Archivo de la categoría: Prestadores de Servicios de Certificación

Obligación de aceptación de la Cartera de Identidad Digital Europea en el sector privado a partir de diciembre de 2027

1 respuesta

El Artículo 5 septies del Reglamento (UE) 2024/1183, conocido como eIDAS 2, introduce una obligación directa para algunas empresas del sector privado: a más tardar en diciembre de 2027 (36 meses después de la entrada en vigor tras su publicación de los actos de ejecución correspondientes), las entidades obligadas deberán aceptar la Cartera de Identidad Digital de la Unión Europea (EUDI Wallet) como medio de identificación y autenticación reforzada del usuario.

Esta obligación afecta a todas las entidades que, por disposición legal o contractual, deban realizar una autenticación reforzada del cliente (SCA – Strong Customer Authentication) conforme al Reglamento (UE) 2016/679 (RGPD), la Directiva PSD2 o normativa sectorial específica.

Salvo microempresas y pequeñas empresas de los sectores aludidos.

La Cartera funciona mediante declaraciones electrónicas de atributos basadas en estándares abiertos (ISO/IEC 18013-5, OpenID4VCI y OpenID4VP), lo que permite la divulgación selectiva de atributos y la firma criptográfica de pruebas de posesión, sin que el prestador de servicios almacene datos biométricos ni documentos.

A continuación se detallan los casos de uso técnicos principales de onboarding (contratación inicial) y autenticación posterior por cada sector referenciado en el artículo 5 septies.

1. Banca y servicios financieros

  • Onboarding: El usuario presenta su Cartera a través de un flujo OpenID4VP. El banco recibe, en tiempo real los Datos de Identificación Personal (DIP) del titular de la Cartera (DNI/NIE, datos de residencia, fecha de nacimiento y, opcionalmente, mediante Declaraciones Electrónicas de Atributos complementarias, otros datos como nivel de ingresos o scoring crediticio). Se elimina la necesidad de videoidentificación o carga manual de documentos. La cartera puede gestionar la firma electrónica cualificada (QES, Qualified Electronic Signature) del contrato, por lo que todo el proceso podría completarse en uno o dos minutos.
  • Autenticación para acceder al servicio: Login en banca online o app móvil mediante protocolo OpenID Connect con presentación de credencial firmada. La Cartera actúa como segundo factor criptográfico (equivalente a un dispositivo seguro), cumpliendo los requisitos de SCA de PSD2 y sustituyendo o complementando OTP y contraseñas.

2. Suministros (empresas eléctricas, de gas y de agua)

  • Onboarding: Contratación de nuevo punto de suministro o cambio de comercializadora. La Cartera entrega atributos verificados de titularidad y domicilio, permitiendo la activación inmediata del contrato sin intervención manual. La cartera puede gestionar la firma electrónica cualificada a distancia del contrato,
  • Autenticación para acceder al servicio: Acceso al área de cliente para consulta de consumos, facturas o modificación de potencia contratada. La integridad criptográfica garantiza que solo el titular autorizado pueda modificar datos sensibles.

3. Telecomunicaciones

  • Onboarding: Alta de línea móvil, fibra óptica, servicios audiovisuales o paquete convergente. Verificación automática de identidad y titularidad sin videollamada ni envío de documentación. El operador recibe, en tiempo real los Datos de Identificación Personal (DIP) del titular de la Cartera (DNI/NIE, datos de residencia, fecha de nacimiento).
  • Autenticación para acceder al servicio: Login en la app del operador para gestión de la línea, portabilidades o contratación adicional de servicios complementarios. Ideal para procesos que requieren SCA (cambio de titular, eSIM, etc.).

4. Transporte

  • Onboarding: Compra de abonos de transporte, alquiler de vehículos o contratación de seguros de viaje. La Cartera puede entregar atributos verificados del carnet de conducir o pasaporte.
  • Autenticación para acceder al servicio: Validación de títulos de transporte digitales o acceso a plataformas de movilidad compartida. La credencial permite la verificación offline y online con firma de prueba de posesión. Podría controlar la interfaz NFC para que la propia cartera se pueda usar como título de transporte.

5. Sanidad

  • Onboarding: Alta en plataformas de telemedicina, contratación de seguros médicos privados o integración en sistemas de historial clínico compartido.
  • Autenticación para acceder al servicio: Login seguro para consulta de resultados, recetas electrónicas o citas. La divulgación selectiva protege datos de salud especialmente sensibles (art. 9 RGPD). Posible uso en farmacias para la dispensación de medicamentos.

6. Educación

  • Onboarding: Matrícula en universidades privadas, plataformas de formación continua o cursos de posgrado. Con posibilidad de aportar Declaraciones Electrónicas de Atributos de haber superado cierto nivel formativo cuando se exige para matricularse en otro superior.
  • Autenticación para acceder al servicio: Acceso a campus virtuales, entrega de exámenes o consulta de calificaciones, presentación de trabajos. La Cartera puede portar credenciales académicas verificadas (títulos, certificados de competencias).

7. Otros servicios básicos y plataformas en línea de muy gran tamaño (VLOPs)

  • Onboarding: Contratación de servicios postales premium, infraestructuras críticas o cualquier servicio que requiera SCA.
  • Autenticación para acceder al servicio: Gestión de envíos, seguimiento o acceso a portales de infraestructuras.

Caso específico de VLOPs (X, Google y Microsoft)

El párrafo 3 del artículo 5 septies impone una obligación específica a las plataformas definidas como Very Large Online Platforms (VLOPs) conforme al artículo 33 del Digital Services Act (Reglamento (UE) 2022/2065): cuando requieran autenticación del usuario para acceder a sus servicios en línea, deberán aceptar y facilitar el uso de la Cartera de Identidad Digital Europea (EUDI Wallet) para la autenticación, siempre bajo petición voluntaria del usuario y limitándose a los datos mínimos necesarios para el servicio concreto.

Esta obligación entra en vigor en el mismo plazo que para el resto del sector privado (diciembre de 2027) y busca reducir el fraude, mejorar la verificación de edad, combatir cuentas falsas y garantizar el cumplimiento del principio de minimización de datos del RGPD.

  • X: Autenticación reforzada para cuentas verificadas, funciones premium (X Premium) o publicación de contenido monetizado. La Cartera permite verificación de identidad real mediante divulgación selectiva y firma de prueba de posesión, reduciendo significativamente cuentas falsas y bots sin necesidad de vincular cuentas externas. Soporte técnico mediante OpenID4VP.
  • Google: Login en Gmail, YouTube, Google Workspace o Google Play Store mediante protocolo OpenID4VP. Ejemplos prácticos incluyen verificación de edad para contenido restringido (sin revelar la fecha de nacimiento), autenticación en Workspace para empresas o compras en Play Store. La Cartera actuaría como credencial única, eliminando la necesidad de contraseñas o factores adicionales y facilitando el cumplimiento de normativas de protección de menores.
  • Microsoft: Autenticación en Microsoft 365, Azure (Entra ID), Outlook o Xbox. Especialmente relevante en entornos B2B y educativos, donde la trazabilidad criptográfica y la Wallet Attestation garantizan el cumplimiento de políticas de seguridad corporativa y permiten single sign-on (SSO) con credenciales verificadas de forma nativa.

En todos los casos, las VLOPs deben implementar los flujos de presentación de credenciales (OpenID4VP) y respetar el principio de minimización de datos.

Cómo prepararse: hoja de ruta técnica para entidades obligadas

Se sugiere a las empresas obligadas que reserven presupuesto para llevar a cabo los trabajos de adaptación durante 2026 y 2027:

  1. Diagnóstico (Q3-Q4 2026): Mapear todos los procesos que requieren SCA y evaluar el impacto de la obligación.
  2. Integración técnica (2026-2027):
    • Implementar endpoints OpenID4VCI / OpenID4VP y soporte para Wallet Attestation.
    • Conectar con un servicio cualificado de archivo electrónico (conforme al Reglamento de Ejecución (UE) 2025/2532) para conservar las evidencias de presentación.
    • Adaptar sistemas de backend para procesar Verifiable Credentials y Selective Disclosure.
  3. Certificación y auditoría: Obtener certificación eIDAS como Qualified Trust Service Provider (QTSP) o contratar uno ya acreditado.
  4. Formación y gobernanza: Designar un Responsable de la Cartera Digital y actualizar políticas de privacidad y seguridad.
  5. Pruebas piloto: Participar en los entornos sandbox de la Comisión Europea o en los pilotos nacionales.

Las entidades que inicien la preparación en 2026 contarán con ventaja competitiva y evitarán sanciones por incumplimiento.

EADTrust, tu aliado para la transición

En EADTrust ya prestamos servicios cualificados de confianza (certificados para la firma electrónica cualificada y para el sello electrónico cualificado, sello de tiempo cualificado y archivo electrónico) y ya contamos con implementaciones de cartera que se adaptan a los proyectos.

Participamos en el CSC Interoperability Event 2026 en Bucarest con nuestra herramienta de Firma Remota que se puede invocar desde diferentes despliegues de Cartera.

Ofrecemos consultoría especializada para la integración de la EUDI Wallet.

Nuestro equipo de especialistas en Confianza Digital puede ayudarte a cumplir el artículo 5 septies de forma ágil y conforme a la normativa publicada.

Contacta con nosotros hoy mismo:

  • Teléfono: 917 160 555
  • Email: info@eadtrust.com
  • Formulario User-Centric-Id

¿Tu entidad está entre las obligadas? ¿Quieres que te ayudemos a evaluar tu grado de preparación?

Déjanos un comentario o ponte en contacto con nosotros directamente.

Estaremos encantados de acompañarte en este proceso estratégico.

Cartera de Identidad Digital Europea – Arquitectura y Marco de Referencia V2.8.0

1 respuesta

La cartera de Identidad Digital Europea (EUDI Wallet, en inglés) es una aplicación digital segura y controlada por el usuario que permite a los ciudadanos gestionar su identidad oficial y otros datos personales. Permite a los usuarios solicitar información digital verificada (denominada «declaración») a prestadores de confianza (denominados «prestadores de DIP» y «prestadores de declaraciones de atributos»), almacenar dicha información y presentarla a partes usuarias (informadas) de una manera que prioriza la privacidad y la seguridad.

Se describe en un documento denominado «Arquitectura y Marco de Referencia» que va por la versión V2.8.0

Se trata de la “hoja de ruta técnica” publicada y mantenida por la Comisión Europea (en colaboración con los Estados miembros a través del European Digital Identity Cooperation Group) para garantizar que todas las carteras digitales nacionales sean interoperables, seguras y respetuosas con la privacidad en toda la Unión Europea.

Su primera versión se creó a partir de la Recomendación de la Comisión (UE) 2021/946 de junio de 2021, que pidió a los Estados miembros desarrollar una “Caja de Herramientas Común de la Unión” (Toolbox). Dentro de esa caja, el ARF es el pilar técnico principal. Posteriormente se ha ido actualizando para alinearse con el Reglamento de Identidad Digital Europea (eIDAS 2.0, Reglamento (UE) 2024/1183) y con decenas de Reglamentos de Ejecución (CIR) adoptados entre 2024 y 2026.

El ARF por sí mismo no es una norma legal (es un documento informativo y de referencia), pero recopila el articulado de actos de ejecución y es la base que usan:

  • Los Estados miembros para desarrollar sus propias carteras.
  • Los proveedores de carteras (Wallet Providers).
  • Los pilotos a gran escala (Large-Scale Pilots o LSP).
  • La propia Comisión para crear la implementación de referencia.

He traducido varias versiones anteriores y ahora presento la traducción correspondiente a la versión 2.8.0 (de febrero de 2026),

El documento de «Arquitectura y Marco de Referencia» define los siguientes aspectos del ecosistema de Cartera IDUE:

  • El capítulo 2 describe las principales funcionalidades de una Unidad de Cartera, desde la perspectiva del usuario.
  • El capítulo 3 describe las funciones clave dentro del ecosistema de Cartera IDUE, con sus responsabilidades asociadas.
  • El capítulo 4 describe la arquitectura del ecosistema de Cartera IDUE, incluidos sus principios de diseño, los componentes que conforman una Unidad de Cartera y las interfaces entre una Unidad de Cartera y otras entidades, los flujos de presentación de declaraciones de proximidad y remotas, las diferentes arquitecturas que pueden utilizarse para implementar un DCSC, los ciclos de vida de las principales entidades y componentes, y la implementación de la generación y presentación de seudónimos.
  • El capítulo 5 describe los elementos que componen una declaración de atributos, las diferentes categorías de declaraciones de atributos y los catálogos asociados, y los diferentes protocolos de presentación de cada declaración.
  • El capítulo 6 contiene el modelo de confianza para el ecosistema de Cartera IDUE. Para cada una de las principales entidades y componentes del ecosistema, este capítulo describe los mecanismos utilizados para garantizar que las entidades con las que interactúa puedan confiar en él a lo largo de su vida útil. Estos mecanismos pueden incluir la inscripción, la revocación, la autenticación y la autorización.
  • El capítulo 7 aborda la certificación de la solución de Cartera y la gestión de riesgos.
  • El capítulo 8 aborda la accesibilidad de todos los componentes del ecosistema de Cartera IDUE
    orientados al usuario.
  • El capítulo 9 describe cómo se ha elaborado y se seguirá elaborando este documento.
  • El capítulo 10 contiene una lista de referencias.

