Cualquier directivo o responsable jurídico debería saber responder esto: ¿qué hace exactamente que un documento digital tenga el mismo valor legal que uno en papel? No el hecho de imprimirlo y firmarlo a bolígrafo (eso es convertirlo en papel). Sino el hecho de que permanezca en formato electrónico y aun así sea plenamente válido como prueba, plenamente admisible en un tribunal, plenamente reconocido por cualquier administración de la Unión Europea.

La respuesta corta es: los servicios de confianza digital. Son los instrumentos que el Reglamento (UE) 2024/1183 (eIDAS2), crea y regula para dotar de valor jurídico a las transacciones electrónicas. Sin ellos, el mundo digital sería un conjunto de archivos fácilmente modificables y difícilmente probables. Con ellos, los documentos electrónicos pueden tener presunción legal de autenticidad, integridad y fecha cierta, exactamente lo que tienen los documentos físicos que llevan firma notarial. 

Quiero explicarte qué son, cuáles existen bajo eIDAS2, qué hace cada uno y por qué tu empresa probablemente ya los necesita, aunque no lo sepa.

Conceptos para entender los servicios de confianza digital

Servicio de confianza

Servicio electrónico prestado habitualmente a cambio de remuneración consistente en la creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo, servicios de entrega electrónica certificada y certificados relativos a estos servicios.

Servicio de confianza cualificado

Servicio de confianza que cumple los requisitos aplicables del Reglamento eIDAS y cuya cualificación ha sido reconocida en la EU Trusted List del Estado miembro correspondiente. Sus prestaciones tienen presunción legal automática en toda la UE.

Hash SHA-256

Función criptográfica que calcula una huella digital única del contenido de un archivo. La menor modificación produce un hash diferente, garantizando la detección de cualquier alteración. Base técnica de la integridad en todos los servicios cualificados.

rPaaS (regulated Platform as a Service)

Modelo de servicio por el que EADTrust despliega su infraestructura de QTSP como servicio integrable en la organización del cliente, mediante API, en la nube soberana de Oracle, en AWS o en el CPD propio del cliente.

EAD Factory

Plataforma de confianza digital de EADTrust que integra los servicios eIDAS (firma, sello de tiempo, entrega certificada, archivo cualificado) en los procesos empresariales del cliente, actuando como infraestructura QTSP propia de la organización.

La desconfianza en lo digital como problema

El considerando 1 del Reglamento eIDAS lo formula con claridad: la creación de un clima de confianza en el entorno online es esencial para el desarrollo económico y social. La desconfianza, en particular debida a la inseguridad jurídica percibida, hace que los consumidores, las empresas y las administraciones públicas duden a la hora de realizar transacciones por vía electrónica.

El problema no es tecnológico. Es jurídico. Un documento digital puede modificarse sin dejar rastro visible. Un correo electrónico puede suplantarse. Una firma escaneada e insertada en un PDF puede copiarse en cualquier otro PDF. El archivo de hoy puede no ser el archivo de ayer. Y ante un tribunal, todo eso genera dudas razonables que pueden destruir cualquier contrato, cualquier notificación, cualquier acuerdo que se haya gestionado exclusivamente por vía digital.

Los servicios de confianza digital resuelven esas dudas mediante tres mecanismos combinados: identificación (quién fue el emisor), integridad (el contenido no ha cambiado) y fecha cierta (cuándo ocurrió exactamente). Cuando los tres están presentes y han sido certificados por un prestador cualificado de servicios de confianza (QTSP) supervisado y supervisado por el Estado, el resultado tiene presunción legal. 

Un servicio de confianza digital cualificado es, en esencia, un tercero independiente, supervisado por el Estado, que certifica que algo ocurrió, cuándo ocurrió y quién lo hizo, con plena validez jurídica en toda la Unión Europea.

Los QTSP (EADTrust) y la EU Trusted List

Los servicios de confianza no los puede prestar cualquier empresa. El Reglamento distingue entre prestadores no cualificados (que pueden prestar servicios sin verificación previa de requisitos, pero sujetos a supervisión posterior) y prestadores cualificados (QTSP), que deben superar una verificación previa de cumplimiento y cuya inclusión en la EU Trusted List (la lista de confianza) es la condición que activa la presunción legal de sus servicios.  

