Firma electrónica avanzada (AES), simple (SES) y cualificada (QES): los 3 niveles eIDAS

La firma electrónica avanzada (AES) es el nivel más utilizado en B2B y el único que ofrece una presunción legal de integridad sin imponer una tarjeta inteligente al firmante. Junto a la firma simple (SES) y la firma cualificada (QES), conforman los tres niveles definidos por el reglamento europeo eIDAS. Aquí le explicamos cómo elegir el nivel adecuado según la naturaleza de su documento, su valor probatorio esperado y la fricción aceptable para el firmante.

¿Qué es la firma electrónica avanzada (AES)?

La firma electrónica avanzada es el nivel intermedio definido por el artículo 26 del reglamento eIDAS. Debe cumplir cuatro condiciones acumulativas: (1) estar vinculada de manera única al firmante, (2) permitir su identificación, (3) ser creada a partir de datos bajo su control exclusivo, (4) permitir detectar cualquier modificación posterior del documento firmado. En la práctica, estas condiciones se cumplen mediante autenticación fuerte (correo electrónico + OTP SMS), una pista de auditoría con marca de tiempo y un hash criptográfico del PDF.

La AES se beneficia de una presunción legal de integridad y origen que invierte la carga de la prueba ante el juez: es quien contesta la firma quien debe probar su falsedad, no el firmante quien debe probar su validez. Esto es lo que distingue fundamentalmente la AES de la SES, donde la confiabilidad se aprecia caso por caso por el juez.

Los tres niveles definidos por eIDAS

El reglamento europeo eIDAS (nº 910/2014) organiza la firma electrónica en tres niveles, correspondientes a grados crecientes de exigencia en materia de identificación del firmante y solidez de la prueba. Comprender bien estos niveles permite elegir la firma adaptada a cada documento, sin sobredimensionar el proceso.

Nivel 1: la firma electrónica simple (SES)

La firma electrónica simple es el nivel básico. Corresponde a toda manifestación de consentimiento electrónico: un clic en "Acepto", una casilla de verificación, una rúbrica dibujada en pantalla táctil.

• Requisitos: consentimiento claro, identificación mínima (correo electrónico)

• Prueba: débil a media, varía según el proveedor

• Casos de uso: presupuestos, órdenes de compra, acuerdos internos, términos y condiciones

• Fricción del firmante: casi nula — el firmante no crea una cuenta

La SES es suficiente para la gran mayoría de los intercambios comerciales comunes donde el riesgo de impugnación es bajo. Sigue siendo válida jurídicamente, apreciando el juez caso por caso la confiabilidad del procedimiento.

Nivel 2: la firma electrónica avanzada (AES)

La firma avanzada refuerza la identificación del firmante y establece un vínculo único entre él y el documento. Se basa en cuatro criterios establecidos por el artículo 26 de eIDAS:

• está vinculada al firmante de manera unívoca

• permite identificar al firmante

• es creada con medios que el firmante conserva bajo su control exclusivo

• está vinculada al documento de forma que permite detectar cualquier modificación posterior

En la práctica, la AES se realiza mediante autenticación de dos factores: enlace único enviado por correo electrónico + código OTP recibido por SMS. El PDF final integra una marca de tiempo y una pista de auditoría detallada.

• Casos de uso: contrato de trabajo, contrato de arrendamiento, mandato, contrato comercial de envergadura, NDA

• Fricción del firmante: baja — un código SMS a ingresar además del correo electrónico

• Prueba: fuerte, presunción refutable de validez

Nivel 3: la firma electrónica cualificada (QES)

La firma cualificada es el nivel más alto. Se basa en un certificado cualificado emitido por un proveedor de servicios de confianza cualificado (QTSP) que figura en la lista de confianza de un Estado miembro de la UE, y en un dispositivo seguro de creación de firma (p. ej. YubiKey, tarjeta inteligente).

