesto de Sociedades e IVA (en el caso vasco, a través del Concierto Económico; en el caso navarro, mediante el Convenio Económico) del art. 45.3 LORAFN (Ley Orgánica 13/1982). El nuevo RD 238/2026 incluye una disposición adicional específica para garantizar la interoperabilidad.
¿Los regímenes forales tienen su propio SII y Veri-factu?
Sí, y este es un punto que sorprende a muchos:
Régimen
SII
Veri-Factu equivalente
Factura electrónica B2B (RD 238/2026)
Territorio Común (AEAT)
Real Decreto 596/2016
RD 1007/2023 (plazos 2027)
Obligatoria (plazos según volumen)
País Vasco
Propio (a través de Concierto Económico)
TicketBAI
Adaptada vía acuerdos con Haciendas Forales
Navarra
Propio (Convenio Económico)
Sistema equivalente (NaTicket u homólogo)
Adaptada vía acuerdos con Hacienda Foral
TicketBAI y BATUZ: el adelanto vasco
TicketBAI es el sistema de facturación verificable del País Vasco, conceptualmente muy similar a Veri-factu pero anterior en el tiempo: encadena facturas con hash, genera un código QR verificable y exige que el software de facturación esté certificado por las Haciendas Forales. BATUZ es el proyecto más amplio que incluye TicketBAI y el sistema de libros de registro (LROE – Libro de Registro de Operaciones Económicas), que sustituye a los modelos 130, 303 y 347 para los contribuyentes vascos.
El País Vasco, en definitiva, ha sido el laboratorio de lo que luego se ha exportado al territorio común como Veri-factu.
Implicaciones prácticas para empresas que operan en ambos territorios
Una empresa con sede en Madrid que venda a clientes en el País Vasco no está obligada a TicketBAI (esa obligación recae sobre los contribuyentes del foro vasco). Sin embargo, si tiene un establecimiento permanente en Bizkaia o es contribuyente foral, sí aplica. Las empresas que operan en ambos territorios deben implementar sistemas que puedan adaptarse a ambas normativas, o invertir en soluciones que soporten múltiples regímenes.
6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara
Llegamos al punto que, en mi opinión, genera más confusión técnica y jurídica en todo este ecosistema.
Lo que dice la normativa tributaria
El artículo 10 del Real Decreto 1619/2012 (Reglamento de facturación) exige que las facturas electrónicas garanticen la autenticidad del origen y la integridad del contenido mediante firma electrónica avanzada basada en certificado reconocido o cualificado. Muchos textos normativos recientes hablan genéricamente de «firma electrónica» sin mayor precisión.
Lo que dice el Reglamento eIDAS (910/2014/UE)
El Reglamento (UE) 910/2014 (eIDAS), que es de aplicación directa en toda la UE, establece una distinción fundamental:
La firma electrónica (electronic signature) es un mecanismo exclusivo de personas físicas. Solo una persona física puede «firmar» en sentido eIDAS.
El sello electrónico (electronic seal) es el mecanismo equivalente para personas jurídicas: acredita el origen y la integridad de un documento emitido por una organización, sin que deba intervenir ninguna persona física concreta.
Esta distinción no es un tecnicismo menor: una empresa que «firma» una factura con el certificado personal de su director financiero está creando un vínculo jurídico innecesario con esa persona física, exponiéndola a responsabilidades que en realidad son de la empresa. Además, cuando esa persona cambia de cargo o abandona la empresa, el sistema deja de funcionar o genera facturas con certificados caducados.
¿Por qué la normativa tributaria no lo deja claro?
La normativa tributaria española se redactó —y en muchos casos sigue redactándose— con anterioridad o sin plena integración del enfoque eIDAS. Cuando el Reglamento de facturación habla de «firma electrónica reconocida», hay que leerlo como un requisito de nivel de garantía equivalente al de un sello electrónico cualificado cuando quien emite la factura es una persona jurídica. La Directiva sobre facturación electrónica (2014/55/UE) y los estándares EN 16931 ya apuntan en esta dirección.
La lectura correcta, por tanto, es:
Si emite la factura una persona física (autónomo): usa firma electrónica cualificada.
