Auditoria Signatura Electrònica: Guia 2026

Introducció: per què l'auditoria és inseparable de la signatura electrònica

Des de l'entrada en vigor del reglament eIDAS el 2016 i la seva evolució cap a eIDAS 2.0, la qüestió de la prova digital s'ha convertit en central per a qualsevol organització que recorre a la signatura electrònica. L'auditoria —o pista d'auditoria— constitueix el registre cronològic i inalterable de cada etapa del procés de signatura. Respon a una pregunta fonamental: en cas de litigi, sou capaç de demostrar, sense ambigüitat, que el vostre signatari ha consentit realment aquest document, en aquest instant precís, des d'aquest terminal identificat? Aquesta guia detalla l'estructura, els requisits legals i les millors pràctiques de l'auditoria el 2026.

---

Què és una auditoria en signatura electrònica?

Definició i components essencials

Una auditoria (pista d'auditoria) és un diari d'esdeveniments amb data i hora, estructurat i protegit criptogràficament que retrata la totalitat del cicle de vida d'un document signat electrònicament. No es tracta d'un simple fitxer de registre: és un artefacte probatori destinat a ser presentat davant un jutge, un regulador o un comissari de comptes.

Els components mínims d'una auditoria conforme inclouen:

• Identitat de les parts: adreça de correu electrònic, número de telèfon utilitzat per a l'OTP, adreça IP en el moment de la signatura
• Marca de temps qualificada: timestamp proporcionat per una Autoritat de Certificació (AC) acreditada per eIDAS, garantint l'hora legal
• Empremta criptogràfica del document: hash SHA-256 o SHA-3 calculat abans i després de la signatura per garantir la integritat
• Accions realitzades: obertura del document, pàgines visualitzades, durada de la consulta, clic de signatura, possibles rebutjos
• Geolocalització i dades de context: user-agent del navegador, sistema operatiu, coordenades GPS si s'ha consentit
• Cadena de certificats: certificats X.509 dels signataris i del proveïdor de serveis de confiança (PSCo)

La diferència entre auditoria simple i auditoria qualificada

No totes les auditorias són iguals. Una auditoria simple (nivell SES —Simple Electronic Signature) registra els esdeveniments sense garantia de forta integritat criptogràfica. Pot ser suficient per a actes de baix valor jurídic (confirmacions de recepció, enquestes internes).

Una auditoria qualificada (nivell QES —Qualified Electronic Signature) integra:

• Una marca de temps qualificada conforme a l'article 41 del reglament eIDAS
• Una signatura del diari mateix pel PSCo amb un certificat qualificat
• Un arxiu a llarg termini segons la norma ETSI EN 319 122 (CAdES) o ETSI EN 319 132 (XAdES)

Aquesta distinció és crítica: només el segon nivell gaudeix d'una presumpció de fiabilitat davant dels tribunals europeus, conformement a l'article 25 §2 d'eIDAS.

---

Valor probatori de la pista d'auditoria: què diu la jurisprudència

La inversió de la càrrega de la prova

En dret francès, l'article 1366 del Codi Civil estableix el principi d'equivalència entre la signatura electrònica i la signatura manuscrita, sempre que estigui garantida la identitat del signatari i la integritat de l'acte. L'article 1367 precisa que la fiabilitat del procediment de signatura es presumeix fins a prova en contrari quan s'utilitza una signatura qualificada.

Això significa en concret: si la vostra auditoria és completa, amb data i hora i criptogràficament íntegra, és a la part contrària demostrar el frau o l'alteració —i no a vosaltres provar l'autenticitat. Aquesta inversió de la càrrega de la prova és una avantatge considerable en litigis comercials o laborals.

Els criteris retinguts pels tribunals francesos

Les jurisdiccions franceses, particularment la Cort de Cassació en els seus arreus recents (Civ. 1re, 2022), avaluen el valor d'una auditoria segons diversos criteris:

1. La traçabilitat íntegra: cada acció ha de ser registrada sense buits temporals
2. L'immutabilitat: el diari ha de ser protegit contra qualsevol modificació posterior (signatura del registre pel PSCo)
3. La independència del prestatari: l'auditoria produïda per un tercer de confiança qualificat (TSP acreditat per l'ANSSI) té més força probatòria que un diari auto-produït
4. La llegibilitat: el document ha de ser comprensible per a un magistrat no-tècnic, amb una presentació clara dels esdeveniments

