Certificat electrònic qualificat empresarial: guia 2026

Per què el certificat electrònic qualificat s'ha convertit en imprescindible per a les empreses

En l'era en què la desmaterialització dels processos contractuals s'accelera en tots els sectors, la qüestió del certificat electrònic qualificat s'imposa com una qüestió estratègica per a les direccions jurídiques, els DSI i les direccions generals. Segons l'informe anual de l'ANSSI 2024, més del 78% de les pimes franceses que han adoptat la signatura electrònica qualificada han reduït els seus terminis de contractació en més del 60%. Tanmateix, molts encara confonen signatura simple, avançada i qualificada — amb el risc d'exposar els seus actes jurídics a una contestació. Aquest article et guia pas a pas per entendre què és un certificat electrònic qualificat, com obtenir-lo respectant el marc RGS i eIDAS, i com desplegar-lo efectivament dins la teva organització.

Què és un certificat electrònic qualificat?

Un certificat electrònic és un fitxer digital expedit per una Autoritat de Certificació (AC) que lliga la identitat d'una persona física o jurídica a una clau criptogràfica pública. Constitueix la peça mestra que permet a un tercer verificar l'autenticitat i la integritat d'una signatura digital.

El qualificatiu «qualificat» fa referència a una definició precisa que sorgeix del reglament europeu eIDAS (n°910/2014, article 28): el certificat ha de ser expedit per un Proveïdor de Serveis de Confiança Qualificat (PSCQ), inscrit a la llista de confiança nacional (a França, publicada per l'ANSSI). A més, ha de respectar els requisits tècnics de la norma ETSI EN 319 411-2, que regulen les polítiques i pràctiques de certificació.

En la pràctica, un certificat qualificat garanteix:

• L'identitat verificada del signant (verificació documental cara a cara o per mitjà equivalent aprovat);
• L'integritat del document signat (qualsevol modificació posterior és detectable);
• La no-repudiació (el signant no pot negar que ha aposta la seva signatura).

Diferència entre signatura simple, avançada i qualificada

El reglament eIDAS distingeix tres nivells de signatura electrònica, cadascun associat a un nivell de certificat:

| Nivell | Certificat requerit | Valor probatòri | Ús típic | |---|---|---|---| | Simple | No requerit | Feble | Bons de comanda corrents | | Avançada | Certificat avançat (PSCQ) | Mitjà | Contractes comercials B2B | | Qualificada | Certificat qualificat (PSCQ qualificat) | Màxim, equivalent a manuscrit | Actes notarials, mercats públics, RH sensibles |

Per a la signatura qualificada — l'única que gaudeix de la presumpció legal d'equivalència a la signatura manuscrita (art. 1367 Codi Civil) — un certificat qualificat és imprescindiblement requerit. Per saber més sobre les diferències de nivells, consulta la nostra guia completa de la signatura electrònica.

---

El marc RGS: especificitats franceses a conèixer

A França, el Referencial General de Seguretat (RGS), establert pel decret n°2010-112 i regularment actualitzat per l'ANSSI, defineix els requisits de seguretat aplicables als sistemes d'informació de les administracions. Per a les empreses que contractualitzen amb entitats públiques (mercats públics, tele-procediments), el respecte del RGS és sovint una obligació contractual o reglamentària.

Nivells RGS aplicables als certificats

El RGS defineix tres estrelles de qualificació per als certificats:

• RGS* (una estrella): nivell de base, adaptat als usos corrents de baixa sensibilitat;
• RGS (dues estrelles)**: nivell intermedi, requerit per a la majoria dels tele-procediments administratius;
• RGS (tres estrelles)*: nivell elevat, per als actes amb alt risc jurídic o financer.

Per als mercats públics desmaterialitzats via el perfil comprador, el decret n°2016-360 (articles 39 i 40) imposa en general una signatura de nivell RGS mínim, la qual cosa implica un certificat de qualificació equivalent.

Articulació RGS i eIDAS

Des de l'aplicació del reglament eIDAS, els dos referentials coexisteixen. Un certificat qualificat en el sentit d'eIDAS es considera que satisfà els requisits RGS** en la gran majoria de casos. L'ANSSI ha publicat taules de correspondència que permeten assegurar-se de la compatibilitat. Per tant, es recomana, per a les empreses que treballen tant amb socis privats com públics, de privilegiar un certificat qualificat eIDAS expedit per un PSCQ inscrit a la llista de confiança francesa — la qual cosa cobreix simultàniament els dos referentials.

