Preguntas frecuentes

Un certificado electrónico emitido y firmado por una entidad con capacidad para ello y que sirve para identificar a una persona.

A esa entidad se le suele llamar de diferentes formas como: autoridad de certificación, prestador de servicios de certificación.

Tal documento, identifica a una persona física o jurídica y a una clave pública que se le ha asignado para poder realizar procesos de firma y/o cifrado. Cada certificado está identificado por un número de serie único y tiene un período de validez que está incluido en el certificado.

De un modo más formal, según la Ley de Firma Electrónica 59/2003, un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma (clave pública) a un firmante y confirma su identidad.

La tecnología actual usa, mayoritariamente, en los procesos de firmado y cifrado, lo que se llama criptográfica asimétrica. Esto quiere decir que a cada usuario que quiera firmar y/o cifrar se le asignan dos claves una pública y otra privada.

Es conveniente saber que la clave que aparece en el certificado electrónico es solo la clave pública. La clave privada no aparece en el certificado. Aunque dicha clave privada haya podido ser generada por la misma autoridad de certificación que expidió el certificado, y se corresponde solo con la clave pública que aparece en el certificado. La autoridad de certificación no puede almacenar en ningún momento la clave privada. Así pues cada certificado tiene asociada una clave privada, pero esta no aparece contenida en el certificado.

A veces por error, se piensa que la clave privada viene también en el certificado. Sobre todo en el caso de que el certificado esté en tarjetas. En la tarjeta suele venir tanto el certificado como la clave privada, pero se trata de ficheros electrónicos diferentes.

Atendiendo a la normativa, existen dos tipos de certificados electrónicos fundamentales:

• Certificado electrónico: es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
• Certificado reconocido: es un certificado electrónico que cumple con los requisitos recogidos en la Ley de Firma Electrónica 59/2003 tanto en cuanto a su contenido, como en ciertas condiciones que debe cumplir el prestador de servicios de certificación.

Atendiendo a la normativa actual podemos diferenciar entre certificados de persona física, de persona jurídica, de entidad sin personalidad jurídica y certificado de Administración Pública.

A partir del 1 de julio de 2016 deben dejar de emitirse certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica, si bien estos certificados (conforme a las directrices del Ministerio de Industria, Energía y Turismo) podrán seguir utilizándose hasta su caducidad o revocación. Para sustituir a dichos certificados, se podrán utilizar certificados de firma electrónica de representante de personas jurídicas o entidades sin personalidad jurídica.

De acuerdo con esta nueva normativa los tipos de certificados son:

• Certificado de persona física: es el que identifica a una persona individual.

• Certificado de representante de persona jurídica: se expide a las personas físicas como representantes de las personas jurídicas.      .

• Certificado de representante entidad sin personalidad jurídica: se expide a las personas físicas como representantes de las entidades sin personalidad jurídica en el ámbito tributario y otros previstos en la legislación vigente.

• Certificados AP (Administración Pública).

Atendiendo al soporte del certificado, se habla de:

• Certificado software: es aquel que consiste en un fichero software, que no tiene soporte físico alguno más que el propio ordenador o servidor donde se instala.
• Certificado de tarjeta: es aquel que se encuentra alojado en una tarjeta.

Las anteriores tipologías de certificados no son las únicas que nos podemos encontrar, si bien sí son las más difundidas.

La Agencia Tributaria no es emisora de certificados electrónicos, pero actúa como Oficina de Registro de los certificados emitidos por la Fábrica Nacional de Moneda y Timbre.

A estos efectos y en relación con los nuevos certificados de la FNMT-RCM se informa:

IMPORTANTE: La Fábrica Nacional de Moneda y Timbre–Real Casa de la Moneda (FNMT–RCM) con el objetivo de adaptarse a los cambios técnicos exigidos por la normativa, comenzará a expedir los nuevos certificados de representante de persona jurídica, de representante de entidad sin personalidad jurídica y de representante para administradores únicos y solidarios a partir del 6 de junio de 2016. A partir de esa fecha, dejarán de emitirse los actuales certificados de persona jurídica y de entidad sin personalidad jurídica, y la renovación de los mismos no podrá realizarse a través de la página web. No obstante, podrán seguir utilizándose hasta su caducidad o revocación.