Si emite la factura una persona jurídica (empresa, sociedad): usa sello electrónico cualificado.
El sello electrónico cualificado es el mecanismo técnico que garantiza la autenticidad e integridad tanto en Veri-Factu, en el SII como en la nueva factura electrónica B2B. Es la misma tecnología que ya se podía usar para el SII y que ahora se extiende al resto de obligaciones.”
7. El sello electrónico cualificado remoto: la pieza que lo une todo
Tanto el SII como Veri-factu, TicketBAI/BATUZ y la factura electrónica B2B requieren que las facturas o los mensajes transmitidos a las Administraciones vayan autenticados con un certificado válido de la persona jurídica emisora. El sello electrónico cualificado es el instrumento técnico-jurídico adecuado para ello.
La evolución más relevante de los últimos años es la consolidación del sello electrónico remoto: el material criptográfico (la clave privada) reside en un HSM (dispositivo cualificado de creación de firma en la nube), operado por un prestador de servicios de confianza cualificado (QTSP). El software de facturación invoca el sello a través de una API sin necesidad de gestionar localmente ningún certificado ni hardware.
Ventajas del sello remoto cualificado para la facturación
Escenario
Beneficio del sello remoto
SII (envíos masivos a AEAT)
El servidor de facturación sella miles de registros por segundo sin gestión local de tokens
Veri-factu (hash + QR)
Cada factura queda sellada en origen de forma automática e integrada en el flujo de negocio
TicketBAI / BATUZ
Los sistemas de facturación para el País Vasco ya prevén integración con APIs de sello remoto
Factura electrónica B2B
Las plataformas de intercambio pueden sellar en nombre de la empresa emisora sin depender de certificados locales que caducan o se pierden
Factura electrónica en Navarra
El sello remoto permite centralizar la emisión aunque la empresa opere bajo el Convenio Económico
8. Cuadro comparativo final
Concepto
Quién obliga
A quién aplica
Qué garantiza
Instrumento de autenticación
SII
AEAT (territorio común)
Grandes empresas y grupos de IVA
Reporte de registros en tiempo real
Certificado de sello / representante de PJ
Veri-factu
AEAT (territorio común)
Resto de empresarios no en SII
Integridad en origen + verificación QR
Hash encadenado + sello en envío voluntario
TicketBAI / BATUZ
Haciendas Forales vascas
Contribuyentes forales vascos
Integridad en origen + reporte LROE
Certificado reconocido / sello
SII foral navarro
Hacienda Foral Navarra
Contribuyentes de Navarra
Reporte de registros
Certificado emitido bajo normativa foral
Factura electrónica B2B
Ley Crea y Crece + reglamento pendiente
Todos los empresarios y profesionales
Formato estructurado + autenticidad e integridad
Sello electrónico cualificado de la PJ emisora
9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado
Si tu empresa necesita adaptarse a alguno —o a varios— de los marcos normativos descritos en este artículo, la pieza transversal que simplifica todos los escenarios es el sello electrónico remoto cualificado.
EADTrust es un prestador de servicios de confianza cualificado (QTSP) inscrito en la Lista de Confianza española (TSL), que ofrece servicios de sello electrónico remoto cualificado en la nube especialmente orientados a entornos de facturación masiva. Sus características clave:
Alta disponibilidad y escalabilidad: apropiado para entornos SII con miles de operaciones diarias.
Integración por API: los sistemas de facturación (ERP, plataformas B2B, software de TicketBAI) se conectan sin cambios de arquitectura.
Cumplimiento eIDAS y normativa tributaria española: el sello es cualificado conforme al Reglamento 910/2014, lo que cubre los requisitos de autenticidad e integridad exigidos por el Reglamento de facturación y la Ley Crea y Crece.
Soporte multi-régimen: el mismo sello sirve para el SII de la AEAT, para Veri-factu, para plataformas de intercambio B2B y para los entornos forales vascos y navarro.
Gestión del ciclo de vida del certificado: renovaciones, revocaciones y auditorías sin impacto en los sistemas del cliente.