En el documento se han tenido en cuenta los Reglamentos de Ejecución de la Comisión
adoptados:

  • CIR 2024/2977 relativo al DIP y al DEA,
  • CIR 2024/2979 relativo a la integridad y las funcionalidades básicas,
  • CIR 2024/2980 relativo a las notificaciones del ecosistema,
  • CIR 2024/2981 relativo a la certificación de soluciones de cartera,
  • CIR 2024/2982 sobre protocolos e interfaces,
  • CIR 2025/846 sobre la verificación transfronteriza de la identidad,
  • CIR 2025/847 sobre violaciones de seguridad de las Carteras de Identidad Digital Europea,
  • CIR 2025/848 sobre la inscripción de las Partes usuarias (o informadas) que confían en las carteras,
  • CIR 2025/849 relativa a la lista de carteras de Identidad Digital Europea certificadas,
  • CIR 2025/1566 sobre la verificación de la identidad y los atributos de un titular de un QC o DECA,
  • CIR 2025/1567 sobre la gestión de QSCD remotos como servicios de confianza cualificados,
  • CIR 2025/1568 sobre revisiones por pares de los sistemas de identificación electrónica,
  • CIR 2025/1569 relativa a los DECA y los DEA proporcionados por un organismo del sector público
    responsable de una fuente auténtica, o en su nombre,
  • CIR 2025/1570 relativa a la notificación de información sobre QSCD certificados,
  • CIR 2025/1571 sobre los formatos y procedimientos para los informes anuales de los organismos de
    supervisión,
  • CIR 2025/1572 sobre el formato y los procedimientos de notificación de la intención y la verificación
    en relación con el inicio de servicios de confianza cualificados,
  • CIR 2025/1929 relativa a la vinculación de la fecha y la hora a los datos y al establecimiento de la
    precisión de las fuentes de tiempo para la prestación de sellos de tiempo electrónicos cualificados,
  • CIR 2025/1942 sobre los servicios de validación cualificados para firmas electrónicas cualificadas y los servicios de validación cualificados para sellos electrónicos cualificados,
  • CIR 2025/1943 sobre normas de referencia para certificados cualificados de firma electrónica y
    certificados cualificados de sello electrónico,
  • CIR 2025/1944 sobre normas de referencia para los procesos de envío y recepción de datos en los servicios de envío certificado electrónico cualificado y en lo que respecta a la interoperabilidad de dichos servicios,
  • CIR 2025/1945 sobre la validación de firmas electrónicas cualificadas y de sellos electrónicos
    cualificados, así como sobre la validación de firmas electrónicas avanzadas basadas en certificados
    cualificados y de sellos electrónicos avanzados basados en certificados cualificados,
  • CIR 2025/1946 sobre los servicios de conservación cualificados para las firmas electrónicas cualificadas y para los sellos electrónicos cualificados,
  • CIR 2025/2160 sobre normas de referencia, especificaciones y procedimientos para la gestión de
    riesgos en la prestación de servicios de confianza no cualificados,
  • CIR 2025/2162 sobre la acreditación de Organismos de Evaluación de Conformidad que realizan la
    evaluación de los prestadores de servicios de confianza cualificados y de los servicios de confianza
    cualificados que prestan, el informe de evaluación de la conformidad y el sistema de evaluación de la conformidad,
  • CID 2025/2164 sobre la versión de la norma en la que se basa la plantilla común para las listas de
    confianza,
  • CIR 2025/2527 sobre normas de referencia para certificados cualificados para la autenticación de sitios web,
  • CIR 2025/2530 sobre los requisitos para los prestadores de servicios de confianza cualificados que
    prestan servicios de confianza cualificados,
  • CIR 2025/2531 sobre normas de referencia y especificaciones para los registros electrónicos
    cualificados,
  • CIR 2025/2532 sobre normas de referencia y especificaciones para los servicios de archivo electrónico cualificados.

Con el fin de apoyar el desarrollo de una implementación de referencia de una solución de Cartera y poner a prueba su uso en diferentes casos de uso prioritarios, la Comisión lanzó una convocatoria de propuestas el 22 de febrero de 2022 en el marco del Programa Europa Digital para poner a prueba casos de uso del ecosistema de Cartera IDUE a gran escala.

El objetivo de la convocatoria de Grandes-Proyectos-Piloto (GPP, Large Scale Pilots, LSP en inglés)) es apoyar la puesta en marcha del ecosistema de Cartera IDUE en torno a una serie de casos de uso en los que participen partes interesadas tanto del sector público como del privado. Los GPP pondrán a prueba el ecosistema de Cartera IDUE tanto en contextos nacionales como transfronterizos y se integrarán en el desarrollo iterativo de la aplicación de referencia.

Los trabajos de los LSP se alinean con el ARF, que guía el diseño del sistema piloto y el desarrollo de la arquitectura, junto con el lanzamiento de la implementación de referencia.

Los LSP han proporcionado comentarios sobre el ARF a medida que desarrollaban e interactuaban con los servicios de las Partes usuarias (o informadas), los prestadores de Declaraciones Electrónicas Cualificadas de Atributos (DECA) los prestadores de Datos de identificación de Persona (DIP), los prestadores de servicios de confianza cualificados y no cualificados y los usuarios en interacciones significativas en el marco de los casos de uso propuestos.

Este es el documento:

ARF-architecture-and-reference-framework-main-and-annexes-2.8 es-ESDescarga

Adaptación de los organismos públicos a la Cartera IDUE: propuesta de hoja de ruta

Deja un comentario

1. ¿Cuándo debe tener servicios activables por la Cartera IDUE la Administración Pública?

Muchos organismos y ayuntamientos (los que al menos conocen que existirá una «Cartera IDUE») empiezan a inquietarse porque la fecha del 24 de diciembre de 2026 se acerca y no saben qué tienen que hacer ni si recibirán apoyo de organismos más especializados. Otros, los que ni siquiera saben que en 2024 se publicó el Reglamento UE 2024/1083 y que sus disposiciones son obligatorias en toda Europa, no son conscientes de que en Navidades estarán al margen de la Ley y no cumplirán sus obligaciones de dar servicios a sus ciudadanos y mantener los sistemas de interlocución telemática a la que están obligados (en aplicación de otras leyes que también rigen en este nuevo contexto: La Ley 39/2015 «LPACAP» y el RD 203/2021).

Es urgente la adaptación de los organismos públicos que prestan servicios electrónicos, desde los ayuntamientos más pequeños hasta los grandes ministerios, universidades y organismos reguladores.

En un artículo anterior analizaba la adaptación de las entidades financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet), centrándome en su papel como grandes consumidores y emisores de declaraciones de atributos de identidad, y otros específicos de su modelo de negocio. Tiene sentido trasladar ahora la pregunta al sector público:

¿Cómo deben prepararse los ayuntamientos y otros organismos públicos para aceptar la EUDI Wallet a tiempo, antes de finales de 2026, y cómo pueden aprovecharla en casos de uso concretos?

La buena noticia es que muchas administraciones ya cuentan con una base sólida de administración electrónica, Cl@ve, DNIe, sede electrónica y archivo electrónico, carpeta ciudadana que puede reutilizarse.
La mala noticia, vista la proximidad de los plazos, es que las entidades que aún no han iniciado la adaptación a la EUDI Wallet ya van tarde y corren un riesgo evidente de no llegar a tiempo si no actúan con rapidez.

2. Qué es la EUDI Wallet y por qué afecta tanto a ayuntamientos y organismos públicos

La EUDI Wallet, o Cartera IDUE es la Cartera de Identidad Digital de la Unión Europea prevista en el nuevo Reglamento de identidad digital europea y servicios cualificados de confianza digital que modifica Reglamento eIDAS (al nuevo Reglamento se le denomina eIDAS2).

Permitirá a ciudadanos y empresas:

  • Identificarse digitalmente ante servicios públicos y privados en toda la UE.
  • Presentar atributos verificables (edad, domicilio, titulaciones, licencias, calidad de representante, etc.) de forma segura y estandarizada.

Desde la perspectiva de un ayuntamiento o de cualquier organismo público, la EUDI Wallet no es simplemente un nuevo botón en la pantalla de acceso de la sede electrónica:

  • Es un canal europeo estandarizado para autenticación e intercambio seguro de datos y certificados.
  • Permite desplegar de forma real el principio de “solo una vez” (once‑only): dejar de pedir al ciudadano que aporte documentos que ya obran en poder de las administraciones.
  • Facilita trámites transfronterizos, algo cada vez más relevante en ciudades con alta movilidad de estudiantes, trabajadores y jubilados europeos.

En el contexto municipal y regional, algunos de los atributos que podrían gestionarse a través de la EUDI Wallet son:

  • Domicilio de empadronamiento (certificado de empadronamiento).
  • Condición de familia numerosa u otros títulos específicos autonómicos.
  • Titulaciones académicas emitidas por universidades públicas.
  • Licencias y autorizaciones (apertura, obras, terrazas, espectáculos, etc.).
  • Condición de representante de una empresa o entidad ante el ayuntamiento.

3. Marco normativo y plazos: qué debe estar listo para finales de 2026

El Reglamento EIDAS2 establece que todos los Estados miembros deben ofrecer al menos una EUDI Wallet interoperable y gratuita para ciudadanos y empresas el 24 de diciembre de 2026 (24 meses tras la entrada en vigor de los primeros «Reglamentos de ejecución» que se publicaron el 4 de diciembre de 2024).

En paralelo:

La consecuencia práctica es clara:

  • finales de 2026 deberán existir EUDI Wallets operativas en los Estados miembros. La Cartera IDUE de España ya se presentó en el evento «EUDI Wallet launchpad» organizado por la Comisión Europea los días 10, 11 y 12 de diciembre de 2025 en Bruselas, Bélgica.
  • Se espera que las administraciones públicas estén en condiciones de aceptar la cartera como medio de identificación y de intercambio de atributos en ese mismo horizonte.

En este contexto, el mensaje ya no es “conviene empezar pronto”, sino mucho más contundente:

Las administraciones que deban adaptarse a la EUDI Wallet y no hayan iniciado ya el proceso de análisis y adaptación están, de facto, llegando tarde.

No se trata de generar alarma, pero sí de transmitir que el margen para “experimentar con calma” se está agotando.

4. Impacto en la prestación de servicios electrónicos públicos

La introducción de la EUDI Wallet impacta en varios niveles de la prestación de servicios electrónicos:

4.1. Identificación y acceso a la sede electrónica

La EUDI Wallet se convierte en un nuevo método de autenticación que deberá convivir con los ya existentes (DNIe, Cl@ve, certificados). En la práctica, implicará:

  • Añadir un botón de “Acceder con Cartera de Identidad Digital Europea / EUDI Wallet” en la sede electrónica.
  • Gestionar flujos de autenticación basados en los estándares europeos definidos en el ARF.

4.2. Aportación de documentos y datos

Muchos documentos hoy aportados como PDF escaneados (certificados, justificantes, etc.) pueden transformarse en declaraciones de atributos verificables suministrados por la EUDI Wallet, tras obtenerlos de una Fuente Auténtica a través de un Prestador de Declaraciones de Atributos.

  • El ciudadano ya no sube un PDF de un certificado, sino que autoriza a la cartera a compartir un atributo oficial y verificable con el organismo.

4.3. Automatización del back‑office y reducción de subsanaciones

Al recibir datos estructurados y verificados, los sistemas de gestión pueden:

  • Validar más campos de forma automática.
  • Reducir requerimientos de subsanación por documentación incorrecta o ilegible.
  • Disminuir tiempos de tramitación y cargas administrativas.

5. Casos de uso en ayuntamientos y otros organismos públicos

Para visualizar el impacto real, es útil aterrizar la EUDI Wallet en casos de uso concretos.