La FNMT-RCM ofrece una nueva modalidad de certificado de representante de persona jurídica denominado certificado de Representante para administradores únicos y solidarios. Esta certificación electrónica expedida por la FNMT-RCM se expide a los administradores únicos o solidarios como representantes de las personas jurídicas para sus relaciones con las administraciones públicas y en la contratación de bienes o servicios propios o concernientes a su giro o tráfico ordinario. El Firmante actúa en representación de una Persona jurídica en calidad de representante legal con su cargo de administrador único o solidario inscrito en el Registro Mercantil.

La ventaja o facilidad que ofrece esta modalidad de certificados es que si el representante legal, administrador único o solidario, dispone de un certificado de persona física de la FNMT-RCM o un DNIe, se puede obtener el certificado de administrador único o solidario sin tener que personarse en una oficina de registro, identificándose a través de internet (siempre y cuando el certificado de persona física no provengan de una renovación). En cualquier caso, ya no es necesario ir al registro mercantil para la acreditación de las facultades de representación, reduciendo el número de viajes/trámites que se necesitan para obtener el certificado.

Para más información visite la página de la Fábrica Nacional de Moneda y Timbre.

Se suelen usar de forma indistinta los términos firma electrónica y firma digital.

Asimismo, existen diferentes definiciones de firma electrónica. Atendiendo nuevamente a la normativa (Ley 59/2003 de Firma Electrónica), se habla de tres tipos de firma electrónica:

• Firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
• Firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
• Firma electrónica reconocida es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Para más aclaraciones respecto de algunos de los conceptos empleados, se recomienda acudir a la citada ley.

La firma digital no implica que el mensaje está cifrado, esto es, un mensaje firmado será legible en función de que está o no cifrado.

En el caso de firma electrónica avanzada y reconocida el proceso suele ser el siguiente. El firmante generará mediante una función, un "resumen" o huella digital del mensaje. Este resumen o huella digital la cifrará con su clave privada y el resultado es lo que se denomina firma digital, que enviará adjunta al mensaje original.

Cualquier receptor del mensaje podrá comprobar que el mensaje no fue modificado desde su creación porque podrá generar el mismo resumen o misma huella digital aplicando la misma función al mensaje. Además podrá comprobar su autoría, descifrando la firma digital con la clave pública del firmante lo que dará como resultado de nuevo el resumen o huella digital del mensaje.

La Agencia Tributaria pone a disposición de los ciudadanos, a través de su Sede electrónica situada en su página https://sede.agenciatributaria.gob.es/, el acceso a numerosos servicios telemáticos. Esto es lo que se llama Administración electrónica. Para algunos de ellos es necesario disponer de un certificado electrónico.

Aquellas transacciones que requieran del uso del certificado electrónico, mostrarán en pantalla una ventana con dicho certificado para que pueda aceptar y continuar con la operación que desea realizar. Asi mismo, la presentación de una declaración o el envío de formularios requerirá que acepte por segunda vez el certificado para poder firmar el envío de datos de forma segura.

Para ello es necesario previamente obtener un certificado e instalarlo en su equipo.

A través de la Sede electrónica podrá acceder a todos los servicios que la Agencia Tributaria pone a disposición de los ciudadanos, presentar declaraciones, acceder al estado de tramitación de los expedientes (Mis expedientes), obtener una copia electrónica o las cartas de pago, ver los datos fiscales, etc.

Un candado indicará el acceso a través de certificado electrónico.

Además del tipo de soporte, la diferencia práctica reside en el lugar en el que se almacenará la clave privada.

Si el certificado se solicita en tarjeta, la clave privada no podrá exportarse por lo que se considera un medio más seguro pero con el inconveniente de que no se podrá crear una copia de seguridad.

Si se solicita un certificado software, el certificado queda en el navegador, y podrá exportarse junto con sus claves y por lo tanto se podrá realizar una copia de seguridad.

Las personas físicas solamente podrán tener un certificado en vigor emitido a su nombre y NIF, excepto si los certificados son de distintas entidades emisoras. Si solicita uno nuevo con los mismos datos, el certificado que tenía anteriormente quedará revocado y no podrá operar con él. Las personas jurídicas podrán tener emitidos y en vigor, tantos certificados como representantes legales tengan.