Si quieres más información sobre cómo integrar el sello remoto cualificado de EADTrust en tu plataforma de facturación, puedes contactar con su equipo técnico llamando al 917160555 (también 902 365 612) o consultar la documentación disponible en su web.
Conclusión
El ecosistema de la facturación en España es, como hemos visto, un mosaico de obligaciones con distinto origen normativo, distinto ámbito subjetivo y distintos plazos. La buena noticia es que todos estos marcos comparten una misma necesidad técnica: garantizar la autenticidad e integridad de las facturas mediante criptografía. Y la solución idónea para las personas jurídicas —que es la inmensa mayoría de los obligados— es el sello electrónico cualificado, preferiblemente en modalidad remota para facilitar la integración y la escalabilidad.
La distinción entre firma (personas físicas) y sello (personas jurídicas) que establece el Reglamento eIDAS no es un detalle menor: es el fundamento jurídico que da validez duradera a todos los documentos electrónicos que emitimos como empresas. Leer la normativa tributaria con las gafas de eIDAS no es optativo: es necesario para implementar bien.
¿Tienes dudas sobre qué sistema aplica a tu empresa o cómo integrar el sello remoto en tu plataforma? Llámanos al 917160555 o al 902 365 612.
En el sector de la ciberseguridad a menudo preferimos anticiparnos a las amenazas. Por eso se ha acuñado el término «Criptocalipsis» —ese momento teórico en el que un ordenador cuántico sea lo suficientemente potente como para romper en poco tiempo la criptografía asimétrica que protege Internet (la base de los algoritmos de cifrado asimétrico y de firma electrónica como RSA y ECC)— .
A ello ha contribuido las recomendaciones de los organismos de estandarización (IETF, NIST, ETSI, ISO) y los grandes proveedores de infraestructura que se toman en serio los riesgos detectados .
Y el riesgo actual tiene un nombre técnico bastante inquietante: «Harvest Now, Decrypt Later» (Recolectar ahora, descifrar después).
Cabe pensar que el tráfico cifrado que circula hoy por las redes podría estar siendo recogido y almacenado masivamente por organismos de algunos estados o por grandes organizaciones delictivas con recursos económicos a su disposición.
La información que se guarda cifrada, sin conocer la clave de descifrado, parece poco útil, pero dentro de 5, 10 o 15 años, cuando llegue el llamado «Q-Day» (el día que un ordenador cuántico relevante esté operativo), esa «caja fuerte» de datos grabados hoy podría abrirse en espacios de tiempo cortos usando el algoritmo de Shor.
Si la confidencialidad de los datos de las empresas y organismos (secretos industriales, comunicaciones diplomáticas, datos médicos a largo plazo) debe durar más de una década, la criptografía convencional podría no ser suficiente.
Uno de los usos del cifrado se da en las comunicaciones seguras de los browsers o navegadores con los sitios web que tendrán instalado un certificado para que se pieda activar esa comunicación cifrada.
El protocolo utilizado se llamaba antiguamente SSL pero ya no se usa esa denominación porque ese protocolo incluía importantes vulnerabilidades, que se han resuelto posteriormente.
Ahora se emplea el protocolo TLS , la evolución del SSL, pero tampoco vale cualquier versión. No valen la versiones anteriores a la 1.2 y pronto dejará de utilizarse esta, conforme se generalice la versión TLS 1.3.
Y en el protocolo se usa un certificado X.509 en el servidor en base al cual se gestiona el intercambio de claves
Si un ataque en base a computación cuántica desvelara la clave privada del certificado, el atacante podría suplantar el servidor (lo que requeriría más operaciones para la suplantación como atacar los DNS). Incluso si eso sucede, habría indicios que permitirían al propietario del servidor web legítimo detectarlo y reaccionar.
La Confidencialidad de las comunicaciones se basa en el intercambio de claves de cifrado: Si un ataque en base a computación cuántica desvelara la clave de cifrado, de un intercambio de información del pasado (preservada por el atacante), podría descifrar todo el intercambio de información.
Por eso, la prioridad del IETF en su actualización del protocolo ha sido blindar el intercambio de claves. Y ya está publicado como estándar.
