Cluster · Firma electrónica

Firma digital vs firma electrónica: diferencias clave

Firma digital y firma electrónica suenan iguales pero no lo son. Esta guía explica la diferencia técnica (PKI vs concepto legal), cuándo usar cada una y por qué la confusión es frecuente incluso en contratos.

Equipo Estipula· Especialistas en firma electrónica B2B10 de mayo de 20267 min de lectura

Lectura express · TL;DR

La firma electrónica es un concepto jurídico amplio (cualquier dato electrónico vinculado a un documento). La firma digital es un mecanismo técnico concreto basado en criptografía de clave pública (PKI). Toda firma digital es una firma electrónica, pero no toda firma electrónica es una firma digital. La normativa eIDAS habla solo de firma electrónica con tres niveles (SES, AES, QES); el término «firma digital» no aparece en el reglamento.

Firma electrónica = concepto legal definido por eIDAS Art. 3.10.
Firma digital = mecanismo técnico (hash + clave pública/privada).
Para validez jurídica, lo relevante es el nivel eIDAS (SES/AES/QES), no si es «digital» o no.
En España hablan indistintamente, pero los contratos serios usan «firma electrónica» por precisión legal.
AES y QES son siempre firmas digitales por requerir criptografía; SES puede serlo o no.

La confusión más extendida en el sector #

Cuando alguien dice «firma digital» en España casi siempre se refiere a una firma electrónica. Pero las dos expresiones no son intercambiables si quieres ser preciso. La diferencia importa cuando:

Redactas un contrato y especificas qué tipo de firma es válida.
Eliges un proveedor y te ofrecen «firma digital» sin más detalle.
Defiendes la firma en juicio y la otra parte impugna alegando que no era «digital sino electrónica».

Vamos por partes.

Definición de firma electrónica #

El Reglamento eIDAS define en su Art. 3.10:

«Firma electrónica»: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

Es una definición muy amplia y deliberadamente neutra tecnológicamente. Una marca de verificación en un formulario, una imagen escaneada de la firma manuscrita, un clic en un botón «Acepto», o una firma criptográfica con certificado cualificado — todo eso es firma electrónica según eIDAS.

eIDAS distingue tres niveles:

SES (Simple) — el nivel base. Cualquier mecanismo electrónico básico.
AES (Avanzada) — vinculada al firmante de forma única, identifica al firmante, controlada por él, detecta cambios posteriores. Requiere criptografía.
QES (Cualificada) — AES + certificado cualificado emitido por QTSP + dispositivo cualificado de creación de firma.

Definición de firma digital #

«Firma digital» es un término técnico de la criptografía. Designa concretamente:

Un mecanismo criptográfico que utiliza un par de claves pública/privada (PKI) para producir un valor matemáticamente derivado del documento, verificable con la clave pública del firmante.

Sus elementos:

Hash criptográfico del documento (SHA-256, SHA-512).
Clave privada del firmante para cifrar ese hash.
Certificado digital que asocia la clave pública con la identidad.
Verificación: el receptor descifra con la clave pública del firmante y compara con el hash del documento.

Si el hash coincide, dos cosas son ciertas:

El documento no se ha modificado desde la firma (integridad).
El firmante es quien dice ser (siempre que el certificado sea fiable) (autenticación).

Tabla comparativa #

Característica	Firma electrónica	Firma digital
Tipo de concepto	Legal/jurídico	Técnico/criptográfico
Definición en eIDAS	Art. 3.10 (sí)	No aparece
Requiere criptografía	No necesariamente	Sí, siempre (PKI)
Niveles	SES, AES, QES	No tiene niveles propios
Detecta alteraciones	Solo si es AES o QES	Siempre
Identifica al firmante	Si lleva certificado	Siempre (vía certificado PKI)
Requiere certificado	Solo AES/QES	Sí
Ejemplos	Clic «Acepto», imagen escaneada, OTP, certificado FNMT	PKCS#7, CMS, PAdES, XAdES, CAdES
Validez jurídica	Sí (Art. 25.1 eIDAS)	Sí (al ser un tipo de firma electrónica)

¿Toda firma digital es una firma electrónica?#

Sí. Por definición, una firma digital cumple lo que dice el Art. 3.10 eIDAS: es un dato electrónico vinculado al documento que el firmante usa para firmar. Por tanto, toda firma digital cae bajo el paraguas «firma electrónica».

¿Toda firma electrónica es una firma digital?#

No. Si firmas haciendo clic en «Acepto los términos» o subiendo una imagen escaneada, hay firma electrónica pero no hay firma digital: no se está usando criptografía PKI ni claves pública/privada.

«Firma electrónica avanzada» significa firma electrónica que cumple los requisitos contemplados en el artículo 26: estar vinculada al firmante de manera única, permitir su identificación, haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar bajo su control exclusivo, y estar vinculada con los datos firmados de modo tal que cualquier modificación ulterior sea detectable.

