Preguntes freqüents

Un certificat electrònic emès i signat per una entitat amb capacitat per això i que serveix per identificar a una persona.

A aquella entitat se li sol trucar de diferents formes com: autoritat de certificació, prestador de serveis de certificació.

Tal document, identifica a una persona física o jurídica i a una clau pública que se li ha assignat per poder realitzar processos de signatura i/o xifrat. Cada certificat està identificat per un número de sèrie únic i té un període de validesa que està inclòs en el certificat.

D'una manera més formal, segons la Llei de Signatura Electrònica 59/2003, un certificat electrònic és un document signat electrònicament per un prestador de serveis de certificació que vincula unes dades de verificació de signatura (clau pública) a un signant i confirma la seva identitat.

La tecnologia actual utilitza, majoritàriament, en els processos de signat i xifrat, el que es diu criptogràfica asimètrica. Això vol dir que a cada usuari que vulgui signar i/o xifrar se li assignen dues claus una pública i una altra privada.

És convenient saber que la clau que apareix en el certificat electrònic és només la clau pública. La clau privada no apareix en el certificat. Encara que aquesta clau privada hagi pogut ser generada per la mateixa autoritat de certificació que va expedir el certificat, i es correspon només amb la clau pública que apareix en el certificat. L'autoritat de certificació no pot emmagatzemar en cap moment la clau privada. Així doncs cada certificat té associada una clau privada, però aquesta no apareix continguda en el certificat.

De vegades per error, es pensa que la clau privada ve també en el certificat. Sobretot en cas que el certificat estigui en targetes. En la targeta sol venir tant el certificat com la clau privada, però es tracta de fitxers electrònics diferents.

Tenint en compte la normativa, existeixen dos tipus de certificats electrònics fonamentals:

• Certificat electrònic: és un document signat electrònicament per un prestador de serveis de certificació que vincula unes dades de verificació de signatura a un signant i confirma la seva identitat.
• Certificat reconegut: és un certificat electrònic que compleix amb els requisits recollits en la Llei de Signatura Electrònica 59/2003 tant quant al seu contingut, com en certes condicions que ha de complir el prestador de serveis de certificació.

Tenint en compte la normativa actual podem diferenciar entre certificats de persona física, de persona jurídica, d'entitat sense personalitat jurídica i certificat d'Administració Pública .

A partir de l'1 de juliol de 2016 han de deixar d'emetre's certificats de signatura electrònica a favor de persones jurídiques o entitats sense personalitat jurídica, si bé aquests certificats (conforme a les directrius del Ministeri d'Indústria, Energia i Turisme) podran seguir utilitzant-se fins a la seva caducitat o revocació. Per substituir a aquests certificats, es podran utilitzar certificats de signatura electrònica de representant de persones jurídiques o entitats sense personalitat jurídica.

D'acord amb aquesta nova normativa els tipus de certificats són:

• Certificat de persona física: és el que identifica a una persona individual.

• Certificat de representant de persona jurídica: s'expedeix a les persones físiques com representants de les persones jurídiques.      .

• Certificat de representant entitat sense personalitat jurídica: s'expedeix a les persones físiques com representants de les entitats sense personalitat jurídica en l'àmbit tributari i d'altres previstos en la legislació vigent.

• Certificats AP (Administració Pública).

Tenint en compte el suport del certificat, es parla de:

• Certificat programa: és aquell que consisteix en un fitxer programa, que no té suport físic algun més que el propi ordinador o servidor on s'instal·la.
• Certificat de targeta: és aquell que es troba allotjat en una targeta.

Les anteriors tipologies de certificats no són les úniques que ens podem trobar, si bé sí són les més difoses.

L'Agència Tributària no és emissora de certificats electrònics, però actua com Oficina de Registre dels certificats emesos per  la Fàbrica Nacional de Moneda i Timbre.

A aquests efectes i en relació amb els nous certificats de la FNMT-RCM s'informa:

IMPORTANT: La Fàbrica Nacional de Moneda i Timbre – Real Casa de la Moneda (FNMT – RCM) amb l'objectiu d'adaptar-se als canvis tècnics exigits per la normativa,  començarà a expedir els nous certificats de representant de persona jurídica, de representant d'entitat sense personalitat jurídica i de representant per a administradors únics i solidaris a partir del 6 de juny de 2016. A partir d'aquella data, deixaran d'emetre's els actuals certificats de persona jurídica i d'entitat sense personalitat jurídica, i la renovació dels mateixos no podrà realitzar-se a través de la pàgina web. No obstant això, podran seguir utilitzant-se fins a la seva caducitat o revocació.

