Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
eFactura Fórum III se celebra mañana 7 de mayo de 2025, de 9:30 a 14:00 horas, en The Cube / MIOTI (Madrid). Una jornada en la que se repasarán los entresijos de las leyes «Crea y Crece» y «Antifraude» (con la opción «Veri*Factu«) y sus normas complementarias que afectan a la emisión de facturas electrónicas y la remisión electrónica de registros de facturación a la AEAT.
Una novedad esta edición es que habrá un hueco en la agenda paraSpeed Dating (o citas rápidas) con algunos de los ponentes. La idea es que los asistentes puedan conversar de tú a tú, durante 15 minutos, con ellos para que les expongan dudas y cuestiones sobre la facturación electrónica. Por ejemplo fechas claves, requisitos técnicos y legales o asuntos concretos de su negocio y pasos a seguir, de forma personalizada.
Esta es la agenda del evento.
9:30 – 10:00Recepción
10:00 – 10:05Presentación
10:05 – 10:15Discurso inaugural a cargo de Ana Mato, presidenta de la Asociación Española de Consultores de Empresa (AECEM).
10:15 – 10:25Ponencia a cargo de Manuel David Delacampagne Crespo, Subdirector General de Análisis Sectorial Dirección General de Política Económica del Ministerio de Economía, Comercio y Empresa.
10:25 – 10:40Presentación “La facturación como palanca para la transformación digital”, a cargo de Èlia Urgell, Tax & Invoicing Product Manager en Wolters Kluwer Tax & Accounting España
10:40 – 11:10Mesa redonda sobre Verifactu
Ronald Lozano, Engineering Legal Team Manager de Sage
Carlos Prallong, Responsable de Desarrollo de Negocio en España de fiskaly
Francesc Núñez, ERP Product Manager en Wolters Kluwer Tax & Accounting España
Roberto Soto, Head of Product en TeamSystem España
11:10 – 11:45Coffee break
11:45 – 12:00Presentación «Retos y oportunidades de la Nueva Factura», a cargo de Francisco Javier Marchán López, Product Marketing Lead de Sage Iberia
12:00 – 12:15¿Con la nueva normativa, cómo serán nuestras facturas?, a cargo de Álvaro García, Product Marketing de Cegid
12:15 – 12:30Claves y lista de verificación para una adaptación sin errores, a cargo de Roberto Soto, Head of Product en TeamSystem España
12:30 – 13:00Mesa redonda sobre la Ley Crea y Crece
Juan García Sánchez, Director Regional de Ventas – Zona Sur y Levante, DocuWare
Desde este blog se ha estado haciendo seguimiento a la normativa europea que admitiera “la excepción comunitaria a los artículos 218 y 232” de la Directiva del IVA para España, ya que era el principal elemento limitante de la entrada en vigor del artículo 12 de la Ley Crea y Crece que hacía obligatoria la factura electrónica (por la Disposición final octava. Entrada en vigor)
En ese sentido se han publicado varios artículos al respecto:
No se ha publicado una decisión de ejecución específica para España, pero recientemente se ha modificado la redacción de los artículos 218 y 232 de la Directiva 2006/112/CE mediante la Directiva «ViDA» (VAT in the Digital Age») Directiva (UE) 2025/516 del consejo de 11 de marzo de 2025 por la que se modifica la Directiva 2006/112/CE en lo que respecta a las normas del IVA en la era digital.
En su artículo 1 se incluyen estos párrafos:
2) En el artículo 218, se añade el párrafo siguiente:
«No obstante lo dispuesto en el párrafo primero del presente artículo, los Estados miembros, con arreglo a las condiciones que establezcan, podrán solicitar a los sujetos pasivos establecidos en sus territorios la obligación de expedir facturas electrónicas por las entregas de bienes o prestaciones de servicios realizadas en sus territorios distintas de las establecidas en el artículo 262.».
3) En el artículo 232, se añade el párrafo siguiente:
«No obstante lo dispuesto en el párrafo primero del presente artículo, los Estados miembros que ejerzan la opción indicada en el artículo 218, párrafo segundo, podrán disponer que la utilización de facturas electrónicas expedidas por sujetos pasivos establecidos en sus territorios no esté sujeta a la aceptación del destinatario establecido en sus territorios.».