Els riscos en cas d'auditoria incompleta

Una pista d'auditoria deficient exposa l'organització a diversos riscos:

• Nul·litat de la prova: el jutge pot desestimar el document si la identitat del signatari no pot ser establerta amb certesa
• Inversió del litigi: el signatari pot al·legar que mai ha llegit el document o que ha actuat sota coacció, sense que pugueu refutar-ho
• Sancions regulatòries: en sectors regulats (banca, assegurança, salut), l'absència d'auditoria conforme pot comportar multes de l'ACPR o de la CNIL
• Responsabilitat del prestatari: si el vostre proveïdor SaaS no conserva les pistes d'auditoria segons els estàndards requerits, podeu actuar contra ell, però el perjudici comercial segueix sent vostre

---

Arquitectura tècnica d'una auditoria robusta el 2026

Marca de temps qualificada i integritat criptogràfica

La marca de temps qualificada (RFC 3161) és la columna vertebral de qualsevol auditoria seriosa. Una Autoritat de Marca de Temps (TSA —Time Stamping Authority) certificada genera un testimoni de temps signat criptogràficament, lligant l'empremta del document a una hora legal precisa al mil·lisegon. El 2026, els estàndards recomanen l'ús de l'algoritme SHA-3 (256 o 512 bits) per a noves implementacions, SHA-256 continuant sent sempre acceptable per a arxius existents.

La norma ETSI EN 319 401 (Política general per als PSCo) i ETSI EN 319 421 (Política per als TSA) defineixen els requisits mínims. Una auditoria conforme a aquestes normes és automàticament reconeguda als 27 Estats membres de la UE.

Conservació a llarg termini i arxiu probatori

La durada de conservació de l'auditoria ha de ser alineada amb la durada de la prescripció dels litigis relacionats amb l'acte signat:

• Contractes comercials: 5 anys (prescripció de dret comú, art. 2224 C.civ.)
• Contractes de treball: fins a 5 anys després de la finalització del contracte
• Actes immobiliaris: 30 anys (prescripció immobiliària)
• Documents financers: 10 anys (Codi de Comerç, art. L.123-22)

Per garantir la llegibilitat a llarg termini, el format PDF/A-3 (ISO 19005-3) és recomanat per a l'encapsulació de l'auditoria, acoblat a un arxiu en suports WORM (Write Once Read Many) o en caixa de seguretat digital conforme a la norma NF Z42-020.

Integració en els fluxos de treball mitjançant API

El 2026, les solucions de signatura electrònica madures exposen API REST o webhooks que permeten recuperar l'auditoria en temps real i integrar-la en els sistemes d'arxiu existents (GED, ERP, SIRH). Aquesta aproximació evita la dependència d'un sol prestatari i facilita la portabilitat de les proves.

Els esdeveniments típicament exposats via API inclouen: `document.created`, `signature.invited`, `document.opened`, `signature.completed`, `document.declined`, `document.expired`. Cada esdeveniment porta la seva pròpia signatura HMAC que permet verificar la seva autenticitat al costat del client.

Per explorar les diferents solucions del mercat i les seves capacitats d'auditoria, consulteu el nostre comparatiu de solucions de signatura electrònica que detalla les funcionalitats d'auditoria de cada plataforma.

---

Bones pràctiques per optimitzar la vostra pista d'auditoria a l'empresa

Configurar els nivells de signatura segons l'enjeu

No tots els documents necessiten el mateix nivell de traçabilitat. Una política de govern documentari ha de definir:

| Tipus d'acte | Nivell de signatura | Requisits d'auditoria | |---|---|---| | NDA / acord de confidencialitat | Avançat (AES) | IP, correu electrònic, OTP, marca de temps | | Contracte de treball | Avançat (AES) | + verificació d'identitat reforçada | | Acte notarial / immobiliari | Qualificat (QES) | + TSA qualificada, arxiu 30 anys | | Consentiment RGPD | Simple (SES) | Timestamp, ID sessió, versió del text |

Aquesta segmentació permet optimitzar els costos mentre s'assegura una cobertura jurídica proporcional al risc.

Formar els equips al valor probatori

L'auditoria només té valor si els equips saben com presentar-la en cas de necessitat. Els responsables jurídics i de compliment han de ser formats en:

• Descarregar i interpretar un informe d'auditoria
• Verificar la integritat criptogràfica d'un document mitjançant una eina de validació (ex: validació eIDAS via el portal EC)
• Preparar el dossier probatori per a un procediment judicial o arbitral

Les direccions de RH, que gestionen volums importants de contractes de treball i addendums, constitueixen una diana prioritària de formació. La nostra guia sobre signatura electrònica per a RH detalla les especificitats sectorials.

