Saltar al contenido principal

Uso personal de Cl@ve y prevención de prácticas de intermediación no autorizadas

El sistema Cl@ve es un mecanismo de identificación, autenticación y firma electrónica de uso personal, directo e intransferible

El sistema Cl@ve es un mecanismo de identificación, autenticación y firma electrónica de uso personal, directo e intransferible por el ciudadano.

De acuerdo con las condiciones de uso del sistema, los códigos, claves, factores de autenticación, dispositivos o cualquier otro elemento utilizado para identificarse mediante Cl@ve deben ser custodiados por su titular y utilizados exclusivamente por el propio ciudadano para realizar trámites en su nombre.

En este sentido, no está permitido que terceros —personas físicas o jurídicas, públicas o privadas— soliciten, capten, reproduzcan o utilicen los mecanismos de autenticación de Cl@ve del ciudadano para acceder en su nombre a los servicios electrónicos de las Administraciones Públicas, ni que intermedien en el proceso de identificación o autenticación. En particular, constituye un uso indebido del sistema:

  • acceder a servicios electrónicos en nombre del ciudadano utilizando sus credenciales o factores de autenticación, incluso con su consentimiento,

  • utilizar soluciones basadas en captura o reutilización de credenciales, proxying, automatización de autenticaciones, robotización, scripting o cualquier mecanismo de intermediación técnica,

  • reproducir o presentar al ciudadano códigos QR, notificaciones o peticiones de autenticación generadas por sistemas interpuestos,

  • o almacenar, tratar o reutilizar códigos de un solo uso, contraseñas o cualquier otro elemento destinado a autenticar al ciudadano.

La autenticación mediante Cl@ve debe realizarse siempre de forma directa por el ciudadano, desde la sede electrónica o servicio público oficial al que desea acceder.
Si recibe una petición de autenticación, código QR o solicitud de confirmación en el contexto de una web, aplicación o servicio de una empresa privada o de un tercero no autorizado, no debe confirmarla.

La Agencia Tributaria podrá adoptar las medidas técnicas y organizativas necesarias para proteger al ciudadano, preservar la seguridad del sistema y evitar el uso indebido de los mecanismos de identificación y autenticación.