De modo que los textos completos del artículo 218 y del artículo 232 de la Directiva 2006/112/CE quedan:
Artículo 218
A efectos de la presente Directiva, los Estados miembros aceptarán como factura cualquier documento o mensaje en papel o en forma electrónica que cumpla las condiciones determinadas por el presente capítulo.
No obstante lo dispuesto en el párrafo primero del presente artículo, los Estados miembros, con arreglo a las condiciones que establezcan, podrán solicitar a los sujetos pasivos establecidos en sus territorios la obligación de expedir facturas electrónicas por las entregas de bienes o prestaciones de servicios realizadas en sus territorios distintas de las establecidas en el artículo 262
Artículo 232
Las facturas expedidas en aplicación de las disposiciones de la sección 2 podrán ser transmitidas en papel o, a reserva de la aceptación del destinatario, transmitidas o suministradas por vía electrónica.
No obstante lo dispuesto en el párrafo primero del presente artículo, los Estados miembros que ejerzan la opción indicada en el artículo 218, párrafo segundo, podrán disponer que la utilización de facturas electrónicas expedidas por sujetos pasivos establecidos en sus territorios no esté sujeta a la aceptación del destinatario establecido en sus territorios.
Así pues, ya son de aplicación los demás condicionantes de la entrada en vigor de la obligatoriedad de la facturación electrónica: la entrada en vigor «del artículo 12, relativo a la facturación electrónica entre empresarios y profesionales, que producirá efectos, para los empresarios y profesionales cuya facturación anual sea superior a ocho millones de euros, al año de aprobarse el desarrollo reglamentario. Para el resto de los empresarios y profesionales, este artículo producirá efectos a los dos años de aprobarse el desarrollo reglamentario«.
Mientras llega el Real Decreto de facturación electrónica, ya se ha publicado la normativa relacionada en desarrollo de la Ley Antifraude (que define los sistemas Verifactu):
Real Decreto 1007/2023, de 5 de diciembre, por el que se aprueba el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación.
Modificación de plazos: Real Decreto 254/2025, de 1 de abril, por el que se modifica el Real Decreto 1007/2023, de 5 de diciembre, por el que se aprueba el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación.
Orden HAC/1177/2024, de 17 de octubre, por la que se desarrollan las especificaciones técnicas, funcionales y de contenido referidas en el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación, aprobado por el Real Decreto 1007/2023, de 5 de diciembre; y en el Reglamento por el que se regulan las obligaciones de facturación, aprobado por Real Decreto 1619/2012, de 30 de noviembre.
Dado que es necesario usar firmas y sellos electrónicos cualificados tanto para cumplir la Ley Antifraude como la Ley Crea y Crece en lo relativo a la factura electrónica obligatoria, si usted está involucrado en el desarrollo de soluciones de facturación (o Sistemas Informáticos de Facturación – SIF) considere contactar con EADTrust y compruebe como podemos ayudarle con módulos software, APIS, Servicios remotos de firma electrónica y sello electrónico y certificados cualificados de Persona Jurídica. Puede llamar al902 365 612 o al 91760555.
La Unión Europea publicó el 15 de abril de 2025 los borradores de doce nuevos actos de ejecución centrados en los servicios electrónicos de confianza y la cartera de identidad digital europea, en lo que será el tercer bloque de actos de ejecución tras los dos anteriores, cumpliendo lo previsto en el Reglamento (UE) 1183/2024.
La publicación de estos borradores abre también la posibilidad de enviar comentarios hasta el 13 de mayo de 2025 a través de la plataforma «Have your say» .
El conjunto de actos de ejecución configura el Marco Europeo de Identidad Digital y forma parte del juego de requisitos y especificaciones que determinan la evolución del documento de ARF («Architecture and Reference Framework», Arquitectura y Marco de Referencia) de la Cartera de Identidad DIgital. Recientemente publiqué la traducción al español del documento ARF versión 1.8.
Inicio de los servicios de confianza cualificados Establece los formatos y procedimientos para notificar a los Organismos de Supervisión la intención de los prestadores de servicios de confianza de ofrecer servicios de confianza cualificados.