La FNMT-RCM ofereix una nova modalitat de certificat de representant de persona jurídica denominat certificat de Representant per a administradors únics i solidaris. Aquesta certificació electrònica expedida per la FNMT-RCM s'expedeix als administradors únics o solidaris com representants de les persones jurídiques per a les seves relacions amb les administracions públiques i en la contractació de béns o serveis propis o concernents al seu gir o trànsit ordinari. El Signant actua en representació d'una Persona jurídica en qualitat de representant legal amb el seu càrrec d'administrador únic o solidari inscrit al Registre Mercantil.

L'avantatge o facilitat que ofereix aquesta modalitat de certificats és que si el representant legal, administrador únic o solidari, disposa d'un certificat de persona física de la FNMT-RCM o un DNIE, es pot obtenir el certificat d'administrador únic o solidari sense haver de personar-se en una oficina de registre, identificant-se a través d'Internet (sempre que el certificat de persona física no provinguin d'una renovació). En qualsevol cas, ja no és necessari anar al registre mercantil per a l'acreditació de les facultats de representació, reduint el nombre de viatges/tràmits que es necessiten per obtenir el certificat.

Per a més informació visiti la pàgina de la Fàbrica Nacional de Moneda i Timbre.

Se solen utilitzar de forma indistinta els termes signatura electrònica i signatura digital.

Així mateix, existeixen diferents definicions de signatura electrònica. Atenent novament a la normativa (Llei 59/2003 de Signatura Electrònica), es parla de tres tipus de signatura electrònica:

• Signatura electrònica és el conjunt de dades en forma electrònica, consignats al costat d'uns altres o associats amb ells, que poden ser utilitzats com a mitjà d'identificació del signant.
• Signatura electrònica avançada és la signatura electrònica que permet identificar al signant i detectar qualsevol canvi ulterior de les dades signats, que està vinculada al signant de manera única i a les dades a què es refereix i que ha estat creada per mitjans que el signant pot mantenir sota el seu exclusiu control.
• Signatura electrònica reconeguda és la signatura electrònica avançada basada en un certificat reconegut i generat mitjançant una dispositiva assegurança de creació de signatura.

Per a més aclariments respecte d'alguns dels conceptes empleats, es recomana acudir a l'esmentada llei.

La signatura digital no implica que el missatge està xifrat, això és, un missatge signat serà llegible en funció de que està o no xifrat.

En el cas de signatura electrònica avançada i reconeguda el procés sol ser el següent. El signant generarà mitjançant una funció, un "resum" o rastre digital del missatge. Aquest resum o rastre digital la xifrarà amb la seva clau privada i el resultat és el que es denomina signatura digital, que enviarà adjunta al missatge original.

Qualsevol receptor del missatge podrà comprovar que el missatge no va ser modificat des de la seva creació perquè podrà generar el mateix resum o mateix rastre digital aplicant la mateixa funció al missatge. A més podrà comprovar la seva autoria, desxifrant la signatura digital amb la clau pública del signant el que donarà com a resultat novament el resum o rastre digital del missatge.

L'Agència Tributària posa a disposició dels ciutadans, a través de la seva Seu electrònica situada en la seva pàgina https://sede.agenciatributaria.gob.es/, l'accés a nombrosos serveis telemàtics. Això és el que es diu Administració electrònica. Per a alguns d'ells és necessari disposar d'un certificat electrònic.

Aquelles transaccions que requereixin l'ús del certificat electrònic, mostraran en pantalla una finestra amb aquest certificat perquè pugui acceptar i continuar amb l'operació que desitja realitzar. Així mateix, la presentació d'una declaració o l'enviament de formularis requerirà que accepti per segona vegada el certificat per poder signar l'enviament de dades de manera segura.

Per això és necessari prèviament obtenir un certificat i instal·lar-ho en el seu equip.

A través de la Seu electrònica podrà accedir a tots els serveis que l'Agència Tributària posa a disposició dels ciutadans, presentar declaracions, accedir a l'estat de tramitació dels expedients (Els meus expedients), obtenir una còpia electrònica o les cartes de pagament, veure les dades fiscals, etc.

Un cadenat indicarà l'accés a través de certificat electrònic.

A més del tipus de suport, la diferència pràctica resideix en el lloc en el que s'emmagatzemarà la clau privada.

Si el certificat se sol·licita en targeta, la clau privada no podrà exportar-se per la qual cosa es considera un mitjà més segur però amb l'inconvenient de què no es podrà crear una còpia de seguretat.

Si se sol·licita un certificat programa, el certificat queda en el navegador, i podrà exportar-se juntament amb les seves claus i per tant es podrà realitzar una còpia de seguretat.

