Como funciona a sinatura electrónica en 2026

Introdución

A sinatura electrónica está hoxe no corazón da transformación dixital das empresas: en 2025, máis do 70 % das grandes organizacións europeas integráronaa en polo menos un proceso contractual (fonte: Gartner, Digital Process Automation Survey 2025). Con todo, son poucos os decisores que comprenden precisamente os mecanismos que a fan xurídicamente válida e tecnicamente infalible. Comprender como funciona tecnicamente a sinatura electrónica — criptografía, PKI, certificados — permite escoller a solución axeitada, reducir os riscos xurídicos e acelerar a adopción interna. Este artigo guíate, paso a paso, a través da arquitectura técnica e dos estándares que rixen a sinatura electrónica en 2026.

---

Os fundamentos criptográficos da sinatura electrónica

A sinatura electrónica repousa en primitivas criptográficas probadas. Comprender os seus mecanismos é comprender por que é máis fiable ca unha sinatura manuscrita dixitalizada.

O cifrado asimétrico: clave pública e clave privada

O principio fundamental é a criptografía asimétrica, inventada nos anos 70 e estandarizada por algoritmos como RSA (Rivest–Shamir–Adleman) ou as curvas elípticas (ECDSA). Cada sinatario dispón de dúas chaves matematicamente ligadas:

• A clave privada: conservada secretamente polo sinatario, nun dispositivo seguro (tarxeta inteligente, token HSM, ou módulo software protexido). Serve para crear a sinatura.
• A clave pública: distribuída livremente, incluída nun certificado dixital. Serve para verificar a sinatura.

O principio de seguridade repousa nunha asimetría computacional: é matematicamente trivial verificar unha sinatura coa clave pública, pero practicamente imposible reconstituhir a clave privada a partir da clave pública (problema do logaritmo discreto ou da factorización de grandes enteiros).

As funcións de hash: a pegada dixital do documento

Antes de sinar, o sistema calcula unha pegada criptográfica do documento grazas a unha función de hash (SHA-256 ou SHA-3 en 2026). Esta pegada, chamada hash ou condensado, é unha cadea de caracteres de tamaño fixo (256 bits para SHA-256) que representa de xeito único o contido do documento.

Propiedade esencial: modificar un único carácter do documento produce un hash radicalmente diferente. É isto o que garante a integridade do documento sinado: calquera alteración posterior á sinatura é inmediatamente detectable.

A sinatura electrónica propiamente dita é polo tanto o cifrado deste hash coa clave privada do sinatario. Durante a verificación, o destinatario:

1. Descifera a sinatura coa clave pública para recuperar o hash orixinal;
2. Recalcula el mesmo o hash do documento recibido;
3. Compara os dous: se son idénticos, a sinatura é válida.

---

A Infraestrutura a Chaves Públicas (PKI): a cadea de confianza

A criptografía soa non é suficiente: tamén é preciso probar que a clave pública pertence realmente á persoa que a invoca. Este é o papel da PKI (Public Key Infrastructure) — ou Infraestrutura a Chaves Públicas.

As autoridades de certificación (AC)

Unha Autoridade de Certificación (AC ou CA) é un terceiro de confianza acreditado que emite certificados dixitais. Un certificado dixital é un ficheiro estandarizado (formato X.509) que contén:

• A identidade do titán (nome, organización, correo-e);
• A súa clave pública;
• O período de validez;
• A sinatura dixital da propia AC.

En Europa, as ACs cualificadas están referenciadas nas Trusted Lists publicadas por cada Estado membro da UE conforme ao regulamento eIDAS. En Francia, o ANSSI publica e mantén esta lista. Os provedores de servizos de confianza cualificados (QTSP) — como CertSign, Certigna, ou Universign — están suxeitos a auditorías periódicas segundo a norma ETSI EN 319 401.

A cadea de certificación e a revogación

A PKI funciona segundo un modelo xerárquico:

• Unha AC raíz (Root CA) auto-sinada, conservada fóra de liña en condicións de seguridade física máxima;
• ACs intermedidas que emiten os certificados dos usuarios finais.

A revogación dos certificados é un mecanismo crítico: se unha clave privada está comprometida, a AC publica a súa invalidación a través dunha CRL (Certificate Revocation List) ou a través do protocolo OCSP (Online Certificate Status Protocol), permitindo unha verificación en tempo real.

Para a sinatura electrónica cualificada no sentido de eIDAS, a clave privada debe ser xerada e conservada nun QSCD (Qualified Signature Creation Device) — aparello certificado CC EAL4+ ou superior, tal como unha tarxeta inteligente ou un HSM (Hardware Security Module).

---

Os tres niveis de sinatura segundo eIDAS

O regulamento europeo eIDAS nº 910/2014 (e a súa evolución eIDAS 2.0 en curso de despregamento) define tres niveis de sinatura, cada un repousa en garantías técnicas crecentes. Para profundizar neste marco regulador, consulta a nosa guía completa sobre o regulamento eIDAS.