Sellos de tiempo cualificados Establece normas de referencia y, cuando es necesario, establece especificaciones y procedimientos para vincular la fecha y la hora a los datos y para establecer la precisión de las fuentes de tiempo con respecto a los sellos de tiempo electrónicos cualificados.
Servicios cualificados de entrega electrónica certificada Establece una lista de normas de referencia y las especificaciones y procedimientos para los procesos de envío y recepción de datos en el contexto de los servicios cualificados de entrega electrónica certificada.
Informes anuales de los organismos de supervisión Establece los formatos y procedimientos para los informes anuales de los organismos de supervisión designados responsables de la supervisión de las Carteras de Identidad Digital Europea y de los organismos de supervisión designados responsables de la supervisión de los servicios de confianza.
El lote anterior se publicó el viernes 29 de noviembre de 2024 con posibilidad de enviar comentarios en el portal ‘Have your say’ (Díganos lo que piensa), hasta el 27 de diciembre.
Los actos de ejecución se adoptaron el 9 de abril de 2025, per todavía no están publicados en el Diario Oficial.
El primer lote de 5 actos de ejecución se publicó el 4 de diciembre de 2024, en el Diario Oficial de la Unión Europea, entrando en vigor a los 20 días, el 24 de diciembre. Desde esa fecha se calculan los 2 años para que los estados pongan a disposición de los ciudadanos la Cartera de Identidad Digital correspondiente a cada estado y el plazo de 3 años para que las entidades privadas obligadas a la aceptación de la identidad basada en una Cartera Digital deban empezar a hacerlo.
Un sello de tiempo cualificado es una marca digital emitida por una Autoridad de Sellado de Tiempo (TSA, por sus siglas en inglés: Timestamping Authority), que certifica que un documento o conjunto de datos existía en un momento específico y no ha sido alterado desde entonces. Es ampliamente utilizado en firmas electrónicas, auditorías y procesos legales para garantizar la integridad y la autenticidad temporal de la información. En contextos como la Unión Europea, un sello de tiempo cualificado cumple con normativas estrictas (como el reglamento eIDAS) y tiene validez legal, por la presunción establecida en el articulo 326.4 de la LEC (Ley de Enjuiciamiento Civil)
El sello de tiempo se basa en criptografía y contiene un hash del documento original junto con una marca temporal firmada por la TSA con su clave privada.
¿Cómo se calcula el hash de un sello de tiempo?
El proceso para generar un sello de tiempo implica varios pasos:
Hash del documento original:
Se toma el documento o los datos que se quieren sellar (por ejemplo, un archivo PDF, texto, etc.).
Se calcula un hash del documento usando un algoritmo criptográfico como SHA-256. Este hash es una cadena única de longitud fija (por ejemplo, 256 bits para SHA-256) que representa los datos de forma unívoca. Cualquier cambio en el documento produciría un hash diferente.
Ejemplo: Si el documento es «Hola mundo», su hash SHA-256 sería algo como a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e.
Solicitud a la TSA:
El hash calculado se envía a la TSA junto con una solicitud de sello de tiempo.
La TSA no necesita el documento original, solo el hash, lo que garantiza la privacidad del contenido.
Generación del sello de tiempo por la TSA:
La TSA toma el hash recibido y lo combina con la fecha y hora actuales (obtenida de un reloj sincronizado con una fuente confiable, como un servidor NTP).
Luego, la TSA genera un «token de sello de tiempo» que incluye:
El hash del documento.
La marca temporal (fecha y hora).
Información sobre la TSA (como su identificador).
Una firma digital creada con la clave privada de la TSA sobre estos datos, usando un algoritmo como RSA o ECDSA.
Resultado:
El token de sello de tiempo es devuelto al solicitante en un formato estándar, como CMS (Cryptographic Message Syntax, definido en RFC 3161), codificado frecuentemente en Base64 para facilitar su transporte.
En la Arquitectura y Marco de Referencia de la Cartera de Identidad Digital Europea se recoge la opción de que las entidades de las Administraciones Públicas puedan generar Declaraciones de Atributos de forma similar a los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA).
