Anar al contingut principal
Certyneo

Com funciona la signatura electrònica el 2026

Comprendre com funciona la signatura electrònica és essencial per a tot responsable jurídic o DSI. Submergeix-te en els mecanismes criptogràfics i reguladors que en garanteixen el valor probatòri.

12 min de lectura

Equip Certyneo

Redactor — Certyneo · Sobre Certyneo

Introducció

La signatura electrònica és avui al centre de la transformació digital de les empreses: el 2025, més del 70% de les grans organitzacions europees l'han integrat almenys en un procés contractual (font: Gartner, Digital Process Automation Survey 2025). Tanmateix, són pocs els decisors que entenen precisament els mecanismes que la fan jurídicament vàlida i tècnicament infalsificable. Comprendre com funciona tècnicament la signatura electrònica — criptografia, PKI, certificats — permet elegir la solució adequada, reduir els riscos jurídics i accelerar l'adopció interna. Aquest article et guia, pas a pas, a través de l'arquitectura tècnica i els estàndards que regeixen la signatura electrònica el 2026.

---

Els fonaments criptogràfics de la signatura electrònica

La signatura electrònica es basa en primitives criptogràfiques provades. En comprendre els mecanismes és comprendre per què és més fiable que una signatura manuscrita digitalitzada.

El xifratge asimètric: clau pública i clau privada

El principi fonamental és la criptografia asimètrica, inventada en els anys 70 i estandaritzada per algoritmes com RSA (Rivest–Shamir–Adleman) o les corbes el·líptiques (ECDSA). Cada signatari disposa de dues claus matemàticament vinculades:

  • La clau privada: conservada secretament pel signatari, en un dispositiu segur (targeta intel·ligent, token HSM, o mòdul de programari protegit). Serveix per a crear la signatura.
  • La clau pública: distribuïda lliurement, inclosa en un certificat digital. Serveix per a verificar la signatura.

El principi de seguretat es basa en una asimetria computacional: és matemàticament trivial verificar una signatura amb la clau pública, però pràcticament impossible reconstituit la clau privada a partir de la clau pública (problema del logaritme discret o de la factorització de grans enters).

Les funcions de hash: l'empremta digital del document

Abans de signar, el sistema calcula una empremta criptogràfica del document gràcies a una funció de hash (SHA-256 o SHA-3 el 2026). Aquesta empremta, anomenada hash o condensat, és una cadena de caràcters de mida fixa (256 bits per SHA-256) que representa de manera única el contingut del document.

Propietat essencial: modificar un únic caràcter del document produeix un hash radicalment diferent. Això és el que garanteix la integritat del document signat: qualsevol alteració posterior a la signatura és immediatament detectable.

La signatura electrònica pròpiament dita és doncs el xifratge d'aquest hash amb la clau privada del signatari. En la verificació, el destinatari:

  1. Desxifra la signatura amb la clau pública per retrobar el hash original;
  2. Recalcula ell mateix el hash del document rebut;
  3. Compara els dos: si són idèntics, la signatura és vàlida.

---

La Infraestructura de Claus Públiques (PKI): la cadena de confiança

La criptografia sola no és suficient: també és necessari demostrar que la clau pública pertany realment a la persona que pretén utilitzar-la. Aquest és el paper de la PKI (Infraestructura de Claus Públiques).

Les autoritats de certificació (CA)

Una Autoritat de Certificació (AC o CA) és un tercer de confiança acreditat que emet certificats digitals. Un certificat digital és un arxiu estandaritzat (format X.509) que conté:

  • La identitat del titular (nom, organització, e-mail);
  • La seva clau pública;
  • El període de validesa;
  • La signatura digital de l'AC mateixa.

A Europa, les AC qualificades es referencien en les Llistes de Confiança publicades per cada Estat membre de la UE conforme al reglament eIDAS. A França, l'ANSSI publica i manté aquesta llista. Els prestataris de serveis de confiança qualificats (QTSP) — com CertSign, Certigna, o Universign — estan sotmesos a auditories regulars segons la norma ETSI EN 319 401.

La cadena de certificació i la revocació

La PKI funciona en un model jeràrquic:

  • Una AC arrel (Root CA) autosignada, conservada fora de línia en condicions de seguretat física màxima;
  • Les AC intermèdies que emeten els certificats dels usuaris finals.

