Archivo de la categoría: Sello electrónico

Veri-factu, SII, factura electrónica y regímenes forales: este es el mapa para no perderse (con mención al sello electrónico)

Deja un comentario

La proliferación de siglas y normativas en torno a la facturación en España puede resultar abrumadora, incluso para quienes seguimos este ecosistema de cerca.

¿Qué diferencia hay entre Veri-Factu y el SII? ¿A qué obliga ya la Ley Crea y Crece tras el Real Decreto 238/2026? ¿Qué pasa en Navarra o en el País Vasco? ¿Y el sello electrónico remoto cualificado?

En este artículo trato de trazar un mapa claro de todos estos conceptos, sus solapamientos y sus diferencias, y termino explicando por qué el sello electrónico remoto cualificado es una pieza técnica que los une a todos.

1. El terreno de juego: dos grandes familias de obligaciones

Antes de entrar en detalle, conviene distinguir dos líneas normativas que a menudo se confunden porque comparten vocabulario pero tienen objetivos distintos:

  • Las obligaciones de control fiscal (SII, Veri-factu): nacen de la potestad de la Agencia Tributaria para verificar en tiempo real —o casi— que las facturas emitidas existen y son íntegras. El destinatario de la información es la Administración.
  • La obligación de facturar electrónicamente entre empresas (Ley 18/202 Crea y Crece / Real Decreto 238/2026)
  • ): nace del derecho del acreedor a recibir su factura en formato estructurado y de la ambición de reducir la morosidad. El destinatario es el cliente B2B.

Son obligaciones que pueden coexistir, complementarse y, en muchos casos, satisfacerse con la misma infraestructura técnica, pero que responden a lógicas diferentes.

2. El SII: el pionero del reporte en tiempo real

El Suministro Inmediato de Información (SII) se introdujo en 2017 (Real Decreto 596/2016) y obliga a determinados contribuyentes —grandes empresas, grupos de IVA, inscritos en el REDEME— a enviar a la AEAT los registros de facturación en un plazo máximo de cuatro días hábiles desde la expedición o recepción de la factura.

¿Qué se envía?

No se envía la factura en sí, sino un registro de facturación en XML con los campos esenciales (fecha, importe, NIF, tipo de IVA…). La factura original puede seguir siendo en papel o en cualquier formato, siempre que el registro llegue a tiempo.

¿Quién está obligado?

Hoy en día están obligados al SII unos 62.000 contribuyentes que representan aproximadamente el 80 % de la recaudación de IVA en España. Para el resto, sigue siendo voluntario.

La llave técnica: certificado de empresa (sello)

Las comunicaciones al SII se realizan mediante servicios web de la AEAT, autenticados con el certificado de representante de persona jurídica o el certificado de sello de persona jurídica emitido por una autoridad de certificación cualificada. Esto ya anticipa la distinción que abordaremos más adelante sobre firma vs. sello.

3. Veri-factu: integridad de secuencia en el registro en origen

Veri-factu (oficialmente, el sistema de emisión de facturas verificables regulado por el Real Decreto 1007/2023 (modificado por RD 254/2025 y RD-ley 15/2025) y desarrollado por la Orden HAC/1177/2024) tiene una naturaleza diferente al SII: no es un sistema de envío a la Administración en tiempo real (aunque puede serlo), sino un sistema de integridad en origen.

La idea central

Todo software de facturación que no esté acogido al SII deberá, a partir de su entrada en vigor, generar facturas que:

  1. Incluyan un código QR que permita al receptor verificar la factura en la sede electrónica de la AEAT.
  2. Incorporen un mecanismo de hashes encadenados en el sistema de control de llevanza de facturas consecutivas, de modo que cualquier alteración posterior sea detectable (adición o eliminación de registros).
  3. Puedan enviarse a la AEAT de forma voluntaria (modalidad VERI*FACTU) o simplemente conservarse en el sistema del emisor (modalidad de registro seguro) a disposición de que lo solicite la AEAT.

¿Quién está obligado?

Todos los empresarios y profesionales no obligados al SII que utilicen sistemas informáticos de facturación, con las excepciones habituales (contribuyentes que ya están en el SII quedan fuera del ámbito de Veri-factu, precisamente porque ya reportan la información al instante).

Fecha de entrada en vigor

Tras el Real Decreto-ley 15/2025, de 2 de diciembre

  • Personas jurídicas (Entidades del Impuesto sobre Sociedades): 1 de enero de 2027
  • Personas físicas (autónomos): 1 de julio de 2027

En resumen: el SII manda el registro a Hacienda; Veri-factu garantiza que el origen de la factura no ha sido manipulado y facilita la verificación posterior. Son excluyentes

4. La factura electrónica B2B: la Ley Crea y Crece

La Ley 18/2022, de creación y crecimiento de empresas (conocida como Ley Crea y Crece), establece en su artículo 12 la obligación de facturar electrónicamente entre empresarios y profesionales en sus relaciones B2B. Esta obligación se concreta en el Real Decreto 238/2026, de 25 de marzo que señala la futura publicación de la Orden Ministerial para dar cobertura a la solución pública gestionada por la AEAT

Plazos de aplicación efectiva (contados desde la publicación de la Orden Ministerial de desarrollo de la solución pública de facturación electrónica):

  • 12 meses → empresas con volumen de operaciones > 8 millones €.
  • 24 meses → resto de empresarios y profesionales.

Durante los primeros 12 meses las grandes empresas podrán acompañar la factura electrónica con un PDF legible (salvo que el cliente acepte expresamente el formato estructurado).

¿Qué exige?

  • Que la factura se emita en un formato estructurado (UBLCIIEDIFACT Facturae) y se transmita por plataformas de intercambio interoperables.
  • Que las plataformas —tanto la pública (FACeB2B) como las privadas acreditadas— garanticen la autenticidad e integridad de las facturas.
  • Que el receptor no pueda rechazar la recepción de facturas electrónicas. La eliminación del requisito de aceptación del destinatario en el artículo 232 de la Directiva del IVA es el cambio del paquete “IVA en la era digital” (ViDA) con la Directiva 2025/516, el Reglamento 2025/517 y el Reglamento de Ejecución 2025/518 que permite a los Estados miembros hacer obligatoria la factura electrónica también para el receptor.

¿Qué no es la factura electrónica?

Un PDF enviado por correo electrónico no es una factura electrónica a efectos de la Ley Crea y Crece, aunque la normativa de IVA lo tolere cuando hay acuerdo entre partes. La factura electrónica en sentido estricto requiere un formato estructurado y un canal de transmisión que garantice la autenticidad.

La firma y el sello en la factura electrónica

El reglamento Facturae y el estándar FacturaE ya exigen desde hace años la firma electrónica de la factura. Para una persona jurídica (empresa), lo que técnicamente corresponde es un sello electrónico —no una firma—, tal como veremos en el apartado dedicado a esta distinción.

5. Los regímenes forales: Navarra y el País Vasco

España no tiene un sistema tributario unitario. El régimen foral de Navarra y de los tres Territorios Históricos vascos (Álava, Gipuzkoa y Bizkaia) les otorga competencia normativa propia en materia de IRPF, Impuesto de Sociedades e IVA (en el caso vasco, a través del Concierto Económico; en el caso navarro, mediante el Convenio Económico) del art. 45.3 LORAFN (Ley Orgánica 13/1982). El nuevo RD 238/2026 incluye una disposición adicional específica para garantizar la interoperabilidad.

¿Los regímenes forales tienen su propio SII y Veri-factu?

