Anar al contingut

Preguntas freqüents

El Reglamento (UE) Núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (eIDAS) estableix les condicions en què els Estats membres hauran de reconèixer els mitjans d'identificació electrònica de les persones físiques i jurídiques pertanyents a un sistema d'identificació electrònica notificat d'un altre Estat membre, així com les normes per als serveis de confiança i un marc jurídic per a les signatures electròniques, els segells electrònics, els segells de temps electrònics, els documents electrònics, els serveis de lliurament electrònic certificat i els serveis de certificats per a l'autenticació de llocs web.

El 20 de maig de 2024 va entrar en vigor el Reglament (UE) 2024/1183 del Parlament Europeu i del Consell, d'11 d'abril de 2024, pel qual es modifica el Reglament (UE) n.° 910/2014 pel que fa a l'establiment del marc europeu d'identitat digital, a fi de millorar la seva eficàcia, estendre els seus beneficis al sector privat i promoure unes identitats digitals de confiança per a tots els europeus. D'altra banda, es defineixen nous serveis de confiança i es preveuen una sèrie d'actes d'implementació quant a requisits tècnics i de supervisió dels serveis de confiança.

Un servei electrònic prestat habitualment a canvi d'una remuneració i que consisteix en:

  1. la creació, verificació i validació de signatures electròniques, segells electrònics o segells de temps electrònics, serveis de lliurament electrònic certificat i certificats relatius a aquests serveis.
  2. la creació, verificació i validació de certificats per a l'autenticació de llocs web.
  3. la preservació de signatures, segells o certificats electrònics relatius a aquests serveis.

Un servei de confiança que compleix els requisits aplicables establerts en el Reglament (UE) 910/2014.

Si un prestador de serveis de confiança té la intenció d'iniciar la prestació de serveis de confiança qualificats, ha de presentar a l'organisme de supervisió una notificació de la seva intenció juntament amb un informe d'avaluació de la conformitat expedit per un organisme d'avaluació de la conformitat.

Una vez que el prestador de serveis de confiança hagi aportat tota la informació requerida per a iniciar la seva activitat, incloent l'informe d'avaluació de la conformitat emès per un organisme d'avaluació de la conformitat degudament acreditat, l'organisme de supervisió verificarà si el prestador i els serveis de confiança que presta compleixen els requisits establerts en el Reglament (UE) 910/2014 i, si conclou que el prestador i els serveis de confiança que presta compleixen els citats requisits, concedirà la qualificació i actualitzarà la llista de confiança.

Notificació de serveis electrònics de confiança qualificats

Un prestador de serveis de certificació que emeti certificats reconeguts conforme a la Directiva 1999/93/CE ha de presentar un informe d'avaluació de conformitat a l'organisme supervisor al més aviat possible, però no més tard de l'1 de juliol de 2017. Fins que el prestador de serveis de certificació present aquest informe d'avaluació de conformitat i l'organisme supervisor ultimi la seva anàlisi, l'esmentat prestador de serveis de certificació serà considerat com a prestador qualificat de serveis de confiança.

La etiqueta de confiança «UE» per a serveis electrònics de confiança qualificats distingeix clarament els serveis de confiança qualificats dels altres serveis de confiança, contribuint així a la transparència en el mercat i fomentant, per tant, la confiança en els serveis en línia i la conveniència d'aquests. Les característiques i condicions d'ús de l'etiqueta es troben definits en el Reglament d'Execució (UE) 2015/806 de la Comissió de 22 de maig de 2015 pel qual s'estableixen especificacions relatives a la forma de l'etiqueta de confiança «UE» per a serveis de confiança qualificats.

Els prestadors qualificats dels serveis electrònics de confiança podran usar l'etiqueta de confiança «UE» a partir de l'1 de juliol de 2016, una vegada que la qualificació dels serveis s'hagi inclòs en la llista de confiança.

Un dispositiu de creació de signatures electròniques que compleix els requisits enumerats en l'annex II del Reglament (UE) 910/2014. Així mateix, un dispositiu qualificat de creació de segell electrònic és aquell que compleix, mutatis mutandis, els requisits indicats en l'annex II del Reglament (UE) 910/2014.

De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.

Puede trobar informació actualitzada sobre la llista d'organismes europeus de certificació i la llista de dispositius qualificats de creació de signatura i segell en la pàgina de la Comissió Europea.

