Firma electrónica avanzada (AES), simple (SES) y cualificada (QES): los 3 niveles eIDAS

La firma electrónica avanzada (AES) es el nivel más utilizado en B2B y el único que ofrece una presunción legal de integridad sin imponer una tarjeta inteligente al firmante. Junto con la firma simple (SES) y la firma cualificada (QES), compone los tres niveles definidos por el reglamento europeo eIDAS. Aquí se explica cómo elegir el nivel correcto según la naturaleza de su documento, su valor probatorio esperado y la fricción aceptable para el firmante.

¿Qué es la firma electrónica avanzada (AES)?

La firma electrónica avanzada es el nivel intermedio definido por el artículo 26 del reglamento eIDAS. Debe cumplir cuatro condiciones acumulativas: (1) estar vinculada de manera única al firmante, (2) permitir identificarlo, (3) ser creada a partir de datos bajo su control exclusivo, (4) permitir detectar cualquier modificación posterior del documento firmado. En la práctica, estas condiciones se cumplen mediante autenticación fuerte (correo electrónico + OTP SMS), una pista de auditoría con marca de tiempo y un hash criptográfico del PDF.

La AES se beneficia de una presunción legal de integridad y origen que invierte la carga de la prueba ante el juez: es quien contesta la firma quien debe probar su falsedad, no el firmante quien debe probar su validez. Esto es lo que distingue fundamentalmente la AES de la SES, donde la fiabilidad se aprecia caso por caso por el juez.

Los tres niveles definidos por eIDAS

El reglamento europeo eIDAS (n°910/2014) organiza la firma electrónica en tres niveles, correspondientes a grados crecientes de exigencia en materia de identificación del firmante y solidez de la prueba. Comprender bien estos niveles permite elegir la firma adaptada a cada documento, sin sobredimensionar el proceso.

Nivel 1: la firma electrónica simple (SES)

La firma electrónica simple es el nivel básico. Corresponde a cualquier manifestación de consentimiento electrónico: un clic en "Acepto", una casilla de verificación, un parafé dibujado en pantalla táctil.

• Requisitos: consentimiento claro, identificación mínima (correo electrónico)

• Prueba: débil a media, varía según el proveedor

• Casos de uso: presupuestos, pedidos, acuerdos internos, términos y condiciones

• Fricción del firmante: prácticamente nula — el firmante no crea una cuenta

La SES es suficiente para la gran mayoría de intercambios comerciales habituales donde el riesgo de disputa es bajo. Sigue siendo válida legalmente, apreciando el juez caso por caso la fiabilidad del procedimiento.

Nivel 2: la firma electrónica avanzada (AES)

La firma avanzada refuerza la identificación del firmante y establece un vínculo único entre él y el documento. Se basa en cuatro criterios establecidos por el artículo 26 de eIDAS:

• está vinculada al firmante de manera unívoca

• permite identificar al firmante

• se crea con medios que el firmante conserva bajo su control exclusivo

• está vinculada al documento de forma que permite detectar cualquier modificación posterior

En la práctica, la AES pasa por una autenticación de doble factor: enlace único enviado por correo electrónico + código OTP recibido por SMS. El PDF final integra una marca de tiempo y una pista de auditoría detallada.

• Casos de uso: contrato de trabajo, arrendamiento, mandato, contrato comercial de envergadura, NDA

• Fricción del firmante: débil — un código SMS a ingresar además del correo electrónico

• Prueba: fuerte, presunción refutable de validez

Nivel 3: la firma electrónica cualificada (QES)

La firma cualificada es el nivel más alto. Se basa en un certificado cualificado emitido por un proveedor de servicios de confianza cualificado (QTSP) que figure en la lista de confianza de un Estado miembro de la UE, y en un dispositivo de creación de firma seguro (p. ej. YubiKey, tarjeta inteligente).