Auditar regularment el vostre prestatari

El vostre proveïdor de signatura electrònica és el vostre subcontractant al sentit del RGPD (art. 28). Per aquest motiu, teniu el dret —i l'obligació— de verificar que respecta els seus compromisos contractuals en matèria de conservació i seguretat de les pistes d'auditoria. Els elements a controlar anualment:

• Certificació ISO 27001 i/o qualificació ANSSI del PSCo
• Política de retencció de dades i ubicació dels servidors (UE obligatòria per a dades personals)
• Pla de continuïtat i recuperació d'activitat (PCA/PRA) garantint l'accés als auditoris en cas d'incident
• Resultats de les proves de penetració (pentest) i informes d'auditoria SOC 2 Type II

Si actualment utilitzeu una solució que ja no compleix aquests requisits, la nostra oferta de migració a Certyneo permet una transferència sense ruptura dels vostres arxius i pistes d'auditoria existents.

Marc legal aplicable a l'auditoria de la signatura electrònica

Textos fonamentals europeus

El reglament eIDAS n°910/2014 (Electronic IDentification, Authentication and trust Services) constitueix el fonament regulatori de la signatura electrònica a Europa. El seu article 25 §2 estableix que la signatura electrònica qualificada té l'efecte jurídic equivalent a una signatura manuscrita, creant una presumpció de fiabilitat que s'aplica directament a l'auditoria que l'acompanya. L'article 41 del mateix reglament defineix els efectes jurídics de la marca de temps qualificada: gaudeix d'una presumpció d'exactitud de la data i l'hora i d'integritat de les dades a les quals aquesta data i hora estan lligades.

La revisió eIDAS 2.0 (reglament UE 2024/1183, aplicable progressivament fins a 2026) reforça aquests requisits introduint la Cartera Europea d'Identitat Digital (EUDIW) i ampliant les obligacions de registre dels proveïdors de serveis d'identitat digital.

Dret nacional francès

En dret francès, els articles 1366 i 1367 del Codi Civil transposen els principis eIDAS. L'article 1366 estableix l'equivalència funcional entre document electrònic i document en paper, amb la reserva de l'identificació de l'autor i la garantia d'integritat. L'article 1367 crea la presumpció de fiabilitat per a les signatures qualificades, directament aplicable a l'auditoria.

El decret n°2017-1416 del 28 de setembre de 2017 relatiu a la signatura electrònica precisa les condicions tècniques de posada en marxa, remitent als estàndards ETSI com a referencial tècnic oposable.

Normes ETSI aplicables

• ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES): formats de signatura avançada amb dades probatòries a llarg termini
• ETSI EN 319 401: política general per als proveïdors de serveis de confiança
• ETSI EN 319 421: política i requisits de seguretat per als TSA
• ETSI TS 119 511: requisits per als serveis de preservació de signatures

RGPD i protecció de dades a l'auditoria

L'auditoria conté dades de caràcter personal al sentit del RGPD n°2016/679 (adreça IP, correu electrònic, dades de geolocalització). Per tant, la seva conservació està sotmesa al principi de minimització (art. 5 §1 c) i a la limitació de finalitats (art. 5 §1 b). La durada de conservació ha de ser documentada al registre de tractament (art. 30) i no pot excedir el que és necessari per a la finalitat probatòria.

En cas de violació de dades que afecti les auditoris, la notificació a la CNIL dins de 72 hores és obligatòria (art. 33). La directiva NIS2 (directiva UE 2022/2555, transposada a França per la llei n°2024-449) imposa per altra banda als operadors d'importància vital i a les entitats essencials requisits reforçats de registre i detecció d'incidents, cosa que inclou la seguretat de les pistes d'auditoria dels seus instruments de signatura electrònica.

Escenaris d'ús concrets de l'auditoria

Escenari 1: Un despatx d'advocats d'afers gestionar cessions de parts socials

Un despatx d'advocats d'uns quinze col·laboradors especialitzat en dret de societats tracta aproximadament 80 operacions de cessió de parts socials o accions per any, implicant cadascuna 3 a 8 signataris repartits en diversos països europeus. Abans de la posada en marxa d'una solució de signatura qualificada amb auditoria integrada, cada operació requeria retorns postals, legalitzacions consulars i una coordinació manual que consumia aproximadament 4 hores d'assistent jurídic per expedient.