Cada Estado membre té l'obligació de designar un organisme de supervisió responsable de les funcions de supervisar als prestadors qualificats de serveis de confiança establerts en el territori de l'Estat i d'adoptar les mesures, en cas necessari, en relació amb els prestadors no qualificats de serveis de confiança establerts en el territori de l'Estat membre.

En España, l'organisme de supervisió és la Secretaria d'Estat de Digitalització i Intel·ligència Artificial, del Ministeri d'Assumptes Econòmics i Transformació Digital.

El Reglamento (UE) 910/2014 va entrar en vigor el 17 de setembre de 2014, però no serà aplicable íntegrament fins a l'1 de juliol de 2016.

No obstant l'anterior, el Reglament (article 52) preveu que determinades disposicions incloses en el mateix siguin aplicables en dates diferents en funció de les dates d'aplicació dels actes d'execució que els desenvolupin.

Els certificats de persona jurídica i d'entitat sense personalitat jurídica emesos abans de l'1 de juliol de 2016, data d'aplicació completa del Reglament (UE) 910/2014, podran continuar utilitzant-se fins a la seva caducitat o revocació, però no podran renovar-se després d'aquesta data, tal com s'indica en la nota publicada per aquest Ministeri.

Els certificats de persona jurídica i entitats sense personalitat jurídica hauran de deixar d'emetre's l'1 de juliol de 2016 [PDF] [53 kB]

Així mateix, respecte a l'ús d'aquesta mena de certificat per a realitzar tràmits amb l'Agència Tributària pot consultar-se la informació publicada en l'enllaç:

Renovació de certificats FNMT-RCM de persona jurídica i entitats sense personalitat jurídica

Lista que estableix, manté i publica cada Estat membre en la qual s'inclou informació relativa als prestadors qualificats de serveis electrònics de confiança, juntament amb la informació relacionada amb els serveis electrònics de confiança qualificats prestats per ells.

La informació que es proporciona en la llista de confiança està destinada principalment a la validació de serveis electrònics de confiança qualificats proporcionats per aquells prestadors qualificats de serveis electrònics de confiança establerts en l'Estat membre que publica la llista, per exemple, signatures electròniques o segells electrònics qualificats, signatures electròniques o segells electrònics avançats admesos per un certificat qualificat, marques de temps qualificades, proves de lliurament electrònic qualificades, etc.

Actualmente, la llista de confiança d'Espanya es troba publicada en:

Lista de Confianza de España [PDF]

Llesta de Confiança d'Espanya [XML]

El Reglamento (UE) 910/2014 defineix tres tipus de signatura electrònica:

  • «signatura electrònica», les dades en format electrònic annexos a altres dades electròniques o associats de manera lògica amb ells que utilitza el signant per a signar.
  • «signatura electrònica avançada», la signatura electrònica que compleix els següents requisits:
    • estar vinculada al signant de manera única.
    • permetre la identificació del signant.
    • haver estat creada utilitzant dades de creació de la signatura electrònica que el signant pot utilitzar, amb un alt nivell de confiança, sota el seu control exclusiu, i
    • estar vinculada amb les dades signades per la mateixa de manera tal que qualsevol modificació ulterior dels mateixos sigui detectable.
  • «signatura electrònica qualificada», una signatura electrònica avançada que es crea mitjançant un dispositiu qualificat de creació de signatures electròniques i que es basa en un certificat qualificat de signatura electrònica.

El Reglamento (UE) 910/2014 defineix tres tipus de segell electrònic:

  • «segell electrònic», dades en format electrònic annexos a altres dades en format electrònic, o associats de manera lògica amb ells, per a garantir l'origen i la integritat d'aquests últims.
  • «segell electrònic avançat», un segell electrònic que compleix els següents requisits:
    • estar vinculat al creador del segell de manera única.
    • permetre la identificació del creador del segell.
    • haver estat creat utilitzant dades de creació del segell electrònic que el creador del segell pot utilitzar per a la creació d'un segell electrònic, amb un alt nivell de confiança, sota el seu control, i
    • estar vinculat amb les dades a què es refereix de manera tal que qualsevol modificació ulterior dels mateixos sigui detectable.
  • «segell electrònic qualificat», un segell electrònic avançat que es crea mitjançant un dispositiu qualificat de creació de segells electrònics i que es basa en un certificat qualificat de segell electrònic.