Sí, y este es un punto que sorprende a muchos:

RégimenSIIVeri-Factu equivalenteFactura electrónica B2B (RD 238/2026)
Territorio Común (AEAT)Real Decreto 596/2016RD 1007/2023 (plazos 2027)Obligatoria (plazos según volumen)
País VascoPropio (a través de Concierto Económico)TicketBAIAdaptada vía acuerdos con Haciendas Forales
NavarraPropio (Convenio Económico)Sistema equivalente (NaTicket u homólogo)Adaptada vía acuerdos con Hacienda Foral

TicketBAI y BATUZ: el adelanto vasco

TicketBAI es el sistema de facturación verificable del País Vasco, conceptualmente muy similar a Veri-factu pero anterior en el tiempo: encadena facturas con hash, genera un código QR verificable y exige que el software de facturación esté certificado por las Haciendas Forales. BATUZ es el proyecto más amplio que incluye TicketBAI y el sistema de libros de registro (LROE – Libro de Registro de Operaciones Económicas), que sustituye a los modelos 130, 303 y 347 para los contribuyentes vascos.

El País Vasco, en definitiva, ha sido el laboratorio de lo que luego se ha exportado al territorio común como Veri-factu.

Implicaciones prácticas para empresas que operan en ambos territorios

Una empresa con sede en Madrid que venda a clientes en el País Vasco no está obligada a TicketBAI (esa obligación recae sobre los contribuyentes del foro vasco). Sin embargo, si tiene un establecimiento permanente en Bizkaia o es contribuyente foral, sí aplica. Las empresas que operan en ambos territorios deben implementar sistemas que puedan adaptarse a ambas normativas, o invertir en soluciones que soporten múltiples regímenes.

6. Firma electrónica y sello electrónico: la distinción que la normativa tributaria no siempre aclara

Llegamos al punto que, en mi opinión, genera más confusión técnica y jurídica en todo este ecosistema.

Lo que dice la normativa tributaria

El artículo 10 del Real Decreto 1619/2012 (Reglamento de facturación) exige que las facturas electrónicas garanticen la autenticidad del origen y la integridad del contenido mediante firma electrónica avanzada basada en certificado reconocido o cualificado. Muchos textos normativos recientes hablan genéricamente de «firma electrónica» sin mayor precisión.

Lo que dice el Reglamento eIDAS (910/2014/UE)

El Reglamento (UE) 910/2014 (eIDAS), que es de aplicación directa en toda la UE, establece una distinción fundamental:

  • La firma electrónica (electronic signature) es un mecanismo exclusivo de personas físicas. Solo una persona física puede «firmar» en sentido eIDAS.
  • El sello electrónico (electronic seal) es el mecanismo equivalente para personas jurídicas: acredita el origen y la integridad de un documento emitido por una organización, sin que deba intervenir ninguna persona física concreta.

Esta distinción no es un tecnicismo menor: una empresa que «firma» una factura con el certificado personal de su director financiero está creando un vínculo jurídico innecesario con esa persona física, exponiéndola a responsabilidades que en realidad son de la empresa. Además, cuando esa persona cambia de cargo o abandona la empresa, el sistema deja de funcionar o genera facturas con certificados caducados.

¿Por qué la normativa tributaria no lo deja claro?

La normativa tributaria española se redactó —y en muchos casos sigue redactándose— con anterioridad o sin plena integración del enfoque eIDAS. Cuando el Reglamento de facturación habla de «firma electrónica reconocida», hay que leerlo como un requisito de nivel de garantía equivalente al de un sello electrónico cualificado cuando quien emite la factura es una persona jurídica. La Directiva sobre facturación electrónica (2014/55/UE) y los estándares EN 16931 ya apuntan en esta dirección.

La lectura correcta, por tanto, es:

  • Si emite la factura una persona física (autónomo): usa firma electrónica cualificada.
  • Si emite la factura una persona jurídica (empresa, sociedad): usa sello electrónico cualificado.

El sello electrónico cualificado es el mecanismo técnico que garantiza la autenticidad e integridad tanto en Veri-Factu, en el SII como en la nueva factura electrónica B2B. Es la misma tecnología que ya se podía usar para el SII y que ahora se extiende al resto de obligaciones.”

7. El sello electrónico cualificado remoto: la pieza que lo une todo

Tanto el SII como Veri-factu, TicketBAI/BATUZ y la factura electrónica B2B requieren que las facturas o los mensajes transmitidos a las Administraciones vayan autenticados con un certificado válido de la persona jurídica emisora. El sello electrónico cualificado es el instrumento técnico-jurídico adecuado para ello.

La evolución más relevante de los últimos años es la consolidación del sello electrónico remoto: el material criptográfico (la clave privada) reside en un HSM (dispositivo cualificado de creación de firma en la nube), operado por un prestador de servicios de confianza cualificado (QTSP). El software de facturación invoca el sello a través de una API sin necesidad de gestionar localmente ningún certificado ni hardware.

Ventajas del sello remoto cualificado para la facturación

EscenarioBeneficio del sello remoto
SII (envíos masivos a AEAT)El servidor de facturación sella miles de registros por segundo sin gestión local de tokens
Veri-factu (hash + QR)Cada factura queda sellada en origen de forma automática e integrada en el flujo de negocio
TicketBAI / BATUZLos sistemas de facturación para el País Vasco ya prevén integración con APIs de sello remoto
Factura electrónica B2BLas plataformas de intercambio pueden sellar en nombre de la empresa emisora sin depender de certificados locales que caducan o se pierden
Factura electrónica en NavarraEl sello remoto permite centralizar la emisión aunque la empresa opere bajo el Convenio Económico

8. Cuadro comparativo final

ConceptoQuién obligaA quién aplicaQué garantizaInstrumento de autenticación
SIIAEAT (territorio común)Grandes empresas y grupos de IVAReporte de registros en tiempo realCertificado de sello / representante de PJ
Veri-factuAEAT (territorio común)Resto de empresarios no en SIIIntegridad en origen + verificación QRHash encadenado + sello en envío voluntario
TicketBAI / BATUZHaciendas Forales vascasContribuyentes forales vascosIntegridad en origen + reporte LROECertificado reconocido / sello
SII foral navarroHacienda Foral NavarraContribuyentes de NavarraReporte de registrosCertificado emitido bajo normativa foral
Factura electrónica B2BLey Crea y Crece + reglamento pendienteTodos los empresarios y profesionalesFormato estructurado + autenticidad e integridadSello electrónico cualificado de la PJ emisora

9. Contacte con EADTrus si necesita un sello electrónico remoto cualificado

Si tu empresa necesita adaptarse a alguno —o a varios— de los marcos normativos descritos en este artículo, la pieza transversal que simplifica todos los escenarios es el sello electrónico remoto cualificado.

EADTrust es un prestador de servicios de confianza cualificado (QTSP) inscrito en la Lista de Confianza española (TSL), que ofrece servicios de sello electrónico remoto cualificado en la nube especialmente orientados a entornos de facturación masiva. Sus características clave:

  • Alta disponibilidad y escalabilidad: apropiado para entornos SII con miles de operaciones diarias.
  • Integración por API: los sistemas de facturación (ERP, plataformas B2B, software de TicketBAI) se conectan sin cambios de arquitectura.
  • Cumplimiento eIDAS y normativa tributaria española: el sello es cualificado conforme al Reglamento 910/2014, lo que cubre los requisitos de autenticidad e integridad exigidos por el Reglamento de facturación y la Ley Crea y Crece.
  • Soporte multi-régimen: el mismo sello sirve para el SII de la AEAT, para Veri-factu, para plataformas de intercambio B2B y para los entornos forales vascos y navarro.
  • Gestión del ciclo de vida del certificado: renovaciones, revocaciones y auditorías sin impacto en los sistemas del cliente.

Si quieres más información sobre cómo integrar el sello remoto cualificado de EADTrust en tu plataforma de facturación, puedes contactar con su equipo técnico llamando al 917160555 (también 902 365 612) o consultar la documentación disponible en su web.