5.1. Empadronamiento y certificado de empadronamiento

Caso de uso 1: solicitud de alta en el padrón municipal

  • El ciudadano se identifica con su EUDI Wallet en la sede del ayuntamiento.
  • Autoriza la lectura de atributos de identidad y, eventualmente, de domicilio procedentes de otras administraciones.
  • El ayuntamiento utiliza esos datos para pre‑rellenar el formulario de empadronamiento y verificar la identidad.
  • Una vez completado el trámite (tras las verificaciones pertinentes), el ayuntamiento puede emitir una declaración electrónica de atributo “domicilio empadronado en el municipio X” que el ciudadano incorpora a su cartera.

Caso de uso 2: obtención del certificado de empadronamiento

  • En lugar de descargar un PDF desde la sede, el ciudadano podría:
    • Recuperar desde su EUDI Wallet un atributo de empadronamiento emitido previamente por el ayuntamiento.
    • Presentarlo en otros organismos sin necesidad de solicitar de nuevo el certificado.

5.2. Bonificaciones y ayudas municipales (familia numerosa, transporte, tasas)

Caso de uso 3: bonificación de tasas para familias numerosas

  • La comunidad autónoma emite una declaración de  atributos de “familia numerosa” que el ciudadano guarda en su EUDI Wallet.
  • Al solicitar una bonificación en el IBI, tasas escolares o actividades deportivas, el ciudadano:
    • Se identifica con la EUDI Wallet.
    • Autoriza la transmisión del atributo “familia numerosa”.
  • El sistema municipal valida automáticamente el requisito, sin PDFs ni copias en papel.

Caso de uso 4: ayudas al alquiler u otras ayudas sociales

  • Atributos como situación de desempleo o determinada información tributaria pueden presentarse desde la cartera.
  • El ayuntamiento reduce al mínimo la documentación aportada manualmente y los errores de cumplimentación.

5.3. Licencias urbanísticas y de actividad

Caso de uso 5: solicitud de licencia de obras o apertura de negocio

  • Personas físicas y representantes de empresas se identifican con la EUDI Wallet, presentando atributos de identidad y de representación.
  • Se consumen atributos relativos a:
    • Capacidad de representación de la empresa solicitante.
    • Situación censal o registral de la entidad.
  • El ayuntamiento realiza más rápido las verificaciones previas, reduciendo requerimientos posteriores.

Caso de uso 6: declaraciones responsables y comunicaciones previas

  • En procedimientos basados en declaración responsable, el solicitante puede firmarla electrónicamente a través de credenciales vinculadas a su cartera, reforzando la vinculación jurídica entre identidad, atributos y acto.

5.4. Educación y servicios universitarios en universidades públicas

Caso de uso 7: matrícula y servicios universitarios

  • Estudiantes se identifican con la EUDI Wallet para matricularse o acceder a servicios universitarios.
  • Aportan atributos como:
    • Titulaciones previas.
    • Reconocimiento de discapacidad para bonificaciones.
  • La universidad puede emitir credenciales académicas verificables (títulos, certificados de notas) que el estudiante incorpora a su cartera para trámites futuros, incluso en otros países de la UE.

5.5. Transporte público y servicios metropolitanos

Caso de uso 8: abonos de transporte y tarifas reducidas

  • La autoridad de transporte utiliza la EUDI Wallet para:
    • Identificar al usuario.
    • Verificar atributos como edadcondición de estudiantefamilia numerosa o discapacidad.
  • La asignación de tarifas reducidas se automatiza y se evitan múltiples aportaciones de documentos a lo largo del tiempo.

5.6. Reserva de instalaciones deportivas municipales y acceso a las instalaciones

Caso de uso 9: reserva de frontones, piscinas pistas, pabellones y otros espacios deportivos

  • El ciudadano accede a la sede electrónica o al portal de reservas del ayuntamiento.
  • Se identifica con su EUDI Wallet, lo que permite al sistema:
    • Verificar la identidad y, si procede, atributos como edad (por ejemplo, horario o tarifa para menores), condición de estudiante o residente del municipio.
  • El ayuntamiento asocia automáticamente la reserva a la identidad verificada del usuario, reduciendo fraudes o usos de reserva de terceros.
  • En el pago de las tasas (si aplica), el ciudadano puede autorizar, desde la misma cartera, la presentación de atributos necesarios para bonificaciones (familia numerosa, estudiantes, etc.), sin necesidad de presentar documentos adicionales.

Caso de uso 10: autenticación en el acceso físico a las instalaciones

  • En el acceso a las instalaciones deportivas municipales (pabellón, polideportivo, pistas), el usuario puede:
    • Autenticarse mediante la EUDI Wallet en un terminal o punto de control electrónico (lectura de QR, NFC, o integración con sistemas de control de acceso).
    • El sistema valida la identidad y la reserva activa o el pase de uso almacenado en la cartera.
  • En entornos donde se requiera verificación de capacidad de representación (por ejemplo, menor acompañado por un adulto), el ayuntamiento puede validar también ese atributo procedente de la cartera, sin necesidad de presentar documentos en papel en el acceso.

Este doble flujo —reserva online con identidad verificada y acceso físico basado en la misma cartera— convierte a la EUDI Wallet en un elemento articulador entre la administración electrónica y los servicios presenciales, reforzando la seguridad, reduciendo fraudes y mejorando la experiencia de usuario.

6. Relación con Cl@ve, DNIe, Carpeta Ciudadana, certificados y otros medios actuales

España parte de una posición ventajosa gracias a sistemas como Cl@ve, el uso extendido del DNIe y los certificados electrónicos, que ya proporcionan una alta capilaridad de identificación electrónica en servicios públicos. Posiblemente la autenticación por EUDI Wallet se incorpore a las opciones de autenticación por Cl@ve simplificando la adopción de este sistema de autenticación

Pero también habrá organismos que den la opción de autenticación por EUDI Wallet en su propia página web de sede electrónica sin sustituir de un día para otro el resto de sistemas de autenticación:

  • Durante años, veremos un escenario de coexistencia: Cl@ve, certificados, DNIe y EUDI Wallet.
  • Muchas inversiones en infraestructura de administración electrónica, carpeta ciudadana, firma y sello electrónicos y archivo electrónico son directamente reutilizables en el nuevo modelo.

El foco de la transformación se desplaza desde el “cómo identifico al ciudadano” al “cómo gestiono, admito y genero declaraciones de atributos”, donde la EUDI Wallet se convierte en el articulador principal.

7. Hoja de ruta de adaptación para ayuntamientos y organismos públicos

Con los plazos ya tan próximos, la hoja de ruta deja de ser un ejercicio teórico y se convierte casi en un plan de choque para quienes aún no han empezado.

7.1. Gobernanza y planificación del proyecto

La integración de la EUDI Wallet no es un proyecto exclusivamente TIC. Requiere:

  • Un equipo de proyecto con: TIC, servicios jurídicos, administración electrónica/procedimientos, protección de datos y atención ciudadana.
  • Alinear la cartera con proyectos ya en marcha: carpeta ciudadana, archivo electrónico, cita previa, sistemas de gestión interna, etc.

7.2. Análisis de procedimientos y sedes electrónicas

Es imprescindible identificar con rapidez:

  • Procedimientos prioritarios por volumen e impacto (empadronamiento, ayudas, licencias, transporte, educación).
  • Puntos de fricción donde la EUDI Wallet pueda aportar más valor (mucha documentación, colas, subsanaciones reiteradas).

7.3. Integración técnica: ARF, APIs y proveedores

La integración se basará en:

  • Interfaces alineados con el Architectural Reference Framework (ARF) europeo.
  • APIs y SDKs de la solución de EUDI Wallet que despliegue el Estado miembro.
  • Colaboración con prestadores cualificados de servicios de confianza y proveedores especializados en identidad y firma.

7.4. Seguridad, eIDAS2, ENISA y esquemas nacionales de certificación (en España, Lince)

La EUDI Wallet estará sometida a esquemas de certificación de seguridad. Para los organismos públicos eso implica:

  • Tratar la integración con la cartera como una función crítica soportada por TIC, sujeta a análisis de riesgos, medidas de seguridad y continuidad.
  • Alinear las soluciones con marcos nacionales como el Esquema Nacional de Seguridad (a través de «Lince») y la normativa vinculada a NIS2, cuando resulte aplicable.

7.5. Comunicación y gestión del cambio con la ciudadanía

La adopción no será homogénea:

  • Es necesario diseñar campañas informativas explicando qué es la cartera, cómo se obtiene y en qué trámites locales ya aporta ventajas.
  • Deben mantenerse métodos alternativos de acceso, para no discriminar a quienes no usen la cartera.
  • Hay que formar al personal de atención presencial y telefónica para que ayude a los ciudadanos a utilizar la EUDI Wallet.

8. Oportunidades y riesgos de la inacción

La EUDI Wallet abre una ventana de oportunidad para:

  • Aplicar de forma real el principio once‑only.
  • Reducir cargas administrativas para ciudadanía y empresas.
  • Facilitar la movilidad europea en el ámbito local (estudiantes, trabajadores, jubilados, teletrabajadores).

Pero la inacción tiene costes claros:

  • Desfase tecnológico frente a otras administraciones y entidades privadas que ya aceptan la cartera.
  • Proyectos de última hora con sobrecostes y mayor riesgo operativo.
  • Percepción negativa de la ciudadanía, que puede ver a su administración local “a remolque” en identidad digital y servicios electrónicos.

9. Conclusiones: quien no haya empezado, ya llega tarde

Los plazos normativos nos sitúan ante una realidad difícil de ignorar:

  • La EUDI Wallet debe estar operativa a escala de la UE en el entorno de finales de 2026.
  • Las administraciones públicas deberán estar preparadas para aceptarla como medio de identificación y de generación o aceptación de declaraciones de atributos.

En este contexto, el mensaje para ayuntamientos, comunidades autónomas, universidades y otros organismos públicos es claro:

Las entidades que deban adaptarse a la EUDI Wallet y no estén ya trabajando activamente en ello, van tarde.

Eso no significa que sea imposible llegar, pero sí que el margen de maniobra se ha reducido drásticamente.


Los próximos meses deberían concentrarse en:

  • Acelerar la gobernanza y la planificación, sin dilaciones.
  • Priorizar casos de uso de alto impacto como los descritos.
  • Apoyarse en proveedores expertos en identidad digital y servicios de confianza, evitando comenzar desde cero.

La EUDI Wallet no es solo un tema de cumplimiento regulatorio: es una oportunidad estratégica para simplificar trámites, reducir cargas, mejorar la experiencia de la ciudadanía y posicionar a cada administración en el ecosistema europeo de identidad digital. Quien se mueva ahora con decisión aún puede llegar a tiempo; quien siga esperando, probablemente no.

EADTrust acompaña la adaptación a la EUDI Wallet

    Para las administraciones públicas y otros organismos que ya están descubriendo que la adaptación a la EUDI Wallet no es un “próximo proyecto”, sino una prioridad de año 2026, el reto no solo es técnico, sino también de gobernanza, integración y pruebas controladas.

    EADTrust ofrece servicios de consultoría especializada para:

    • Analizar y adaptar los sistemas existentes (sede electrónica, portales de reservas, sistemas de control de acceso, gestión de ayudas, etc.) a un entorno preparado para el uso de la EUDI Wallet.
    • Definir casos de uso prioritarios (empadronamiento, ayudas, licencias, reservas de instalaciones deportivas, educación, etc.) y alinearlos con la hoja de ruta de la entidad pública.
    • Implementar entornos de prueba a modo “sandbox”, donde los organismos públicos pueden:
      • Probar integraciones con la EUDI Wallet.
      • Validar flujos de autenticación y de atributos.
      • Formar a equipos de TIC y de atención ciudadana en un entorno realista pero sin riesgo para la producción.

    Las entidades interesadas en conocer cómo EADTrust puede ayudarles a adaptarse a la EUDI Wallet, a definir proyectos de integración o a acceder a un entorno de prueba, pueden solicitar más información en el sitio web:

    👉 usercentric.id (plataforma de EADTrust dedicada a soluciones de identidad digital y servicios de confianza).

    👉 O llamando al 917160555

    Certificado EPREL para Trabajadores Autónomos, Asociaciones y Cooperativas

    Deja un comentario

    La normativa del Registro Europeo de Productos de Etiquetado Energético (EPREL), se orienta, en su diseño, al registro de personas jurídicas como responsables de los productos, asignando al Identificador de Organización Europeo (NTR) el rol de identificación oficial de la organización, tal como se recoge en el «User Manual for Suppliers» publicada por la Comisión Europea en el sitio oficial de EPREL (última versión: 27‑06‑2025). A partir del 22 de abril de 2025, solo se admitirán sellos electrónicos que incluyan el NTR como identificador de organización, en aplicación de lo establecido en el Reglamento de Ejecución (UE) 2024/994.