Un proveedor de firmas que no está en la EU Trusted List puede prestar servicios válidos, pero sin la presunción legal automática que el Reglamento otorga a los servicios cualificados. La diferencia procesal es relevante: con un servicio cualificado, quien impugna la firma o el sello tiene que demostrar que no es auténtico. Sin él, quien lo aporta tiene que demostrar que sí lo es. 

En España, los QTSP están supervisados por el Ministerio de Asuntos Económicos y Transformación Digital. EADTrust está incluida en la EU Trusted List y supervisada por ese Ministerio, autorizada para operar en todos los países de la Unión Europea y del Espacio Económico Europeo. 

EAD Factory: la infraestructura de confianza digital que se integra en tu empresa

La mayoría de las empresas contrata servicios de confianza digital igual que contrata cualquier otro SaaS: paga por transacción, depende de un proveedor externo y espera que todo funcione. EAD Factory plantea un modelo distinto.

EAD Factory es una integración regulatoria como servicio (rPaaS) que lleva la infraestructura de un prestador cualificado de servicios de confianza directamente al interior de los procesos de una empresa, integrable mediante API REST sobre cualquier sistema existente (ERP, CRM, plataforma documental) sin necesidad de que la empresa se convierta ella misma en prestador cualificado. Desarrollada junto con g-digital y desplegada sobre la nube soberana de Oracle en la Unión Europea, opera bajo tarifa plana: sin modelo transaccional, sin costes que escalen con el volumen, sin sorpresas en la factura.

La forma más sencilla de entenderla es con la metáfora que usamos internamente: la plataforma es la base, y los servicios son piezas de Lego. Cada módulo (Signature Manager, eArchiving, Notice Manager, GoCertius) se añade según lo que la organización necesita, en el momento en que lo necesita, sobre la misma infraestructura cualificada. El resultado es lo que llamamos seguridad jurídica preventiva digital integrada en el núcleo operativo de la empresa, no añadida por encima como una capa de cumplimiento de última hora.

A continuación, algunos de los módulos que componen hoy EAD Enterprise Suite y las capacidades de cada uno.

Los servicios de confianza que existen bajo eIDAS

La Ley 6/2020 española, que complementa el Reglamento eIDAS, los enumera con precisión: sello electrónico de persona jurídica, servicio de validación de firmas y sellos cualificados, servicio de conservación de firmas y sellos cualificados, servicio de sellado electrónico de tiempo, servicio de entrega electrónica certificada y servicio de expedición de certificados de autenticación web. A estos, eIDAS 2.0 añade el archivo electrónico cualificado y las declaraciones electrónicas de atributos cualificadas. 

Cada uno resuelve un problema distinto. Juntos, cubren prácticamente toda la casuística de las transacciones digitales empresariales que requieren seguridad jurídica.

Firma electrónica (Signature Manager)

La firma electrónica es el instrumento con el que una persona física expresa su voluntad en un documento digital. El Reglamento eIDAS regula tres niveles (simple, avanzada y cualificada), cada uno con distintos requisitos técnicos y distintos efectos jurídicos.  

La firma simple vale como prueba, pero es fácilmente impugnable. La avanzada tiene alto valor probatorio gracias a la traza de auditoría. La cualificada tiene efecto jurídico equivalente a la firma manuscrita en toda la Unión Europea y activa la inversión de la carga de la prueba.  

En España existe además la firma avanzada con certificado cualificado, una modalidad que combina el nivel avanzado con un certificado emitido por un QTSP, sin necesidad de dispositivo cualificado (QSCD). Tiene presunción iuris tantum de autenticidad en España y es la firma aceptada para la mayoría de trámites con la administración pública española. 

Se necesita en contratos entre empresas, contratos laborales, consentimientos informados, acuerdos de confidencialidad, licitaciones públicas, trámites con la administración.

Sello electrónico

Mientras la firma es para personas físicas, el sello electrónico es para personas jurídicas, empresas y organizaciones.  La Ley 6/2020 establece el nuevo paradigma: únicamente las personas físicas están capacitadas para firmar electrónicamente; a las personas jurídicas se reservan los sellos electrónicos.