En el modelo de confianza, tanto los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA) como las entidades públicas emisoras de Declaraciones Electrónicas de Atributos (DEA) deben contar con un certificado electrónico con el que se firman las declaraciones electrónicas de atributos.
EADTrust está generando ya certificados de prueba alineados con el modelo de confianza y puede prestar, si se requiere, tanto los servicios DECA (asociados a fuentes auténticas) como declaraciones DEA-AAPP (en inglés Pub-EAA).
Hay que tener en cuenta que la norma ETSI TS 119 412-5 se va a modificar para incorporar un nuevo OID esi4-qcStatement-10 solo para Organismos del Sector Público – OSP (en inglés PSB – Public Sector Bodies), que incluirá esta información:
countryOfLegislation deberá contener el código de país alfa-2 del marco legislativo del organismo del sector público, considerando que se utilizará «EU» para la legislación de la UE.
authSourceIdentification deberá contener una identificación única de la fuente auténtica para la que el OSP emite declaraciones de atributos.
nameOfLegislation deberá contener el nombre de la legislación que define al OSP como responsable de la fuente auténtica. Esta entrada deberá contener al menos la traducción al inglés del nombre de la legislación, pero también puede contener traducciones a otros idiomas.
La sintaxis queda así:
esi4-qcStatement-10 QC-STATEMENT ::= { SYNTAX QcPSB IDENTIFIED BY id-etsi-qcs-QcPSB }
QcPSB ::= SEQUENCE { countryOfLegislation PrintableString (SIZE (2)) (CONSTRAINED BY { — ISO 3166 alpha-2 codes only — }), — this field shall contain the alpha-2 country code of the legislation — framework of public sector body in the case of EU legislation use — the «EU» country-code.
authSourceIdentification UTF8String, — this field is for the unique identification of authentic source
nameOfLegislation LegalDescriptions }
LegalDescriptions ::= SEQUENCE SIZE (1..MAX) OF LegalDescription
LegalDescription ::= SEQUENCE { language PrintableString (SIZE(2)), –ISO 639-1 language code — the language (code) of the legislation — description
legislation UTF8String — the legislation name in the language set, at minimum the english — (en) translation of the legistlation’s name shall be included }
Contacte con EADTrust para adaptar su entidad u organismo a los retos del despliegue de la Cartera de Identidad Digital Europea.
Esta jornada del Observatorio Legaltech Garrigues ICADE toma como punto de partida el proyecto europeo NEO-TRANSCRIM (2024–2028), liderado por la profesora Lorena Bachmaier Winter de la Universidad Complutense de Madrid, para explorar el creciente protagonismo de la prueba digital en el ámbito penal y corporativo.
En el contexto de una cooperación judicial penal cada vez más digitalizada y transfronteriza, la prueba digital no solo se configura como pieza clave del proceso penal, sino también como instrumento preventivo en programas de compliance.
La sesión busca profundizar en la trazabilidad digital identificando cómo la debilidad o falta de trazabilidad digital puede comprometer la defensa jurídica de las organizaciones, especialmente cuando las obligaciones de cumplimiento no logran traducirse en evidencias sólidas y verificables.
En este sentido, la validez probatoria de cada evidencia depende de su adecuación a los mecanismos de confianza digital establecidos en el Reglamento eIDAS, como los servicios de confianza cualificados (sello de tiempo, firma electrónica, etc.) y a la previsión incluida en la LEC como marco de referencia para establecer la presunción de cumplimiento de los servicios electrónicos de confianza cualificados.
El evento favorece la reflexión práctica y multidisciplinar sobre la prevención y la represión penal, integrando perspectivas jurídicas, tecnológicas y judiciales.
Será una conversación clave para profesionales del derecho, compliance, tecnología y justicia digital.
Programa
18:30 h – Bienvenida.
Albi Rodríguez Jaramillo, coordinador del Observatorio Legaltech Garrigues-ICADE.
18:35 h – Introducción.
Eduardo Torres-Dulce, ex Fiscal General del Estado, y of counsel de Resolución de Conflictos: Litigación y Arbitraje de Garrigues.
18:45 h – Ponencia principal.
Lorena Bachmaier Winter, catedrática e investigadora principal del proyecto NEO-TRANSCRIM (2024-2028).