Per aprofundir el reglament europeu, la nostra guia eIDAS 2.0 detalla les evolucions principals previstes i el seu impacte en les empreses franceses.

---

Com obtenir un certificat electrònic qualificat: procés pas a pas

Obtenir un certificat electrònic qualificat no és una gestió trivial: comporta una verificació rigorosa de la identitat del sol·licitant i, per a una persona jurídica, de la seva representativitat legal. Aquestes són les grans etapes.

Etapa 1: Identificar el bon proveïdor de serveis de confiança qualificat

A França, els PSCQ autoritzats per a expedir certificats qualificats es llisten a la Trust Service Status List (TSL) publicada per l'ANSSI (disponible a esignature.gouv.fr). Entre els actors presents a aquesta llista, es troben notablement AC com CertEurope, Certinomis (filial de La Poste), Keynectis o altres proveïdors europeus reconeguts en virtut del principi de reconeixement mutu eIDAS.

Criteris de selecció a examinar:

• Presència efectiva a la TSL francesa i/o europea;
• Format del certificat proposat (programari, en tarjeta intel·ligent, HSM cloud);
• Compatibilitat amb la vostra infrastructura IT existent;
• Tarificació i durada de validesa (generalment 1 a 3 anys);
• Nivell de suport i termini d'enregistrament.

Etapa 2: Constitució del dossier d'enregistrament

Per a una empresa, la sol·licitud de certificat qualificat requereix la presentació de documents que justifiquin tant la identitat del portador (persona física) com la seva capacitat de representar la persona jurídica. Les peces generalment requerides són:

• Document d'identitat oficial del portador (passaport, DNI);
• Extracte Kbis de menys de 3 mesos (o equivalent per a associacions, establiments públics);
• Delegació de poder si el portador no és el representant legal estatutari;
• Formulari de sol·licitud específic del PSCQ seleccionat.

La verificació d'identitat ha de ser realitzada cara a cara davant un Operador d'Enregistrament (OE) autoritzat pel PSCQ, o per un procés de verificació a distància aprovat (videoidentificació conforme a la norma ETSI TS 119 461).

Etapa 3: Lliurament i activació del certificat

Segons el format escollit, el certificat es lliura:

• En un dispositiu qualificat de creació de signatura (QSCD): clau USB criptogràfica o tarjeta intel·ligent certificada Common Criteria EAL 4+;
• Via un servei de signatura a distància (Remote Qualified Electronic Signature — RQES) gestionat pel PSCQ, on la clau privada s'allotja en un HSM (Hardware Security Module) certificat segons la norma ETSI EN 419 241.

El desplegament d'un servei RQES és avui en dia la solució més adoptada per les empreses, ja que evita la gestió física de suports criptogràfics mantenint la conformitat qualificada. Compara les solucions de signatura electrònica per identificar el model més adaptat a la teva situació.

Etapa 4: Integració en els teus processos de negoci

Un cop obtingut el certificat, la seva integració a les corbes documentals de l'empresa passa generalment per una plataforma SaaS de signatura electrònica. Aquesta ha de ser imprescindiblement compatible amb els estàndards ETSI (XAdES, PAdES, CAdES) per garantir la interoperabilitat i la perdurabilitat de les proves digitals. L'article dedicat a la signatura electrònica empresarial et donarà un cop de mà a estructurar aquest desplegament.

---

Cost, validesa i renovació: el que les empreses han d'anticipar

Franges tarifàries el 2026

Les tarifes dels certificats qualificats varien sensiblement segons el format i el proveïdor:

• Certificat en suport físic (clau USB/tarjeta): entre 80 € i 250 € + IVA per portador i per any;
• Certificat qualificat en cloud (RQES): entre 40 € i 150 € + IVA per portador i per any, segons els volums;
• Forfaits empresarials: es fan descomptes significatius a partir de 10 portadors, que poden arribar al 30 a 40% de la tarifa unitària.

Aquests costos han de ser posats en perspectiva amb els estalvis generats: supressió d'impressions, franquejaments, terminis de tractament postal i litigis relacionats amb signatures contestades.