Conclusión

El ecosistema de la facturación en España es, como hemos visto, un mosaico de obligaciones con distinto origen normativo, distinto ámbito subjetivo y distintos plazos. La buena noticia es que todos estos marcos comparten una misma necesidad técnica: garantizar la autenticidad e integridad de las facturas mediante criptografía. Y la solución idónea para las personas jurídicas —que es la inmensa mayoría de los obligados— es el sello electrónico cualificado, preferiblemente en modalidad remota para facilitar la integración y la escalabilidad.

La distinción entre firma (personas físicas) y sello (personas jurídicas) que establece el Reglamento eIDAS no es un detalle menor: es el fundamento jurídico que da validez duradera a todos los documentos electrónicos que emitimos como empresas. Leer la normativa tributaria con las gafas de eIDAS no es optativo: es necesario para implementar bien.

¿Tienes dudas sobre qué sistema aplica a tu empresa o cómo integrar el sello remoto en tu plataforma? Llámanos al 917160555 o al 902 365 612.

La Factura Electrónica ya es casi obligatoria en España tras el Real Decreto 238/2026

Deja un comentario

El 31 de marzo de 2026 se publicó en el BOE el Real Decreto 238/2026, de 25 de marzo, que desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales (B2B), que repasaremos en este artículo.

Esta norma representa, por fin, la concreción reglamentaria de una obligación que ya se esbozaba en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Han pasado casi veinte años desde que aquella ley estableciera la regulación sobre factura electrónica en el sector público (remitiendo a futuros cambios en la normativa de contratación en el sector público) y anunciándola también para el sector privado —con el objetivo de impulsar la digitalización, reducir costes operativos y reducir la morosidad— hasta que el Real Decreto 238/2026 la hace efectiva y operativa para todo el tejido empresarial español.

El retraso es injustificable y ha privado durante dos décadas a pymes y autónomos de los beneficios de la trazabilidad digital y la agilidad en los cobros.

Como autor del Manual de Factura Electrónica, cuya edición de 2010, fue la tercera versión y la de 2006 (y el grupo de trabajo de factura electrónica de ASIMELEC que la auspició ) llegó a influenciar la publicación de a Ley 56/2007), yo mismo anticipaba con entusiasmo los avances que traería la generalización la factura electrónica. Hoy, casi dos décadas después, celebro que el RD 238/2026

En sus páginas ya analizaba los primeros pasos en el sector público y defendía su extensión al ámbito privado como herramienta clave de modernización. Hoy, casi dos décadas después, celebro que el RD 238/2026 cierre por fin ese círculo, aunque con un retraso que ha lastrado la competitividad de nuestras empresas.

Contexto y objetivos del Real Decreto 238/2026

El decreto desarrolla expresamente el artículo 2 bis de la Ley 56/2007, modificado por la Ley 18/2022 de creación y crecimiento de empresas, y su disposición adicional vigesimoprimera, introducida por la Ley 7/2024. Lo que en 2007 se planteó como un marco general de impulso a la sociedad de la información se convierte ahora en obligación concreta para todas las operaciones B2B.

Sus objetivos principales son los mismos que inspiraron la Ley 56/2007:

El decreto desarrolla expresamente el artículo 2 bis de la Ley 56/2007, modificado por la Ley 18/2022 de creación y crecimiento de empresas, y su disposición adicional vigesimoprimera, introducida por la Ley 7/2024. Lo que en 2007 se planteó como un marco general de impulso a la sociedad de la información se convierte ahora en obligación concreta para todas las operaciones B2B.

Sus objetivos principales son los mismos que inspiraron la Ley 56/2007:

  • Reducir la morosidad comercial mediante la trazabilidad real de los plazos de pago.
  • Digitalizar procesos y ahorrar costes administrativos en empresas y profesionales.
  • Mejorar la información tributaria disponible para la AEAT y luchar contra el fraude fiscal.
  • Garantizar la interoperabilidad entre plataformas privadas de facturación y la solución pública gratuita de la AEAT.
  • Alinearse con las directivas europeas sobre morosidad y facturación electrónica.

La norma consta de 15 artículos, 7 disposiciones adicionales, 3 transitorias y 4 finales. Su entrada en vigor se produce el 20 de abril de 2026, si bien la aplicación efectiva quedará supeditada a la futura orden ministerial que desarrolle la solución pública de la AEAT.

Una advertencia importante: el retraso no es solo una cuestión histórica. Durante estos casi veinte años, miles de empresas han seguido gestionando facturas en papel o en PDF no estructurados, con todos los costes, errores y retrasos en cobros que la Ley 56/2007 ya pretendía evitar. Ese lastre sigue siendo real.

¿A quien afecta? Ámbito de aplicación y excepciones

La obligación afecta a todos los empresarios y profesionales que deban expedir facturas conforme al Reglamento de facturación (RD 1619/2012), cuando el destinatario sea otro empresario/profesional establecido en España.

Excepciones principales

  • Facturas simplificadas (salvo las cualificadas, que sí quedan incluidas).
  • Exclusiones sectoriales específicas debidamente justificadas.
  • Determinados sectores regulados: operadores energéticos e IATA.
  • País Vasco y Navarra: se aplicarán mediante acuerdos con las respectivas Haciendas Forales.

El “Sistema Español de Factura Electrónica”

El artículo 5 crea el llamado «Sistema Español de Factura Electrónica», que se articula en torno a dos elementos:

  • Plataformas privadas de facturación, que deberán cumplir los requisitos técnicos y de seguridad establecidos en la norma.
  • La solución pública gratuita de la AEAT, que actuará como canal universal, repositorio centralizado y sistema de seguimiento de estados.

Las empresas podrán elegir libremente entre ambas opciones. Sin embargo, cuando se use una plataforma privada, será obligatorio remitir una copia fiel de cada factura a la plataforma pública. Si no existe acuerdo entre las partes sobre la plataforma a utilizar, se aplicará por defecto la solución pública.

Requisitos técnicos de la factura electrónica

El artículo 7 establece que todas las facturas electrónicas deberán cumplir tres condiciones simultáneamente:

  • Formato estructurado conforme a la norma europea EN 16931. Los formatos admitidos son UBL, CII, EDIFACT y Facturae.
  • Firma electrónica avanzada basada en certificado cualificado (en el caso de empresas, sello electrónico avanzado basado en certificado cualificado) om mejor, firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado), que garantice la autenticidad e integridad del documento firmado o sellado electrónicamente.
  • Código único identificador de la factura.

La elección del formato UBL como estándar de la plataforma pública es, a mi juicio, muy acertada. Es un formato maduro, interoperable y con amplia adopción internacional. De hecho, tuve la oportunidad de colaborar en la definición de la firma electrónica asociada a este formato dentro del grupo de trabajo de OASIS.

FormatoDescripciónObservaciones
UBLUniversal Business Language (OASIS)Formato elegido por la AEAT para su plataforma pública
CIICross Industry Invoice (UN/CEFACT)Norma europea EN 16931
FacturaeFormato español preexistenteCompatible con el sistema; ya usado en B2G
EDIFACTEstándar EDI clásicoPara sectores con implantación previa

Interoperabilidad entre plataformas privadas

Los artículos 8 y 9 establecen la obligación de interconexión entre plataformas privadas. Cuando un cliente lo solicite, las plataformas deberán establecer esa conexión de forma gratuita y en un plazo máximo de un mes. Esta medida es esencial para evitar que la fragmentación del mercado genere fricciones operativas entre empresas que usen distintos operadores.