Usted puede tener varios certificados instalados en su equipo, siempre que sean de personas autorizadas distintas o emitidos por diferentes entidades. Es recomendable que no se exceda de 16 certificados por navegador.

Un certificado tiene el siguiente ciclo de vida:

Obtención del certificado: en primer lugar hay que pedir el certificado a una Autoridad de Certificación (AC). Normalmente, en la obtención se distinguen tres pasos. Un primer paso, que suele ser vía Internet desde la página web de la Autoridad de Certificación, de solicitud. Un segundo paso donde es necesaria la presencia física del solicitante ante alguna de las Oficinas de Registro, o también llamadas Autoridades de Registro, habilitadas por la AC. Por último la descarga del certificado, vía Internet normalmente.

Para operar con la AEAT, consulte la lista de Autoridades de Certificación acreditadas. Después en las páginas web de cada Autoridad de Certificación, encontrará las Oficinas de Registro admitidas por ella.

Instalación del certificado: una vez que una Autoridad de Certificación nos ha emitido un certificado, y lo hemos descargado hay que instalarlo en el navegador de nuestro ordenador. Realmente esto consiste en importarlo. Lo anterior es cuando el certificado es sólo software. Cuando el certificado es de tarjeta no es necesario instalar el certificado en el navegador. Se hará uso de él insertando la tarjeta en el lector de tarjetas.

Importar un certificado: cuando tenemos un certificado en algún medio de almacenamiento, ya sea éste interno o externo a nuestro equipo y queremos llevarlo al navegador decimos que se va a importar un certificado. También es posible importar un certificado a una tarjeta.

Exportar un certificado: los certificados pueden residir en una tarjeta criptográfica, o bien en el navegador del usuario (soporte software). En este caso, el certificado de usuario se debe exportar a un dispositivo USB u otro medio de almacenamiento, para tener una copia de seguridad, ya que la reinstalación de sistema operativo o de navegadores puede llevar a su pérdida.

También puede exportarse para simultanear su uso en otros equipos o navegadores.

Período de validez del certificado: es el tiempo durante el cual un certificado se puede emplear. Este período de validez no puede ser superior a cinco años y puede variar dependiendo del tipo de certificado, del ámbito de su uso e incluso de la Autoridad de Certificación que lo emita. Así, un certificado de representante de persona jurídica emitido por la FNMT clase 2 tiene un período de validez de dos años. Por su parte un certificado de persona física emitido por FNMT clase 2 tiene un período de validez de cuatro años.

Caducidad de un certificado: una vez expirado el período de validez que se refleja en el certificado, el certificado se dice que está caducado y deja de estar operativo.

Renovar un certificado: cuando un certificado está cerca de su fecha de caducidad, si queremos volver a utilizarlo, hay que realizar la renovación del certificado antes de llegar a la fecha límite. Es renovable sin necesidad de realizar de nuevo todos los pasos anteriores.

Dependiendo de la Autoridad de Certificación y del tipo de certificado, este podrá o no ser renovado telemáticamente. Así, la FNMT solo permite la renovación de los certificados de persona física, de modo que podrá solicitarse la renovación telemática de este tipo de certificados usando el mismo certificado electrónico que se quiere renovar siempre que la solicitud se efectúe durante los 60 días anteriores a su caducidad y siempre que además, el certificado que va a utilizarse en la renovación hubiese sido obtenido mediante acreditación presencial en un plazo inferior a 5 años.

Suspensión de un certificado: la suspensión deja sin efectos el certificado durante un período de tiempo y en unas condiciones determinadas.

La posibilidad de suspensión de un certificado así como el procedimiento establecido en su caso para la misma dependen de la Autoridad de Certificación que lo haya emitido (puede consultar la página Web de la Autoridad de Certificación correspondiente).

Revocar un certificado: en caso de pérdida, o sospecha que el certificado haya sido copiado por personas extrañas, es posible la revocación, que consiste en anular la validez del certificado antes de su fecha de caducidad que consta en el mismo.

Eliminar un certificado: es la operación de quitar el certificado del navegador o de una tarjeta criptográfica. Realizada esta operación no se podrá usar más salvo que se haya hecho copia de seguridad. Recuerde que no se puede hacer copia de seguridad de un certificado en tarjeta, por lo que en este caso lo eliminaría definitivamente. Se suele hacer una vez el certificado ha caducado.