El sello electrónico cualificado tiene presunción de integridad de los datos y corrección del origen. Certificado por un QTSP (EADTrust), garantiza que el documento procede de esa empresa concreta y no ha sido modificado desde que fue sellado. En el contexto de EPREL, por ejemplo, es el instrumento que los fabricantes e importadores necesitan para verificar su identidad como proveedores en la base de datos de la Comisión Europea.

Se necesita en la emisión de facturas electrónicas, verificación de proveedores en EPREL, autenticación de documentos corporativos, comunicaciones electrónicas de personas jurídicas, acceso a sistemas regulatorios europeos, posiblemente en la autenticidad de datos en el Pasaporte Digital de Producto.

Sello de tiempo cualificado

El sello de tiempo cualificado vincula una fecha y hora exactas a un documento o dato electrónico, de forma que cualquier modificación posterior sea detectable. Su efecto jurídico: presunción de exactitud de la fecha y hora y de integridad de los datos vinculados.

El artículo 41 del Reglamento eIDAS establece esa presunción. El artículo 326.4 de la Ley de Enjuiciamiento Civil española, en su redacción dada por la Ley 6/2020, la convierte en inversión de la carga de la prueba: si alguien impugna la fecha o la integridad de un documento con sello de tiempo cualificado, la comprobación corre a su cargo, y si no prospera, los costes también.

El proceso tecnológico que lo hace posible es concreto: se calcula el hash SHA-256 del documento (una huella digital única de su contenido). El QTSP (EADTrust) emite un sello de tiempo cualificado asociado a ese hash, firmado con su clave y certificado. Cualquier modificación posterior del documento produce un hash diferente, lo que hace indetectable la alteración. 

En GoCertius, el sello de tiempo cualificado se complementa además con registro en blockchain (en la red DLT Omega, gestionada por LACNet), lo que añade una capa adicional de inmutabilidad: el registro es inalterable, sigue un orden verificable y queda disponible de forma redundante en todos los nodos de la red. 

Se necesita para acreditar que un documento existía en una fecha concreta, interrumpir prescripciones, dejar constancia fehaciente de envíos o comunicaciones, respaldar plazos contractuales, certificar evidencias digitales como fotos, vídeos o conversaciones de chat.

Entrega electrónica certificada (Notice Manager)

El servicio de entrega electrónica certificada es el que permite transmitir datos entre terceros por medios electrónicos con prueba del envío, la recepción y la integridad del contenido. Es, en esencia, el equivalente digital del burofax.

El artículo 44 del Reglamento eIDAS establece los requisitos para la versión cualificada: identificación del remitente con alto nivel de fiabilidad, identificación del destinatario antes de la entrega, protección del envío y recepción mediante firma o sello avanzado del QTSP, e indicación de la fecha y hora mediante sello cualificado de tiempo electrónico. 

Notice Manager presta este servicio en modalidad certificada (no cualificada en el sentido estricto del artículo 44) respaldada por EADTrust como QTSP: certifica el contenido exacto enviado mediante hash criptográfico, la fecha y hora con sello de tiempo cualificado, y la apertura del mensaje cuando el canal lo permite. El resultado es un certificado de finalización con plena validez como prueba en procedimientos judiciales o arbitrales.  

Se puede necesitar en comunicaciones laborales con trascendencia jurídica (despidos, sanciones, preavisos), requerimientos de pago, resoluciones de contrato, notificaciones de compliance, cualquier comunicación donde sea necesario acreditar que fue enviada, cuándo y con qué contenido.

Autenticación de sitios web (QWAC)

Los certificados cualificados de autenticación de sitios web (QWAC) garantizan la identidad de la entidad que está detrás de un sitio web. El considerando 67 del Reglamento explica su propósito: servicios que contribuyen a crear confianza y fe en la realización de operaciones mercantiles en línea, dado que los usuarios se fiarán de un sitio web que haya sido autenticado. 

La diferencia con un certificado SSL ordinario es la verificación de la identidad legal de la entidad que opera el sitio: un QWAC certifica que el sitio web pertenece a la empresa que dice que pertenece, con el respaldo de un EADTrust como QTSP supervisado.