Moderadora: Mercedes de Prada, directora académica del Centro de Estudios Garrigues
19:05 h – Mesa de expertos: Nuevos horizontes de la prueba digital: prevención en compliance y defensa en el proceso penal.
Beatriz Bustamante, counsel de Resolución de Conflictos: Litigación y Arbitraje de Garrigues. Especialista en compliance.
Julián Inza, presidente de EADTrust, y director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Eloy Velasco, magistrado de la Audiencia Nacional.
Lorena Bachmaier Winter, catedrática e investigadora principal del proyecto NEO-TRANSCRIM (2024-2028).
Moderadora: María Marelza Cózar, asociada sénior de Resolución de Conflictos: Litigación y Arbitraje de Garrigues. Especialista en compliance y miembro del Observatorio Legaltech Garrigues-ICADE.
20:05 h – Preguntas y cierre.
20:15 h – Networking y vino español en Lateral Galileo (frente a Comillas Conecta Lab).
La EUDI Wallet (European Union Digital Identity Wallet), conocida en español como la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE) se está desarrollando desde el punto de vista de la concreción de especificaciones a través del ARF es decir, el Marco de Referencia y Arquitectura (Architecture and Reference Framework).
El ARF de la Cartera IDUE es un documento técnico clave que establece las bases para el diseño, desarrollo y funcionamiento de esta identidad digital en toda la Unión Europea. Es un marco de referencia que los estados miembros y desarrolladores usan para garantizar que las carteras digitales sean seguras, interoperables y cumplan con la regulación eIDAS 2.0.
Traduje varias versiones del documento ARF, pero en los últimos meses la actualización de versiones iba más rápido que mi capacidad de traducción
Recientemente se ha publicado la versión 1.8 y la he intentado traducir a toda prisa, por lo que aquí traigo la versión en español de este documento «Marco de Referencia y Arquitectura»:
Estandarización: Define los protocolos técnicos, como el formato de los identificadores digitales (basados en estándares como OpenID o ISO/IEC 18013-5 para credenciales móviles), para que las carteras funcionen igual en todos los países de la UE.
Interoperabilidad: Asegura que una Cartera IDUE emitida en España, por ejemplo, pueda usarse sin problemas en Francia o Alemania para servicios públicos y privados (como abrir una cuenta bancaria o identificarse en línea).
Seguridad: Establece requisitos para proteger los datos personales, como el uso de elementos seguros en dispositivos (chips físicos o software encriptado) y autenticación multifactor.
Funcionalidad: Detalla cómo las carteras almacenarán y presentarán credenciales digitales, como el DNI electrónico, licencias de conducir o certificados académicos, de forma que sean verificables al instante por terceros autorizados.
Desarrollo práctico: Proporciona una «caja de herramientas» (toolbox) técnica para que los países implementen sus propias versiones de la cartera, manteniendo un estándar común.
El ARF fue publicado por la Comisión Europea como parte del proceso para preparar la implementación de la EUDI Wallet, que se espera esté plenamente operativa para las navidades de 2026.
El pasado 20 de febrero de 2025 participé en el «Roadshow de Ingram Micro sobre NIS 2 & DORA» que tuvo lugar en Madrid y ahora me han invitado de nuevo a dar la charla en Barcelona el próximo 10 de abril de 2025.
Además, en octubre de 2024 se ha publicado el Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, y los proveedores de servicios de confianza.
Por otro lado, la normativa DORA (Reglamento de Resiliencia Operativa Digital) ha superado una serie de hitos que recientemente ha supuesto la obligatoriedad de cumplimiento para las entidades financieras:
16 de enero de 2023: Entrada en vigor del reglamento.
17 de enero de 2023 a 16 de enero de 2025: Plazo de dos años para que las entidades financieras cumplan con los requisitos establecidos.
17 de enero de 2025: Las entidades financieras deben cumplir con los requisitos del reglamento.
g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.
Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.
Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.
g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.
Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.
¿Qué ofrecen juntos g-digital y EADTrust?
La propuesta comercial conjunta se basa en tres pilares fundamentales:
Servicios de confianza digital regulados
EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
Innovación tecnológica aplicada al ámbito legal
Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
g-digitaltrabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
Cumplimiento normativo y adaptación al mercado europeo
La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.