Enfoque híbrido del intercambio de claves: compatibilidad y reforzamiento
El reto en el intercambio de claves en TLS es que el objetivo de usar nuevos algoritmos postcuánticos (PQC) como Kyber (ahora estandarizado por NIST como ML-KEM), debería ser compatible con el uso de algoritmos muy probados como RSA o las Curvas Elípticas (ECC). ¿Qué pasa si al profundizar en los nuevos algoritmos se descubre una vulnerabilidad matemática no detectada en los análisis previos?
La respuesta del IETF en el reciente estándar para TLS 1.3 es el pragmatismo puro: el Intercambio de Claves Híbrido.
La idea es simple y práctica: no sustituir lo viejo por lo nuevo, sino usar ambos simultáneamente. Es una estrategia de «compatibilidad y refuerzo». Para que un atacante rompa la sesión, tendría que romper a la vez la criptografía clásica (X25519, híper probada) Y la nueva criptografía postcuántica (Kyber). Si el ordenador cuántico no da con la clave, nos protege la criptografía clásica. Si el ordenador cuántico expone la clave basada en criptografía clásica, nos protege la basada en criptografía postcuántica.
3. Cómo funciona el nuevo «Handshake» TLS 1.3 Híbrido
¿Cómo se modifica un protocolo tan establecido como TLS 1.3 para negociar dos tipos de criptografía radicalmente distintos en una sola ida y vuelta, sin perder eficiencia?
El cambio ocurre en las extensiones clave del handshake inicial:
A. El Cliente propone (ClientHello)
En un TLS 1.3 normal, el cliente usa la extensión supported_groups para decir «soporte la curva elíptica X25519» y la extensión key_share para enviar «aquí tienes mi mitad de la clave pública X25519».
En el nuevo TLS híbrido, el cliente da un paso más:
En supported_groups, indica soporte para nuevos identificadores «compuestos», por ejemplo, uno que significa específicamente «X25519 combinado con Kyber768».
En el key_share, el cliente no envía solo una clave. Envía un paquete concatenado: [Su clave pública X25519] + [Su clave pública Kyber].
B. El Servidor elige (ServerHello)
El servidor recibe la propuesta. Si soporta ese grupo híbrido y decide usarlo:
Selecciona el grupo compuesto.
Genera sus propias claves para ambos algoritmos.
Realiza la operación clásica Diffie-Hellman con la parte X25519.
Utiliza el mecanismo de Encapsulación de Clave (KEM) de Kyber para generar un «secreto compartido» y encapsularlo para el cliente.
Devuelve en su ServerHello el paquete: [Su clave pública X25519] + [El criptograma encapsulado de Kyber].
C. La Magia: La Derivación de la Clave Maestra
Este es el punto crítico. Al final de este intercambio, tanto cliente como servidor tienen en sus manos dos secretos compartidos distintos:
El secreto resultante del intercambio clásico (ECDH).
El secreto compartido desencapsulado del intercambio postcuántico (KEM).
El estándar dicta que el key schedule de TLS 1.3 (la «coctelera» criptográfica que deriva las claves finales de cifrado simétrico AES o ChaCha20) debe combinar ambos secretos. Se introducen los dos ingredientes en la función de derivación.
El resultado matemático es fundamental: la clave de sesión final resultante depende criptográficamente de ambos secretos. Si un atacante cuántico logra romper la parte de X25519 en el futuro, no le servirá de nada, porque le falta el ingrediente de Kyber para poder reconstruir la clave de sesión. La confidencialidad futura queda asegurada hoy.
4. Una nota sobre el futuro de la Autenticación (Firmas y Certificados)
Los lectores más atentos notarán que solo hemos hablado del intercambio de claves. ¿Qué pasa con el certificado que presenta el servidor para autenticarse?
A día de hoy, ese certificado (el que emiten prestadores como EADTrust o Google) sigue utilizando firmas clásicas RSA o ECDSA. Como se ha indicado al principio, esto se considera un riesgo aceptable temporalmente, ya que romper esto solo permite ataques en tiempo real, no descifrado retroactivo.