Sobre todo, se necesita en servicios bancarios online, plataformas de administración electrónica, cualquier sitio web donde la identidad de la entidad operadora tenga relevancia jurídica para el usuario.

Validación de firmas cualificadas

El servicio cualificado de validación de firmas electrónicas cualificadas permite verificar de forma automatizada que una firma cualificada es auténtica, que el certificado era válido en el momento de la firma y que no había sido revocado. 

Solo puede prestarlo un QTSP que realice la validación conforme al artículo 32 del Reglamento y permita que las partes usuarias reciban el resultado de forma automatizada, fiable y eficiente, firmado o sellado con firma o sello avanzado del propio QTSP. 

Se puede necesitar en procesos de contratación que reciben documentos firmados por terceros y necesitan verificar su autenticidad, plataformas de comercio electrónico B2B, licitaciones y concursos que exigen firma cualificada, cualquier proceso automatizado de recepción de documentos firmados.

Conservación de firmas

El servicio cualificado de conservación de firmas electrónicas cualificadas (también llamado servicio de conservación) garantiza que una firma cualificada sigue siendo válida y verificable más allá del período de validez tecnológica de los algoritmos criptográficos con los que fue creada. 

Los algoritmos criptográficos tienen fechas de caducidad funcional: lo que hoy es seguro puede no serlo en diez años cuando la computación cuántica avance. El servicio de conservación garantiza que la firma sigue siendo válida re-sellando periódicamente los documentos con algoritmos más modernos, sin perder la trazabilidad con la firma original.

Se necesita en contratos de larga duración cuya validez jurídica debe mantenerse durante décadas, expedientes médicos, documentos notariales digitales, cualquier documento firmado cuya conservación regulatoria supere los plazos de vigencia tecnológica de los algoritmos actuales.

Archivo electrónico cualificado (eArchiving)

El archivo electrónico cualificado es el servicio más nuevo del catálogo eIDAS: fue introducido por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) como servicio cualificado con presunción legal propia. Lo define el artículo 45 del Reglamento modificado: garantiza la recepción, almacenamiento, recuperación y eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación. 

Los documentos conservados mediante un servicio cualificado de archivo electrónico gozan de la presunción de su integridad y origen durante el período de conservación.  El Reglamento de Ejecución (UE) 2025/2532 establece los requisitos técnicos: los datos deben conservarse protegidos contra pérdida o alteración, con procedimientos capaces de asegurar su durabilidad más allá del período de validez tecnológica, y mediante sellos de tiempo cualificados que certifiquen el momento de inicio de la custodia.

El servicio eArchiving de EADTrust presta este servicio: desplegado en la EU Sovereign Cloud de Oracle, certifica la existencia, integridad, permanencia e inmutabilidad de los documentos electrónicos durante todo su ciclo de vida mediante sello de tiempo cualificado.  Los estándares técnicos aplicables son ETSI EN 319 421, ETSI EN 319 422, ETSI TS 119 511 y ETSI TS 119 512. 

Se necesita, y mucho, en la retención regulatoria de documentos (contratos, facturas, expedientes), obligaciones de conservación bajo MiFID II, PSD2 o DORA en el sector financiero, copia de seguridad del Pasaporte Digital de Producto, archivado de evidencias legales y de compliance, documentación de due diligence y data rooms.

Declaraciones electrónicas de atributos

Las declaraciones electrónicas de atributos cualificadas son el servicio más nuevo y el que más impacto tendrá en los próximos años. Introducido por eIDAS 2.0, permite que entidades concretas (universidades, colegios profesionales, organismos públicos) emitan declaraciones verificables sobre atributos de personas: títulos académicos, habilitaciones profesionales, poderes de representación, cualificaciones específicas. 

La EUDI Wallet será el instrumento que permita a ciudadanos y empresas almacenar y presentar esas declaraciones a terceros, de forma que el receptor pueda verificar su autenticidad criptográficamente sin necesidad de contactar con la entidad emisora. 

Se necesita para la verificación de habilitaciones profesionales en procesos de contratación, acreditación de poderes de representación en transacciones corporativas, verificación de títulos académicos, cualquier proceso donde sea necesario acreditar un atributo personal de forma verificable sin presencia física.