    Aunque es posible que el responsable de un producto eléctrico afectado por la normativa de eficiencia energética sea una persona física (o natural), como por ejemplo, un trabajador autónomo, o sea una entidad sin figura jurídica clásica (y, por tanto, sin inscripción en el Registro Mercantil), como algunos tipos de cooperativas y asociaciones, siempre que se cumplan los requisitos de verificación y de identificación establecidos, debe poder registrar productos eléctricos en EPREL.

    La norma oficial de EPREL no es clara en cuanto a la forma de inscribir trabajadores autónomos, Cooperativas y Asociaciones en EPREL y en cuanto a la forma de obtener certificados cualificados para ese fin.

    Sin embargo, EADTrust ha cooperado con el Registro EPREL para resolver esta problemática específica.

    Aunque no existe un “manual específico” público para autónomos, asociaciones o cooperativas, sino un marco general que admite distintos tipos de organizaciones y de identificadores, EADTrust, la entidad de confianza que emite el certificado, sigue las pautas definidas por el organismo EPREL y actúa con criterio técnico y jurídico, sin añadir interpretaciones que puedan generar incertidumbre regulatoria.

    Si es su caso, contacte con EADtrust en el 91 7160555 o 902 365 612

    Veri-factu, SII, factura electrónica y regímenes forales: este es el mapa para no perderse (con mención al sello electrónico)

    Deja un comentario

    La proliferación de siglas y normativas en torno a la facturación en España puede resultar abrumadora, incluso para quienes seguimos este ecosistema de cerca.

    ¿Qué diferencia hay entre Veri-Factu y el SII? ¿A qué obliga ya la Ley Crea y Crece tras el Real Decreto 238/2026? ¿Qué pasa en Navarra o en el País Vasco? ¿Y el sello electrónico remoto cualificado?

    En este artículo trato de trazar un mapa claro de todos estos conceptos, sus solapamientos y sus diferencias, y termino explicando por qué el sello electrónico remoto cualificado es una pieza técnica que los une a todos.

    1. El terreno de juego: dos grandes familias de obligaciones

    Antes de entrar en detalle, conviene distinguir dos líneas normativas que a menudo se confunden porque comparten vocabulario pero tienen objetivos distintos:

    • Las obligaciones de control fiscal (SII, Veri-factu): nacen de la potestad de la Agencia Tributaria para verificar en tiempo real —o casi— que las facturas emitidas existen y son íntegras. El destinatario de la información es la Administración.
    • La obligación de facturar electrónicamente entre empresas (Ley 18/202 Crea y Crece / Real Decreto 238/2026)
    • ): nace del derecho del acreedor a recibir su factura en formato estructurado y de la ambición de reducir la morosidad. El destinatario es el cliente B2B.

    Son obligaciones que pueden coexistir, complementarse y, en muchos casos, satisfacerse con la misma infraestructura técnica, pero que responden a lógicas diferentes.

    2. El SII: el pionero del reporte en tiempo real

    El Suministro Inmediato de Información (SII) se introdujo en 2017 (Real Decreto 596/2016) y obliga a determinados contribuyentes —grandes empresas, grupos de IVA, inscritos en el REDEME— a enviar a la AEAT los registros de facturación en un plazo máximo de cuatro días hábiles desde la expedición o recepción de la factura.

    ¿Qué se envía?

    No se envía la factura en sí, sino un registro de facturación en XML con los campos esenciales (fecha, importe, NIF, tipo de IVA…). La factura original puede seguir siendo en papel o en cualquier formato, siempre que el registro llegue a tiempo.

    ¿Quién está obligado?

    Hoy en día están obligados al SII unos 62.000 contribuyentes que representan aproximadamente el 80 % de la recaudación de IVA en España. Para el resto, sigue siendo voluntario.

    La llave técnica: certificado de empresa (sello)

    Las comunicaciones al SII se realizan mediante servicios web de la AEAT, autenticados con el certificado de representante de persona jurídica o el certificado de sello de persona jurídica emitido por una autoridad de certificación cualificada. Esto ya anticipa la distinción que abordaremos más adelante sobre firma vs. sello.

    3. Veri-factu: integridad de secuencia en el registro en origen

    Veri-factu (oficialmente, el sistema de emisión de facturas verificables regulado por el Real Decreto 1007/2023 (modificado por RD 254/2025 y RD-ley 15/2025) y desarrollado por la Orden HAC/1177/2024) tiene una naturaleza diferente al SII: no es un sistema de envío a la Administración en tiempo real (aunque puede serlo), sino un sistema de integridad en origen.

    La idea central

    Todo software de facturación que no esté acogido al SII deberá, a partir de su entrada en vigor, generar facturas que:

    1. Incluyan un código QR que permita al receptor verificar la factura en la sede electrónica de la AEAT.
    2. Incorporen un mecanismo de hashes encadenados en el sistema de control de llevanza de facturas consecutivas, de modo que cualquier alteración posterior sea detectable (adición o eliminación de registros).
    3. Puedan enviarse a la AEAT de forma voluntaria (modalidad VERI*FACTU) o simplemente conservarse en el sistema del emisor (modalidad de registro seguro) a disposición de que lo solicite la AEAT.

    ¿Quién está obligado?

    Todos los empresarios y profesionales no obligados al SII que utilicen sistemas informáticos de facturación, con las excepciones habituales (contribuyentes que ya están en el SII quedan fuera del ámbito de Veri-factu, precisamente porque ya reportan la información al instante).

    Fecha de entrada en vigor

    Tras el Real Decreto-ley 15/2025, de 2 de diciembre

    • Personas jurídicas (Entidades del Impuesto sobre Sociedades): 1 de enero de 2027
    • Personas físicas (autónomos): 1 de julio de 2027

    En resumen: el SII manda el registro a Hacienda; Veri-factu garantiza que el origen de la factura no ha sido manipulado y facilita la verificación posterior. Son excluyentes

    4. La factura electrónica B2B: la Ley Crea y Crece

    La Ley 18/2022, de creación y crecimiento de empresas (conocida como Ley Crea y Crece), establece en su artículo 12 la obligación de facturar electrónicamente entre empresarios y profesionales en sus relaciones B2B. Esta obligación se concreta en el Real Decreto 238/2026, de 25 de marzo que señala la futura publicación de la Orden Ministerial para dar cobertura a la solución pública gestionada por la AEAT

    Plazos de aplicación efectiva (contados desde la publicación de la Orden Ministerial de desarrollo de la solución pública de facturación electrónica):

    • 12 meses → empresas con volumen de operaciones > 8 millones €.
    • 24 meses → resto de empresarios y profesionales.

    Durante los primeros 12 meses las grandes empresas podrán acompañar la factura electrónica con un PDF legible (salvo que el cliente acepte expresamente el formato estructurado).

    ¿Qué exige?

    • Que la factura se emita en un formato estructurado (UBLCIIEDIFACT Facturae) y se transmita por plataformas de intercambio interoperables.
    • Que las plataformas —tanto la pública (FACeB2B) como las privadas acreditadas— garanticen la autenticidad e integridad de las facturas.
    • Que el receptor no pueda rechazar la recepción de facturas electrónicas. La eliminación del requisito de aceptación del destinatario en el artículo 232 de la Directiva del IVA es el cambio del paquete “IVA en la era digital” (ViDA) con la Directiva 2025/516, el Reglamento 2025/517 y el Reglamento de Ejecución 2025/518 que permite a los Estados miembros hacer obligatoria la factura electrónica también para el receptor.

    ¿Qué no es la factura electrónica?

    Un PDF enviado por correo electrónico no es una factura electrónica a efectos de la Ley Crea y Crece, aunque la normativa de IVA lo tolere cuando hay acuerdo entre partes. La factura electrónica en sentido estricto requiere un formato estructurado y un canal de transmisión que garantice la autenticidad.

    La firma y el sello en la factura electrónica

    El reglamento Facturae y el estándar FacturaE ya exigen desde hace años la firma electrónica de la factura. Para una persona jurídica (empresa), lo que técnicamente corresponde es un sello electrónico —no una firma—, tal como veremos en el apartado dedicado a esta distinción.

    5. Los regímenes forales: Navarra y el País Vasco

    España no tiene un sistema tributario unitario. El régimen foral de Navarra y de los tres Territorios Históricos vascos (Álava, Gipuzkoa y Bizkaia) les otorga competencia normativa propia en materia de IRPF, Impuesto de Sociedades e IVA (en el caso vasco, a través del Concierto Económico; en el caso navarro, mediante el Convenio Económico) del art. 45.3 LORAFN (Ley Orgánica 13/1982). El nuevo RD 238/2026 incluye una disposición adicional específica para garantizar la interoperabilidad.

    ¿Los regímenes forales tienen su propio SII y Veri-factu?

    Sí, y este es un punto que sorprende a muchos:

    RégimenSIIVeri-Factu equivalenteFactura electrónica B2B (RD 238/2026)
    Territorio Común (AEAT)Real Decreto 596/2016RD 1007/2023 (plazos 2027)Obligatoria (plazos según volumen)
    País VascoPropio (a través de Concierto Económico)TicketBAIAdaptada vía acuerdos con Haciendas Forales
    NavarraPropio (Convenio Económico)Sistema equivalente (NaTicket u homólogo)Adaptada vía acuerdos con Hacienda Foral

    TicketBAI y BATUZ: el adelanto vasco

    TicketBAI es el sistema de facturación verificable del País Vasco, conceptualmente muy similar a Veri-factu pero anterior en el tiempo: encadena facturas con hash, genera un código QR verificable y exige que el software de facturación esté certificado por las Haciendas Forales. BATUZ es el proyecto más amplio que incluye TicketBAI y el sistema de libros de registro (LROE – Libro de Registro de Operaciones Económicas), que sustituye a los modelos 130, 303 y 347 para los contribuyentes vascos.

    El País Vasco, en definitiva, ha sido el laboratorio de lo que luego se ha exportado al territorio común como Veri-factu.

    Implicaciones prácticas para empresas que operan en ambos territorios

    Una empresa con sede en Madrid que venda a clientes en el País Vasco no está obligada a TicketBAI (esa obligación recae sobre los contribuyentes del foro vasco). Sin embargo, si tiene un establecimiento permanente en Bizkaia o es contribuyente foral, sí aplica. Las empresas que operan en ambos territorios deben implementar sistemas que puedan adaptarse a ambas normativas, o invertir en soluciones que soporten múltiples regímenes.

    6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara

    Llegamos al punto que, en mi opinión, genera más confusión técnica y jurídica en todo este ecosistema.

    Lo que dice la normativa tributaria

    El artículo 10 del Real Decreto 1619/2012 (Reglamento de facturación) exige que las facturas electrónicas garanticen la autenticidad del origen y la integridad del contenido mediante firma electrónica avanzada basada en certificado reconocido o cualificado. Muchos textos normativos recientes hablan genéricamente de «firma electrónica» sin mayor precisión.

    Lo que dice el Reglamento eIDAS (910/2014/UE)

    El Reglamento (UE) 910/2014 (eIDAS), que es de aplicación directa en toda la UE, establece una distinción fundamental:

    • La firma electrónica (electronic signature) es un mecanismo exclusivo de personas físicas. Solo una persona física puede «firmar» en sentido eIDAS.
    • El sello electrónico (electronic seal) es el mecanismo equivalente para personas jurídicas: acredita el origen y la integridad de un documento emitido por una organización, sin que deba intervenir ninguna persona física concreta.

    Esta distinción no es un tecnicismo menor: una empresa que «firma» una factura con el certificado personal de su director financiero está creando un vínculo jurídico innecesario con esa persona física, exponiéndola a responsabilidades que en realidad son de la empresa. Además, cuando esa persona cambia de cargo o abandona la empresa, el sistema deja de funcionar o genera facturas con certificados caducados.

    ¿Por qué la normativa tributaria no lo deja claro?

    La normativa tributaria española se redactó —y en muchos casos sigue redactándose— con anterioridad o sin plena integración del enfoque eIDAS. Cuando el Reglamento de facturación habla de «firma electrónica reconocida», hay que leerlo como un requisito de nivel de garantía equivalente al de un sello electrónico cualificado cuando quien emite la factura es una persona jurídica. La Directiva sobre facturación electrónica (2014/55/UE) y los estándares EN 16931 ya apuntan en esta dirección.

    La lectura correcta, por tanto, es:

    • Si emite la factura una persona física (autónomo): usa firma electrónica cualificada.
    • Si emite la factura una persona jurídica (empresa, sociedad): usa sello electrónico cualificado.

    El sello electrónico cualificado es el mecanismo técnico que garantiza la autenticidad e integridad tanto en Veri-Factu, en el SII como en la nueva factura electrónica B2B. Es la misma tecnología que ya se podía usar para el SII y que ahora se extiende al resto de obligaciones.”