Sinatura electrónica simple (SES)

A sinatura simple é a forma máis pouco coactiva tecnicamente. Pode ser tan básica como unha casilla a marcar, un código OTP (One-Time Password) enviado por SMS, ou unha imaxe de sinatura manuscrita. Non implica necesariamente un certificado cualificado.

Uso típico: validación de orzamentos, consentimentos de marketing, contratos de baixo risco.

Risco: valor probatorio limitado en caso de contestación xudicial. A carga da proba recae no que invoca a sinatura.

Sinatura electrónica avanzada (AdES)

A sinatura avanzada responde a catro exixencias técnicas precisas (artigo 26 eIDAS):

1. Está vinculada ao sinatario de xeito unívoco;
2. Permite identificar o sinatario;
3. É creada a partir de datos baixo o control exclusivo do sinatario;
4. Permite detectar calquera modificación posterior do documento.

Concretamente, isto implica o uso dun certificado dixital persoal e dun mecanismo de autenticación robusto. Os formatos estándares están definidos pola ETSI: PAdES (para PDF), XAdES (XML), CAdES (datos binarios) e JAdES (JSON), todos normalizados na serie ETSI EN 319 100.

Sinatura electrónica cualificada (QES)

A sinatura cualificada é o nivel máis elevado. Exixe:

• Un certificado cualificado emitido por un QTSP acreditado eIDAS;
• Un QSCD para a creación da sinatura.

Benefíciase dunha presunción legal de fiabilidade e dunha equivalencia xurídica coa sinatura manuscrita en toda a Unión Europea (artigo 25 eIDAS). É o nivel requirido para os actos auténticos electrónicos, certos actos notariais, ou os mercados públicos sensibles.

O noso comparativo de solucións de sinatura electrónica analiza as diferenzas prácticas entre estos niveis para axudarche a escoller.

---

O proceso completo dunha sinatura electrónica paso a paso

Aquí está como se desenvolve concretamente unha transacción de sinatura electrónica nunha plataforma SaaS como Certyneo:

Paso 1: preparación e envío do documento

O iniciador da sinatura sube o documento (contrato, adenda, orde de compra) á plataforma. O sistema xera inmediatamente un hash SHA-256 do ficheiro orixinal, horodatado e conservado de xeito imutable. Esta pegada servirá de referencia para calquera verificación futura.

Paso 2: autenticación do sinatario

Segundo o nivel de sinatura escolido, a autenticación varía:

• SES: correo-e + ligazón de sinatura;
• AdES: autenticación forte (OTP SMS, aplicación móbil FIDO2);
• QES: verificación de identidade previa (presencial ou por vídeo IDV), emisión dun certificado cualificado a uso único ou persistente.

Paso 3: creación da sinatura criptográfica

O sinatario activa o acto de sinatura. A plataforma (ou o QSCD):

1. Calcula o hash do documento;
2. Cifera este hash coa clave privada do sinatario;
3. Integra a sinatura e o certificado no documento (PDF sinado en formato PAdES-LTV para conservación a longo prazo).

Paso 4: horodatado cualificado

Un servizo de horodatado cualificado (TSA) conforme á norma RFC 3161 apón un timestamp criptográfico, probando que a sinatura existía nun instante preciso. Isto protexe contra a falsificación de data e garante o valor probatorio no tempo — incluso se o certificado do sinatario caduca posteriormente.

Paso 5: arquivo probatorio

O documento sinado é arquivo coa súa pista de auditoría completa: identidade do sinatario, enderezo IP, horodatado, hash do documento, certificados usados. Este dossier de proba (audit trail) é esencial en caso de contestación xudicial. As solucións conformes eIDAS manteñen estas probas nun formato PAdES-LTV (Long-Term Validation) que integra os datos de validación para permitir a verificación dos anos despois da sinatura.

Para comprender como integrar este proceso nos teus fluxos de RRHH, descobre a nosa solución de sinatura electrónica para os RRHH e os nosos modelos de contratos para descargar.

Marco legal aplicable á sinatura electrónica

A sinatura electrónica inscríbese nun marco normativo multicapa, articulando dereito civil nacional e dereito europeo harmonizado.

Código civil francés

O artigo 1366 do Código civil establece o principio fundamental: « A escritura electrónica ten a mesma forza probatoria que a escritura en soporte papel, baixo a reserva de que poida ser debidamente identificada a persoa de quen emana e de que sexa establecida e conservada en condicións que garantan a súa integridade. » O artigo 1367 precisa que a sinatura electrónica « consiste no uso dun procedemento fiable de identificación que garanta a súa vinculación co acto ao que se adxunta ».

O decreto nº 2017-1416 do 28 de setembro de 2017 define a presunción de fiabilidade para as sinaturas cualificadas e avanzadas conformes eIDAS.

Regulamento eIDAS nº 910/2014

Pedra angular do dereito europeo da confianza dixital, o regulamento eIDAS (electronic IDentification, Authentication and trust Services) establece un marco xurídico unificado para as sinaturas electrónicas, os selos electrónicos, o horodatado cualificado, os servizos de envío recomendado e os certificados de autenticación de sitios web. O seu artigo 25, apartado 2, confíre á sinatura cualificada unha presunción legal de equivalencia coa sinatura manuscrita en todo o conxunto da UE.