La revocació dels certificats és un mecanisme crític: si una clau privada es compromet, l'AC publica la seva invalidació mitjançant una CRL (Llista de Revocació de Certificats) o mitjançant el protocol OCSP (Protocol d'Estat de Certificat en Línia), permetent una verificació en temps real.

Per a la signatura electrònica qualificada en el sentit d'eIDAS, la clau privada ha de ser generada i conservada en un QSCD (Dispositiu Qualificat de Creació de Signatura) — maquinari certificat CC EAL4+ o superior, com una targeta intel·ligent o un HSM (Mòdul de Seguretat de Maquinari).

---

Els tres nivells de signatura segons eIDAS

El reglament europeu eIDAS núm. 910/2014 (i la seva evolució eIDAS 2.0 en curs de desplegament) defineix tres nivells de signatura, cadascun reposant en garanties tècniques creixents. Per aprofundir aquest marc regulador, consulteu la nostra guia completa sobre el reglament eIDAS.

Signatura electrònica simple (SES)

La signatura simple és la forma menys restrictiva tècnicament. Pot ser tan simple com una casella per marcar, un codi OTP (Contrasenya d'Un Sol Ús) enviat per SMS, o una imatge de signatura manuscrita. No implica necessàriament un certificat qualificat.

Ús típic: validació de pressupostos, consentiments de màrqueting, contractes de baix risc.

Risc: valor probatòri limitat en cas de disputa judicial. La càrrega de la prova recau en qui invoca la signatura.

Signatura electrònica avançada (AdES)

La signatura avançada compleix quatre requisits tècnics precisos (article 26 eIDAS):

  1. Està vinculada al signatari de manera unívoca;
  2. Permet identificar el signatari;
  3. És creada a partir de dades sota el control exclusiu del signatari;
  4. Permet detectar qualsevol modificació posterior del document.

Concretament, això implica l'ús d'un certificat digital personal i un mecanisme d'autenticació robust. Els formats estàndards són definits per l'ETSI: PAdES (per PDF), XAdES (XML), CAdES (dades binàries) i JAdES (JSON), tots estandaritzats en la sèrie ETSI EN 319 100.

Signatura electrònica qualificada (QES)

La signatura qualificada és el nivell més elevat. Requereix:

  • Un certificat qualificat emès per un QTSP acreditat eIDAS;
  • Un QSCD per a la creació de la signatura.

Gaudeix d'una presumpció legal de fiabilitat i una equivalència jurídica amb la signatura manuscrita a tota la Unió Europea (article 25 eIDAS). És el nivell requerit per als actes autèntics electrònics, certs actes notarials, o els mercats públics sensibles.

El nostre comparatiu de solucions de signatura electrònica analitza les diferències pràctiques entre aquests nivells per ajudar-te a triar.

---

El procés complet d'una signatura electrònica pas a pas

Així és com es desenvolupa concrètament una transacció de signatura electrònica en una plataforma SaaS com Certyneo:

Pas 1: preparació i enviament del document

L'iniciador de la signatura puja el document (contracte, acta, bon de comanda) a la plataforma. El sistema genera immediatament un hash SHA-256 del fitxer original, horodatat i conservat de manera immutable. Aquesta empremta servirà de referència per a qualsevol verificació futura.

Pas 2: autenticació del signatari

Segons el nivell de signatura triat, l'autenticació varia:

  • SES: e-mail + enllaç de signatura;
  • AdES: autenticació forta (OTP SMS, aplicació mòbil FIDO2);
  • QES: verificació d'identitat prèvia (cara a cara o per vídeo IDV), emissió d'un certificat qualificat d'ús únic o persistent.

Pas 3: creació de la signatura criptogràfica

El signatari desencadena l'acte de signatura. La plataforma (o el QSCD):

  1. Calcula el hash del document;
  2. Xifra aquest hash amb la clau privada del signatari;
  3. Integra la signatura i el certificat en el document (PDF signat en format PAdES-LTV per a conservació a llarg termini).

Pas 4: horodatage qualificat

Un servei d'horodatage qualificat (TSA) conforme a la norma RFC 3161 aposa una marca de temps criptogràfica, provant que la signatura existia en un instant precís. Això protegeix contra la falsificació de data i garanteix el valor probatòri en el temps — fins i tot si el certificat del signatari expira posteriorment.

