Certificado electrónico cualificado para empresas: guía 2026

Por que o certificado electrónico cualificado se converteuse en imprescindible para as empresas

Na actual situación de aceleración da desmaterialización dos procesos contractuais en todos os sectores, a cuestión do certificado electrónico cualificado impóñese como un reto estratéxico para os departamentos xurídicos, as direccións de sistemas de información e as direccións xerais. Segundo o informe anual do ANSSI 2024, máis do 78 % das pequenas e medianas empresas francesas que adoptaron a sinatura electrónica cualificada reducíron os seus prazos de contractualización en máis do 60 %. Non obstante, moitos aínda confunden sinatura simple, avanzada e cualificada — co risco de expoñer os seus actos xurídicos a unha contestación. Este artigo guíate paso a paso para entender que é un certificado electrónico cualificado, como obtelo en conformidade co marco RGS e eIDAS, e como implementalo eficazmente dentro da túa organización.

Que é un certificado electrónico cualificado?

Un certificado electrónico é un ficheiro dixital emitido por unha Autoridade de Certificación (AC) que vincula a identidade dunha persoa física ou xurídica a unha chave criptográfica pública. Constitúe a peza mestra que permite a un terceiro verificar a autenticidade e integridade dunha sinatura dixital.

O cualificativo «cualificado» refire se a unha definición precisa que proveña do regulamento europeo eIDAS (nº910/2014, artigo 28): o certificado debe ser emitido por un Prestador de Servizos de Confianza Cualificado (PSCQ), inscrito na lista de confianza nacional (en Francia, publicada polo ANSSI). Debe ademais cumprir os requisitos técnicos da norma ETSI EN 319 411-2, que regula as políticas e prácticas de certificación.

Na práctica, un certificado cualificado garante:

• A identidade verificada do asinante (verificación documental cara a cara ou por medio equivalente acreditado);
• A integridade do documento asinado (calquera modificación posterior é detectable);
• A non-repudiación (o asinante non pode negar ter apoñido a súa sinatura).

Diferenza entre sinatura simple, avanzada e cualificada

O regulamento eIDAS distingue tres niveis de sinatura electrónica, cada un asociado a un nivel de certificado:

| Nivel | Certificado requirido | Valor probatorio | Uso típico | |---|---|---|---| | Simple | Non requirido | Baixo | Pedidos normais | | Avanzada | Certificado avanzado (PSCQ) | Medio | Contratos comerciais B2B | | Cualificada | Certificado cualificado (PSCQ cualificado) | Máximo, equivalente a manuscrito | Actos notariais, mercados públicos, asuntos RH sensibles |

Para a sinatura cualificada — a única que se beneficia da presunción legal de equivalencia coa sinatura manuscrita (art. 1367 Código Civil) — un certificado cualificado é imperativámente requirido. Para coñecer máis detalles sobre as diferenzas entre niveis, consulta a nosa guía completa de sinatura electrónica.

---

O marco RGS: especificidades francesas a coñecer

En Francia, o Referencial Xeral de Seguridade (RGS), establecido polo decreto nº2010-112 e actualizado regularmente polo ANSSI, define as esixencias de seguridade aplicables aos sistemas de información das administracións. Para as empresas que contractualizan con entidades públicas (mercados públicos, teleprocedementos), o cumprimento do RGS é frecuentemente unha obriga contractual ou regulatoria.

Niveis RGS aplicables aos certificados

O RGS define tres estrelas de cualificación para os certificados:

• RGS* (unha estrela): nivel básico, axeitado para usos habituais de baixa sensibilidade;
• RGS (dúas estrelas)**: nivel intermedio, requirido para a maioría dos teleprocedementos administrativos;
• RGS (tres estrelas)*: nivel elevado, para actos con elevado risco xurídico ou financeiro.

Para os mercados públicos desmaterializados a través do perfil comprador, o decreto nº2016-360 (artigos 39 e 40) impón en xeral unha sinatura de nivel RGS mínimo, o que implica un certificado de cualificación equivalente.

Articulación RGS e eIDAS

Desde a entrada en aplicación do regulamento eIDAS, os dous referenciais coexisten. Un certificado cualificado no sentido de eIDAS presúmese que satisfai os requisitos RGS** na gran maioría dos casos. O ANSSI publicou táboas de correspondencia que permiten asegurar a compatibilidade. Por iso é aconsellable, para as empresas que traballan simultaneamente con socios privados e públicos, priorizaren un certificado cualificado eIDAS emitido por un PSCQ inscrito na lista de confianza francesa — o que cobre simultaneamente ambos os dous referenciais.