    7. El sello electrónico cualificado remoto: la pieza que lo une todo

    Tanto el SII como Veri-factu, TicketBAI/BATUZ y la factura electrónica B2B requieren que las facturas o los mensajes transmitidos a las Administraciones vayan autenticados con un certificado válido de la persona jurídica emisora. El sello electrónico cualificado es el instrumento técnico-jurídico adecuado para ello.

    La evolución más relevante de los últimos años es la consolidación del sello electrónico remoto: el material criptográfico (la clave privada) reside en un HSM (dispositivo cualificado de creación de firma en la nube), operado por un prestador de servicios de confianza cualificado (QTSP). El software de facturación invoca el sello a través de una API sin necesidad de gestionar localmente ningún certificado ni hardware.

    Ventajas del sello remoto cualificado para la facturación

    EscenarioBeneficio del sello remoto
    SII (envíos masivos a AEAT)El servidor de facturación sella miles de registros por segundo sin gestión local de tokens
    Veri-factu (hash + QR)Cada factura queda sellada en origen de forma automática e integrada en el flujo de negocio
    TicketBAI / BATUZLos sistemas de facturación para el País Vasco ya prevén integración con APIs de sello remoto
    Factura electrónica B2BLas plataformas de intercambio pueden sellar en nombre de la empresa emisora sin depender de certificados locales que caducan o se pierden
    Factura electrónica en NavarraEl sello remoto permite centralizar la emisión aunque la empresa opere bajo el Convenio Económico

    8. Cuadro comparativo final

    ConceptoQuién obligaA quién aplicaQué garantizaInstrumento de autenticación
    SIIAEAT (territorio común)Grandes empresas y grupos de IVAReporte de registros en tiempo realCertificado de sello / representante de PJ
    Veri-factuAEAT (territorio común)Resto de empresarios no en SIIIntegridad en origen + verificación QRHash encadenado + sello en envío voluntario
    TicketBAI / BATUZHaciendas Forales vascasContribuyentes forales vascosIntegridad en origen + reporte LROECertificado reconocido / sello
    SII foral navarroHacienda Foral NavarraContribuyentes de NavarraReporte de registrosCertificado emitido bajo normativa foral
    Factura electrónica B2BLey Crea y Crece + reglamento pendienteTodos los empresarios y profesionalesFormato estructurado + autenticidad e integridadSello electrónico cualificado de la PJ emisora

    9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado

    Si tu empresa necesita adaptarse a alguno —o a varios— de los marcos normativos descritos en este artículo, la pieza transversal que simplifica todos los escenarios es el sello electrónico remoto cualificado.

    EADTrust es un prestador de servicios de confianza cualificado (QTSP) inscrito en la Lista de Confianza española (TSL), que ofrece servicios de sello electrónico remoto cualificado en la nube especialmente orientados a entornos de facturación masiva. Sus características clave:

    • Alta disponibilidad y escalabilidad: apropiado para entornos SII con miles de operaciones diarias.
    • Integración por API: los sistemas de facturación (ERP, plataformas B2B, software de TicketBAI) se conectan sin cambios de arquitectura.
    • Cumplimiento eIDAS y normativa tributaria española: el sello es cualificado conforme al Reglamento 910/2014, lo que cubre los requisitos de autenticidad e integridad exigidos por el Reglamento de facturación y la Ley Crea y Crece.
    • Soporte multi-régimen: el mismo sello sirve para el SII de la AEAT, para Veri-factu, para plataformas de intercambio B2B y para los entornos forales vascos y navarro.
    • Gestión del ciclo de vida del certificado: renovaciones, revocaciones y auditorías sin impacto en los sistemas del cliente.

    Si quieres más información sobre cómo integrar el sello remoto cualificado de EADTrust en tu plataforma de facturación, puedes contactar con su equipo técnico llamando al 917160555 (también 902 365 612) o consultar la documentación disponible en su web.

    Conclusión

    El ecosistema de la facturación en España es, como hemos visto, un mosaico de obligaciones con distinto origen normativo, distinto ámbito subjetivo y distintos plazos. La buena noticia es que todos estos marcos comparten una misma necesidad técnica: garantizar la autenticidad e integridad de las facturas mediante criptografía. Y la solución idónea para las personas jurídicas —que es la inmensa mayoría de los obligados— es el sello electrónico cualificado, preferiblemente en modalidad remota para facilitar la integración y la escalabilidad.

    La distinción entre firma (personas físicas) y sello (personas jurídicas) que establece el Reglamento eIDAS no es un detalle menor: es el fundamento jurídico que da validez duradera a todos los documentos electrónicos que emitimos como empresas. Leer la normativa tributaria con las gafas de eIDAS no es optativo: es necesario para implementar bien.

    ¿Tienes dudas sobre qué sistema aplica a tu empresa o cómo integrar el sello remoto en tu plataforma? Llámanos al 917160555 o al 902 365 612.

    Evento sobre Identidad Digital Europea el 28 de abril en el Observatorio Legaltech Garrigues-ICADE

    Deja un comentario

    El Observatorio Legaltech Garrigues-ICADE, está organizando la jornada: “La Cartera de Identidad Digital de la Unión Europea: implementación y transformación de la gestión de la identidadque tendrá lugar el 28 de abril de 2026, de 18:00 a 21:00, en el Comillas Conecta Lab de la Universidad Pontificia Comillas (Madrid).

    Se puede participar de forma presencial y online. Hay que Indicarlo en el formulario de inscripción

    Sesión práctica desde el Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE para tratar sobre el marco legal, operación y gobierno de la nueva identidad digital europea.

    Se presentarán enfoques y arquitecturas de despliegue, con resultados de proyectos piloto europeos contados por quienes los han construido. Se abordarán los estándares disponibles para Declaraciones Electrónicas de Atributos (DEA) (considerando sus 3 modalidades) y sus oportunidades en el mercado y la sociedad europea.

    La sesión reunirá a expertos del ámbito público, tecnológico y jurídico para analizar el estado de despliegue de la European Digital Identity Wallet (EUDI Wallet), los avances derivados de eIDAS2 y las experiencias prácticas de implementación en los pilotos europeos.

    Ya tenemos un primer borrador de las intervenciones previstas:

    Bienvenida y apertura. Albi Rodríguez Jaramillo, coordinador del Observatorio Legaltech Garrigues-ICADE.

    Hoja de ruta de la Cartera de Identidad Digital de la UE. Ainhoa Inza Blasco, Responsable de Políticas Tecnológicas de EADTrust.

    La Cartera Nacional Española. La implementación desde el Estado con Angel Luis Martín Bautista, Subdirector del Departamento de Tecnologías Disruptivas e Integridad de la Información. de la Agencia Estatal de Administración Digital y Sancho Canela Sancho, Experto Senior de Identidad Digital y Director de Proyectos en NTT Data.

    Las Declaraciones Electrónicas de Atributos (DEA) en Poderes y Representación. Referencias al Catálogo Estatal de Apoderamientos (CEA) impulsado por el Ministerio de Justicia. Moisés Menéndez Andrés, codirector del Observatorio Legaltech Garrigues-ICADE.

    Panel: Pilotos Europeos y casos de uso

    • DC4EU, con Lluis Alfons Ariño Martín Adjunto a la Dirección y Comisionado de Gobierno Abierto y TIC de la Universitat Rovira i Virgili y Nacho Alamillo Domingo– Director – Astrea La Infopista Jurídica S.L.
    • EWC. con Ivan Basart Carrillo, Director de eWallet y de los Productos de Firma Electrónica en España. en Signaturit (Namirial)
    • WEBUILD. con Raquel Garay Ruiz De Azúa, Responsable del Área de Cumplimiento de Izenpe.

    El reto de desarrollo de ecosistema: una experiencia práctica, –Lucas Carmona Ampuero – Director de Identidad Digital Descentralizada de Teknei

    Consideraciones sobre la certificación de Carteras y Cierre. Julián Inza Aldaz, Presidente EAD Trust y miembro del Ad Hoc Working Group on EU Digital Identity Wallets Cybersecurity Certificaction de Enisa.

    La Factura Electrónica ya es casi obligatoria en España tras el Real Decreto 238/2026

    1 respuesta

    El 31 de marzo de 2026 se publicó en el BOE el Real Decreto 238/2026, de 25 de marzo, que desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales (B2B), que repasaremos en este artículo.

    Esta norma representa, por fin, la concreción reglamentaria de una obligación que ya se esbozaba en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

    Han pasado casi veinte años desde que aquella ley estableciera la regulación sobre factura electrónica en el sector público (remitiendo a futuros cambios en la normativa de contratación en el sector público) y anunciándola también para el sector privado —con el objetivo de impulsar la digitalización, reducir costes operativos y reducir la morosidad— hasta que el Real Decreto 238/2026 la hace efectiva y operativa para todo el tejido empresarial español.

    El retraso es injustificable y ha privado durante dos décadas a pymes y autónomos de los beneficios de la trazabilidad digital y la agilidad en los cobros.

    Como autor del Manual de Factura Electrónica, cuya edición de 2010, fue la tercera versión y la de 2006 (y el grupo de trabajo de factura electrónica de ASIMELEC que la auspició ) llegó a influenciar la publicación de a Ley 56/2007), yo mismo anticipaba con entusiasmo los avances que traería la generalización la factura electrónica. Hoy, casi dos décadas después, celebro que el RD 238/2026

    En sus páginas ya analizaba los primeros pasos en el sector público y defendía su extensión al ámbito privado como herramienta clave de modernización. Hoy, casi dos décadas después, celebro que el RD 238/2026 cierre por fin ese círculo, aunque con un retraso que ha lastrado la competitividad de nuestras empresas.

    Contexto y objetivos del Real Decreto 238/2026

    El decreto desarrolla expresamente el artículo 2 bis de la Ley 56/2007, modificado por la Ley 18/2022 de creación y crecimiento de empresas, y su disposición adicional vigesimoprimera, introducida por la Ley 7/2024. Lo que en 2007 se planteó como un marco general de impulso a la sociedad de la información se convierte ahora en obligación concreta para todas las operaciones B2B.

    Sus objetivos principales son los mismos que inspiraron la Ley 56/2007:

    • Reducir la morosidad comercial mediante la trazabilidad real de los plazos de pago.
    • Digitalizar procesos y ahorrar costes administrativos en empresas y profesionales.
    • Mejorar la información tributaria disponible para la AEAT y luchar contra el fraude fiscal.
    • Garantizar la interoperabilidad entre plataformas privadas de facturación y la solución pública gratuita de la AEAT.
    • Alinearse con las directivas europeas sobre morosidad y facturación electrónica.

    La norma consta de 15 artículos, 7 disposiciones adicionales, 3 transitorias y 4 finales. Su entrada en vigor se produce el 20 de abril de 2026, si bien la aplicación efectiva quedará supeditada a la futura orden ministerial que desarrolle la solución pública de la AEAT.

    Una advertencia importante: el retraso no es solo una cuestión histórica. Durante estos casi veinte años, miles de empresas han seguido gestionando facturas en papel o en PDF no estructurados, con todos los costes, errores y retrasos en cobros que la Ley 56/2007 ya pretendía evitar. Ese lastre sigue siendo real.

    ¿A quien afecta? Ámbito de aplicación y excepciones

    La obligación afecta a todos los empresarios y profesionales que deban expedir facturas conforme al Reglamento de facturación (RD 1619/2012), cuando el destinatario sea otro empresario/profesional establecido en España.

    Excepciones principales

    • Facturas simplificadas (salvo las cualificadas, que sí quedan incluidas).
    • Exclusiones sectoriales específicas debidamente justificadas.
    • Determinados sectores regulados: operadores energéticos e IATA.
    • País Vasco y Navarra: se aplicarán mediante acuerdos con las respectivas Haciendas Forales.

    El “Sistema Español de Factura Electrónica”

    El artículo 5 crea el llamado «Sistema Español de Factura Electrónica», que se articula en torno a dos elementos:

    • Plataformas privadas de facturación, que deberán cumplir los requisitos técnicos y de seguridad establecidos en la norma.
    • La solución pública gratuita de la AEAT, que actuará como canal universal, repositorio centralizado y sistema de seguimiento de estados.

    Las empresas podrán elegir libremente entre ambas opciones. Sin embargo, cuando se use una plataforma privada, será obligatorio remitir una copia fiel de cada factura a la plataforma pública. Si no existe acuerdo entre las partes sobre la plataforma a utilizar, se aplicará por defecto la solución pública.