• Valor legal: equivalente a una firma manuscrita en toda la UE

• Casos de uso: actos públicos, licitaciones públicas, ciertos actos notariales

• Fricción del firmante: alta — verificación de identidad presencial o por vídeo KYC

• Coste: considerablemente más elevado que SES/AES

Para la mayoría de las empresas, la QES rara vez es necesaria día a día. Se vuelve imprescindible cuando la ley la impone (procedimientos judiciales, ciertas licitaciones públicas) o cuando el contrato tiene un valor excepcional.

Tabla comparativa rápida

Criterio | Simple | Avanzada | Cualificada

Identificación | Correo electrónico | Correo electrónico + OTP SMS | Certificado cualificado + verificación de identidad

Valor legal | Prueba a apreciar | Presunción de validez | Equivalente a firma manuscrita UE

Fricción | Prácticamente nula | Débil | Alta

Caso de uso típico | Presupuestos, pedidos | Contrato de trabajo, arrendamiento | Actos notariales, licitaciones públicas

Coste | Bajo | Moderado | Alto

Cómo elegir el nivel correcto

La regla simple: alinee el nivel con el riesgo del documento.

• Si el documento es impugnado, ¿qué está en juego? ¿Algunos cientos de euros o un contrato de decenas de miles?

• ¿La relación con el firmante es conocida (cliente histórico) o desconocida (primer contacto)?

• ¿El documento se rige por un marco legal que impone un nivel específico (p. ej. contrato de trabajo, arrendamiento)?

Por regla general: SES para acuerdos simples, AES para todo lo relacionado con RRHH, inmuebles, finanzas, QES solo cuando la ley lo impone.

Errores frecuentes

• Tomar sistemáticamente la QES "para tranquilizarse": fricción innecesaria para el firmante, coste elevado, a menudo sobredimensionado.

• Conformarse con la SES para todo: en caso de litigio sobre un contrato de trabajo, la ausencia de autenticación fuerte puede debilitar la prueba.

• Confundir validación y firma: un acuse de recibo no es una firma.

Cómo Certyneo le ayuda

Certyneo admite nativamente los niveles simple (SES) y avanzado (AES), con doble OTP correo electrónico + SMS a través de Twilio Verify para AES. Para los casos que exigen QES, Certyneo se integra con varios proveedores cualificados europeos (Docaposte Certigna, Universign, CertEurope) para desencadenar la firma cualificada sin cambiar de herramienta.

Puede definir el nivel de firma documento por documento según el riesgo — o por plantilla si ha industrializado un proceso.

Descubrir la solución de firma electrónica Certyneo

FAQ

¿Puedo mezclar los niveles en la misma envoltura?

Sí. Una envoltura multidocumento puede incluir un presupuesto firmado en SES y un contrato firmado en AES, por ejemplo. Cada firmante ve la autenticación adaptada al documento que debe firmar.

¿Se reconoce la firma avanzada a nivel internacional?

En la UE sí, en virtud del principio de reconocimiento mutuo de eIDAS. Fuera de la UE, el reconocimiento depende del marco jurídico local — a verificar según la jurisdicción afectada.

¿Se requiere un certificado personal para firmar en AES?

No. La AES puede obtenerse sin certificado personal previo gracias al doble OTP. Esto es lo que hace que la AES sea muy accesible, mientras que la QES exige un certificado cualificado.

¿Es obligatoria la firma cualificada para un contrato de trabajo?

No. El contrato de trabajo acepta la firma avanzada (AES), que ya ofrece una presunción de validez fuerte. Para más detalles, consulte firma electrónica del contrato de trabajo.

¿Cómo verificar el nivel de un documento firmado?

Abra el PDF en Adobe Acrobat Reader: las propiedades de firma muestran el nivel, el firmante y la marca de tiempo. También puede usar un verificador en línea.

Conclusión

Elegir el nivel correcto de firma electrónica es encontrar el equilibrio entre valor probatorio y fricción para el firmante. Comience simple, suba un nivel cuando el riesgo jurídico lo exija.

Pruebe Certyneo para enviar, firmar y hacer seguimiento de sus documentos en línea de manera simple, rápida y segura.