Beneficios para las empresas
La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:
Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.
Casos destacados
Entre los proyectos desarrollados conjuntamente se encuentran:
GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.
Conclusión
La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.
La «Verificación del Beneficiario» (o Verification of Payee en inglés) es un servicio o proceso utilizado principalmente en el sector bancario y financiero para confirmar la identidad del destinatario de un pago antes de que se realice la transacción. Este mecanismo busca reducir el riesgo de fraude, errores en los pagos o transferencias a cuentas incorrectas.
En términos prácticos, cuando alguien inicia un pago (por ejemplo, a través de una transferencia bancaria), el sistema de Verificación del Beneficiario comprueba que los datos proporcionados (como el nombre del beneficiario y el número de cuenta) coincidan con los registros del banco receptor. Si hay una discrepancia, se puede alertar al usuario para que revise la información antes de ejecutar la transferencia.
Este servicio es especialmente común en países como el Reino Unido, donde se implementó como parte del esquema Confirmation of Payee bajo las regulaciones de la Autoridad de Conducta Financiera (FCA) para combatir el fraude de pagos autorizados (Authorised Push Payment fraud). Por ejemplo, al introducir los detalles de una transferencia, el banco podría devolver un mensaje como «Nombre coincide», «Nombre no coincide» o «Nombre similar» (Match, No Match o Close Match), ayudando al ordenante a tomar una decisión informada.
Contexto en España
En España existe un equivalente al concepto de «Verification of Payee» (Verificación del Beneficiario), aunque no se denomina exactamente así de manera oficial en la normativa española.
En España, la verificación de la identidad del beneficiario en transferencias bancarias no era un servicio obligatorio con un nombre específico como el «Confirmation of Payee» o «Verification of Payee», pero los bancos y entidades financieras han adoptado medidas similares para cumplir con las normativas de prevención de fraude y blanqueo de capitales. Estas medidas suelen incluir la validación de los datos del beneficiario (como el IBAN y el nombre) antes de procesar una transferencia, especialmente en el marco de las transferencias SEPA (Zona Única de Pagos en Euros). En la actualidad les aplica el Reglamento (UE) 2024/886.
La base legal y regulatoria para este tipo de procedimientos proviene principalmente de la legislación europea, que ha sido traspuesta al ordenamiento jurídico español. Los marcos principales son:
Directiva (UE) 2015/2366 – PSD2 (Segunda Directiva de Servicios de Pago):
Entró en vigor en la UE en 2016 y fue traspuesta en España mediante el Real Decreto-ley 19/2018, de 23 de noviembre, sobre servicios de pago y otras medidas urgentes en materia financiera.
Esta directiva busca mejorar la seguridad de los pagos electrónicos y proteger a los consumidores. Aunque no menciona explícitamente la «Verificación del Beneficiario» como un servicio obligatorio, exige a las entidades financieras implementar medidas de autenticación reforzada (Strong Customer Authentication, SCA) y garantizar la seguridad en las transacciones, lo que incluye verificar la identidad de las partes involucradas en un pago.
En la práctica, algunos bancos españoles han integrado sistemas que cotejan el IBAN con el nombre del beneficiario para evitar errores o fraudes, aunque esto depende de las políticas internas de cada entidad.
Reglamento SEPA (Reglamento (UE) No 260/2012):
Establece los requisitos técnicos y comerciales para las transferencias y adeudos domiciliados en euros en la zona SEPA, que incluye España.
Aunque el foco está en la estandarización de los pagos, las entidades pueden implementar controles adicionales, como la verificación del beneficiario, para cumplir con las expectativas de seguridad.
Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo:
Esta ley, modificada posteriormente para adaptarse a directivas europeas (como la 4ª y 5ª Directivas AML), obliga a las entidades financieras a identificar y verificar la identidad de los clientes y beneficiarios en las operaciones financieras. Esto incluye medidas para evitar que los fondos se transfieran a cuentas fraudulentas o no deseadas, lo que indirectamente fomenta la verificación de los datos del beneficiario.