• Valor legal: equivalente a una firma manuscrita en toda la UE

• Casos de uso: actos auténticos, licitaciones públicas, ciertos actos notariales

• Fricción del firmante: elevada — verificación de identidad presencial o mediante vídeo KYC

• Costo: sensiblemente superior al de SES/AES

Para la mayoría de las empresas, la QES es raramente necesaria en el día a día. Se vuelve imprescindible cuando la ley la impone (procedimientos judiciales, ciertos concursos públicos) o cuando el contrato tiene un valor excepcional.

Tabla comparativa rápida

| Criterio | Simple | Avanzada | Cualificada | |----------|--------|----------|-------------| | Identificación | Correo electrónico | Correo electrónico + OTP SMS | Certificado cualificado + verificación de identidad | | Valor legal | Prueba a apreciar | Presunción de validez | Equivalente a firma manuscrita UE | | Fricción | Casi nula | Baja | Elevada | | Caso de uso típico | Presupuestos, órdenes de compra | Contrato de trabajo, arrendamiento | Actos notariales, licitaciones públicas | | Costo | Bajo | Moderado | Elevado |

Cómo elegir el nivel correcto

La regla simple: alinee el nivel con la importancia del documento.

• Si el documento es impugnado, ¿qué está en juego? ¿Algunos centenares de euros o un contrato por decenas de miles?

• ¿La relación con el firmante es conocida (cliente histórico) o desconocida (primer contacto)?

• ¿El documento se rige por un marco legal que impone un nivel específico (p. ej. contrato de trabajo, arrendamiento)?

En general: SES para acuerdos simples, AES para todo lo relacionado con RRHH, bienes raíces, finanzas, QES solo cuando la ley lo impone.

Errores frecuentes

• Usar sistemáticamente QES "para tranquilizarse": fricción innecesaria para el firmante, costo elevado, a menudo sobredimensionado.

• Conformarse con SES para todo: en caso de disputa sobre un contrato de trabajo, la falta de autenticación fuerte puede debilitar la prueba.

• Confundir validación y firma: un acuse de recibo no es una firma.

Cómo Certyneo le ayuda

Certyneo admite nativamente los niveles simple (SES) y avanzado (AES), con doble OTP correo electrónico + SMS a través de Twilio Verify para AES. Para los casos que exigen QES, Certyneo se interfaz con varios proveedores cualificados europeos (Docaposte Certigna, Universign, CertEurope) para iniciar la firma cualificada sin cambiar de herramienta.

Puede definir el nivel de firma documento por documento según la importancia — o por plantilla si ha industrializado un proceso.

Descubra la solución de firma electrónica Certyneo

Preguntas frecuentes

¿Puedo mezclar niveles en el mismo sobre?

Sí. Un sobre multidocumento puede incluir un presupuesto firmado en SES y un contrato firmado en AES, por ejemplo. Cada firmante ve la autenticación adaptada al documento que debe firmar.

¿Es reconocida la firma avanzada a nivel internacional?

Dentro de la UE sí, según el principio de reconocimiento mutuo de eIDAS. Fuera de la UE, el reconocimiento depende del marco jurídico local — verifique según la jurisdicción concernida.

¿Se necesita un certificado personal para firmar en AES?

No. La AES se puede obtener sin un certificado personal previo gracias al doble OTP. Esto es lo que hace que AES sea muy accesible, mientras que QES requiere un certificado cualificado.

¿Es obligatoria la firma cualificada para un contrato de trabajo?

No. El contrato de trabajo acepta la firma avanzada (AES), que ya ofrece una presunción de validez fuerte. Para más detalles, consulte firma electrónica del contrato de trabajo.

¿Cómo verificar el nivel de un documento firmado?

Abra el PDF en Adobe Acrobat Reader: las propiedades de firma muestran el nivel, el firmante y la marca de tiempo. También puede utilizar un verificador en línea.

Conclusión

Elegir el nivel correcto de firma electrónica es encontrar el equilibrio entre valor probatorio y fricción para el firmante. Comience simple, suba de nivel cuando la importancia jurídica lo requiera.

Pruebe Certyneo para enviar, firmar y realizar seguimiento de sus documentos en línea de forma simple, rápida y segura.