De acuerdo con l'article 3.18 del Reglament (UE) 910/2014, és un organisme definit en el punt 13 de l'article 2 del Reglament (CE) 765/2008 la competència de la qual per a realitzar una avaluació de conformitat d'un prestador qualificat de serveis de confiança i dels serveis de confiança qualificats que aquest presta estigui acreditada en funció d'aquest Reglament. No es troba entre les seves funcions la certificació de dispositius qualificats de creació de signatura o segell.

La acreditació de la competència d'un organisme d'avaluació de conformitat correspon a l'Entitat Nacional d'Acreditació (ENAC). ENAC es troba en disposició d'acreditar conforme a la norma EN 319 403, que estableix els requisits per a assegurar la competència tècnica, l'operativitat i imparcialitat d'aquells organismes que auditen i certifiquen als proveïdors de serveis d'identificació electrònica i prestadors de serveis electrònics de confiança per a transaccions electròniques.

ENAC ha acreditat a diversos organismes d'avaluació de la conformitat establerts a Espanya. Puede consultar la llista d'organismes d'avaluació de la conformitat acreditats en els Estats membres de la UE en la pàgina de la Comissió Europea.

Els prestadors qualificats de serveis electrònics de confiança han de ser auditats, almenys cada 24 mesos, per un organisme d'avaluació de la conformitat. La finalitat de l'auditoria és confirmar que tant els prestadors qualificats de serveis electrònics de confiança com els serveis electrònics de confiança qualificats que presten compleixen els requisits establerts en el Reglament (UE) 910/2014.

Els prestadors qualificats de serveis electrònics de confiança han d'enviar l'informe d'avaluació de la conformitat corresponent a l'organisme de supervisió en el termini de tres dies hàbils després de la seva recepció.

Els prestadors de serveis de certificació que expedien certificats reconeguts es beneficien de la mesura transitòria establerta en l'article 51 del Reglament eIDAS, i són en conseqüència considerats des de llavors prestadors qualificats de serveis de confiança que expedeixen certificats qualificats de signatura electrònica (amb data límit 1 de juliol de 2017 per a presentar l'informe d'avaluació de conformitat). No obstant això, aquests prestadors no són considerats qualificats per a la prestació d'altres serveis com poguessin ser l'expedició de certificats qualificats de segell o d'autenticació de llocs web, per a la prestació dels quals han de presentar en qualsevol cas el corresponent informe d'avaluació de la conformitat emès per un organisme d'avaluació de la conformitat oportunament acreditat.

Únicamente quan la qualificació s'ha associat amb el tipus de servei en la llista de confiança.

L'apartat 2 de l'article 19 del Reglament (UE) núm. 910/2014 del Parlament europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (Reglament eIDAS), imposa als prestadors de serveis de confiança l'obligació de notificar qualsevol violació de la seguretat o pèrdua de la integritat que tingui un impacte significatiu en el servei de confiança prestat o en les dades personals corresponents, en el seu cas, amb independència que l'incident s'hagi produït d'una manera accidental per un error humà.

Cuando el prestador consideri que concorre tal circumstància, d'acord al citat article 19.2 del Reglament eIDAS, notificarà l'incident, en un termini de 24 hores després de tenir coneixement d'aquest, a l'organisme supervisor conforme l'indicat en la Guía de notificació d'incidents. Aquest Òrgan Supervisor després de l'anàlisi de la informació remesa, informarà, en cas pertinent, als organismes de supervisió d'altres Estats membres afectats, així com a ENISA, i, en cas de considerar que la divulgació de la violació de seguretat o la pèrdua d'integritat revesteix un interès públic, informarà del públic o exigirà al prestador de serveis de confiança que informi públicament del fet. La violació de seguretat notificada, degudament anonimizada, formarà part, en el seu cas, del resum anual que el supervisor ha de facilitar a ENISA conforme al que es disposa en l'article 19.3 del Reglament eIDAS.

Per a més informació, pot consultar-se l'informe d'ENISA sobre la notificació d'incidents pel citat article 19 del Reglament eIDAS.

L'incompliment de l'obligació de notificació d'incidents establerta en l'article 19.2 del Reglament eIDAS, en els termes previstos en l'article 13 de la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, pot constituir infracció greu d'acord al que es disposa en l'article 18.f de la citada Llei 6/2020.

Pot enviar una consulta sobre informació general, no individualitzada, en relació amb el Reglament (UE) Núm. 910/2014 del Parlament europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE, així com amb la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança a través de lfe@economia.gob.es