    Requisitos técnicos de la factura electrónica

    El artículo 7 establece que todas las facturas electrónicas deberán cumplir tres condiciones simultáneamente:

    • Formato estructurado conforme a la norma europea EN 16931. Los formatos admitidos son UBL, CII, EDIFACT y Facturae.
    • Firma electrónica avanzada basada en certificado cualificado (en el caso de empresas, sello electrónico avanzado basado en certificado cualificado) om mejor, firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado), que garantice la autenticidad e integridad del documento firmado o sellado electrónicamente.
    • Código único identificador de la factura.

    La elección del formato UBL como estándar de la plataforma pública es, a mi juicio, muy acertada. Es un formato maduro, interoperable y con amplia adopción internacional. De hecho, tuve la oportunidad de colaborar en la definición de la firma electrónica asociada a este formato dentro del grupo de trabajo de OASIS.

    FormatoDescripciónObservaciones
    UBLUniversal Business Language (OASIS)Formato elegido por la AEAT para su plataforma pública
    CIICross Industry Invoice (UN/CEFACT)Norma europea EN 16931
    FacturaeFormato español preexistenteCompatible con el sistema; ya usado en B2G
    EDIFACTEstándar EDI clásicoPara sectores con implantación previa

    Interoperabilidad entre plataformas privadas

    Los artículos 8 y 9 establecen la obligación de interconexión entre plataformas privadas. Cuando un cliente lo solicite, las plataformas deberán establecer esa conexión de forma gratuita y en un plazo máximo de un mes. Esta medida es esencial para evitar que la fragmentación del mercado genere fricciones operativas entre empresas que usen distintos operadores.

    Obligaciones de información: estados de las facturas y pagos

    Uno de los elementos más relevantes del decreto para la lucha contra la morosidad son las obligaciones de información sobre el ciclo de vida de la factura:

    • El destinatario de la factura dispone de 4 días naturales para comunicar su aceptación o rechazo.
    • También debe notificar el pago completo en el mismo plazo desde que se produzca.
    • Todos estos datos se remiten automáticamente a la AEAT, que los utilizará para elaborar indicadores públicos de morosidad comercial.

    Esta trazabilidad en tiempo real es, probablemente, el avance más importante del decreto desde el punto de vista de la salud financiera de pymes y autónomos. Por primera vez existirá información sistemática y verificable sobre el cumplimiento de los plazos de pago en España.

    Requisitos de las plataformas privadas

    El artículo 13 establece que las plataformas privadas de facturación electrónica deberán cumplir, entre otros, los siguientes requisitos:

    • Certificación ISO/IEC 27001 de gestión de la seguridad de la información.
    • Uso de protocolos seguros AS2 o AS4 para el intercambio de facturas.
    • Implementación de firma electrónica conforme a los requisitos del decreto.
    • Plan de continuidad de negocio documentado.
    • Cumplimiento de la norma UNE 0080.

    Calendario de implantación: ¿cuándo me afecta a mí?

    El siguiente cuadro resume los hitos clave del calendario de implantación:

    Fecha / HitoEmpresas afectadasObligación
    20 de abril de 2026TodasEntrada en vigor del RD 238/2026
    Tras la Orden Ministerial AEATTodasArranca el cómputo de plazos de implantación
    12 meses tras la OMVolumen > 8 M€/añoObligación efectiva de emitir facturas electrónicas
    24 meses tras la OMResto de empresas y autónomosObligación efectiva de emitir facturas electrónicas

    Importante: el punto de partida del reloj no es el 20 de abril de 2026 (entrada en vigor del RD), sino la fecha en que se publique la orden ministerial que regule la solución pública de la AEAT. Hasta ese momento, las empresas deberán prepararse técnica y organizativamente, pero la obligación formal aún no será exigible.

    Durante el período transitorio, se permitirá el envío de la factura en formato PDF como complemento a la factura electrónica estructurada, y la AEAT pondrá a disposición entornos de pruebas para facilitar la adaptación.

    Implicaciones prácticas: ¿qué deben hacer las empresas?

    El momento de actuar es ahora. Aunque la obligación efectiva aún no es exigible, las empresas que empiecen a prepararse hoy tendrán una ventaja competitiva clara y evitarán adaptaciones de última hora costosas y arriesgadas.

    1. Audita tu situación actual

    Identifica qué sistema de facturación utilizas actualmente, qué volumen de facturas B2B emites y recibes, y si ya trabajas con algún software compatible con los formatos estructurados exigidos (UBL, CII, Facturae, EDIFACT).

    2. Evalúa si tu software actual es suficiente

    Muchos programas de contabilidad y ERP ya ofrecen soporte para factura electrónica estructurada. Consulta con tu proveedor si la versión actual cumple con EN 16931 y si podrá conectarse con la plataforma pública de la AEAT cuando esté operativa.

    3. Decide entre plataforma privada y pública

    Si emites un volumen elevado de facturas o tienes necesidades avanzadas de integración con tu ERP, una plataforma privada puede ser más adecuada. Para pymes y autónomos con volumen moderado, la solución pública gratuita de la AEAT puede ser suficiente. En cualquier caso, ambas opciones son complementarias, no excluyentes.

    4. Obtén los certificados de firma electrónica necesarios

    La norma exige firma electrónica (en realidad, sello electrónico) basados en certificado cualificado o bien firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado) en todas las facturas. Si aún no dispones de un certificado cualificado de sello electrónico para tu empresa o de un servicio de sellado remoto integrable con tu software de facturación, este es el momento de solicitarlo a EADTrust.

    5. Prepárate para informar sobre estados y pagos

    La obligación de notificar la aceptación, rechazo y pago de facturas en 4 días naturales implica adaptar los procesos internos de tu departamento financiero o de administración. Asegúrate de que tus flujos de trabajo internos y tu software contemplan esta funcionalidad.

    Valoración crítica: luces y sombras del RD 238/2026

    El decreto es, en conjunto, positivo y necesario. Sin embargo, con más de quince años de experiencia en el ámbito de la factura electrónica, identifico algunos aspectos mejorables:

    • La norma llega veinte años tarde. Ese retraso tiene un coste real y mensurable en términos de morosidad acumulada, costes administrativos innecesarios y pérdida de competitividad de las empresas españolas frente a países europeos que implantaron la facturación electrónica B2B hace años.
    • La aplicación efectiva queda supeditada a una orden ministerial cuya fecha de publicación es incierta. Esto introduce incertidumbre en la planificación empresarial.
    • La fragmentación de plataformas privadas podría generar fricciones si los mecanismos de interoperabilidad no funcionan ágilmente en la práctica. La obligación de interconexión en un mes es un paso en la dirección correcta, pero habrá que vigilar su cumplimiento.
    • La elección del formato UBL para la plataforma pública es acertada. Es un estándar maduro, bien documentado y con amplia adopción internacional, que facilitará la integración con sistemas europeos.
    • Los indicadores de morosidad que elaborará la AEAT son una herramienta muy valiosa que debería complementarse con mecanismos de transparencia y, eventualmente, con consecuencias para las empresas con peor comportamiento de pago.

    Modificaciones al Reglamento de Facturación

    La disposición final primera del decreto introduce ajustes puntuales en el Real Decreto 1619/2012 (Reglamento de facturación) para adaptarlo al nuevo régimen de facturación electrónica obligatoria. Estos cambios afectan principalmente a la definición de factura electrónica y a los requisitos de autenticidad e integridad.

    Conclusión

    El Real Decreto 238/2026 es un paso adelante largamente esperado. Supone la concreción real de un mandato que lleva veinte años en el ordenamiento jurídico español sin materializarse de forma operativa para el sector privado.

    La norma tiene virtudes claras: apuesta por estándares europeos e internacionales, garantiza la gratuidad de la solución pública, establece mecanismos de interoperabilidad y crea la infraestructura para luchar contra la morosidad de forma sistemática. También tiene sombras: llega tarde, delega la operatividad real en una orden ministerial pendiente y genera cierta incertidumbre en el calendario.

    Mi recomendación es no esperar a esa orden ministerial para empezar a prepararse. Las empresas que comiencen ahora a auditar sus sistemas, seleccionar plataformas y obtener los certificados necesarios estarán en una posición mucho mejor cuando llegue el momento de la obligación efectiva.

    ¿Tienes dudas sobre cómo adaptarte al nuevo sistema? Para la obtención de certificados de sello electrónico avanzado o cualificado, o para integrar un servicio de sellado remoto en tu aplicación de facturación, puedes contactar con EADTrust en el teléfono 91 716 05 55 o en el 902 365 612.

    Publicado el nuevo Reglamento de Ejecución (UE) 2026/798 para el desarrollo de la Cartera IDUE

    Deja un comentario

    Ayer, 8 de abril de 2026, se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO DE EJECUCIÓN (UE) 2026/798 DE LA COMISIÓN de 7 de abril de 2026 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia y especificaciones para la incorporación a distancia de usuarios a las carteras europeas de identidad digital por medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia cuando la combinación cumpla los requisitos del nivel de seguridad alto.

    Este acto de ejecución se basa en el artículo 5 bis, apartado 24, del Reglamento eIDAS (UE) 910/2014.

    Su objetivo es fijar normas técnicas y especificaciones armonizadas para permitir la incorporación remota (onboarding) segura de usuarios a las carteras europeas de identidad digital (EUDI Wallets), utilizando medios de identificación electrónica (eID) de nivel de seguridad sustancial, y procedimientos adicionales para alcanzar el nivel alto. Esto garantiza confianza, seguridad y coherencia en toda la UE.

    Los «Considerandos» principales:

    • La incorporación remota es esencial para verificar la identidad del usuario y vincularla a la cartera y al dispositivo.
    • Se utilizan normas ya consolidadas (basadas en ETSI) adaptadas al contexto de las carteras europeas.
    • Cuando el eID ya tiene nivel alto, no es necesario repetir verificaciones.
    • Para eID no notificados, se exige evaluación por organismos acreditados.
    • Se aplican plenamente las normas de protección de datos (RGPD, Reglamento 2018/1725 y Directiva 2002/58/CE).

    Incluye 2 artículos:

    • Artículo 1: Establece que las normas de referencia y especificaciones aplicables figuran en el Anexo.
    • Artículo 2: Entrada en vigor y aplicabilidad (ver abajo).

    El Anexo remite a la norma ETSI TS 119 461 V2.1.1 (febrero 2025) y selecciona/adapta sus cláusulas para dos escenarios:

    1. Incorporación remota con eID de nivel sustancial (Baseline LoIP).
    2. Procedimientos adicionales para alcanzar nivel alto (Extended LoIP).

    Sección 1 – Cláusulas aplicables (selección de la ETSI TS 119 461):

    • Gestión de riesgos operativos, políticas y prácticas, gestión del servicio de verificación de identidad, requisitos del servicio, casos de uso concretos (con documento de identidad atendido/no atendido, por autenticación con eID, y refuerzo de nivel).

    Sección 2 – Adaptaciones específicas (modificaciones importantes):

    • Evaluación de riesgos y políticas de prácticas.
    • Gestión del servicio (notificaciones, conservación de pruebas, gestión de crisis, acuerdos de cese).
    • Protección de datos por diseño y por defecto (limitación de datos biométricos).
    • Requisitos de verificación de identidad: uso de eID notificados o certificados por organismo acreditado, captura de imagen facial segura (comunicación de campo cercano con chip), tasas de falsa aceptación/rechazo (FAR/FRR).
    • Refuerzo de nivel: procedimientos para pasar de Baseline a Extended LoIP (solo cuando no se usó comparación facial automatizada).

    Todo el proceso debe cumplir los requisitos de los Reglamentos de Ejecución (UE) 2015/1502 y ETSI EN 319 401.

    Disposiciones finales

    • Entrada en vigor: a los veinte días de su publicación en el DOUE (es decir, el 28 de abril de 2026).
    • Aplicabilidad: obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.

    Con este acto de ejecución se confirma que decae (pierde aplicabilidad efectiva) la Orden ETD/465/2021 en el contexto de la incorporación remota a las carteras europeas de identidad digital (EUDI Wallets) y en las evaluaciones de conformidad de sistemas de verificación de identidad remota.

    Por esta razón:

    • El Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) y especialmente el Reglamento de Ejecución (UE) 2026/798 establecen un marco armonizado a nivel europeo.
    • Ambos remiten directamente a la norma ETSI TS 119 461 (versión 2.1.1 o posterior) como estándar único para la verificación de identidad remota.
    • La Orden ETD/465/2021 era una norma aplicable en España antes de la publicación del EIDAS2 (Reglamento UE 2024/1183) que detallaba cómo realizar la identificación remota y pierde sentido una vez publicada la norma europea armonizada ETSI TS 119 461.

    Todavía podría utilizarse la Orden ETD/465/2021 en España para la expedición de certificados cualificados “tradicionales” (no para gestionar la identidad en «wallets»). Pero para esa funcionalidad también es posible optar por aplicar la norma ETSI TS 119 461.