Cómo se combinan los servicios: la potencia de la integración

La Ley 6/2020 señala explícitamente que estos servicios pueden combinarse entre sí para la prestación de servicios complejos e innovadores.  Esa combinación es exactamente lo que hace EAD Factory: integrar varios servicios cualificados en un único flujo de trabajo empresarial.

Un proceso de firma de un contrato corporativo en Signature Manager combina firma avanzada (para la voluntad de las personas) con sello de tiempo cualificado (para la fecha cierta de cada paso) y archivo electrónico (para la conservación con presunción legal durante el plazo regulatorio). El resultado no es la suma de tres servicios: es un proceso completo donde cada elemento refuerza a los demás.

Un proceso de notificación en Notice Manager combina entrega electrónica certificada (para la prueba de la comunicación) con sello de tiempo cualificado (para la fecha exacta) y hash criptográfico (para la integridad del contenido). El certificado de finalización es la síntesis de todos esos elementos en un documento probatorio único.   

Y EAD Factory actúa como infraestructura QTSP integrada directamente en los procesos del cliente (mediante API, como rPaaS (regulated Platform as a Service) o desplegada en el CPD propio, haciendo que la confianza digital no sea un servicio externo que se consulta puntualmente, sino una capa transversal que atraviesa todo el back-office de la organización.  

La tabla completa: los servicios de confianza bajo eIDAS y eIDAS 2.0

Servicio	Para quién	Qué garantiza	Efecto jurídico	Servicio EADTrust
Firma electrónica	Personas físicas	Voluntad e identidad del firmante	Simple/avanzada: válida como prueba. Cualificada: equivalente a firma manuscrita en toda la UE	Signature Manager
Sello electrónico	Personas jurídicas	Origen e integridad del documento	Presunción de integridad y corrección del origen en toda la UE	QSealC con NTR (EPREL, DPP)
Sello de tiempo cualificado	Cualquier operador	Fecha, hora e integridad en ese momento	Presunción de exactitud temporal e integridad. Inversión carga prueba en España	GoCertius, Evidence Manager, eArchiving
Entrega electrónica certificada	Emisores y destinatarios	Envío, recepción e integridad de la comunicación	Válida como prueba; versión cualificada con presunción legal plena	Notice Manager
Autenticación de sitio web (QWAC)	Operadores de sitios web	Identidad legal de la entidad operadora	Reconocido en toda la UE	–
Validación cualificada de firmas	Receptores de documentos firmados	Autenticidad automática y verificable de firmas cualificadas	Resultado de validación con sello del QTSP	Servicio de validación EADTrust
Conservación de firmas	Custodios de largo plazo	Validez de la firma más allá del ciclo tecnológico	Presunción mantenida en el tiempo	–
Archivo electrónico cualificado	Cualquier operador	Integridad y origen durante todo el período de custodia	Presunción de integridad y origen durante la custodia	eArchiving
Declaraciones electrónicas de atributos	Entidades emisoras, usuarios	Verificabilidad de atributos personales y profesionales	Efecto jurídico equivalente a declaración en papel cuando es cualificada	En desarrollo (EUDI Wallet ready)

Preguntas frecuentes sobre servicios de confianza

Los servicios de confianza digital son la infraestructura jurídica del mundo digital

Cada contrato que tu empresa firma sin firma avanzada, cada notificación crítica que envía por email ordinario, cada documento que almacena en un servidor sin archivo cualificado es un riesgo jurídico latente. No porque el proceso sea ilegal (no lo es), sino porque en el momento en que alguien lo impugne, la carga de demostrar la autenticidad recaerá sobre tu empresa.

Los servicios de confianza digital cualificados resuelven eso. No añaden burocracia: añaden certeza. Y la certeza, en el mundo de las relaciones jurídicas, vale dinero. En EADTrust somos prestador cualificado de servicios de confianza incluido en la EU Trusted List. Ofrecemos firma avanzada, sello de tiempo cualificado, entrega electrónica certificada y archivo electrónico cualificado, de forma individual o integrada en los procesos de tu empresa a través de EAD Factory.

---

---

También te puede interesar…