Preguntas freqüents

El Reglamento (UE) Núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (eIDAS) establix les condicions en què els Estats membres hauran de reconéixer els mitjans d'identificació electrònica de les persones físiques i jurídiques pertanyents a un sistema d'identificació electrònica notificat d'un altre Estat membre, així com les normes per als serveis de confiança i un marc jurídic per a les signatures electròniques, els segells electrònics, els segells de temps electrònics, els documents electrònics, els serveis de lliurament electrònic certificat i els serveis de certificats per a l'autenticació de llocs web.

El 20 de maig de 2024 va entrar en vigor el Reglament (UE) 2024/1183 del Parlament Europeu i del Consell, d'11 d'abril de 2024, pel qual es modifica el Reglament (UE) n.° 910/2014 pel que fa a l'establiment del marc europeu d'identitat digital, a fi de millorar la seua eficàcia, estendre els seus beneficis al sector privat i promoure unes identitats digitals de confiança per a tots els europeus. D'altra banda, es defineixen nous serveis de confiança i es preveuen una sèrie d'actes d'implementació quant a requisits tècnics i de supervisió dels serveis de confiança.

Un servei electrònic prestat habitualment a canvi d'una remuneració i que consisteix en:

  1. la creació, verificació i validació de signatures electròniques, segells electrònics o segells de temps electrònics, serveis de lliurament electrònic certificat i certificats relatius a estos serveis.
  2. la creació, verificació i validació de certificats per a l'autenticació de llocs web.
  3. la preservació de signatures, segells o certificats electrònics relatius a estos serveis.

Un servei de confiança que complix els requisits aplicables establits en el Reglament (UE) 910/2014.

Si un prestador de serveis de confiança té la intenció d'iniciar la prestació de serveis de confiança qualificats, ha de presentar a l'organisme de supervisió una notificació de la seua intenció juntament amb un informe d'avaluació de la conformitat expedit per un organisme d'avaluació de la conformitat.

Una vez que el prestador de serveis de confiança haja aportat tota la informació requerida per a iniciar la seua activitat, incloent l'informe d'avaluació de la conformitat emés per un organisme d'avaluació de la conformitat degudament acreditat, l'organisme de supervisió verificarà si el prestador i els serveis de confiança que presta complixen els requisits establits en el Reglament (UE) 910/2014 i, si conclou que el prestador i els serveis de confiança que presta complixen els citats requisits, concedirà la qualificació i actualitzarà la llista de confiança.

Notificació de serveis electrònics de confiança qualificats

Un prestador de serveis de certificació que emeta certificats reconeguts conforme a la Directiva 1999/93/CE ha de presentar un informe d'avaluació de conformitat a l'organisme supervisor al més prompte possible, però no més tard de l'1 de juliol de 2017. Fins que el prestador de serveis de certificació present aquest informe d'avaluació de conformitat i l'organisme supervisor ultime la seua anàlisi, l'esmentat prestador de serveis de certificació serà considerat com a prestador qualificat de serveis de confiança.

La etiqueta de confiança «UE» per a serveis electrònics de confiança qualificats distingeix clarament els serveis de confiança qualificats dels altres serveis de confiança, contribuint així a la transparència en el mercat i fomentant, per tant, la confiança en els serveis en línia i la conveniència d'estos. Les característiques i condicions d'ús de l'etiqueta es troben definits en el Reglament d'Execució (UE) 2015/806 de la Comissió de 22 de maig de 2015 pel qual s'establixen especificacions relatives a la forma de l'etiqueta de confiança «UE» per a serveis de confiança qualificats.

Els prestadors qualificats dels serveis electrònics de confiança podran usar l'etiqueta de confiança «UE» a partir de l'1 de juliol de 2016, una vegada que la qualificació dels serveis s'haja inclòs en la llista de confiança.

Un dispositiu de creació de signatures electròniques que complix els requisits enumerats en l'annex II del Reglament (UE) 910/2014. Així mateix, un dispositiu qualificat de creació de segell electrònic és aquell que complix, mutatis mutandis, els requisits indicats en l'annex II del Reglament (UE) 910/2014.

De acuerdo con l'article 30 del Reglament (UE) 910/2014, la certificació és una condició sine qua non per a la consideració d'un dispositiu de creació de signatura o segell electrònic com a qualificat. La citada certificació obligatòria, que testificarà el compliment dels requisits establits en l'annex II del citat Reglament, podrà ser únicament duta a terme pels organismes europeus designats a aquest efecte d'acord amb el seu article 30.2, en concret a Espanya, el Centre Criptològic Nacional.