Para profundizar no regulamento europeo, a nosa guía eIDAS 2.0 detalla as evolucións principais previstas e o seu impacto nas empresas francesas.

---

Como obter un certificado electrónico cualificado: proceso paso a paso

Obter un certificado electrónico cualificado non é unha diligencia trivial: implica unha verificación rigorosa da identidade do solicitante e, para unha persoa xurídica, da súa representatividade legal. Aquí están as principais etapas.

Etapa 1: Identificar o bo prestador de servizos de confianza cualificado

En Francia, os PSCQ habilitados para emitir certificados cualificados están listados na Trust Service Status List (TSL) publicada polo ANSSI (dispoñible no portal esignature.gouv.fr). Entre os actores presentes nesta lista atópanse nomeadamente autoridades de certificación como CertEurope, Certinomis (filial de La Poste), Keynectis ou mesmo prestadores europeos recoñecidos en virtude do principio de recoñecemento mutuo eIDAS.

Criterios de selección a examinar:

• Presenza efectiva na TSL francesa e/ou europea;
• Formato do certificado ofrecido (software, en tarxeta criptográfica, HSM cloud);
• Compatibilidade coa túa infraestrutura IT existente;
• Tarificación e duración da validez (xeralmente 1 a 3 anos);
• Nivel de soporte e prazo de enrólamento.

Etapa 2: Constitución do expediente de enrólamento

Para unha empresa, a solicitude de certificado cualificado require a presentación de documentos que acrediten tanto a identidade do portador (persoa física) como a súa capacidade para representar a persoa xurídica. As pezas xeralmente requiridas son:

• Documento de identidade oficial do portador (pasaporte, DNI);
• Extracto do Rexistro Mercantil de menos de 3 meses (ou equivalente para asociacións, establecimientos públicos);
• Poder delegado se o portador non é o representante legal estatutario;
• Formulario de solicitude específico do PSCQ seleccionado.

A verificación de identidade debe realizarse cara a cara ante un Operador de Enrólamento (OE) delegado polo PSCQ, ou por un procedemento de verificación a distancia acreditado (videoidentificación conforme á norma ETSI TS 119 461).

Etapa 3: Entrega e activación do certificado

Segundo o formato elixido, o certificado se entrega:

• Nun dispositivo cualificado de creación de sinatura (QSCD): chave USB criptográfica ou tarxeta criptográfica certificada Common Criteria EAL 4+;
• A través dun servizo de sinatura a distancia (Remote Qualified Electronic Signature — RQES) xestionado polo PSCQ, onde a chave privada se alberga nun HSM (Hardware Security Module) certificado conforme a norma ETSI EN 419 241.

O despliegue dun servizo RQES é hoxe a solución máis adoptada polas empresas, xa que evita a xestión física de soportes criptográficos mantendo ao mesmo tempo a conformidade cualificada. Compara as solucións de sinatura electrónica para identificar o modelo máis axeitado ao teu contexto.

Etapa 4: Integración nos teus procesos empresariais

Unha vez obtido o certificado, a súa integración nos fluxos documentais da empresa realízase xeralmente a través dunha plataforma SaaS de sinatura electrónica. Esta debe ser imperativámente compatible cos estándares ETSI (XAdES, PAdES, CAdES) para garantir a interoperabilidade e a perennidade das probas dixitais. O noso artigo dedicado á sinatura electrónica en empresas axudaráte a estruturar este despliegue.

---

Custo, validez e renovación: o que as empresas deben anticipar

Marxes de prezos en 2026

Os prezos dos certificados cualificados varían significativamente segundo o formato e o prestador:

• Certificado en soporte físico (chave USB/tarxeta): entre 80 € e 250 € IVA non incluído por portador e por ano;
• Certificado cualificado cloud (RQES): entre 40 € e 150 € IVA non incluído por portador e por ano, segundo os volumes;
• Forfaits para empresas: descuentos significativos aplícanse a partir de 10 portadores, podendo alcanzar o 30 a 40 % do tarifa unitaria.

Estes custos deben poñerse en perspectiva coas economías xeradas: supresión de impresións, franqueos, prazos de tratamento postal e litigios relacionados con sinaturas contestadas.