Després del desplegament d'una solució QES amb auditoria qualificada (marca de temps ETSI EN 319 421, arxiu PDF/A-3 en caixa de seguretat NF Z42-020), el despatx ha constatat una reducció del 65% dels terminis de tancament d'aquestes operacions (passant de 12 dies de calendari de mitjana a 4 dies). En un litigi sobre la contestació d'una cessió per un cessidor, l'auditoria presentada davant el Tribunal de Comerç va permetre establir sense contestació possible que el signatari havia obert el document durant 7 minuts 43 segons, havia visualitzat les 18 pàgines i havia clicat a la zona de signatura després de validar OTP en el seu telèfon registrat. La demanda de nul·litat va ser rebutjada en primera instància.

Escenari 2: Una PIME industrial desmaterializant els seus contractes amb proveïdors

Una PIME industrial d'una centena de treballadors gestiona aproximadament 350 contractes amb proveïdors i subcontractistes per any enfrontava una problemàtica clàssica: contractes signats per correu electrònic (simple transferència de PDF escanejat), sense marca de temps ni pista d'auditoria estructurada. En un audit dels seus comissaris de comptes, li va ser assenyalat que aquesta pràctica no permetia justificar els compromisos contractuals en cas de control fiscal o de litigi comercial.

La migració cap a una plataforma SaaS de signatura electrònica avançada (AES) amb generació automàtica de pistes d'auditoria ha permès:

• Reduir el 80% del temps de tractament dels contractes amb proveïdors (de 5 dies a 1 dia laboral de mitjana)
• Constituir una base probatòria completa, integrada directament en l'ERP via webhook API
• Passar l'audit dels comissaris de comptes sense esment sobre la gestió documentaria
• Recuperar 3 litigis amb proveïdors en 18 mesos gràcies a les pistes d'auditoria presentades com a peces justificatives

El cost total de la solució (subscripció SaaS + formació) es va amortitzar en menys de 4 mesos tenint en compte els guanys de productivitat mesurats. Per calcular el vostre propi retorn de la inversió, utilitzeu el nostre calculadora ROI signatura electrònica.

Escenari 3: Un agrupament hospitalari gestionar els consentiments informats de pacients

Un agrupament hospitalari d'aproximadament 600 llits havia de gestionar la desmaterialització dels formularis de consentiment informat per a actes quirúrgics i assaigs clínics, en un context regulatori particularment exigent (Codi de Salut Pública, regulació sobre assaigs clínics, RGPD dades de salut). L'enjeu: provar irrefutablement que un pacient ha estat informat i ha consentit lliurement, sense pressió temporal, abans d'una intervenció.

La posada en marxa d'una solució de signatura amb auditoria enriquida (incloent la durada de la consulta del document, el nombre de retorns enrere en la lectura, la verificació d'identitat per document d'identitat digital) ha permès complir els requisits de la Comissió Nacional d'Assaigs Clínics i els audits de l'ANSM (Agència Nacional de Seguretat del Medicament). Les pistes d'auditoria es conserven 30 anys, conforme als requisits regulatoris aplicables als dossiers mèdics, en una caixa de seguretat digital certificada HDS (Hostatger de Dades de Salut). Per a les especificitats de la signatura electrònica en el sector mèdic, consulteu la nostra pàgina dedicada a signatura electrònica en la sanitat.

Conclusió

L'auditoria no és un accessori tècnic de la signatura electrònica: és la seva columna vertebral jurídica. El 2026, en un context d'intensificació dels litigis digitals i de reforçament dels requisits regulatoris (eIDAS 2.0, NIS2, RGPD), disposar d'una pista d'auditoria completa, amb data i hora, criptogràficament íntegra i conservada segons les normes ETSI s'ha convertit en una obligació de facto per a qualsevol organització que signa electrònicament actes amb abast jurídic.

Els enjucs són clars: valor probatori davant els tribunals, conformitat regulatòria sectorial, protecció contra el frau i la contestació abusiva. Escollir un prestatari qualificat, configurar els nivells de signatura segons els riscos i formar els vostres equips són els tres pilars d'una estratègia d'auditoria eficaç.

Certyneo integra nativament pistes d'auditoria qualificades en cada flux de treball de signatura, amb arxiu a llarg termini i exportació API. Comenceu la vostra prova gratuïta en Certyneo i assegureu el valor probatori de les vostres signatures electròniques des d'avui.