Pas 5: arxivament probatòri

El document signat s'arxiva amb la seva pista d'auditoria completa: identitat del signatari, adreça IP, horodatage, hash del document, certificats utilitzats. Aquest dossier de prova (audit trail) és essencial en cas de disputa judicial. Les solucions conformes eIDAS mantenen aquestes proves en un format PAdES-LTV (Validació a Llarg Termini) que integra les dades de validació per permetre la verificació anys després de la signatura.

Per comprendre com integrar aquest procés en els vostres fluxos de RRHH, descobreix la nostra solució de signatura electrònica per a RRHH i els nostres models de contractes per descarregar.

Marc legal aplicable a la signatura electrònica

La signatura electrònica s'inscriu en un marc normatiu multicapa, articulant dret civil nacional i dret europeu harmonitzat.

Codi civil francés

L'article 1366 del Codi Civil estableix el principi fonamental: «L'escrit electrònic té la mateixa força probatòria que l'escrit en suport de paper, sempre que pugi ser degudament identificada la persona de la qual emana i que sigui establit i conservat en condicions de naturalesa a garantir la seva integritat.» L'article 1367 precisa que la signatura electrònica «consisteix en l'ús d'un procediment fiable d'identificació garantint el seu lligam amb l'acte al qual s'adhereix».

El decret núm. 2017-1416 de 28 de setembre de 2017 defineix la presumpció de fiabilitat per a les signatures qualificades i avançades conformes a eIDAS.

Reglament eIDAS núm. 910/2014

Fonament angular del dret europeu de la confiança digital, el reglament eIDAS (electronic IDentification, Authentication and trust Services) estableix un marc jurídic unificat per a les signatures electrònicas, els segells electrònics, l'horodatage qualificat, els serveis d'enviament recomanat i els certificats d'autenticació de llocs web. El seu article 25, paràgraf 2, confereix a la signatura qualificada una presumpció legal d'equivalència amb la signatura manuscrita en la totalitat de la UE.

El reglament eIDAS 2.0 (en curs de transposició al primer trimestre de 2026) reforça aquestes disposicions amb la cartera d'identitat digital europea (EUDIW) i estén les obligacions als mercats dels serveis financers i sanitaris.

Normes ETSI

Els formats de signatura són estandaritzats per l'ETSI:

  • ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) defineixen els perfils tècnics de les signatures avançades i qualificades;
  • ETSI EN 319 421 enquadra les polítiques dels serveis d'horodatage qualificats.

RGPD i protecció de dades

El tractament de dades d'identitat en el marc d'una signatura electrònica (nom, e-mail, biometria per a la verificació d'identitat) està sotmès al RGPD núm. 2016/679. Els responsables del tractament han de: disposar d'una base legal (interès legítim o execució d'un contracte), aplicar el principi de minimització de dades, i garantir la seguretat mitjançant mesures tècniques apropades (xifratge, pseudonimització).

Directiva NIS2

La directiva NIS2 (2022/2555/UE), transposada a dret francés des d'octubre de 2024, imposa als operadors de serveis essencials i als proveïdors de serveis digitals (incloent-hi els prestataris de signatura electrònica) obligacions reforçades en matèria de ciberseguretat, gestió de riscos i notificació d'incidents en les 24 hores. El no compliment exposa a sancions que poden assolir 10 milions d'euros o el 2% de la facturació mundial.

Escenaris d'ús concrets de la signatura electrònica

Escenari 1: un despatx d'advocats especialitzat automatitza la signatura dels mandats

Un despatx d'advocats especialitzat comptant una dotzena de col·laboradors tractava en mitjana 120 mandats de representació per mes. El procediment en paper implicava impressió, enviament postal o remesa en mà pròpia, i després digitalització dels documents retornats — generant un termini mitjà de 4,5 dies laborals per expedient i una taxa de pèrdua de documents estimada al 8%.

En desplegar una signatura electrònica avançada (AdES) amb autenticació OTP, el despatx va reduir el termini de signatura a menys de 4 hores en mitjana, va reduir la taxa d'anomalia documental a menys de l'1%, i va estalviar aproximadament 2.200 € per any en despeses postals i d'impressió. La pista d'auditoria generada automàticament ha simplificat també dos procediments de disputa de mandat, aportant una prova horodatada incontestable. Descobreix la nostra solució dedicada als despatxos jurídics.