Obligaciones de información: estados de las facturas y pagos

Uno de los elementos más relevantes del decreto para la lucha contra la morosidad son las obligaciones de información sobre el ciclo de vida de la factura:

  • El destinatario de la factura dispone de 4 días naturales para comunicar su aceptación o rechazo.
  • También debe notificar el pago completo en el mismo plazo desde que se produzca.
  • Todos estos datos se remiten automáticamente a la AEAT, que los utilizará para elaborar indicadores públicos de morosidad comercial.

Esta trazabilidad en tiempo real es, probablemente, el avance más importante del decreto desde el punto de vista de la salud financiera de pymes y autónomos. Por primera vez existirá información sistemática y verificable sobre el cumplimiento de los plazos de pago en España.

Requisitos de las plataformas privadas

El artículo 13 establece que las plataformas privadas de facturación electrónica deberán cumplir, entre otros, los siguientes requisitos:

  • Certificación ISO/IEC 27001 de gestión de la seguridad de la información.
  • Uso de protocolos seguros AS2 o AS4 para el intercambio de facturas.
  • Implementación de firma electrónica conforme a los requisitos del decreto.
  • Plan de continuidad de negocio documentado.
  • Cumplimiento de la norma UNE 0080.

Calendario de implantación: ¿cuándo me afecta a mí?

El siguiente cuadro resume los hitos clave del calendario de implantación:

Fecha / HitoEmpresas afectadasObligación
20 de abril de 2026TodasEntrada en vigor del RD 238/2026
Tras la Orden Ministerial AEATTodasArranca el cómputo de plazos de implantación
12 meses tras la OMVolumen > 8 M€/añoObligación efectiva de emitir facturas electrónicas
24 meses tras la OMResto de empresas y autónomosObligación efectiva de emitir facturas electrónicas

Importante: el punto de partida del reloj no es el 20 de abril de 2026 (entrada en vigor del RD), sino la fecha en que se publique la orden ministerial que regule la solución pública de la AEAT. Hasta ese momento, las empresas deberán prepararse técnica y organizativamente, pero la obligación formal aún no será exigible.

Durante el período transitorio, se permitirá el envío de la factura en formato PDF como complemento a la factura electrónica estructurada, y la AEAT pondrá a disposición entornos de pruebas para facilitar la adaptación.

Implicaciones prácticas: ¿qué deben hacer las empresas?

El momento de actuar es ahora. Aunque la obligación efectiva aún no es exigible, las empresas que empiecen a prepararse hoy tendrán una ventaja competitiva clara y evitarán adaptaciones de última hora costosas y arriesgadas.

1. Audita tu situación actual

Identifica qué sistema de facturación utilizas actualmente, qué volumen de facturas B2B emites y recibes, y si ya trabajas con algún software compatible con los formatos estructurados exigidos (UBL, CII, Facturae, EDIFACT).

2. Evalúa si tu software actual es suficiente

Muchos programas de contabilidad y ERP ya ofrecen soporte para factura electrónica estructurada. Consulta con tu proveedor si la versión actual cumple con EN 16931 y si podrá conectarse con la plataforma pública de la AEAT cuando esté operativa.

3. Decide entre plataforma privada y pública

Si emites un volumen elevado de facturas o tienes necesidades avanzadas de integración con tu ERP, una plataforma privada puede ser más adecuada. Para pymes y autónomos con volumen moderado, la solución pública gratuita de la AEAT puede ser suficiente. En cualquier caso, ambas opciones son complementarias, no excluyentes.

4. Obtén los certificados de firma electrónica necesarios

La norma exige firma electrónica (en realidad, sello electrónico) basados en certificado cualificado o bien firma electrónica cualificada (en el caso de empresas, sello electrónico cualificado) en todas las facturas. Si aún no dispones de un certificado cualificado de sello electrónico para tu empresa o de un servicio de sellado remoto integrable con tu software de facturación, este es el momento de solicitarlo a EADTrust.

5. Prepárate para informar sobre estados y pagos

La obligación de notificar la aceptación, rechazo y pago de facturas en 4 días naturales implica adaptar los procesos internos de tu departamento financiero o de administración. Asegúrate de que tus flujos de trabajo internos y tu software contemplan esta funcionalidad.

Valoración crítica: luces y sombras del RD 238/2026

El decreto es, en conjunto, positivo y necesario. Sin embargo, con más de quince años de experiencia en el ámbito de la factura electrónica, identifico algunos aspectos mejorables:

  • La norma llega veinte años tarde. Ese retraso tiene un coste real y mensurable en términos de morosidad acumulada, costes administrativos innecesarios y pérdida de competitividad de las empresas españolas frente a países europeos que implantaron la facturación electrónica B2B hace años.
  • La aplicación efectiva queda supeditada a una orden ministerial cuya fecha de publicación es incierta. Esto introduce incertidumbre en la planificación empresarial.
  • La fragmentación de plataformas privadas podría generar fricciones si los mecanismos de interoperabilidad no funcionan ágilmente en la práctica. La obligación de interconexión en un mes es un paso en la dirección correcta, pero habrá que vigilar su cumplimiento.
  • La elección del formato UBL para la plataforma pública es acertada. Es un estándar maduro, bien documentado y con amplia adopción internacional, que facilitará la integración con sistemas europeos.
  • Los indicadores de morosidad que elaborará la AEAT son una herramienta muy valiosa que debería complementarse con mecanismos de transparencia y, eventualmente, con consecuencias para las empresas con peor comportamiento de pago.

Modificaciones al Reglamento de Facturación

La disposición final primera del decreto introduce ajustes puntuales en el Real Decreto 1619/2012 (Reglamento de facturación) para adaptarlo al nuevo régimen de facturación electrónica obligatoria. Estos cambios afectan principalmente a la definición de factura electrónica y a los requisitos de autenticidad e integridad.

Conclusión

El Real Decreto 238/2026 es un paso adelante largamente esperado. Supone la concreción real de un mandato que lleva veinte años en el ordenamiento jurídico español sin materializarse de forma operativa para el sector privado.

La norma tiene virtudes claras: apuesta por estándares europeos e internacionales, garantiza la gratuidad de la solución pública, establece mecanismos de interoperabilidad y crea la infraestructura para luchar contra la morosidad de forma sistemática. También tiene sombras: llega tarde, delega la operatividad real en una orden ministerial pendiente y genera cierta incertidumbre en el calendario.

Mi recomendación es no esperar a esa orden ministerial para empezar a prepararse. Las empresas que comiencen ahora a auditar sus sistemas, seleccionar plataformas y obtener los certificados necesarios estarán en una posición mucho mejor cuando llegue el momento de la obligación efectiva.

¿Tienes dudas sobre cómo adaptarte al nuevo sistema? Para la obtención de certificados de sello electrónico avanzado o cualificado, o para integrar un servicio de sellado remoto en tu aplicación de facturación, puedes contactar con EADTrust en el teléfono 91 716 05 55 o en el 902 365 612.

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

  1. Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
  2. Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
  3. Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
  4. Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
  5. Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

  • Datos de identificación de la persona (PID)
  • Declaraciones electrónicas de atributos (EAA / QEAA)
  • Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

  • Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
  • Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
  • Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

  • Certificados electrónicos cualificados para firmas y sellos electrónicos.
  • Sellado de tiempo electrónico cualificado.
  • Notificaciones electrónicas certificadas.
  • Validación y preservación de documentos electrónicos.
  • Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

EADTust: Expertos en Confianza

Deja un comentario

EADTrust, conocida formalmente como European Agency of Digital Trust S.L., es un Prestador Cualificado de Servicios de Confianza Electrónica regulado por el Reglamento (UE) Nº 910/2014 (eIDAS). La empresa se posiciona como líder en proporcionar infraestructura legal digital para procesos de innovación y transformación digital, ofreciendo soluciones que garantizan seguridad jurídica, cumplimiento normativo y confianza en transacciones electrónicas. Muy interesante para Startups y Scaleups de entornos Fintech, Regtech, Insurtech y Legatech.