Durada de validesa i renovació

La validesa d'un certificat qualificat es fixa generalment a 1, 2 o 3 anys segons l'oferta contractada. A l'expiració, els documents signats anteriorment romanen vàlids (sempre que la seva integritat es preservi via un servei d'estampillat qualificat), però nous actes no poden ser signats amb el certificat vençut. Per tant, és imprescindible establir un procés de vigilància i renovació anticipada — idealment 60 dies abans de l'expiració.

Revocació i gestió d'incidents

En cas de compromís de la clau privada (pèrdua, robatori del suport, sospita de divulgació), el certificat ha de ser revocat immediatament davant el PSCQ. Aquest publica la revocació a la seva Llista de Revocació de Certificats (CRL) o via el protocol OCSP, fent que qualsevol signatura posterior amb aquest certificat sigui inválida. La política de seguretat interna ha de preveure per tant un punt de contacte dedicat i un termini d'alerta inferior a 24 hores.

---

Bones pràctiques per a un desplegament reeixit a l'empresa

Governança i rols interns

Un desplegament reeixit es basa en una governança clara. Es recomana designar:

• Un responsable PKI (Public Key Infrastructure) del costat IT, encarregat de la relació amb el PSCQ i del seguiment de les renovacions;
• Un referent jurídic que validi els casos d'ús que requereixen signatura qualificada (vs avançada);
• Administradors delegats per departament per a la gestió operacional dels portadors.

Formació i conducció del canvi

L'adopció d'un certificat qualificat no és suficient: els col·laboradors han d'entendre com usar el seu certificat, quan activar-lo, i com reaccionar en cas d'incident. Un pla de formació curt (1 a 2 hores) i procediments documentats redueixen significativament els errors d'ús i els tiquets de suport.

Auditoria i traçabilitat

Per satisfer les obligacions de prova, conserva un diari d'auditoria estampillat de cada signatura realitzada: identitat del signant, empremta del document, data/hora certificada, identificador del certificat. Aquestes dades constitueixen la base de la cadena de prova en cas de litige. La norma ETSI EN 319 132 (XAdES) preveu formats de signatura que inclouen nativament aquestes informacions.

Marc legal aplicable als certificats electrònics qualificats

Codi Civil i valor probatòri

En dret francès, l'article 1366 del Codi Civil estableix el principi d'equivalència entre l'escrit electrònic i l'escrit en paper, sempre que « l'identitat de la persona de la qual emana és degudament assegurada i es fa i es conserva en condicions que en garanteixin la integritat ». L'article 1367 paràgraf 2 especifica que la signatura electrònica qualificada gaudeix d'una presumpció de fiabilitat: és a la part que contesta la signatura que correspon aportar la prova en contra, invertint així la càrrega de la prova a favor del signant.

Reglament eIDAS n°910/2014

El reglament europeu eIDAS (n°910/2014), directament aplicable en tots els Estats membres des de l'1 de juliol de 2016, constitueix el sòcol supranacional. L'article 25(2) estipula que « una signatura electrònica qualificada té un efecte jurídic equivalent al d'una signatura manuscrita ». Els articles 28 i 29 defineixen els requisits aplicables als certificats qualificats i als dispositius de creació de signatura qualificada (QSCD). L'annex I llista les mencions obligatòries d'un certificat qualificat (OID de política, identitat del PSCQ, clau pública, dates de validesa, etc.).

Evolucions eIDAS 2.0

El reglament eIDAS 2.0 (reglament UE 2024/1183, entrat en vigor el 20 de maig de 2024) introdueix la cartera europea d'identitat digital (EUDIW) i reforça els requisits d'accessibilitat als serveis de confiança qualificats. Les empreses hauran d'anticipar la integració d'aquests nous mecanismes d'identificació abans de 2026-2027.

Normes ETSI aplicables

• ETSI EN 319 411-2: política i pràctiques per als PSCQ que emeten certificats qualificats;
• ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formats de signatura electrònica avançada i qualificada;
• ETSI EN 419 241: requisits per als servidors de signatura (RQES).

RGPD i protecció de dades

El tractament de dades personals en el context de l'enregistrament (verificació d'identitat, recopilació documental) està subjecte al RGPD n°2016/679. El PSCQ i l'empresa cliente són co-responsables del tractament o en una relació responsable/sub-contractista segons la configuració. Ha de ser signada una DPA (Data Processing Agreement) conforme a l'article 28 RGPD. Les dades d'enregistrament han de ser conservades per la durada de vida del certificat augmentada del termini de prescripció aplicable (5 anys en matèria contractual).