La migración a certificados con firmas postcuánticas es un desafío logístico mucho mayor que implicará actualizar todas las raíces de confianza en navegadores y sistemas operativos.
Cuando llegue ese momento, la industria se debate entre varios candidatos del NIST. Mientras que Dilithium (ML-DSA) parece el estándar para propósito general, para casos de uso específicos como la firma de documentos y PDF, FALCON se perfila como una opción técnicamente superior debido a su eficiencia y al tamaño extremadamente compacto de sus firmas, algo crítico para no engordar innecesariamente los documentos electrónicos a largo plazo.
La Universidad Pontificia Comillas (ICADE) organiza los días 22 y 23 de abril de 2026 el Congreso del Observatorio de Derechos Digitales, bajo el título “Una mirada multidisciplinar a los Derechos Digitales”, en el que me han invitado a participar.
El evento se celebrará de forma presencial en el Auditorio del Espacio de Investigación y Transferencia de la universidad, ubicado en la calle Rey Francisco 4, Madrid.
El congreso, dirigido por los profesores Íñigo A. Navarro Mendizábal (Codirector del Observatorio Legaltech Garrigues-ICADE) y Ricardo Pazos Castro (Director del Centro Internacional de Investigación Jurídica Comillas-ICADE), tiene como objetivo principal analizar desde una perspectiva interdisciplinar los principales desafíos jurídicos y sociales que plantean las tecnologías digitales en la actualidad. Se abordarán cuestiones relacionadas con los derechos fundamentales en el entorno digital, con especial atención a su dimensión multidisciplinar.
Información práctica
Fechas y horario: 22 de abril de 2026 (inicio a las 09:00 h) y 23 de abril de 2026 (cierre a las 13:15 h).
Lugar: Auditorio del Espacio de Investigación y Transferencia, Universidad Pontificia Comillas, C/ Rey Francisco 4, Madrid.
Formato: Exclusivamente presencial.
La inscripción estará abierta desde el 27 de marzo de 2026 a las 08:00 h hasta el 21 de abril de 2026 a las 14:00 h.
Este congreso representa una oportunidad para académicos, profesionales del derecho, responsables de políticas públicas y expertos en tecnología interesados en el análisis riguroso de los derechos digitales. La organización corresponde a la Facultad de Derecho de la Universidad Pontificia Comillas en el marco del Observatorio de Derechos Digitales.
Para más detalles sobre el programa definitivo, ponentes y agenda, se recomienda consultar la página web del evento, donde se publicará la información actualizada a medida que se acerque la fecha de celebración.
Si su actividad profesional o académica está relacionada con el derecho digital, la protección de datos, la ciberseguridad o la regulación de las tecnologías emergentes, este congreso constituye un espacio relevante para el intercambio de conocimiento y la reflexión conjunta.
El Programa (sujeto a cambios), es el siguiente:
22 de abril – mañana –
09:00-09:15. Recepción de los participantes
09:15-09:30. Bienvenida
Abel Veiga Copo, Decano de la Facultad de Derecho, Universidad Pontificia Comillas (ICADE) Pendiente de determinar, Red.es Íñigo A. Navarro Mendizábal, Profesor Propio Ordinario, Universidad Pontificia Comillas. Codirector del Observatorio Legaltech Garrigues-ICADE
Primer bloque. LegalTech: identidad digital, privacidad y ciberseguridad Modera Íñigo A. Navarro Mendizábal Codirector del Observatorio Legaltech Garrigues-ICADE
09:30-09:55. Derechos del ciudadano frente a la IA generativa: El Reglamento de Inteligencia Artificial y el Reglamento General de Protección de Datos. Alejandro Padín, Socio de Garrigues, responsable del área de Economía del Dato, Privacidad y Ciberseguridad
09:55-10:20. Arquitectura y Servicios de Confianza para una Identidad Digital Europea Centrada en el Usuario. Julián Inza, Presidente de EADTrust