Desde su integración en el Grupo Garrigues —que adquirió una participación mayoritaria del 51% en 2023—, EADTrust ha fortalecido su capacidad innovadora mediante la colaboración estrecha con g-digital, la división de negocios digitales de Garrigues. Esta alianza estratégica combina la «expertise» legal de uno de los despachos de abogados más prestigiosos de Europa con la especialización técnica de EADTrust en servicios de confianza cualificados, impulsando el desarrollo conjunto de soluciones tecnolegales avanzadas.

Con más de 15 años de experiencia, EADTrust combina conocimiento técnico y jurídico para resolver todo tipo de desafíos de digitalización. Como entidad supervisada por el Ministerio de Asuntos Económicos y Transformación Digital de España (y habilitada para la videoidentificación en la expedición de certificados cualificados), está incluida en la lista de confianza de la Unión Europea, actuando en todo el territorio comunitario.

Su integración con Garrigues a través de g-digital permite ofrecer productos innovadores como GoCertius y plataformas reguladas (rPaaS), diseñadas por g-digital y operadas por EADTrust, que aseguran certeza legal preventiva en un entorno regulatorio en evolución.

La empresa preside la Comisión de Blockchain de AMETIC, participa en Global LegalTech Hub (GLTH), y en LNET (entidad procedente de LACNet y LACChain) y colabora con socios estratégicos como CANON y Procesia para desarrollar productos a la vanguardia de la identidad digital europea, de los servicios de confianza digital y de los procesos de transformación digital.

Su lema refleja su esencia: proporcionar certeza legal preventiva en un entorno regulatorio en constante cambio. EADTrust destaca por soluciones fáciles de implementar, precios transparentes y un equipo experto liderado por especialistas reconocidos en servicios de confianza regulados.

Servicios Cualificados bajo eIDAS

EADTrust ofrece un amplio rango de servicios cualificados conforme al Reglamento eIDAS, diseñados para proporcionar el más alto nivel de confianza digital y cobertura regulatoria, con robustez criptográfica superior al restos de prestadores: RSA de 4096 y 8192 bits y ECC de 256 y 384 bits, lo que le lleva a ostentar la primera posición en «criptoagilidad«. Servicios como:

  • Certificados Digitales Cualificados — Emisión de certificados para personas físicas y jurídicas, incluyendo certificados PSD2 (QWAC y QSeal) para servicios de pago en entornos de banca abierta. Estos permiten identificación segura y firmas y sellos electrónicos cualificados
  • Sellos de Tiempo Cualificados — Garantizan la fecha y hora exacta de documentos electrónicos.
  • Notificaciones Electrónicas Certificadas — Servicios de entrega registrada electrónica con valor probatorio, con nombre propio Noticeman.
  • Implementación de Soluciones para la Cartera de Identidad Digital Europea (EUDI Wallet) y servicios de archivo electrónico cualificado con digitalización de documentos en papel bajo eIDAS 2.

Además, integra estos servicios en plataformas como EAD Factory, que actúa como un Prestador de Servicios de Confianza Cualificado (QTSP) «como servicio» integrable en organizaciones, permitiendo un «QTSP in-house» con integración segura y escalable.

Cabe destacar productos como EAD Enterprise Suite, GoCertius o Innovoto (solución de voto electrónico y participación a distancia de accionistas de sociedades de capital, socios de asociaciones, sindicatos, sociedades deportivas y Colegios Profesionales), que facilitan el cumplimiento y la seguridad en procesos empresariales.

El hecho de ser el único prestador cualificado con jerarquías de certificación EIDAS de cifrado ECC-256 durante la pandemia del COVID-19 lo posicionó como el proveedor de elección de certificados de los organismos sanitarios españoles para la expedición de pasaportes COVID.

Servicios Profesionales de Consultoría y Verificación de cumplimiento (auditoría técnica)

Más allá de los servicios cualificados directos, EADTrust ofrece servicios profesionales especializados para ayudar a empresas a alinearse con normativas y estándares internacionales:

  • Asesoría en Confianza Digital → Ayuda a prestadores de servicios electrónicos a cumplir con eIDAS y estándares como los de ETSI o WebTrust (CABForum), optimizando sistemas de gestión para obtener reconocimiento como Prestador Cualificado. También ayuda a empresas de sectores regulados, como la banca a cumplir la normativa EIDAS2, entre otras. Con la adopción de certificados de web de corta duración, asesora en la implantación del protocolo ACME.
  • Cumplimiento Regulatorio → Diagnóstico, asesoría y consultoría para alineación con el Esquema Nacional de Seguridad (ENS), Esquema Nacional de Interoperabilidad (ENI) y Esquema Judicial de Interoperabilidad y Seguridad (EJIS) en España.
  • Verificación de Firmas Electrónicas → Auditoría de soluciones de firma electrónica avanzada, firma manuscrita digitalizada avanzada (FMDA) y firma biométrica por voz, asegurando calidad, seguridad y validez legal.
  • Digitalización Certificada → Verificación de software de digitalización de documentos y facturas, garantizando cumplimiento normativo y confianza para usuarios, en cuatro contextos normativos: AEAT, ENI/NTI, EJIS/CTEAJE y EIDAS2 (Digitalización Cualificada).
  • Cumplimiento Técnico y legal en normativas conexas de Ciberseguridad como RGPD (GDPR en inglés) → Consultoría especializada en protección de datos personales, aprovechando la experiencia como prestador de servicios de confianza. También se incluye NIS2 (Network and Information Systems 2), DORA (Digital Operational Resilience Act), CRA (Cyber Resilience Act), CER (Critical Entities Resilience) y ENS (Esquema Nacional de Seguridad). Y otras de ámbito europeo como  EU’s AI Act, DMA (Digital Markets Act), o DSA (Digital Services Act). Una de las primeras entidades en ofrecer servicios de responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica que requerirá la futura Ley de Coordinación y Gobernanza de la Ciberseguridad.
  • Votación Electrónica y Servicios Corporativos (servicios electrónicos societarios)→ Plataformas para votación electrónica en juntas de accionistas, foros electrónicos de accionistas y supervisión autenticada de publicaciones web (verificación de publicación sin interrupción, o «publicación fehaciente»), con emisión de actas certificadas que incluyen listas de asistentes, quórum y resultados. También se auditan plataformas de participación a distancia, se graban testimonios electrónicos del video de la junta con certificación del momento en que tuvo lugar y se prestan servicios complementarios para reforzar la seguridad jurídica incluso en Juntas celebras exclusivamente de forma telemática.

Estos servicios se adaptan a las necesidades del cliente, con metodologías versátiles que evidencian la calidad ante terceros y refuerzan la confianza regulatoria.

Compromiso con la Excelencia

Los servicios de EADTrust no solo cumplen con requisitos legales, sino que van más allá al proporcionar certeza y seguridad jurídica preventiva. Al elegir EADTrust, las organizaciones obtienen:

  • Reducción de incertidumbre en el uso de tecnologías digitales.
  • Mayor autonomía en gestión de procesos electrónicos.
  • Responsabilidad asumida por EADTrust en aspectos críticos, como actas certificadas en votaciones, o publicaciones de documentos en página web durante el tiempo prescrito por la ley.
  • Integración fluida en sistemas existentes mediante herramientas como Notice Manager para notificaciones y el uso de «Hashes encadenados» para garantizar la integridad de colecciones de datos..

La empresa cuenta con certificaciones ISO 9001, ISO 20000-1, ISO 27001, ENS alto y EIDAS demostrando su compromiso con la calidad, la seguridad de la información y la gestión de servicios TI.