Directiva NIS2 i seguretat de les infrastructures

La directiva NIS2 (2022/2555/UE), transposada en dret francès per la llei n°2024-449, imposa a les entitats essencials i importants d'implementar mesures de gestió de riscos incloent la seguretat de les cadenes de subministrament digitals. L'ús d'un PSCQ qualificat inscrit a la TSL nacional constitueix una bona pràctica reconeguda per satisfer parcialment aquests requisits.

Escenaris d'ús: el certificat qualificat a la pràctica

Escenari 1: Un bufet juridic que gestiona actes d'alt valor probatòri

Un bufet d'advocats empresarials que compta una vintena d'associats i col·laboradors ha de signar regularment actes de cessió de participacions socials, protocols transaccionals i mandats ad litem. Fins ara, cada acte requeria impressió, signatura manuscrita, escanejat i enviament postal — és a dir, un termini mitjà de 4 a 7 dies hàbils per cicle de signatura. Després del desplegament de certificats qualificats en cloud (RQES) per a cada associat, aquest termini es redueix a menys de 4 hores per als actes que no requereixen intervenció notarial. El bufet estima una reducció del 65% del temps administratiu vinculat a la gestió documentaria, i no ha registrat cap contestació de signatura en els 18 primers mesos d'ús. Les solucions de signatura electrònica per a bufets juridics ofertes per Certyneo s'integren nativament en aquest tipus de flux de treball.

Escenari 2: Una pime industrial que contractualitza amb donants d'ordre públics

Una pime del sector de la metal·lúrgia, que ocupa aproximadament 120 persones, presenta regularment ofertes a licitacions públiques desmaterialitzades en perfils compradors. Li és obligat signar electrònicament les seves ofertes i actes d'engagement amb un certificat de nivell RGS** mínim. Després d'haver obtingut dos certificats qualificats (per al director general i a un director comercial autoritzat), la pime ha pogut lliurar les seves ofertes dins els terminis previstos sense desplaçament ni enviament postal. En un any, això representa uns 35 dossiers de licitacions públiques, és a dir, un estalvi estimat a 15 dies-home per any només en la gestió documentaria. La conformitat eIDAS del certificat assegura també la reconeixença de les seves signatures davant de donants d'ordre alemanys i belgues, ampliant el seu perímetre comercial. Usa el nostre calculador ROI per estimar els guanys potencials en la teva pròpia situació.

Escenari 3: Un agrupament de salut que assegura els actes RH i proveïdors

Un agrupament hospitalari d'uns 1 200 llits, que agrupa diversos establiments, fa front a un volum anual de quasi 3 000 contractes de treball, acords complementaris i enganyaments de proveïdors. La direcció de recursos humans i la direcció de compres han desplegat conjuntament una solució de signatura qualificada, amb certificats expedits per als directors autoritzats. En paral·lel, els documents que han de ser signats pels agents es tracten via un flux de treball de signatura avançada, reservant la signatura qualificada als actes de direcció d'alt valor jurídic. Resultat: el termini mitjà de finalització d'un contracte de treball ha passat de 12 dies a 2,5 dies, i la taxa de dossiers incomplets (signatura manquant, versió signada incorrecta) ha disminuït en un 78%. Les solucions de signatura electrònica en la sanitat de Certyneo integren les especificitats reglamentàries del sector hospitalari.

Conclusió

Obtenir un certificat electrònic qualificat és avui en dia una etapa obligada per a qualsevol empresa que desitgi assegurar legalment els seus actes digitals, respondre als requisits dels mercats públics i inscriure's en el marc reglamentari eIDAS. Lluny de ser una restricció, és un apalancament de competitivitat: terminis de signatura reduïts, una cadena de prova inattacable i un reconeixement transfronteritzar en tota la Unió Europea.

Les etapes clau a recordar: seleccionar un PSCQ inscrit a la llista de confiança ANSSI, constituir un dossier d'enregistrament rigorós, optar per un format cloud (RQES) per facilitar el desplegament, i integrar el certificat en una plataforma conforme als estàndards ETSI.

Certyneo et acompanya en cada etapa: de la selecció del nivell de signatura correcte a la integració en els teus processos de negoci. Sol·licita una demostració gratuïta i descobreix com desplegar la signatura qualificada en menys de 48 hores en la teva organització.