10:20-10:45.Debate
10:45-11:10. Pausa café
Segundo bloque Modera Andrés Chomczyk Penedo Investigador posdoctoral, Universidad Pontificia Comillas
11:10-11:35. Título por determinar Edoardo Celeste, Associate Professor, Dublin City University
11:35-12:00. La responsabilidad civil por daños causados por productos defectuosos. En especial, la inteligencia artificial. Ana I. Berrocal Lanzarot, Profesora Contratada Doctora (acred. a Profesora Titular) de Derecho Civil, Universidad Complutense de Madrid
12:00-12:25.Debate
12:25-12:30. Pausa
Tercer bloque. La disrupción tecnológica en el ámbito laboral. Modera Ana Belén Muñoz Ruiz. Profesora Titular (acred. a Catedrática) de Derecho del Trabajo y de la Seguridad Social, Universidad Carlos III de Madrid
12:30-12:55. ¿Neuroderechos laborales o Derechos Fundamentales aumentados? Jesús Mercader Uguina, Catedrático de Derecho del Trabajo y la Seguridad Social, Universidad Carlos III de Madrid
12:55-13:20. La irrupción de la IA en el ámbito retributivo. Ana Matorras Díaz-Caneja, Profesora Propia Ordinaria, Universidad Pontificia Comillas
13:20-13:45.Debate
13:45. Comida
22 de abril – tarde
Primer bloque. Autoprotección, y protección de los vulnerables. Modera Myriam Cabrera Martín Directora de la Cátedra de Derechos del Niño
16:00-16:25. Nuevos hábitos y cultura en la época de la IA Jaime García Chaparro, Senior AI Engineer, Devoteam
16:25-16:50. Derechos de la infancia en el entorno digital Laura Barroso Gonzalo, Investigadora predoctoral, Universidad Pontificia Comillas
17:15-17:40.Debate
17:40-17:45. Pausa
Segundo bloque. Protección penal de la identidad y la intimidad en el entorno digital Modera María Quintas Pérez Profesora Ayudante Doctora, Universidad Pontificia Comillas
17:45-18:10. Lasuplantación de identidad digital. M.ª Eugenia Sanmartín, Magistrada del Tribunal de Instancia de Navalcarnero
18:10-18:35. Delitos contra la intimidad en el entorno laboral ligados a la vigilancia del uso de dispositivos digitales facilitados por el empleador. Javier Gómez Lanz, Profesor Propio Ordinario, Universidad Pontificia Comillas
18:35-19:00.Debate
19:00. Fin de la primera jornada
23 de abril – mañana
Primer bloque: Transformación digital y fiscalidad Modera Francisco Javier Alonso Madrigal Codirector de la Cátedra Deloitte Legal de Tributación Empresarial
09:30-09:55. La digitalización y el papel de la inteligencia artificial en la AEAT Javier Hurtado, Inspector de Hacienda en AEAT Carlos Serrano, Socio de Deloitte Legal
09:55-10:20. Desafíos futuros. La inteligencia artificial y el principio de buena administración “digital” Elena Martínez Pastor, Counsel Deloitte Legal
10:20-10:45.Debate
10:45-11:15. Pausa café
Segundo bloque. Investigación digital y cooperación judicial en el ciberespacio: una perspectiva procesal Modera Marta Gisbert Pomata Profesora Propia Ordinaria, Universidad Pontificia Comillas
11:15-11:40. El ciberpatrullaje en el ciberespacio y la externalización del law enforcement Juan Carlos Ortiz Pradillo, Profesor Titular, Universidad Complutense de Madrid
11:40-12:05. Cooperación judicial y acceso transfronterizo a prueba electrónica Elisabet Cueto Santa Eugenia, Profesora Colaboradora Asistente, Universidad Pontificia Comillas
12:05-12:30.Debate
Tercer bloque. Una mirada prospectiva desde la filosofía Presenta M.ª ÁngelesBengoechea Gil Profesora Propia Adjunta, Universidad Pontificia Comillas
12:30-12:55. La persona en el Estado digital. ¿Sujeto de derechos sin circunstancias? Vanesa Morente Parra, Profesora Colaboradora Asistente, Universidad Pontificia Comillas
12:55-13:15.Debate
13:15. Clausura del congreso
Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los Derechos Digitales
Todo es electrónico 