Como parte de un ecosistema innovador, EADTrust colabora en el desarrollo de soluciones blockchain (LNET) y participa activamente en foros sobre eIDAS 2, posicionándose a la vanguardia de la identidad digital europea.

EADTrust se consolida como la entidad de expertos en confianza digital, ofreciendo una combinación única de servicios cualificados eIDAS y consultoría profesional que impulsa la transformación digital segura y con certeza de cumplimiento. Ya sea emitiendo certificados cualificados, verificando soluciones de firma o asesorando en cumplimiento normativo, EADTrust proporciona las herramientas necesarias para operar con plena confianza en un mundo digital.

Para más información sobre cómo EADTrust puede apoyar sus procesos de innovación, visite www.eadtrust.eu o contacte con su equipo de expertos en el 91 716 0555.

EUDI Wallets Launchpad 2025 y Cartera de España

Deja un comentario

La plataforma de lanzamiento para la adopción a gran escala de las carteras Carteras IDUE

EUDI Wallets Launchpad 2025 es el primer evento de pruebas de varios días organizado por la Comisión Europea y está teniendo lugar los días 10, 11 y 12 de diciembre de 2025 en Bruselas, Bélgica.

Se trata de un evento específico diseñado para establecer la Comunidad de Implementadores de Carteras IDUE y acelerar la adopción de las carteras y sus casos de uso en todos los Estados miembros de la UE.

Alinear los equipos técnicos, los objetivos políticos y la experiencia de los usuarios en toda Europa requerirá coordinación y confianza. El «Launchpad «es donde se comienza a construir esa confianza, probando, aprendiendo y fijando juntos los próximos pasos.

Qué es y objetivos

El Launchpad 2025 es un encuentro presencial que está teniendo lugar los días 10‑12 de diciembre de 2025 en el espacio SPARKS (Bruselas), dirigido a implementadores de wallets, Estados miembros, proveedores de servicios, expertos UX y comunicación. Su objetivo central es consolidar la comunidad de implementadores EUDI y verificar en la práctica la interoperabilidad, la conformidad con las especificaciones y la preparación para el uso transfronterizo de los monederos digitales europeos.

Formato y actividades principales

El programa combina pruebas técnicas rotatorias entre wallets, emisores y verificadores, con dos modos de test diseñados para validar corrección e interoperabilidad de las implementaciones. En paralelo se desarrollan charlas técnicas sobre estándares núcleo, pseudónimos, pruebas de conocimiento cero, APIs de credenciales digitales y librerías de referencia, junto con demos en vivo de casos de uso y wallets nacionales.

Participantes y ecosistema

Participan equipos nacionales de implementación (product owners, arquitectos, desarrolladores y testers), proveedores de PID, QEAA y Pub‑EAA, así como administraciones públicas, grandes pilotos y proveedores tecnológicos del ecosistema EUDI. El evento reúne a representantes de numerosos Estados miembros (por ejemplo Alemania, Italia, Bélgica, Francia, España, Grecia, Polonia o Portugal) que presentan sus aproximaciones nacionales mediante demostraciones públicas.

Resultados esperados e importancia

Durante los tres días se realizan centenares de pruebas entre decenas de testers de múltiples países, acompañadas de talleres específicos de experiencia de usuario y de comunicación para preparar el despliegue masivo en 2026. El Launchpad se concibe como punto de partida para una comunidad EUDI más cohesionada, en la que la confianza se construye probando conjuntamente, compartiendo lecciones aprendidas y alineando equipos técnicos, objetivos políticos y diseño centrado en el usuario.

​España

La intervención de Angel Martín Bautista, de la Agencia Estatal de Administración Digital tuvo lugar el jueves 11 de diciembre de 2025. Estuvo acompañado por Sancho Canela, de NTT-Data.

Ángel Martín Bautista es Subdirector Adjunto en la Agencia Estatal de Administración Digital. En relación con la tecnología blockchain, ha representado a España en el European Blockchain Partnership (EBP) para crear la red EBSI desde 2019, y en la actualidad representa a España en el consorcio EUROPEUM. Representante español en el grupo de cooperación de identidad digital europea. Se encarga de la parte estratégica, contexto normativo y visión general.

Sancho Canela es Jefe del equipo de desarrollo (head of the developers team). Lidera la demo técnica y explica los aspectos prácticos de implementación.

Actualización. Se publicó el video de su intervencón el 16 de febrero de 2026.

Estructura de la ponencia

  1. Introducción y contexto (inicio ≈ 0:00–7:00)
    Ángel Martín presenta España como un país descentralizado (17 comunidades autónomas + entidades locales), con 49 millones de habitantes. Explica la estrategia España Digital y cómo la Cartera Digital se alinea con eIDAS2 (Reglamento (UE) 2024/1183).
    Destaca infraestructuras existentes que facilitan la adopción:
    • DNI electrónico (tarjeta física + app, con alto nivel de aseguramiento — high assurance — notificado en eIDAS).
    • Cl@ve (puerta de acceso unificada: >24 millones de usuarios, >13.000 entidades, >1.100 millones de autenticaciones al año).
    • Carpeta Ciudadana (espacio personal para documentos oficiales).
      Estos elementos dan cobertura universal, certeza legal y seguridad, y sirven de base para proporcinar declaraciones de atributos a la wallet de identidad.
  2. Implementación de la Cartera Digital Española (≈4:00–7:00)
    • Construida desde cero siguiendo el ARF (Architectural Reference Framework) y los Implementing Acts de eIDAS2.
    • Reutiliza el DNI como fuente principal de identidad de alto nivel.
    • Enfoque inicial: Verificación de edad preservando privacidad (para proteger menores, revelando solo lo necesario: sí/no >18).
    • Interoperable con la solución europea de verificación de edad de la Comisión.
    • Emisión de credenciales: remota (NFC + PIN del DNI) o presencial (>1.000 oficinas en España).
  3. Demostración técnica en vivo (≈7:00–21:00) — a cargo de Sancho Canela
    Muestra una versión operativa pero no productiva (con VPN para pruebas internas):
    • App desarrollada en Flutter (multiplataforma) con componentes nativos y bibliotecas de referencia europea.
    • Activación: Aceptar términos (en español; planean multilingüe), biometría, verificación de autenticidad de la app (attestation de Apple/Google), email único (revocable), reutilizar teléfono.
    • Obtención del PID (Person Identification Data): Vía NFC/PIN del DNI o presencial. Verifica firma, emisor (Fábrica Nacional de Moneda y Timbre — FNMT, QTSP relevante en España).
    • Declaración de atributos de mayoría de edad: Basada en fecha de nacimiento del PID. Emite batch de 30 credenciales de un solo (claves diferentes) para evitar trazabilidad.
    • Presentación: Protocolo OpenID for Verifiable Presentations (OVP) v1.0. Escanea QR, consentimiento explícito, verifica en sitio de prueba de la Comisión (confirma emisor, validez y edad >18).
    • Seguridad: Trust lists, firmas, consentimiento siempre requerido. UX intuitiva con filtros, historia y opciones de idioma.
  4. Conclusiones y próximos pasos (≈21:00–fin)
    • España apuesta por un ecosistema seguro, simple y centrado en el usuario, reutilizando lo existente para una transición eficiente y sostenible.
    • Alineación total con eIDAS2 para interoperabilidad transfronteriza.
    • Lanzamiento previsto: Durante 2026
    • Obligación para el sector privado (relying parties) a finales de 2027.
    • Casos de uso previstos: Títulos universitarios, licencias de conducir, tarjeta sanitaria europea, prueba de residencia, ausencia de delitos sexuales, etc.
    • El entorno Cl@ve se integrará progresivamente con la wallet.