Duración da validez e renovación

A validez dun certificado cualificado é xeralmente fixada en 1, 2 ou 3 anos segundo a oferta contratada. Á expiración, os documentos asinados anteriormente permanecen válidos (sempre que a súa integridade sexa preservada a través dun servizo de marcaxe de tempo cualificado), pero non se poidan asinar novos actos co certificado caducado. Por iso é imperativo establecer un procedemento de supervisión e renovación anticipada — idealmente 60 días antes da data de caducidade.

Revogación e xestión de incidentes

En caso de compromiso da chave privada (perda, roubo do soporte, sospecha de divulgación), o certificado debe ser revogado inmediatamente ante o PSCQ. Este publica a revogación na súa Lista de Revogación de Certificados (CRL) ou a través do protocolo OCSP, tornando inválida calquera sinatura posterior con este certificado. A política de seguridade interna debe por tanto prever un punto de contacto dedicado e un prazo de alerta inferior a 24 horas.

---

Boas prácticas para un despliegue exitoso en empresas

Gobernanza e roles internos

Un despliegue exitoso baséase nunha gobernanza clara. Recoméndase designar:

• Un responsable PKI (Infraestrutura de Clave Pública) ao lado de IT, encarregado da relación co PSCQ e do seguimento das renovacións;
• Un referente xurídico que valide os casos de uso que requiren sinatura cualificada (vs avanzada);
• Administradores delegados por departamento para a xestión operativa dos portadores.

Formación e xestión do cambio

A adopción dun certificado cualificado non é suficiente: os colaboradores deben entender como usar o seu certificado, cando activalo, e como reaccionar en caso de incidente. Un plan de formación breve (1 a 2 horas) e procedementos documentados reducen significativamente os erros de uso e as solicitudes de soporte.

Auditoría e trazabilidade

Para satisfacer as obrigas de proba, conserva un rexistro de auditoría marcado en tempo de cada sinatura realizada: identidade do asinante, pegada do documento, data/hora certificada, identificador do certificado. Estes datos constitúen a base da cadea de proba en caso de litigio. A norma ETSI EN 319 132 (XAdES) inclúe nativámente formatos de sinatura que integran esta información.

Marco legal aplicable aos certificados electrónicos cualificados

Código Civil e valor probatorio

En dereito francés, o artigo 1366 do Código Civil establece o principio de equivalencia entre o escrito electrónico e o escrito papel, baixo a reserva de que « a identidade da persoa de que emana sexa debidamente asegurada e que sexa establecido e conservado en condicións que garantan a súa integridade ». O artigo 1367 parágrafo 2 precisa que a sinatura electrónica cualificada se beneficia duna presunción de fiabilidade: é a parte que contesta a sinatura quen debe acreditar o contrario, invertendo así a carga da proba a favor do asinante.

Regulamento eIDAS nº910/2014

O regulamento europeo eIDAS (nº910/2014), directamente aplicable en todos os Estados membros desde o 1 de xullo de 2016, constitúe o alicerce supranacional. O seu artigo 25(2) estipula que « unha sinatura electrónica cualificada ten un efecto xurídico equivalente ao dunha sinatura manuscrita ». Os artigos 28 e 29 definen as esixencias aplicables aos certificados cualificados e aos dispositivos cualificados de creación de sinatura (QSCD). O anexo I lista as mencións obrigatorias dun certificado cualificado (OID de política, identidade do PSCQ, chave pública, datas de validez, etc.).

Evolucións eIDAS 2.0

O regulamento eIDAS 2.0 (regulamento UE 2024/1183, que entrou en vixencia o 20 de maio de 2024) introduce a carteira europea de identidade dixital (EUDIW) e refforza as esixencias de accesibilidade aos servizos de confianza cualificados. As empresas deberán anticipar a integración destes novos mecanismos de identificación antes de 2026-2027.

Normas ETSI aplicables

• ETSI EN 319 411-2: política e prácticas para os PSCQ que emiten certificados cualificados;
• ETSI EN 319 132 (XAdES) e ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formatos de sinatura electrónica avanzada e cualificada;
• ETSI EN 419 241: esixencias para os servidores de sinatura (RQES).

RGPD e protección de datos

O tratamento dos datos persoais no marco do enrólamento (verificación de identidade, recopilación documental) está sometido ao RGPD nº2016/679. O PSCQ e a empresa cliente son corresponsables do tratamento ou están nunha relación responsable/subcontratista segundo a configuración. Un contrato de procesamento de datos (DPA) conforme ao artigo 28 RGPD debe ser asinado. Os datos de enrólamento deben ser conservados pola vida útil do certificado máis o prazo de prescrición aplicable (5 anos en materia contractual).

