Salta al contingut principal

Ús personal de Cl@ve i prevenció de pràctiques d'intermediació no autoritzades

El sistema Cl@ve és un mecanisme d'identificació, autenticació i signatura electrònica d'ús personal, directe i intransferible

El sistema Cl@ve és un mecanisme d'identificació, autenticació i signatura electrònica d'ús personal, directe i intransferible pel ciutadà.

D'acord amb les condicions d'ús del sistema, els codis, claus, factors d'autenticació, dispositius o qualsevol altre element utilitzat per identificar-se mitjançant Cl@ve han de ser custodiats pel seu titular i utilitzats exclusivament pel propi ciutadà per realitzar tràmits en el seu nom.

En aquest sentit, no està permès que terceres —persones físiques o jurídiques, públiques o privades— sol·licitin, captin, reprodueixin o utilitzin els mecanismes d'autenticació de Cl@ve del ciutadà per accedir en el seu nom als serveis electrònics de les Administracions Públiques, ni que intermediïn en el procés d'identificació o autenticació. En particular, constitueix un ús indegut del sistema:

  • accedir a serveis electrònics en nom del ciutadà utilitzant les seves credencials o factors d'autenticació, fins i tot amb el seu consentiment,

  • utilitzar solucions basades en captura o reutilització de credencials, proxying, automatització d'autenticacions, robotització, scripting o qualsevol mecanisme d'intermediació tècnica,

  • reproduir o presentar al ciutadà codis QR, notificacions o peticions d'autenticació generades per sistemes interposats,

  • o emmagatzemar, tractar o reutilitzar codis d'un només ús, contrasenyes o qualsevol altre element destinat a autenticar al ciutadà.

L'autenticació mitjançant Cl@ve ha de realitzar-se sempre de manera directa pel ciutadà, des de la seu electrònica o servei públic oficial al que desitja accedir.
Si rep una petició d'autenticació, codi QR o sol·licitud de confirmació en el context d'un web, aplicació o servei d'una empresa privada o d'un tercer no autoritzat, no ha de confirmar-la.

L'Agència Tributària podrà adoptar les mesures tècniques i organitzatives necessàries per protegir al ciutadà, preservar la seguretat del sistema i evitar l'ús indegut dels mecanismes d'identificació i autenticació.