Estándares de ETSI actualizados en 2025 para acompañar a los actos de ejecución de #EIDAS2 o definir funcionalidades de la Cartera IDUE

Deja un comentario

El Reglamento (UE) 2024/1183, conocido como eIDAS 2.0, fue publicado el 30 de abril de 2024 en el Diario Oficial de la Unión Europea y entró en vigor el 20 de mayo de 2024.

Este marco normativo modifica el Reglamento original eIDAS de 2014 (UE 910/2014) para fortalecer la identidad digital europea, introduciendo elementos clave como las Carteras de Identidad Digital Europea (EUDI Wallets o IDUE en español), que son aplicaciones móviles o servicios en la nube que permiten a los ciudadanos y empresas gestionar de forma segura y privada sus identidades digitales, atributos personales (como diplomas o carnets de conducir) y transacciones transfronterizas. El objetivo es garantizar interoperabilidad, control de sus datos por parte del usuario y aceptación obligatoria por parte de sectores privados clave (banca, telecomunicaciones, etc.) a partir de finales de 2027.

Los Actos de Ejecución (Implementing Acts) son regulaciones complementarias adoptadas por la Comisión Europea para detallar las especificaciones técnicas, certificaciones y procedimientos. Estos actos son cruciales para la implementación práctica de eIDAS 2.0. Hasta noviembre de 2025, se han adoptado varios lotes:

  • Primer lote (publicado el 4 de diciembre 21 de 2024): Cinco actos clave que establecen especificaciones técnicas para las Carteras IDUE, como requisitos para certificados cualificados, incorporación de usuarios y formatos de listas de confianza (Trusted Lists). Esta publicación marca el inicio de cómputo de varios plazos importantes, por su entrada en vigor el 24 de diciembre,
  • Lotes posteriores (2025): Incluyen el segundo lote (publicado en 2 partes: el 7 de mayo y el 30 de julio) el tercer lote (publicado en 2 partes: el 30 de julio y el 5 de septiembre) y el cuarto lote (publicado el 28 de octubre) con 25 actos acumulados hasta ese momento), enfocados en servicios de confianza (firmas electrónicas, sellos, notificaciones) y declaraciones electrónicas de atributos (Electronic Attestations of Attributes o EAA). Estos actos incorporan referencias explícitas a estándares de ETSI para garantizar conformidad.

Los Estados miembros deben ofrecer al menos una Cartera IDUE gratuita a todos los ciudadanos y residentes para finales de 2026 (24 meses tras la entrada en vigor de los actos del primer lote).

Rol de ETSI en la Evolución de Estándares

El Instituto Europeo de Normas de Telecomunicaciones (ETSI), y el CEN (Comité Europeo de Normalización), son los organismos principales encargados de desarrollar y actualizar los estándares técnicos que soportan eIDAS 2.0. Estos estándares aseguran interoperabilidad, seguridad y privacidad de las Carteras IDUE y de los servicios de confianza.

Tras la publicación de eIDAS 2.0, ETSI ha acelerado su trabajo para alinear las normas con los nuevos requisitos, incorporando tecnologías como credenciales verificables (basadas en W3C y OpenID) y resistencia post-cuántica. La evolución de los estándares ETSI no es un «reinicio», sino una extensión y actualización de los existentes (serie TS 119 para eIDAS 1.0), adaptados a las Carteras IDUE y los actos de ejecución.

El proceso incluye:

  • Desarrollo paralelo: Mientras se negociaba en los Trílogos el texto del reglamento eIDAS 2.0 (2021-2024), ETSI elaboró borradores basados en el documento de Arquitectura y Marco de Referencia (ARF, la última versión a noviembre 2025 es la 2.7.3).
  • Incorporación en actos de ejecución: Los actos referencian explícitamente «listas de estándares de referencia» de ETSI, como se establece en el Artículo 5a del Reglamento
  • Talleres y consultas: Eventos como el Taller ETSI/CEN de septiembre 2024 presentaron avances y demostraciones de pilotos, con consultas abiertas para influir en los borradores.

ETSI ha publicado borradores y versiones finales en 2024-2025, enfocados en interfaces, perfiles de seguridad y certificación para la Cartera IDUE y el resto de Servicios de Confianza.

A continuación, se incluyen las principales actualizaciones (o normas nuevas) publicadas por ETSI en 2025:

  1. ETSI TS 119 602 V1.1.1 (2025-11) – Electronic Signatures and Trust Infrastructures (ESI); Lists of trusted entities; Data model. Listas de entidades de confianza; Modelo de datos
  2. ETSI EN 319 401 V3.2.1 (2025-11)– Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers. Requisitos generales de Política para Prestadores de Servicios de Confianza. Se está preparando una actualización.
  3. ETSI TS 119 542 V1.1.1 (2025-10)Electronic Signatures and Trust Infrastructures (ESI); Use of EU Digital Identity Wallets and electronic signatures for identification with Smart Contracts. Uso de Carteras de Identidad Digital de la UE y firmas electrónicas para la identificación con contratos inteligentes.
  4. ETSI TS 119 541 V1.1.1 (2025-10) Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Smart Contracts using Electronic Ledgers. Requisitos normativos y de seguridad para los contratos inteligentes que utilizan archivos electrónicos con orden cronológico.
  5. ETSI TS 119 441 V1.3.1 (2025-10) -Electronic Signatures and Trust Infrastructures (ESI); Policy requirements for TSP providing signature validation services. Requisitos sw Política para los PSC que prestan servicios de validación de firmas.
  6. ETSI TR 119 540 V1.1.1 (2025-10)Electronic Signatures and Trust Infrastructures (ESI); Standardization requirements for Smart Contracts based on Electronic Ledgers. Requisitos de estandarización para los contratos inteligentes basados en archivos electrónicos con orden cronológico.
  7. ETSI TS 119 475 V1.1.1 (2025-10) Electronic Signatures and Trust Infrastructures (ESI); Relying party attributes supporting EUDI Wallet user’s authorization decisions. Atributos de las partes usuarias (informadas) que respaldan las decisiones de autorización de los usuarios de Cartera IDUE.
  8. ETSI TS 119 511 V1.2.1 (2025-10) Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que ofrecen la conservación a largo plazo de firmas digitales o datos generales mediante técnicas de firma digital.
  9. ETSI TS 119 411-8 V1.1.1 (2025-10) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 8: Access Certificate Policy for EUDI Wallet Relying Parties. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 8: Política de certificados de acceso para las partes usuarias (o informadas) de la Cartera IDUE.
  10. ETSI TR 119 411-4 V1.3.1 (2025-09) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 4: Checklist supporting audit of TSP against ETSI EN 319 411-1 or ETSI EN 319 411-2. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 4: Lista de verificación para la auditoría de los Prestadores de Servicios de Confianza (TSP) con arreglo a las normas ETSI EN 319 411-1 o ETSI EN 319 411-2. Se está preparando una actualización.
  11. ETSI TS 119 412-6 V1.1.1 (2025-09) Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 6: Certificate profile requirements for PID, Wallet, EAA, QEAA, and PSBEAA (Public Sector Based Electronic Attestation of Attributes) providers. Perfiles de certificados; Parte 6: Requisitos de Perfil de Certificado para Prestadores de Servicios de DIP, Cartera, DEA, DECA y DEASP (Declaración electrónica de atributos basada en el sector público).
  12. ETSI TR 119 476-1 V1.3.1 (2025-08) – Electronic Signatures and Trust Infrastructures (ESI); Selective disclosure and zero-knowledge proofs applied to Electronic Attestation of Attributes; Part 1: Feasibility study. Divulgación selectiva y pruebas de conocimiento cero aplicadas a la Declaración Electrónica de Atributos; Parte 1: Estudio de viabilidad.
  13. ETSI TS 119 612 V2.4.1 (2025-08) – Electronic Signatures and Trust Infrastructures (ESI);Trusted Lists. Listas de Confianza
  14. ETSI TR 119 479-2 V1.1.1 (2025-07) – Electronic Signatures and Trust Infrastructures (ESI);Technological Solutions for the EU Digital Identity Framework; Part 2: EAA Extended Validation Services Framework and Application. Soluciones tecnológicas para el marco de identidad digital de la UE; Parte 2: Marco y aplicación de los servicios de validación ampliada de las DEA
  15. ETSI EN 319 421 V1.3.1 (2025-07)– Electronic Signatures and Trust Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps. Requisitos de política y seguridad para los Prestadores de Servicios de Confianza que emiten sellos de tiempo. Se está preparando una actualización.
  16. ETSI EN 319 142-2 V1.2.1 (2025-07) – Electronic Signatures and Trust Infrastructures (ESI); PAdES digital signatures; Part 2: Additional PAdES signatures profiles. Firmas digitales PAdES; Parte 2: Perfiles de firmas PAdES adicionales.
  17. ETSI EN 319 412-4 V1.4.1 (2025-06) – Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates. Perfiles de certificados; Parte 4: Perfil de certificado para certificados de sitios web,
  18. ETSI EN 319 412-2 V2.4.1 (2025-06) . Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons. Perfiles de certificados; Parte 2: Perfil de certificados para certificados expedidos a personas físicas.
  19. ETSI EN 319 412-5 V2.5.1 (2025-06) – Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements. Perfiles de certificados; Parte 5: campos QCStatements de los certificados. Se está preparando una actualización.
  20. ETSI EN 319 412-1 V1.6.1 (2025-06) – Electronic Signatures and Trust Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures. Perfiles de certificados; Parte 1: Descripción general y estructuras de datos comunes. Se está preparando una actualización.
  21. ETSI EN 319 411-2 V2.6.1 (2025-06)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que expiden certificados; Parte 2: Requisitos para los Prestadores de Servicios de Confianza que expiden certificados cualificados de la UE. Se está preparando una actualización.
  22. ETSI TS 119 471 V1.1.1 (2025-05)– Electronic Signatures and Trust Infrastructures (ESI); Policy and Security requirements for Providers of Electronic Attestation of Attributes Services. Requisitos de Política y seguridad para los Prestadores de Servicios de Declaración Electrónica de Atributos.
  23. ETSI TS 119 411-5 V2.1.1 (2025-02)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 5: Implementation of qualified certificates for website authentication as in amended regulation 910/2014. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 5: Implementación de certificados cualificados para la autenticación de sitios web según el Reglamento 910/2014 modificado.
  24. ETSI TS 119 461 V2.1.1 (2025-02) – Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for trust service components providing identity proofing of trust service subjects. Requisitos de política y seguridad para los componentes de servicios de confianza que proporcionan verificación de identidad de los sujetos de servicios de confianza.
  25. ETSI EN 319 411-1 V1.5.1 (2025-04)– Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements. Requisitos de Política y seguridad para los Prestadores de Servicios de Confianza que emiten certificados; Parte 1: Requisitos generales. Se está preparando una actualización.