O regulamento eIDAS 2.0 (en curso de transposición ao 1º trimestre de 2026) reforza estas disposicións co carteira de identidade dixital europeo (EUDIW) e estende as obrigacións aos mercados dos servizos financeiros e de saúde.

Normas ETSI

Os formatos de sinatura están estandarizados pola ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definen os perfís técnicos das sinaturas avanzadas e cualificadas;
• ETSI EN 319 421 encadra as políticas dos servizos de horodatado cualificado.

RGPD e protección de datos

O tratamento dos datos de identidade no marco dunha sinatura electrónica (nome, correo-e, biometría para a verificación de identidade) está suxeito ao RGPD nº 2016/679. Os responsables de tratamento deben: dispoñer dunha base legal (interese lexítimo ou execución dun contrato), aplicar o principio de minimización dos datos, e garantir a seguridade por medidas técnicas apropiadas (cifrado, pseudonimización).

Directiva NIS2

A directiva NIS2 (2022/2555/UE), transposta a dereito francés desde outubro de 2024, impón aos operadores de servizos esenciais e aos provedores de servizos dixitais (incluíndo os provedores de sinatura electrónica) obrigacións reforzadas en materia de ciberseguridade, xestión de riscos e notificación de incidentes nas 24 horas. O incumprimento expón a sancións que poden acadar 10 millóns de euros ou o 2 % do volumen de negocios mundial.

Escenarios de uso concretos da sinatura electrónica

Escenario 1: un gabinete de avogados de negocios automatiza a sinatura de mandatos

Un gabinete de avogados de negocios con aproximadamente unha ducia de colaboradores traballaba en promedio 120 mandatos de representación por mes. O procedemento papel implicaba impresión, envío postal ou remisión en man propia, máis tarde dixitalización dos documentos retornados — xenerando un atraso promedio de 4,5 días laborables por dossier e unha taxa de perda de documentos estimada en 8 %.

Ao desplegar unha sinatura electrónica avanzada (AdES) con autenticación OTP, o gabinete reduchou o atraso de sinatura a menos de 4 horas de promedio, reduchou a taxa de anomalía documentaria a menos do 1 %, e aforrou aproximadamente 2 200 € por ano en gastos de correo e impresión. A pista de auditoría xerada automaticamente simplificou tamén dúas procedementos de contestación de mandato, achegando unha proba horodatada incontestable. Descobre a nosa solución dedicada aos gabinetes xurídicos.

Escenario 2: unha PEME industrial dixitaliza os seus contratos proveedores

Unha PEME industrial xestionando aproximadamente 200 contratos proveedores por ano (condicións xerais de compras, avenidas tarifarias, NDA) subía a atrasos de sinatura que podían superar tres semanas para contratos transfronteirizos con socios alemáns e españois. As diferenzas de sistemas xurídicos e a ausencia de recoñecemento mutuo ralentizaban as negociacións.

Ao adoptar unha sinatura cualificada (QES) emitida por un QTSP acreditado eIDAS, recoñecida en toda a UE, a PEME beneficiouse dun recoñecemento xurídico automático nos tres países sen ningunha legalización adxunta. O atraso promedio de sinatura transfronteiriza pasou de 18 días a 2,5 días. A sinatura electrónica na empresa detalla estes beneficios para os equipos de compras.

Escenario 3: un agrupamento hospitalario asegura o consentimento informado dos pacientes

Un agrupamento hospitalario de aproximadamente 800 camas debía recadar o consentimento informado de pacientes para protocolos de investigación clínica. A xestión papel creaba riscos de conformidade RGPD (documentos mal arquivo, datas non trazables) e mobilizaba persoal sanitario para tarefas administrativas.

Ao integrar unha sinatura electrónica simple con identificación por código SMS — suficiente para actos non sometidos á exixencia cualificada — o agrupamento automatizou a recolleita, o arquivo e a trazabilidade dos consentementos. O tempo administrativo por paciente pasou de 12 minutos a menos de 2 minutos, liberando aproximadamente 800 horas sanitarias por ano. O conxunto dos documentos está arquivo con horodatado cualificado, satisfacendo plenamente as exixencias CNIL. Explora a nosa solución de sinatura para a saúde.

Conclusión

Comprender como funciona tecnicamente a sinatura electrónica — da criptografía asimétrica á PKI, dos certificados cualificados ao horodatado probatorio — é indispensable para realizar eleccións lúcidas en materia de conformidade e eficiencia operacional. Os tres niveis eIDAS (simple, avanzada, cualificada) responden a necesidades diferentes, e a elección sempre debe estar guiada pola análise do risco xurídico e do valor probatorio esperado.

Certyneo acompáñate nesta transición cunha plataforma SaaS conforme eIDAS, QTSP acreditados e integración simplificada nos teus procesos existentes. Estima os gaños potenciais para a túa organización grazas ao noso calculador ROI de sinatura electrónica, ou comeza directamente consultando as nosas ofertas e prezos. A conformidade e o rendemento xa non son compromissos.