    Cambios a la norma ETSI TS 119 461

    El Anexo del Reglamento de Ejecución da indicaciones respecto a la forma de usar la norma de referencia:

    La conformidad se evalúa con arreglo a las cláusulas de ETSI TS 119 461 V2.1.1 (2025-02) enumeradas en la sección 1, con sujeción a las adaptaciones enumeradas en la sección 2.

    Sección 1 — Cláusulas aplicables

    5Operational risk assessment;
    6Policies and practices;
    7Identity proofing service management and operation;
    8Identity proofing service requirements;
    9.1Introduction, compliance with the present document, general requirements for all use cases;
    9.2.2Use cases using an identity document for attended remote identity proofing;
    9.2.3Use cases using an identity document for unattended remote identity proofing;
    9.2.4Use case for identity proofing by authentication using eID means;
    9.5Use cases for additional identity proofing to enhance an identity proven by use of an eID from Baseline LoIP to Extended LoIP.

    Sección 2 — Adaptaciones

    1)5Operational risk assessment
     OVR-5-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 5.
    Nota 1: Cuando la acreditación de la identidad sea realizada por el propio proveedor de datos de identificación de la persona, la evaluación de riesgos del proveedor de datos de identificación de la persona puede abarcar la acreditación de la identidad.
    2)6.1Identity proofing service practice statement
     OVR-6.1-02: Los prestadores de servicios de acreditación de la identidad (IPSP) identificarán en su declaración de prácticas los casos de uso para los que se declara la conformidad con el presente documento.
    Nota 1: Cuando la acreditación de la identidad sea realizada por el propio proveedor de datos de identificación de la persona, la declaración de prácticas del servicio de acreditación de la identidad del proveedor de datos de identificación de la persona puede abarcar la información sobre la acreditación de la identidad y no será necesaria ninguna declaración de prácticas específica para la acreditación de la identidad.
    3)7.9Vulnerabilities and incident management
     OVR-7.9-02: Las obligaciones de notificación con arreglo a la norma ETSI EN 319401 [1], REQ-7.9.2-02X y cláusula 7.9.3, se cumplirán según lo exigido por el contexto de la acreditación de la identidad y las obligaciones del proveedor de datos de identificación de la persona que se base en el servicio del IPSP.
    EJEMPLO: La notificación a la autoridad de control que supervise a un proveedor de carteras europeas de identidad digital establecido en el Estado miembro que efectúa la designación puede llevarse a cabo en cooperación entre el IPSP y el proveedor de datos de identificación de la persona.
    4)7.10Collection of evidence
     OVR-7.10-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 7.10.
    Nota 1: Los requisitos a largo plazo para la conservación de pruebas pueden ser cumplidos por el proveedor de datos de identificación de la persona que solicita la acreditación de la identidad en lugar de por el IPSP cuando ambos sean entidades diferentes.
    Nota 2: Se aplican los requisitos del punto 8.5.2 del presente documento.
    5)7.11Business continuity management
     OVR-7.11-02: Los procesos para la gestión de crisis con arreglo a la norma ETSI EN 319401 [1], REQ-7.11.3-01X, serán los requeridos por el contexto de la acreditación de la identidad y las obligaciones del proveedor de datos de identificación de la persona que se base en el servicio del IPSP.
    6)7.12Termination and termination plans
     OVR-7.12-01: Se aplicarán los requisitos especificados en la norma ETSI EN 319401 [1], cláusula 7.12, excepto REQ-7.12-11.
    Nota: Cuando el IPSP y el proveedor de datos de identificación de la persona que solicita la acreditación de la identidad sean entidades diferentes, pueden acordar una asistencia mutua o unilateral a la hora de establecer planes de cese.
    7)8.1Initiation
     INI-8.1-05: En caso de que el proceso de acreditación de la identidad a distancia se interrumpa o falle, el IPSP garantizará que se proporcionen a las personas explicaciones suficientes y vías de recurso, en particular en el caso de la acreditación de la identidad a distancia no atendida. La información debe garantizar que las personas puedan contribuir eficazmente a la rápida resolución del problema y, en caso necesario, ejercer sus derechos como interesados, como el derecho de rectificación o la posibilidad de impugnar la decisión, contra el responsable del tratamiento pertinente.
    8)8.2.1General requirements
     COL-8.2.1-08: El IPSP aplicará medidas para garantizar el cumplimiento de los requisitos de protección de datos desde el diseño y por defecto de conformidad con el artículo 25 del Reglamento (UE) 2016/679 durante el proceso de incorporación, especialmente en lo que respecta al tratamiento de datos biométricos. Las medidas pertinentes podrán consistir en controles criptográficos, dispositivos y medidas organizativas adecuados que mejoren la privacidad. Tales medidas deben limitar la recogida de datos a lo estrictamente necesario para el tratamiento de los datos biométricos y cualquier otro dato personal que deba recogerse de las fuentes físicas y digitales de identificación a fin de vincular los datos de identificación personal del usuario a sus carteras y al dispositivo del usuario en el que esté instalada la unidad de cartera.
    9)8.2.4Use of existing eID means as evidence
     [CONDICIONAL] COL-8.2.4-02X: Si el objetivo es el nivel básico de acreditación de la identidad (Baseline LoIP), los medios de identificación electrónica deberán haber sido notificados al menos como de un nivel de seguridad eIDAS sustancial o su nivel de seguridad deberá haber sido confirmado por un organismo de evaluación de la conformidad acreditado, tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, o por un organismo equivalente, y, si se cumplen todos los requisitos aplicables, la evaluación dará lugar a un certificado de conformidad basado en una auditoría de certificación. Este proceso de certificación formal se basará en un proceso de evaluación de la seguridad que se refiera a los niveles de seguridad definidos para los medios de identificación electrónica notificados o para las carteras europeas de identidad digital certificadas en virtud del Reglamento (UE) n.o 910/2014 [i.25].
    COL-8.2.4-02A: sin efecto.
    10)8.3.1General requirements
     VAL-8.3.1-11X: El proceso de acreditación de la identidad verificará que las pruebas sean válidas en el momento de la acreditación de la identidad.
    11)8.3.3Validation of physical identity document
     VAL-8.3.3-21: La eficacia de las medidas para cumplir los requisitos VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A y VAL-8.3.3-07X será confirmada por un organismo de evaluación de la conformidad acreditado, tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, o por un organismo equivalente.
    VAL-8.3.3-22: La imagen facial de referencia del documento físico de identidad se recogerá utilizando la comunicación de campo cercano y el proceso llevará a cabo la autenticación pasiva o activa del chip del documento físico de identidad.
    12)9.1Introduction, compliance with the present document, general requirements for all use cases
     USE-9.1-01X: Para ser conformes con el presente documento, los procesos de acreditación de la identidad se ajustarán al caso de uso de la cláusula 9.5 del presente documento para el nivel ampliado de acreditación de la identidad (Extended LoIP).
    USE-9.1-03X: sin efecto.
    13)9.2.3.4Use case for automated operation
     USE-9.2.3.4-04: El IPSP establecerá valores objetivo para la tasa de falsa aceptación (FAR) y la tasa de falso rechazo (RRF), sobre la base de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas, siguiendo la metodología establecida en el informe de ENISA «Methodology for sectoral cybersecurity assessments» («Metodología para las evaluaciones sectoriales de la ciberseguridad», documento en inglés) [i.28] o una metodología equivalente, en procesos de acreditación de identidad totalmente automatizados. Los valores objetivo utilizados por el IPSP serán iguales o inferiores a los establecidos para los casos de uso de carácter híbrido, cuando existan. El IPSP mantendrá estos valores objetivo para la FAR y la RRF de manera coherente, con el apoyo de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas.
    14)9.5.1General requirements
     Primer apartado: Cuando el solicitante sea una persona física, también una persona física que represente a una persona jurídica, y se haya acreditado la identidad del solicitante al nivel básico de acreditación de la identidad (Baseline LoIP) mediante autenticación utilizando una identificación electrónica, y se requiera un refuerzo hasta el Extended LoIP, se aplicarán los requisitos siguientes.
    USE-9.5.1-08: La acreditación de la identidad adicional necesaria para reforzar la fiabilidad de una identidad solo es aplicable a la identificación electrónica que no se haya expedido basándose en una comparación automatizada entre imágenes faciales para el proceso de expedición inicial.
    15)9.5.2Use case for enhancing identity proofing to Extended LoIP by a full identity proofing using an identity document
     USE-9.5.2-01: La acreditación de la identidad a fin de pasar del Baseline LoIP al Extended LoIP se ajustará a los requisitos del nivel ampliado de acreditación de la identidad de uno de los casos de uso descritos en las cláusulas 9.2.2 o 9.2.3 del presente documento para el Extended LoIP.
    16)9.5.3Use case for enhancing identity proofing to Extended LoIP by use of a previously captured reference face image
     USE-9.5.3-01: Para captar una imagen facial de referencia y vincular los atributos de identidad necesarios a dicha imagen, se utilizará un proceso de acreditación de la identidad que cumpla los requisitos del Extended LoIP de uno de los casos de uso descritos en las cláusulas 9.2.2 o 9.2.3 del presente documento, o el proceso de acreditación de la identidad ha sido revisado por pares o certificado por un organismo de evaluación de la conformidad acreditado definido en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008 o un organismo equivalente para cumplir el nivel de seguridad alto con arreglo al Reglamento (UE) n.o 910/2014 [i.25].

    Estos son requisitos que no se incluyen en la norma indicada: ETSI TS 119 461 V2.1.1 (2025-02) por lo que puede ser interesante tener una «norma» modificada como referencia.

    Mejoras del algoritmo TLS 1.3 para resistir la amenaza de la computación cuántica

    Deja un comentario

    «Criptocalipsis» o «Q-day»

    En el sector de la ciberseguridad a menudo preferimos anticiparnos a las amenazas. Por eso se ha acuñado el término «Criptocalipsis» —ese momento teórico en el que un ordenador cuántico sea lo suficientemente potente como para romper en poco tiempo la criptografía asimétrica que protege Internet (la base de los algoritmos de cifrado asimétrico y de firma electrónica como RSA y ECC)— .

    A ello ha contribuido las recomendaciones de los organismos de estandarización (IETF, NIST, ETSI, ISO) y los grandes proveedores de infraestructura que se toman en serio los riesgos detectados .

    Y el riesgo actual tiene un nombre técnico bastante inquietante: «Harvest Now, Decrypt Later» (Recolectar ahora, descifrar después).

    Cabe pensar que el tráfico cifrado que circula hoy por las redes podría estar siendo recogido y almacenado masivamente por organismos de algunos estados o por grandes organizaciones delictivas con recursos económicos a su disposición.

    La información que se guarda cifrada, sin conocer la clave de descifrado, parece poco útil, pero dentro de 5, 10 o 15 años, cuando llegue el llamado «Q-Day» (el día que un ordenador cuántico relevante esté operativo), esa «caja fuerte» de datos grabados hoy podría abrirse en espacios de tiempo cortos usando el algoritmo de Shor.

    Si la confidencialidad de los datos de las empresas y organismos (secretos industriales, comunicaciones diplomáticas, datos médicos a largo plazo) debe durar más de una década, la criptografía convencional podría no ser suficiente.

    Uno de los usos del cifrado se da en las comunicaciones seguras de los browsers o navegadores con los sitios web que tendrán instalado un certificado para que se pieda activar esa comunicación cifrada.

    El protocolo utilizado se llamaba antiguamente SSL pero ya no se usa esa denominación porque ese protocolo incluía importantes vulnerabilidades, que se han resuelto posteriormente.

    Ahora se emplea el protocolo TLS , la evolución del SSL, pero tampoco vale cualquier versión. No valen la versiones anteriores a la 1.2 y pronto dejará de utilizarse esta, conforme se generalice la versión TLS 1.3.

    Y en el protocolo se usa un certificado X.509 en el servidor en base al cual se gestiona el intercambio de claves

    1. Si un ataque en base a computación cuántica desvelara la clave privada del certificado, el atacante podría suplantar el servidor (lo que requeriría más operaciones para la suplantación como atacar los DNS). Incluso si eso sucede, habría indicios que permitirían al propietario del servidor web legítimo detectarlo y reaccionar.
    2. La Confidencialidad de las comunicaciones se basa en el intercambio de claves de cifrado: Si un ataque en base a computación cuántica desvelara la clave de cifrado, de un intercambio de información del pasado (preservada por el atacante), podría descifrar todo el intercambio de información.

    Por eso, la prioridad del IETF en su actualización del protocolo ha sido blindar el intercambio de claves. Y ya está publicado como estándar.