Puede trobar informació actualitzada sobre la llista d'organismes europeus de certificació i la llista de dispositius qualificats de creació de signatura i segell en la pàgina de la Comissió Europea.

Cada Estado membre té l'obligació de designar un organisme de supervisió responsable de les funcions de supervisar als prestadors qualificats de serveis de confiança establits en el territori de l'Estat i d'adoptar les mesures, en cas necessari, en relació amb els prestadors no qualificats de serveis de confiança establits en el territori de l'Estat membre.

En España, l'organisme de supervisió és la Secretaria d'Estat de Digitalització i Intel·ligència Artificial, del Ministeri d'Assumptes Econòmics i Transformació Digital.

El Reglamento (UE) 910/2014 va entrar en vigor el 17 de setembre de 2014, però no serà aplicable íntegrament fins a l'1 de juliol de 2016.

No obstant l'anterior, el Reglament (article 52) preveu que determinades disposicions incloses en el mateix siguen aplicables en dates diferents en funció de les dates d'aplicació dels actes d'execució que els desenvolupen.

Els certificats de persona jurídica i d'entitat sense personalitat jurídica emesos abans de l'1 de juliol de 2016, data d'aplicació completa del Reglament (UE) 910/2014, podran continuar utilitzant-se fins a la seua caducitat o revocació, però no podran renovar-se després d'eixa data, tal com s'indica en la nota publicada per este Ministeri.

Els certificats de persona jurídica i entitats sense personalitat jurídica hauran de deixar d'emetre's l'1 de juliol de 2016 [PDF] [53 kB]

Així mateix, respecte a l'ús d'esta mena de certificat per a realitzar tràmits amb l'Agència Tributària pot consultar-se la informació publicada en l'enllaç:

Renovació de certificats FNMT-RCM de persona jurídica i entitats sense personalitat jurídica

Lista que establix, manté i publica cada Estat membre en la qual s'inclou informació relativa als prestadors qualificats de serveis electrònics de confiança, juntament amb la informació relacionada amb els serveis electrònics de confiança qualificats prestats per ells.

La informació que es proporciona en la llista de confiança està destinada principalment a la validació de serveis electrònics de confiança qualificats proporcionats per aquells prestadors qualificats de serveis electrònics de confiança establits en l'Estat membre que publica la llista, per exemple, signatures electròniques o segells electrònics qualificats, signatures electròniques o segells electrònics avançats admesos per un certificat qualificat, marques de temps qualificades, proves de lliurament electrònic qualificades, etc.

Actualmente, la llista de confiança d'Espanya es troba publicada en:

Lista de Confianza de España [PDF]

Llesta de Confiança d'Espanya [XML]

El Reglamento (UE) 910/2014 defineix tres tipus de signatura electrònica:

  • «signatura electrònica», les dades en format electrònic annexos a altres dades electròniques o associats de manera lògica amb ells que utilitza el signant per a signar.
  • «signatura electrònica avançada», la signatura electrònica que complix els següents requisits:
    • estar vinculada al signant de manera única.
    • permetre la identificació del signant.
    • haver sigut creada utilitzant dades de creació de la signatura electrònica que el signant pot utilitzar, amb un alt nivell de confiança, sota el seu control exclusiu, i
    • estar vinculada amb les dades signades per la mateixa de manera tal que qualsevol modificació ulterior dels mateixos siga detectable.
  • «signatura electrònica qualificada», una signatura electrònica avançada que es crea mitjançant un dispositiu qualificat de creació de signatures electròniques i que es basa en un certificat qualificat de signatura electrònica.

El Reglamento (UE) 910/2014 defineix tres tipus de segell electrònic:

  • «segell electrònic», dades en format electrònic annexos a altres dades en format electrònic, o associats de manera lògica amb ells, per a garantir l'origen i la integritat d'estos últims.
  • «segell electrònic avançat», un segell electrònic que complix els següents requisits:
    • estar vinculat al creador del segell de manera única.
    • permetre la identificació del creador del segell.
    • haver sigut creat utilitzant dades de creació del segell electrònic que el creador del segell pot utilitzar per a la creació d'un segell electrònic, amb un alt nivell de confiança, sota el seu control, i
    • estar vinculat amb les dades a què es refereix de manera tal que qualsevol modificació ulterior dels mateixos siga detectable.
  • «segell electrònic qualificat», un segell electrònic avançat que es crea mitjançant un dispositiu qualificat de creació de segells electrònics i que es basa en un certificat qualificat de segell electrònic.

