¿Por qué existen tres tipos de firma electrónica?
El Reglamento (UE) nº 910/2014, conocido como eIDAS, es la norma europea que regula la identidad digital y la firma electrónica en todos los estados miembros. Su objetivo es garantizar que lo que se firma digitalmente en España tenga validez en Alemania, Francia o cualquier otro país de la UE.
Para lograrlo, eIDAS define tres niveles de firma con distintos requisitos técnicos y jurídicos, de menor a mayor exigencia:
- Firma Electrónica Simple (FES)
- Firma Electrónica Avanzada (FEA)
- Firma Electrónica Cualificada (FEC)
Firma Electrónica Simple (FES)
Es el nivel más básico. Incluye cualquier dato en formato electrónico adjunto o asociado lógicamente con otros datos electrónicos y utilizado por el firmante para firmar. En la práctica, abarca desde un nombre al pie de un email hasta un clic en «Acepto» en una web.
Cuándo es suficiente: acuerdos informales, confirmaciones de servicio, consentimientos menores donde el valor en disputa es bajo y la identidad del firmante no es crítica.
Limitación clave: no vincula la firma con el firmante de forma robusta. En un litigio, el firmante puede alegar que no fue él.
Firma Electrónica Avanzada (FEA)
Es el nivel intermedio y el más usado en el mundo empresarial. Para ser «avanzada», la firma debe cumplir cuatro requisitos según el artículo 26 de eIDAS:
- Estar vinculada de forma unívoca al firmante
- Permitir su identificación
- Haber sido creada usando datos bajo control exclusivo del firmante
- Estar vinculada a los datos firmados de forma que cualquier modificación posterior sea detectable
Cómo la genera Certifirm: mediante un proceso de verificación de identidad y consentimiento (OTP por email y/o SMS, captura de imagen del DNI, reconocimiento facial), todas las evidencias se vinculan criptográficamente al documento y al momento exacto (sello de tiempo RFC 3161). El resultado es un informe de firma PDF que incorpora estas evidencias y la firma digital FNMT.
Cuándo es la opción correcta: contratos laborales, contratos de prestación de servicios, acuerdos de confidencialidad (NDA), presupuestos, comunicaciones con empleados que requieren acuse de recibo certificado, etc.
Cuándo NO es suficiente: actos jurídicos que la ley exige firma cualificada (ver siguiente sección).
Firma Electrónica Cualificada (FEC)
Es el nivel más exigente. Se crea mediante un dispositivo cualificado de creación de firma y se basa en un certificado cualificado de firma electrónica. Su valor jurídico es equivalente al de la firma manuscrita.
Los certificados cualificados solo los emiten Prestadores de Servicios de Confianza Cualificados (QTSP), que en España son organizaciones como la FNMT, ACCV, Camerfirma o Izenpe.
Cuándo la exige la ley: actos ante notario, procedimientos administrativos con las Administraciones Públicas (aunque muchos aceptan también FEA), otorgamiento de poderes notariales, modificaciones estatutarias de sociedades, firma de escrituras.
Coste y fricción: requiere que el firmante obtenga previamente un certificado cualificado (p. ej., el de la FNMT, que implica personarse en una oficina de registro). Es impracticable para firmar contratos con terceros que no dispongan de él.
Tabla comparativa
| Característica | Simple | Avanzada | Cualificada |
|---|---|---|---|
| Definida en eIDAS | Sí | Sí | Sí |
| Identifica al firmante | Débilmente | Sí | Sí |
| Detecta modificaciones | No | Sí | Sí |
| Certificado cualificado requerido | No | No | Sí |
| Equivale a firma manuscrita | No | No (pero tiene valor probatorio) | Sí |
| Uso práctico sin fricción | Alto | Alto | Bajo |
¿Qué tipo genera Certifirm?
Certifirm genera firma electrónica avanzada. No es un Prestador Cualificado y no emite certificados cualificados. El informe PDF de un envío Certifirm incluye:
- Evidencias de identidad del firmante (OTP, imagen DNI, reconocimiento facial si aplica)
- Hash SHA-256 del documento original vinculado al firmante
- Sello de tiempo RFC 3161 emitido por Izenpe (TSA acreditada en la Trusted List europea)
- Firma digital FNMT sobre el informe completo (Long-Term Validation)
Para la inmensa mayoría de contratos y comunicaciones empresariales en España, la firma electrónica avanzada es suficiente y tiene plena validez ante los tribunales.
Resumen: cuándo usar cada tipo
- Firma Simple: confirmaciones de pedido, registros web, consentimientos de baja importancia.
- Firma Avanzada (Certifirm): contratos laborales, acuerdos comerciales, comunicaciones legales a empleados o clientes, burofax electrónico, NDAs.
- Firma Cualificada: actos notariales, procedimientos que la ley exige expresamente firma cualificada.