    Enfoque híbrido del intercambio de claves: compatibilidad y reforzamiento

    El reto en el intercambio de claves en TLS es que el objetivo de usar nuevos algoritmos postcuánticos (PQC) como Kyber (ahora estandarizado por NIST como ML-KEM), debería ser compatible con el uso de algoritmos muy probados como RSA o las Curvas Elípticas (ECC). ¿Qué pasa si al profundizar en los nuevos algoritmos se descubre una vulnerabilidad matemática no detectada en los análisis previos?

    La respuesta del IETF en el reciente estándar para TLS 1.3 es el pragmatismo puro: el Intercambio de Claves Híbrido.

    La idea es simple y práctica: no sustituir lo viejo por lo nuevo, sino usar ambos simultáneamente. Es una estrategia de «compatibilidad y refuerzo». Para que un atacante rompa la sesión, tendría que romper a la vez la criptografía clásica (X25519, híper probada) Y la nueva criptografía postcuántica (Kyber). Si el ordenador cuántico no da con la clave, nos protege la criptografía clásica. Si el ordenador cuántico expone la clave basada en criptografía clásica, nos protege la basada en criptografía postcuántica.

    3. Cómo funciona el nuevo «Handshake» TLS 1.3 Híbrido

    ¿Cómo se modifica un protocolo tan establecido como TLS 1.3 para negociar dos tipos de criptografía radicalmente distintos en una sola ida y vuelta, sin perder eficiencia?

    El cambio ocurre en las extensiones clave del handshake inicial:

    A. El Cliente propone (ClientHello)

    En un TLS 1.3 normal, el cliente usa la extensión supported_groups para decir «soporte la curva elíptica X25519» y la extensión key_share para enviar «aquí tienes mi mitad de la clave pública X25519».

    En el nuevo TLS híbrido, el cliente da un paso más:

    1. En supported_groups, indica soporte para nuevos identificadores «compuestos», por ejemplo, uno que significa específicamente «X25519 combinado con Kyber768».
    2. En el key_share, el cliente no envía solo una clave. Envía un paquete concatenado: [Su clave pública X25519] + [Su clave pública Kyber].

    B. El Servidor elige (ServerHello)

    El servidor recibe la propuesta. Si soporta ese grupo híbrido y decide usarlo:

    1. Selecciona el grupo compuesto.
    2. Genera sus propias claves para ambos algoritmos.
    3. Realiza la operación clásica Diffie-Hellman con la parte X25519.
    4. Utiliza el mecanismo de Encapsulación de Clave (KEM) de Kyber para generar un «secreto compartido» y encapsularlo para el cliente.
    5. Devuelve en su ServerHello el paquete: [Su clave pública X25519] + [El criptograma encapsulado de Kyber].

    C. La Magia: La Derivación de la Clave Maestra

    Este es el punto crítico. Al final de este intercambio, tanto cliente como servidor tienen en sus manos dos secretos compartidos distintos:

    • El secreto resultante del intercambio clásico (ECDH).
    • El secreto compartido desencapsulado del intercambio postcuántico (KEM).

    El estándar dicta que el key schedule de TLS 1.3 (la «coctelera» criptográfica que deriva las claves finales de cifrado simétrico AES o ChaCha20) debe combinar ambos secretos. Se introducen los dos ingredientes en la función de derivación.

    El resultado matemático es fundamental: la clave de sesión final resultante depende criptográficamente de ambos secretos. Si un atacante cuántico logra romper la parte de X25519 en el futuro, no le servirá de nada, porque le falta el ingrediente de Kyber para poder reconstruir la clave de sesión. La confidencialidad futura queda asegurada hoy.

    4. Una nota sobre el futuro de la Autenticación (Firmas y Certificados)

    Los lectores más atentos notarán que solo hemos hablado del intercambio de claves. ¿Qué pasa con el certificado que presenta el servidor para autenticarse?

    A día de hoy, ese certificado (el que emiten prestadores como EADTrust o Google) sigue utilizando firmas clásicas RSA o ECDSA. Como se ha indicado al principio, esto se considera un riesgo aceptable temporalmente, ya que romper esto solo permite ataques en tiempo real, no descifrado retroactivo.

    La migración a certificados con firmas postcuánticas es un desafío logístico mucho mayor que implicará actualizar todas las raíces de confianza en navegadores y sistemas operativos.

    Cuando llegue ese momento, la industria se debate entre varios candidatos del NIST. Mientras que Dilithium (ML-DSA) parece el estándar para propósito general, para casos de uso específicos como la firma de documentos y PDF, FALCON se perfila como una opción técnicamente superior debido a su eficiencia y al tamaño extremadamente compacto de sus firmas, algo crítico para no engordar innecesariamente los documentos electrónicos a largo plazo.

    Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los derechos digitales

    1 respuesta

    La Universidad Pontificia Comillas (ICADE) organiza los días 22 y 23 de abril de 2026 el Congreso del Observatorio de Derechos Digitales, bajo el título “Una mirada multidisciplinar a los Derechos Digitales”, en el que me han invitado a participar.

    El evento se celebrará de forma presencial en el Auditorio del Espacio de Investigación y Transferencia de la universidad, ubicado en la calle Rey Francisco 4, Madrid.

    El congreso, dirigido por los profesores Íñigo A. Navarro Mendizábal (Codirector del Observatorio Legaltech Garrigues-ICADE) y Ricardo Pazos Castro (Director del Centro Internacional de Investigación Jurídica Comillas-ICADE), tiene como objetivo principal analizar desde una perspectiva interdisciplinar los principales desafíos jurídicos y sociales que plantean las tecnologías digitales en la actualidad. Se abordarán cuestiones relacionadas con los derechos fundamentales en el entorno digital, con especial atención a su dimensión multidisciplinar.

    Información práctica

    • Fechas y horario: 22 de abril de 2026 (inicio a las 09:00 h) y 23 de abril de 2026 (cierre a las 13:15 h).
    • Lugar: Auditorio del Espacio de Investigación y Transferencia, Universidad Pontificia Comillas, C/ Rey Francisco 4, Madrid.
    • Formato: Exclusivamente presencial.

    La inscripción estará abierta desde el 27 de marzo de 2026 a las 08:00 h hasta el 21 de abril de 2026 a las 14:00 h.

    Se recomienda formalizar la inscripción a través del formulario disponible en la página oficial del evento, accesible en el siguiente enlace:
    https://eventos.comillas.edu/151346/detail/congreso-del-observatorio-de-derechos-digitales-una-mirada-multidisciplinar-a-los-derechos-digitale.html

    Este congreso representa una oportunidad para académicos, profesionales del derecho, responsables de políticas públicas y expertos en tecnología interesados en el análisis riguroso de los derechos digitales. La organización corresponde a la Facultad de Derecho de la Universidad Pontificia Comillas en el marco del Observatorio de Derechos Digitales.

    Para más detalles sobre el programa definitivo, ponentes y agenda, se recomienda consultar la página web del evento, donde se publicará la información actualizada a medida que se acerque la fecha de celebración.

    Si su actividad profesional o académica está relacionada con el derecho digital, la protección de datos, la ciberseguridad o la regulación de las tecnologías emergentes, este congreso constituye un espacio relevante para el intercambio de conocimiento y la reflexión conjunta.

    El Programa (sujeto a cambios), es el siguiente:

    22 de abril – mañana

    09:00-09:15. Recepción de los participantes

    09:15-09:30. Bienvenida

    Abel Veiga Copo, Decano de la Facultad de Derecho, Universidad Pontificia Comillas (ICADE)
    Pendiente de determinar, Red.es
    Íñigo A. Navarro Mendizábal, Profesor Propio Ordinario, Universidad Pontificia Comillas. Codirector del Observatorio Legaltech Garrigues-ICADE

    Primer bloque. LegalTech: identidad digital, privacidad y ciberseguridad
    Modera Íñigo A. Navarro Mendizábal
    Codirector del Observatorio Legaltech Garrigues-ICADE

    09:30-09:55. Derechos del ciudadano frente a la IA generativa: El Reglamento de Inteligencia Artificial y el Reglamento General de Protección de Datos.
    Alejandro Padín, Socio de Garrigues, responsable del área de Economía del Dato, Privacidad y Ciberseguridad

    09:55-10:20.   Arquitectura y Servicios de Confianza para una Identidad Digital Europea Centrada en el Usuario.
    Julián Inza, Presidente de EADTrust

    10:20-10:45.Debate

    10:45-11:10.   Pausa café

    Segundo bloque
    Modera Andrés Chomczyk Penedo
    Investigador posdoctoral, Universidad Pontificia Comillas

    11:10-11:35.   Título por determinar
    Edoardo Celeste, Associate Professor, Dublin City University

    11:35-12:00. La responsabilidad civil por daños causados por productos defectuosos. En especial, la inteligencia artificial.
    Ana I. Berrocal Lanzarot, Profesora Contratada Doctora (acred. a Profesora Titular) de Derecho Civil, Universidad Complutense de Madrid

    12:00-12:25.Debate

    12:25-12:30.   Pausa

    Tercer bloque. La disrupción tecnológica en el ámbito laboral.
    Modera Ana Belén Muñoz Ruiz.
    Profesora Titular (acred. a Catedrática) de Derecho del Trabajo y de la Seguridad Social, Universidad Carlos III de Madrid

    12:30-12:55.   ¿Neuroderechos laborales o Derechos Fundamentales aumentados?
    Jesús Mercader Uguina, Catedrático de Derecho del Trabajo y la Seguridad Social, Universidad Carlos III de Madrid

    12:55-13:20.   La irrupción de la IA en el ámbito retributivo.
    Ana Matorras Díaz-Caneja, Profesora Propia Ordinaria, Universidad Pontificia Comillas

    13:20-13:45.Debate

    13:45.              Comida

    22 de abril – tarde

    Primer bloque. Autoprotección, y protección de los vulnerables.
    Modera Myriam Cabrera Martín
    Directora de la Cátedra de Derechos del Niño

    16:00-16:25.   Nuevos hábitos y cultura en la época de la IA
    Jaime García Chaparro, Senior AI Engineer, Devoteam

    16:25-16:50.   Derechos de la infancia en el entorno digital
    Laura Barroso Gonzalo, Investigadora predoctoral, Universidad Pontificia Comillas

    17:15-17:40.Debate

    17:40-17:45.   Pausa

    Segundo bloque. Protección penal de la identidad y la intimidad en el entorno digital
    Modera María Quintas Pérez
    Profesora Ayudante Doctora, Universidad Pontificia Comillas

    17:45-18:10.   La suplantación de identidad digital.
    M.ª Eugenia Sanmartín, Magistrada del Tribunal de Instancia de Navalcarnero

    18:10-18:35.   Delitos contra la intimidad en el entorno laboral ligados a la vigilancia del uso de dispositivos digitales facilitados por el empleador.
    Javier Gómez Lanz, Profesor Propio Ordinario, Universidad Pontificia Comillas

    18:35-19:00.Debate

    19:00.             Fin de la primera jornada

    23 de abril – mañana

    Primer bloque: Transformación digital y fiscalidad
    Modera Francisco Javier Alonso Madrigal
    Codirector de la Cátedra Deloitte Legal de Tributación Empresarial

    09:30-09:55.   La digitalización y el papel de la inteligencia artificial en la AEAT
    Javier Hurtado, Inspector de Hacienda en AEAT
    Carlos Serrano, Socio de Deloitte Legal

    09:55-10:20.   Desafíos futuros. La inteligencia artificial y el principio de buena administración “digital”
    Elena Martínez Pastor, Counsel Deloitte Legal

    10:20-10:45.Debate

    10:45-11:15.   Pausa café

    Segundo bloque. Investigación digital y cooperación judicial en el ciberespacio: una perspectiva procesal
    Modera Marta Gisbert Pomata
    Profesora Propia Ordinaria, Universidad Pontificia Comillas

    11:15-11:40.   El ciberpatrullaje en el ciberespacio y la externalización del law enforcement
    Juan Carlos Ortiz Pradillo, Profesor Titular, Universidad Complutense de Madrid

    11:40-12:05.   Cooperación judicial y acceso transfronterizo a prueba electrónica
    Elisabet Cueto Santa Eugenia, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

    12:05-12:30.Debate

    Tercer bloque. Una mirada prospectiva desde la filosofía
    Presenta M.ª Ángeles Bengoechea Gil
    Profesora Propia Adjunta, Universidad Pontificia Comillas

    12:30-12:55.   La persona en el Estado digital. ¿Sujeto de derechos sin circunstancias?
    Vanesa Morente Parra, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

    12:55-13:15.Debate

    13:15.             Clausura del congreso

    Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los Derechos Digitales