De acuerdo con l'article 3.18 del Reglament (UE) 910/2014, és un organisme definit en el punt 13 de l'article 2 del Reglament (CE) 765/2008 la competència de la qual per a realitzar una avaluació de conformitat d'un prestador qualificat de serveis de confiança i dels serveis de confiança qualificats que este presta estiga acreditada en funció d'aquest Reglament. No es troba entre les seues funcions la certificació de dispositius qualificats de creació de signatura o segell.

L'acreditació de la competència d'un organisme d'avaluació de conformitat correspon a l'Entitat Nacional d'Acreditació (ENAC). ENAC es troba en disposició d'acreditar conforme a la norma EN 319 403, que establix els requisits per a assegurar la competència tècnica, l'operativitat i imparcialitat d'aquells organismes que auditen i certifiquen als proveïdors de serveis d'identificació electrònica i prestadors de serveis electrònics de confiança per a transaccions electròniques.

ENAC ha acreditat a diversos organismes d'avaluació de la conformitat establits a Espanya. Puede consultar la llista d'organismes d'avaluació de la conformitat acreditats en els Estats membres de la UE en la pàgina de la Comissió Europea.

Els prestadors qualificats de serveis electrònics de confiança han de ser auditats, almenys cada 24 mesos, per un organisme d'avaluació de la conformitat. La finalitat de l'auditoria és confirmar que tant els prestadors qualificats de serveis electrònics de confiança com els serveis electrònics de confiança qualificats que presten complixen els requisits establits en el Reglament (UE) 910/2014.

Els prestadors qualificats de serveis electrònics de confiança han d'enviar l'informe d'avaluació de la conformitat corresponent a l'organisme de supervisió en el termini de tres dies hàbils després de la seua recepció.

Els prestadors de serveis de certificació que expedien certificats reconeguts es beneficien de la mesura transitòria establida en l'article 51 del Reglament eIDAS, i són en conseqüència considerats des de llavors prestadors qualificats de serveis de confiança que expedeixen certificats qualificats de signatura electrònica (amb data límit 1 de juliol de 2017 per a presentar l'informe d'avaluació de conformitat). No obstant això, estos prestadors no són considerats qualificats per a la prestació d'altres serveis com pogueren ser l'expedició de certificats qualificats de segell o d'autenticació de llocs web, per a la prestació dels quals han de presentar en qualsevol cas el corresponent informe d'avaluació de la conformitat emés per un organisme d'avaluació de la conformitat oportunament acreditat.

Únicamente quan la qualificació s'ha associat amb el tipus de servei en la llista de confiança.

L'apartat 2 de l'article 19 del Reglament (UE) núm. 910/2014 del Parlament europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (Reglament eIDAS), imposa als prestadors de serveis de confiança l'obligació de notificar qualsevol violació de la seguretat o pèrdua de la integritat que tinga un impacte significatiu en el servei de confiança prestat o en les dades personals corresponents, en el seu cas, amb independència que l'incident s'haja produït d'una manera accidental per un error humà.

Cuando el prestador considere que concorre tal circumstància, d'acord al citat article 19.2 del Reglament eIDAS, notificarà l'incident, en un termini de 24 hores després de tindre coneixement d'aquest, a l'organisme supervisor conforme l'indicat en la Guía de notificació d'incidents. Este Òrgan Supervisor després de l'anàlisi de la informació remesa, informarà, en cas pertinent, als organismes de supervisió d'altres Estats membres afectats, així com a ENISA, i, en cas de considerar que la divulgació de la violació de seguretat o la pèrdua d'integritat revist un interés públic, informarà del públic o exigirà al prestador de serveis de confiança que informe públicament del fet. La violació de seguretat notificada, degudament anonimizada, formarà part, en el seu cas, del resum anual que el supervisor ha de facilitar a ENISA conforme al que es disposa en l'article 19.3 del Reglament eIDAS.

Per a més informació, pot consultar-se l'informe d'ENISA sobre la notificació d'incidents pel citat article 19 del Reglament eIDAS.

L'incompliment de l'obligació de notificació d'incidents establida en l'article 19.2 del Reglament eIDAS, en els termes previstos en l'article 13 de la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, pot constituir infracció greu d'acord al que es disposa en l'article 18.f de la citada Llei 6/2020.

Pot enviar una consulta sobre informació general, no individualitzada, en relació amb el Reglament (UE) Núm. 910/2014 del Parlament europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE, així com amb la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança a través de lfe@economia.gob.es