Escenari 2: una pime industrial digitalitza els seus contractes de proveïdors

Una pime industrial gestionant aproximadament 200 contractes de proveïdors per any (condicions generals de compres, actes addicionals, NDA) patia terminis de signatura que podien superar les tres setmanes per a contractes transfronteritzos amb socis alemanys i espanyols. Les diferències de sistemes jurídics i l'absència de reconeixement mutu ralentitzaven les negociacions.

En adoptar una signatura qualificada (QES) emesa per un QTSP acreditat eIDAS, reconeguda a tota la UE, la pime va gaudir d'un reconeixement jurídic automàtic en els tres països sense cap legalització addicional. El termini mitjà de signatura transfronterera va passar de 18 dies a 2,5 dies. La signatura electrònica a l'empresa detalla aquests beneficis per als equips de compres.

Escenari 3: una agrupació hospitalera assegura el consentiment informat dels pacients

Una agrupació hospitalera d'aproximadament 800 llits havia de recollir el consentiment informat de pacients per a protocols de recerca clínica. La gestió en paper creava riscos de conformitat RGPD (documents mal arxivats, dates no traçables) i mobilitzava personal sanitari per a tasques administratives.

En integrar una signatura electrònica simple amb identificació per codi SMS — suficient per a actes no sotmesos a l'exigència qualificada — l'agrupació va automatitzar la recollida, l'arxivament i la traçabilitat dels consentiments. El temps administratiu per pacient va passar de 12 minuts a menys de 2 minuts, alliberant aproximadament 800 hores sanitàries per any. El conjunt dels documents s'arxiva amb horodatage qualificat, satisfent plenament als requisits de la CNIL. Explora la nostra solució signatura per a sanitat.

Conclusió

Comprendre com funciona tècnicament la signatura electrònica — de la criptografia asimètrica a la PKI, dels certificats qualificats a l'horodatage probatòri — és indispensable per fer choices il·luminades en matèria de conformitat i eficiència operacional. Els tres nivells eIDAS (simple, avançada, qualificada) responen a necessitats diferents, i la tria ha de ser sempre guiada per l'anàlisi del risc jurídic i del valor probatòri esperat.

Certyneo t'acompanya en aquesta transició amb una plataforma SaaS conforme eIDAS, QTSP acreditats i una integració simplificada en els vostres processos existents. Estima els guanys potencials per a la teva organització gràcies a la nostra calculadora ROI signatura electrònica, o comença directament consultant les nostres ofertes i tarifes. La conformitat i el rendiment ja no són compromisos.

Proveu Certyneo gratuïtament

Envieu la vostra primera sobrecoberta de signatura en menys de 5 minuts. 5 sobrecobertess gratuïtes al mes, sense targeta de crèdit.

Comença gratuïtamentVeure preus
Tots els articles

Aprofundir en el tema

Articles de referència sobre aquest tema.

Com funciona una signatura electrònica?Mecanisme criptogràfic, autenticació, marca de temps, pista d'auditoria: el funcionament d'una signatura electrònica explicat pas a pas.Visita tècnica immobiliària: normes DPE 2026Segell de temps electrònic: definició i úsQuè és el segell de temps electrònic, com funciona, quan està qualificat i per què protegeix les vostres signatures.Signatura electrònica valor legal a França 2026La signatura electrònica té realment la mateixa força jurídica que una signatura manuscrita? Descobriu les normes precises que s'apliquen a França el 2026.

Aprofundir en el tema

Les nostres guies completes per dominar la signatura electrònica.

Articles recomanats

Aprofundiu els vostres coneixements amb aquests articles relacionats amb el tema.

Gestió completa de la nòmina en empreses : Guia 2026

La gestió de la nòmina és un pilar estratègic de qualsevol empresa. Descobreix les obligacions 2026, les millors pràctiques i com la desmaterialització transforma aquest procés.

9 min

Gestió Completa de la Nòmina en Empresa: Guia 2026

La gestió de la nòmina és el cor de les obligacions RH de tota empresa. Descobreix les millors pràctiques, les exigències legals 2026 i com la desmaterialització simplifica els teus processos.

9 min

Gestió completa de nòmines: Guia 2026

La gestió de nòmines evoluciona ràpidament amb la desmaterialització i les noves obligacions legals. Descobreix totes les claus per a una conformitat total el 2026.

9 min