Reglamento de Transferencias inmediatas (Reglamento (UE) 2024/886)
Modifica varios reglamentos y directivas existentes relacionados con las transferencias inmediatas en euros. Este reglamento tiene como objetivo promover el uso generalizado de transferencias instantáneas en la Unión Europea, mejorando la eficiencia, la digitalización y la innovación en los pagos.
Bancos españoles
En la actualidad los bancos españoles ya cuentan con servicios equivalentes:
Algunos bancos, como Santander, BBVA o CaixaBank, han desarrollado sistemas internos que alertan al usuario si el nombre del beneficiario no coincide con el IBAN proporcionado, aunque esto no es un estándar obligatorio en todo el sector.
La adopción de estas medidas depende de la entidad y suele estar motivada por la necesidad de cumplir con las expectativas de seguridad de los clientes y reducir el riesgo de fraude, como el fraude de suplantación (Authorised Push Payment Fraud).
European Payments Council
El 19 de marzo de 2024 se publicó el Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo de 13 de marzo de 2024 por el que se modifican los Reglamentos (UE) n.o 260/2012 y (UE) 2021/1230 y las Directivas 98/26/CE y (UE) 2015/2366 en lo que respecta a las transferencias inmediatas en euros,
Establece que el servicio VoP «Verification of Payee», lo deben ofrecer los proveedores de servicios de pago sin cargo adicional.
La comprobación debe realizarse antes de que el ordenante autorice la transferencia. En caso de «nombre similar» (close match) el ordenante deberá ser informado del nombre asociado al IBAN proporcionado.
Los PSP deberán informar a los ordenantes sobre las implicaciones de la responsabilidad del PSP y de los derechos de reembolso del ordenante sobre la opción del PSP de ignorar la notificación proporcionada. En la medida de lo posible, el servicio que garantice la verificación deberá llevarse a cabo de conformidad con un conjunto de reglas y normas para toda la Unión (por ejemplo el «rulebook» del EPC – European Payments Council).
Los ordenantes que no sean consumidores y que envíen varias órdenes de pago en forma de paquete deben poder optar por no recibir los avisos de VoP en su relación contractual con el PSP. El Servicio VoP se debe ofrecer 18 meses después de la entrada en vigor de la regulación,es decir, el 9 de octubre de 2025.
El reglamento indica que los Estados miembros adoptarán, publicarán y aplicarán, a más tardar el 9 de abril de 2025, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en los artículos 3 y 4. Comunicarán inmediatamente el texto de dichas disposiciones a la Comisión.
EADTrust proporciona certificados QWAC y QSEALC con el perfil PSD2 que se necesitan en las conexiones entre bancos y entidades de pagos. Se tienen en cuenta diferentes roles:
PISP – Payment Initiation Service Provider (Proveedor de Servicios de Iniciación de Pagos)
Estas entidades permiten a los usuarios iniciar pagos directamente desde sus cuentas bancarias a través de un tercero, sin necesidad de usar una tarjeta de crédito o débito. Actúan como intermediarios entre el pagador y el banco, facilitando transacciones seguras mediante APIs abiertas.
AISP – Account Information Service Provider (Proveedor de Servicios de Información de Cuentas)
Estas entidades recopilan y consolidan información de las cuentas bancarias del usuario (con su consentimiento), ofreciendo una visión unificada de sus finanzas. Por ejemplo, pueden mostrar saldos o historiales de transacciones de diferentes bancos en una sola plataforma.
Y están, claro, las entidades que gestionan las cuentas, que tienen su denominación propia del contexto normativo de PSD2:
ASPSP – Account Servicing Payment Service Provider (Proveedor de Servicios de Pago que Gestiona Cuentas)
Son los bancos o instituciones financieras tradicionales que mantienen las cuentas de los clientes y deben proporcionar acceso a PISP y AISP a través de interfaces seguras (como APIs) bajo el consentimiento del usuario.
TPP – Third Party Providers (Terceros Proveedores)
Es un término general que engloba a PISP y AISP, refiriéndose a cualquier entidad autorizada por PSD2 para ofrecer servicios de pago o información, distinta de los bancos tradicionales.
Contacte con EADTrust en +34 91716 0555 si necesita certificados cualificados para PSD2
Todo es electrónico 