Directiva NIS2 e seguridade das infraestruturas

A directiva NIS2 (2022/2555/UE), transposta ao dereito francés pola lei nº2024-449, impón ás entidades esenciais e importantes implementar medidas de xestión de riscos incluíndo a seguridade das cadeas de subministración dixitais. O recurso a un PSCQ cualificado inscrito na TSL nacional constitúe unha boa práctica recoñecida para satisfacer parcialmente estes requisitos.

Escenarios de uso: o certificado cualificado na práctica

Escenario 1: Escritorio xurídico xestionando actos de alto valor probatorio

Un escritorio de avogados mercantilistas con aproximadamente 20 socios e colaboradores debe regularmente asinar actos de cesión de participacións sociais, protocolos transaccionais e mandatos ad litem. Ata entón, cada acto requería impresión, sinatura manuscrita, escaneado e envío postal — é dicir, un prazo promedio de 4 a 7 días laborables por ciclo de sinatura. Despois do despliegue de certificados cualificados cloud (RQES) para cada socio, este prazo redúcese a menos de 4 horas para os actos que non requiren intervención notarial. O escritorio estima unha redución do 65 % do tempo administrativo relacionado coa xestión documental, e non rexistrou ningunha contestación de sinatura nos primeiros 18 meses de uso. As solucións de sinatura electrónica para escritorios xurídicos ofrecidas por Certyneo intégranse nativámente neste tipo de fluxo de traballo.

Escenario 2: Pequena empresa industrial que contractualiza con doadores públicos

Unha pequena empresa do sector da metalurxia, empregando aproximadamente 120 persoas, responde regularmente a licitacións públicas desmaterializadas en perfís compradores. Está obrigada a asinar electronicamente as súas ofertas e actos de compromiso cun certificado de nivel RGS** mínimo. Despois de obter dous certificados cualificados (para o director xeral e un director comercial autorizado), a pequena empresa puido depositar as súas ofertas nos prazos asignados sen desplazamento nin envío postal. Nun ano, isto representa aproximadamente 35 expedientes de licitacións públicas, o que supón unha economía estimada en 15 días-home por ano só na xestión documental. A conformidade eIDAS do certificado asegura tamén o recoñecemento das súas sinaturas ante doadores alemáns e belxas, ampliando así o seu perímetro comercial. Usa o noso calculador ROI para estimar os posibles ganhos no teu propio contexto.

Escenario 3: Grupo de saúde asegurando actos de RH e provedores

Un grupo hospitalario de aproximadamente 1 200 camas, que agrupa varios establecimientos, enfrenta un volume anual de preto de 3 000 contratos de traballo, adendas e compromsos con provedores. A dirección de recursos humanos e a dirección de compras implementaron conxuntamente unha solución de sinatura cualificada, con certificados emitidos para os directores autorizados. En paralelo, os documentos a asinar pola axencia son tratados a través dun fluxo de traballo de sinatura avanzada, reservando a sinatura cualificada para os actos de dirección de alto valor xurídico. Resultado: o prazo promedio de finalización dun contrato de traballo pasou de 12 días a 2,5 días, e a taxa de expedientes incompletos (sinatura perdida, versión incorrecta asinada) diminuíu un 78 %. As solucións de sinatura electrónica na saúde de Certyneo integran as especificidades regulatorias do sector hospitalario.

Conclusión

Obter un certificado electrónico cualificado é hoxe un paso obrigatorio para calquera empresa que desexe asegurar xurídicamente os seus actos dixitais, responder aos requisitos dos mercados públicos e inscribirse no marco regulatorio eIDAS. Lonxe de ser unha constrinxencia, é un aumento de competitividade: prazos de sinatura reducidos, unha cadea de proba inattacable e recoñecemento transfronteirizo en toda a Unión Europea.

As etapas clave a lembrar: escoller un PSCQ inscrito na lista de confianza ANSSI, constituír un expediente de enrólamento rigoroso, optar por un formato cloud (RQES) para facilitar o despliegue e integrar o certificado nunha plataforma conforme ás normas ETSI.

Certyneo acompáñate en cada etapa: desde a selección do nivel correcto de sinatura ata a integración nos teus procesos empresariais. Solicita unha demostración gratuíta e descobre como desplegar a sinatura cualificada en menos de 48 horas na túa organización.