Todavía se siguen desarrollando los estándares de ETSI, y hay varios en estado Draft (Borrador) que se espera que se publiquen pronto.

Lista completa de Actos de Ejecución asociados al Reglamento 1183/2014 (EIDAS2)

Deja un comentario

Ayer comenté la publicación de 3 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) y ahora recojo la lista completa con 25 actos de ejecución publicados en desarrollo del Reglamento eIDAS2.

El 3 de octubre de 2025 publiqué la anterior Lista de actos de ejecución de desarrollo del Reglamento EIDAS2.

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals
  • CIR 2025/2160 Non-qualified trust services
  • CIR 2025/2162 Accreditation of Conformity Assessment Bodies
  • CIR 2025/2164 Common template for the trusted lists

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos
  • CIR 2025/2160 Servicios de confianza no cualificados
  • CIR 2025/2162 Acreditación de los organismos de evaluación de la conformidad
  • CIR 2025/2164 Plantilla común para las listas de confianza.

Añado la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Hoy se han publicado 3 nuevos Actos de Ejecución en desarrollo del Reglamento EIDAS y EIDAS2

Deja un comentario

Hoy se han publicado 3 nuevos Actos de Ejecución en el Diario Oficial de de la Unión Europea de 28 de octubre (Journal of the European Union) en desarrollo del Reglamento EIDAS y EIDAS2.

  • Decisión de Ejecución (UE) 2025/2164 de la Comisión de 27 de octubre de 2025 por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.
  • Reglamento de Ejecución (UE) 2025/2162 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la acreditación de los organismos de evaluación de la conformidad que realizan la evaluación de los prestadores cualificados de servicios de confianza y de los servicios de confianza cualificados que prestan, el informe de evaluación de la conformidad y el sistema de evaluación de la conformidad
  • Reglamento de Ejecución (UE) 2025/2160 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia, las especificaciones y los procedimientos para la gestión de riesgos para la prestación de servicios de confianza no cualificados

Aquí está la lista de todos los actos de ejecución publicados anteriormente. Y este cuadro lo ha preparado Joerg Lenz que sigue muy de cerca todos los desarrollos normativos:

Lista de actos de ejecución de desarrollo del Reglamento EIDAS2

3 respuestas

Ayer comenté la publicación de 6 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) —anteriormente Diario Oficial de las Comunidades Europeas (DOCE)—

Con lo que la lista completa queda con 22 actos de ejecución publicados:

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos

Añado la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Recordemos que quedan borradores de actos de ejecución cuyos plazos para enviar comentarios acabaron el 2 de octubre, salvo el de archivo con orden cronológico que acaba el 3 de octubre.

Robustez de las claves asimétricas recomendadas por el CCN

Deja un comentario

Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.

Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104

Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos
los certificados digitales de millones de tarjetas de identificación de sus ciudadanos,
ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.

dando a entender que un tamaño de 2048 bits en RSA es apropiado.

En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.

En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.

El documento del CCN que entra en más detalles sobre la criptografía es el CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad, y la versión más reciente es de mayo de 2022.

En su apartado 3 se indica:

Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:

a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.

b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.

En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2024 bits.

En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1

En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.

En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.

Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.

Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.

Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, que, según se ve en las tablas indicadas anteriormente debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8.

En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:

  • Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
  • Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
  • Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir:
     # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits).
     # Curvas elípticas con claves de, al menos, 256 bits.
     # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.

Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.

Jerarquias de certificación de EADTrust.

Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.

Las variantes de certificados ofrecidos por EADTrust son las siguientes:

  • Autenticación y firma electrónica de personas físicas,
  • Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
  • Autenticación y firma electrónica de representantes legales de personas jurídicas,
  • Autenticación y firma electrónica de empleados públicos,
  • Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
  • Autenticación y sello electrónico de personas jurídicas,
  • Autenticación y sello electrónico de órganos de la administración pública,
  • Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
  • La creación de sellos de tiempo electrónicos cualificados,
  • La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
  • La conservación de firmas electrónicas, sellos o certificados para estos servicios

Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.

Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.

Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:

  • RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
  • RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
  • RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
  • ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
  • ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados.
    Para certificados no cualificados
  • RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.

En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.

En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256 bits.

Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD) Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.

Los campos “CommonName” de los nuevos certificados son:

CertificadoCriptografíaTamaño ClaveQCSDENS
EADT QTSU 2023 RSA 2048RSA2048NONO
EADT QTSU 2023 ENS alto RSA 3072RSA3072NOSI
EADT QTSU QSCD 2023 ENS alto RSA 4096RSA4096SISI
EADT QTSU 2023 ENS alto ECC 256ECC256NOSI
EADT QTSU QSCD 2023 ENS alto ECC 384ECC384SISI

Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento del la normativa ENS del Esquema nacional de Seguridad.