Niveles de firma electrónica de la UE (eIDAS): ¿cuál es la diferencia entre una firma ordinaria, avanzada y cualificada?
El Reglamento eIDAS de la UE define tres niveles de firma electrónica: sencilla (SES), avanzada (AES) y cualificada (QES). En este artículo, explicamos en un lenguaje sencillo qué significa cada nivel, cuándo es suficiente cada uno y cómo una pequeña empresa puede aprovecharlos en su día a día.
Idea básica del Reglamento eIDAS
eIDAS (electronic IDentification, Authentication and trust Services) es un Reglamento de la UE que entró en vigor en 2016. Establece normas comunes para la identificación electrónica y las firmas electrónicas en todos los países de la UE. En la práctica, eIDAS significa lo siguiente: una firma electrónica no puede ser rechazada en un tribunal simplemente porque está en formato electrónico. Esto se aplica en toda la UE. El Reglamento fue actualizado en 2024 (eIDAS 2.0), incluyendo, entre otros, la Cartera de Identidad Digital de la UE (EUDI Wallet) y requisitos más estrictos para los servicios de confianza.
SES – firma electrónica sencilla
SES es el nivel de firma más sencillo. Puede ser, por ejemplo:
- Un nombre escrito en un correo electrónico
- La casilla "Acepto los términos" en un formulario web
- Una firma dibujada en una pantalla táctil
SES no requiere una verificación de identidad separada. Es suficiente para situaciones de bajo riesgo y donde ya existe una relación de confianza entre las partes. Lo que esto significa en la práctica: si vende un servicio por 500 euros a un cliente habitual pequeño y este confirma el pedido por correo electrónico, se trata de una firma de nivel SES. Es válida, pero en caso de disputa, su valor probatorio es el más débil.
AES – firma electrónica avanzada
AES requiere que el firmante sea identificado de forma fiable y que la firma esté vinculada a él de manera que no pueda modificarse posteriormente.\n\nEn la práctica, AES significa que el firmante se autentica, por ejemplo, con credenciales bancarias, un certificado móvil o un método similar antes de firmar.\n\nAES cumple cuatro requisitos:
- La firma está vinculada de forma única al firmante
- El firmante es identificable
- El firmante tiene el control exclusivo de los datos utilizados para crear la firma
- Los cambios realizados en el documento después de la firma son detectables
Qué significa esto en la práctica: cuando envía un contrato de cliente para firmar a través de EpicSign y el cliente se autentica con credenciales bancarias, se trata de una firma de nivel AES. Esto es suficiente para la mayoría de los contratos comerciales.
QES – firma electrónica cualificada (aprobada)
QES es el nivel más robusto. En la legislación de la UE, equivale directamente a una firma manuscrita. QES requiere dos cosas:
- Un certificado emitido por un prestador de servicios de confianza cualificado (Qualified Certificate)
- Un dispositivo de creación de firma cualificado (Qualified Signature Creation Device, QSCD)
Los creadores de firmas QES se encuentran en la lista de confianza de la UE (Trusted List), una lista oficial donde se registran los prestadores de servicios de confianza cualificados. Cada país de la UE mantiene su propia lista. Lo que esto significa en la práctica: QES es necesaria principalmente cuando la ley exige explícitamente la forma escrita (por ejemplo, ciertas transacciones inmobiliarias, trámites administrativos) o cuando el valor y el riesgo del contrato son particularmente altos.
¿Cuándo es suficiente cada nivel?
Para una pequeña empresa, la elección del nivel correcto depende del riesgo y el valor del documento:
| Tipo de documento | Nivel recomendado | Justificación |
|---|---|---|
| Confirmación interna, confirmación de pedido | SES | Riesgo bajo, rápido y económico |
| Contrato de cliente, oferta | AES | Identifica al firmante de forma fiable |
| Contrato de trabajo, acuerdo de confidencialidad | AES | La identificación de ambas partes es importante |
| Contrato de subcontratación | AES | Fuerte conexión con el firmante |
| Acta (junta, asamblea general) | AES | Persona identificada, protección contra cambios |
| Compraventa de bienes inmuebles, documento oficial | QES | La ley puede requerir el nivel más alto |
Registro de auditoría y pruebas
Cada firma electrónica deja una huella digital, un registro de auditoría. Es una prueba electrónica de quién firmó, cuándo y desde dónde.\n\nUn registro de auditoría bien implementado incluye:
- Datos de identificación del firmante (nombre, correo electrónico, método de autenticación)
- Marca de tiempo (cuándo se realizó la firma)
- Dirección IP y detalles del dispositivo
- Resumen (hash) del documento, que demuestra que el documento no ha sido modificado después de la firma
Ejemplo práctico: una consultora y la gestión de contratos
Una empresa de consultoría de tres personas en Tampere realiza entre 10 y 15 contratos de clientes al mes. Anteriormente, los contratos se imprimían, firmaban y escaneaban. El proceso llevaba de 30 a 45 minutos por contrato.\n\nLa transición a la firma electrónica de nivel AES con EpicSign cambió el proceso:
- El contrato se sube a EpicSign (1 min)
- Se añaden los firmantes y se envía la solicitud de firma (1 min)
- El cliente se autentica con sus credenciales bancarias y firma (2 min)
- El contrato firmado se archiva automáticamente (0 min)
Ahorro de tiempo: unas 2 horas a la semana. Además, cada contrato es rastreable gracias al registro de auditoría.
Preguntas frecuentes
¿Cuál es la diferencia práctica entre las firmas SES, AES y QES?
SES es la más simple (por ejemplo, un nombre en un correo electrónico). AES requiere autenticación fuerte, como credenciales bancarias. QES es la más fuerte y equivale a una firma manuscrita; requiere un certificado cualificado.
¿Es suficiente el nivel AES para un contrato de trabajo?
Sí, en la mayoría de los casos, AES es suficiente para contratos de trabajo en Finlandia. La ley generalmente no requiere el nivel QES para los contratos de trabajo.
¿Qué es la Lista de Confianza de la UE?
La Trusted List es un listado oficial de prestadores de servicios de confianza aprobados, mantenido por los países de la UE. La lista se encuentra en el sitio web de la Comisión Europea.
¿Se puede disputar una firma SES en un tribunal?
Una firma SES no puede ser rechazada simplemente por estar en formato electrónico (artículo 25 del eIDAS). Sin embargo, su valor probatorio es menor que el de AES o QES.
¿EpicSign admite firmas de nivel AES?
Sí. EpicSign admite la autenticación fuerte (credenciales bancarias) que cumple con los requisitos de AES.
¿Necesita una pequeña empresa una firma QES?
Rara vez. QES solo es necesario cuando la ley exige explícitamente la forma escrita o en las relaciones con las autoridades. Para contratos ordinarios, AES es suficiente.
Fuentes
- Reglamento eIDAS (UE) n.º 910/2014 sobre identificación electrónica y servicios de confianza
- Agencia de Servicios Digitales y de Población (DVV) – Identificación electrónica y servicios de confianza
- Traficom – Servicios de confianza y firmas electrónicas
- Listas de confianza de la UE – lista de prestadores de servicios de confianza cualificados
Este artículo es de carácter general y no constituye asesoramiento jurídico.
Pruebe EpicSign
Comience una prueba gratuita y envíe su primera solicitud de firma en menos de 20 segundos.
Ver precios