Reglamento eIDAS 910/2014, Art. 3.11 →

Los cuatro requisitos del Art. 26 (vinculación única, identificación, control exclusivo, detección de modificaciones) solo se cumplen con criptografía PKI. Por eso AES y QES son siempre firmas digitales aunque eIDAS no use el término.

Ejemplos concretos en español #

Caso 1 — Firma electrónica que NO es firma digital #

Una clínica envía un formulario de consentimiento informado. El paciente lo abre en el móvil, escribe su nombre y pulsa «Firmar». La plataforma genera un PDF con el nombre escrito + timestamp + IP del firmante.

¿Es firma electrónica? Sí (cumple Art. 3.10 eIDAS).
¿Es firma digital? No: no hay criptografía PKI, no hay certificado del paciente, no hay clave privada.
Nivel eIDAS: SES.

Caso 2 — Firma digital que es firma electrónica avanzada (AES)#

El mismo paciente firma con una solución que aplica criptografía PAdES sobre el PDF: hash SHA-256 del documento, cifrado con la clave privada del usuario en la plataforma, certificado emitido por la propia plataforma y embebido en el PDF.

¿Es firma electrónica? Sí.
¿Es firma digital? Sí (PKI presente).
Nivel eIDAS: AES (cumple los cuatro requisitos del Art. 26).

Caso 3 — Firma digital cualificada (QES)#

Un médico firma una receta privada usando un certificado FNMT-CCM en su DNIe o en una tarjeta criptográfica del Colegio de Médicos. La firma se aplica con un dispositivo cualificado de creación (QSCD) y un QTSP cualificado emite el certificado.

¿Es firma electrónica? Sí.
¿Es firma digital? Sí.
Nivel eIDAS: QES.

Estipula

¿Necesitas firma electrónica con validez en España?

Estipula es una solución española de firma electrónica B2B. SES reforzada y AES por defecto, con audit chain criptográfico y evidencias eIDAS-compatibles.

Probar 30 días gratis

¿Por qué se usan como sinónimos en España?#

Hay tres razones históricas:

Traducción del inglés: electronic signature (cualquier firma) y digital signature (la criptográfica) se intercambian en el habla cotidiana.
La AEAT, Hacienda y la Seguridad Social llaman a sus certificados FNMT «certificados digitales» y a la firma con ellos «firma digital» — aunque técnicamente sea siempre QES (firma electrónica cualificada).
Antes de eIDAS (2016), la antigua Ley 59/2003 hablaba de «firma electrónica reconocida» como equivalente jurídico de la manuscrita, sin distinguir nivel técnico. La terminología quedó en el subconsciente.

Marco legal en España #

eIDAS aplica directamente en España como reglamento europeo (no requiere transposición). La Ley 6/2020 reguladora de determinados aspectos de los servicios electrónicos de confianza complementa eIDAS para:

Firma electrónica de personas físicas representadas (Art. 3) — firma de un representante legal.
Aspectos procesales — admisibilidad probatoria.
Régimen sancionador de QTSP españoles (Art. 16-21).

La Ley 6/2020 utiliza siempre «firma electrónica», nunca «firma digital». Para precisión legal, usa siempre «firma electrónica».

¿Qué tipo necesitas?#

Decisión rápida según contexto:

Documentos internos / aprobaciones / NDAs estándar B2B: SES reforzada (con OTP + audit trail).
Contratos laborales / consentimientos clínicos / contratos comerciales con counterparty desconocido: AES.
Recetas médicas privadas / actos notariales / contratación pública / registros oficiales: QES.

En los tres casos, la firma resultante puede llamarse «firma electrónica» con propiedad. Solo cuando hay criptografía PKI (AES + QES, opcional para SES reforzada) cabría decir además «firma digital».

Preguntas frecuentes #

¿Mi firma con DNIe es firma digital o firma electrónica?#

Las dos cosas. Es firma electrónica cualificada (QES) según eIDAS, y es técnicamente una firma digital porque usa el certificado del DNIe (PKI).

¿Vale igual decir «firmar digitalmente» en un contrato?#

Vale en el habla cotidiana, pero un contrato bien redactado especifica el nivel eIDAS exigido: SES, AES o QES. «Firma digital» solo es preciso si el contexto requiere obligatoriamente PKI (ej. firmas avanzadas o cualificadas).

¿Es válida una firma escaneada en juicio?#

Es firma electrónica simple (SES) válida según Art. 25.1 eIDAS — no se puede rechazar por ser electrónica. Pero su fuerza probatoria es baja: si la otra parte impugna seriamente, la defensa es complicada sin audit trail.

¿Qué firma usa Estipula?#

Estipula aplica firma electrónica simple reforzada (SES con OTP + audit chain criptográfico) por defecto, y firma electrónica avanzada (AES) con criptografía PAdES en planes superiores. Para QES nos integramos con QTSP cualificados como Uanataca, Signaturit o Validated ID.

¿La firma manuscrita en una tableta digital es firma digital?#

No automáticamente. Es firma electrónica con captura biométrica del trazo. Solo es firma digital si además se aplica criptografía PKI sobre el PDF resultante (que es lo que hacen las soluciones serias).