Les persones físiques només podran tenir un certificat en vigor emès a nom seu i NIF, excepte si els certificats són de diferents entitats emissores. Si sol·licita un nou amb les mateixes dades, el certificat que tenia anteriorment quedarà revocat i no podrà operar amb ell. Les persones jurídiques podran tenir emesos i en vigor, tants certificats com representants legals tinguin.

Vostè pot  tenir diversos certificats instal·lats en el seu equip, sempre que siguin de persones autoritzades diferents o emesos per diferents entitats. És recomanable que no s'excedeixi 16 certificats per navegador.

Un certificat té el següent cicle de vida:

Obtenció del certificat: en primer lloc cal demanar el certificat a una Autoritat de Certificació (AC). Normalment, en l'obtenció es distingeixen tres passos. Un primer pas, que sol ser via Internet des de la pàgina web de l'Autoritat de Certificació, de sol·licitud. Un segon pas on és necessària la presència física del sol·licitant davant alguna de les Oficines de Registre, o també trucades Autoritats de Registre, habilitades per l'AC. Finalment la descàrrega del certificat, via Internet normalment.

Per operar amb l'AEAT, consulteu la llista d'Autoritats de Certificació acreditades. Després en les pàgines web de cada Autoritat de Certificació, trobarà les Oficines de Registre admeses per ella.

Instal·lació del certificat: una vegada que una Autoritat de Certificació ens ha emès un certificat, i l'hem descarregat cal instal·lar-ho en el navegador del nostre ordinador. Realment això consisteix en importar-ho. L'anterior és quan el certificat és només programa. Quan el certificat és de targeta no és necessari instal·lar el certificat en el navegador. Es farà ús d'ell inserint la targeta en el lector de targetes.

Importar un certificat: quan tenim un certificat en algun mitjà d'emmagatzematge, ja sigui aquest intern o extern al nostre equip i volem portar-ho al navegador diem que s'importarà un certificat. També és possible importar un certificat a una targeta.

Exportar un certificat: els certificats poden residir en una targeta criptogràfica, o bé en el navegador de l'usuari (suport programa). En aquest cas, el certificat d'usuari s'ha d'exportar a un dispositiu USB o un altre mitjà d'emmagatzematge, per tenir una còpia de seguretat, ja que la reinstal·lació de sistema operatiu o de navegadors pot portar a la seva pèrdua.

També pot exportar-se per simultaniejar el seu ús en uns altres equips o navegadors.

Període de validesa del certificat: és el temps durant el qual un certificat es pot usar. Aquest període de validesa no pot ser superior a cinc anys i pot variar depenent del tipus de certificat, de l'àmbit del seu ús e fins i tot de l'Autoritat de Certificació que l'emeti. Així, un certificat de representant de persona jurídica emès per la FNMT classe 2 té un període de validesa de dos anys. Per part seva un certificat de persona física emès per FNMT classe 2 té un període de validesa de  quatre anys.

Caducitat d'un certificat: una vegada expirat el període de validesa que es reflecteix en el certificat, el certificat es diu que està caducat i deixa d'estar operatiu.

Renovar un certificat: quan un certificat està a prop de la seva data de caducitat, si volem tornar a utilitzar-ho, cal realitzar la renovació del certificat abans d'arribar a la data límit. És renovable sense necessitat de realitzar novament tots els passos anteriors.

Depenent de l'Autoritat de Certificació i del tipus de certificat, aquest podrà o no ser renovat telemàticament. Així, la FNMT només permet la renovació dels certificats de persona física, de manera que podrà sol·licitar-se la renovació telemàtica d'aquest tipus de certificats utilitzant el mateix certificat electrònic que es vol renovar sempre que la sol·licitud s'efectuï durant els 60 dies anteriors a la seva caducitat i sempre que a més, el certificat que utilitzarà en la renovació hagués estat obtingut mitjançant acreditació presencial en un termini inferior a 5 anys.

Suspensió d'un certificat : la suspensió deixa sense efectes el certificat durant un període de temps i en unes condicions determinades.

La possibilitat de suspensió d'un certificat així com el procediment establert si escau per a la mateixa depenen de l'Autoritat de Certificació que  l'hagi emès (pot consultar  la pàgina Web de l'Autoritat de Certificació corresponent).

Revocar un certificat: en cas de pèrdua, o sospita que el certificat hagi estat copiat per persones estranyes, és possible la revocació, que consisteix en anul·lar la validesa del certificat abans de la seva data de caducitat que consta en el mateix.

Eliminar un certificat: és l'operació de treure el certificat del navegador o d'una targeta criptogràfica. Realitzada aquesta operació no es podrà utilitzar més llevat que s'hagi feta còpia de seguretat. Recordi que no es pot fer còpia de seguretat d'un certificat en targeta, per la qual cosa en aquest cas l'eliminaria definitivament. Se sol fer una vegada el certificat ha caducat.