Cluster · Tipos de firma

Firma electrónica cualificada (QES): cuándo es obligatoria

QES es el nivel máximo de eIDAS — equivale a manuscrita por presunción legal automática. Pero solo es obligatoria en casos específicos. Esta guía explica cuándo necesitas QES y cuándo AES basta.

Equipo Estipula· Especialistas en firma electrónica B2B9 min de lectura

Definición técnica de QES#

El Reglamento eIDAS define QES en su Art. 3.12 como una firma electrónica avanzada que cumple dos requisitos adicionales sobre AES:

  1. Dispositivo cualificado de creación de firma (QSCD): tarjeta criptográfica certificada, módulo HSM cualificado, o dispositivo móvil acreditado por el ENS.
  2. Certificado cualificado emitido por un Prestador Cualificado de Servicios de Confianza (QTSP) acreditado.
«Firma electrónica cualificada»: una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
Reglamento UE 910/2014, Art. 3.12

QTSPs cualificados en España#

Lista oficial publicada por la Secretaría de Estado de Digitalización e Inteligencia Artificial:

  • FNMT-RCM (CERES): la autoridad histórica del estado.
  • Camerfirma: red Cámaras de Comercio.
  • Viafirma: especializado sector público y banca.
  • Validated ID: banca y seguros.
  • Signaturit: parcial — actúa como integrador con QTSP partner.
  • ANF AC: certificación profesional sanitaria.
  • EADTrust: prestador independiente.

Cada uno emite certificados cualificados con distintos enfoques (persona física, persona jurídica, sello electrónico, certificado profesional).

Dispositivos cualificados (QSCD)#

  • Tarjeta criptográfica (DNIe, tarjetas FNMT, certificados profesionales).
  • Token USB criptográfico acreditado.
  • Módulo HSM cualificado en datacenter (uso enterprise).
  • Cl@ve Móvil y EUDI Wallet (cuando esté disponible 2027).

eIDAS Art. 25.2 establece que una QES tiene el mismo efecto jurídico que una firma manuscrita. Y según el Art. 25.3, una QES emitida en cualquier estado UE es reconocida automáticamente en todos los demás.

La diferencia operativa con AES:

AspectoAESQES
Equivalencia con manuscritaSí (Ley 6/2020)Sí, automática (Art. 25.2)
Carga probatoria si impugnaciónRepartidaInversa (al impugnante)
Reconocimiento UE entre estadosCaso por casoAutomático y obligatorio
Trámites AAPPA veces válidaSiempre válida

Para 95% de casos B2B comercial, la diferencia entre AES y QES es operativamente indistinguible — pero la fricción de QES es enorme. Por eso AES es el default.

Cuándo es obligatoria QES#

Trámites con Administración Pública#

  • AEAT: presentación 200 (sociedades), 720 (bienes en el extranjero), IRPF para profesionales con factura digital, IVA en algunos regímenes.
  • Seguridad Social: alta de empresa, contratación, comunicación de bajas.
  • Sede electrónica de cualquier ministerio: solicitudes, recursos, alegaciones.
  • Hacienda autonómica y local: tributos, licencias, autoliquidaciones.
  • Notariado electrónico: poderes notariales, escrituras digitales (Real Decreto 47/2019).

La Ley 39/2015 del Procedimiento Administrativo Común exige certificado cualificado en muchos trámites. Aunque hay alternativas (Cl@ve PIN, Cl@ve permanente), la práctica habitual es certificado FNMT.

Recetas médicas privadas#

El Real Decreto 1718/2010 sobre receta médica + normativa autonómica exige firma cualificada del médico prescriptor. El médico necesita certificado profesional sanitario (FNMT-CCM, ANF AC, certificado del colegio profesional) emitido por QTSP.

Razón: los farmacéuticos verifican criptográficamente la firma antes de dispensar. Una AES no se acepta para medicamentos sujetos a receta especial.

Documentos donde la ley sectorial lo exige#

  • Comercio electrónico de servicios financieros (Ley 22/2007): contratos a distancia con consumidores requieren QES en algunos supuestos.
  • Contratación pública (Ley 9/2017): licitaciones con AAPP exigen QES de la empresa licitante.
  • Mediación civil y mercantil: actas de mediación pueden requerir QES si se quiere protocolización notarial.
  • Apostilla electrónica: documentos para uso en Convención de La Haya con apostilla digital.

Notariado electrónico#

Los Notarios Españoles operan con QES en su sistema de fe pública digital (SIGNO/Eco). Para escrituras electrónicas de poder, contratos hipotecarios telemáticos, etc.

Cuándo NO usar QES#

B2B comercial habitual#

Pedir QES «por si acaso» en NDAs, contratos comerciales, consentimientos clínicos básicos destruye la conversión sin ganancia legal real. AES ya equivale a manuscrita en juicio.

Casos típicos donde se peca de exceso:

  • NDAs: SES o AES bastan.
  • Contratos laborales: AES suficiente (Dirección General de Empleo lo confirmó en 2017).
  • Consentimientos sanitarios invasivos: AES con OTP suficiente bajo Ley 41/2002.
  • Contratos comerciales B2B con counterparty conocida: AES o incluso SES reforzada.
  • Mandatos SEPA: AES (algunas entidades sí piden QES, verifica con tu banco).

Cuando la fricción mata#

Si tu firmante externo es un particular (paciente clínica, inquilino, cliente B2C), pedirle QES significa pedirle:

  1. Solicitar certificado FNMT (proceso presencial tradicional, días-semanas).
  2. Instalar el certificado en su ordenador.
  3. Lidiar con software específico de firma.

La conversión cae a niveles operativamente inviables. AES con OTP por SMS o magic link es lo correcto.

Estipula

Estipula soporta QES via partner QTSP

Para casos donde la ley exige cualificada (recetas, AAPP, notariado), Estipula plan Custom integra QTSP cualificado europeo. Para B2B comercial habitual, AES nativa en plan Basic basta.

Hablar con el equipo Ver planes

Cómo se obtiene un certificado cualificado#

Certificado FNMT-RCM (persona física)#

El más común para autónomos y empleados que firman trámites con AAPP:

  1. Solicitar online en fnmt.es.
  2. Acudir presencialmente a una oficina de registro (AEAT, Seguridad Social, comunidad autónoma).
  3. Acreditar identidad con DNI presencial.
  4. Recibir el certificado por email.
  5. Instalar en el navegador o en almacén criptográfico (Windows, macOS, Linux).

Tiempo total: 1-3 semanas. Coste: gratuito si lo pides via la Agencia Tributaria; entre 14-90€ via algunas Cámaras de Comercio.

Cl@ve Móvil#

Alternativa más moderna que evita el proceso presencial inicial si ya tienes Cl@ve PIN o Cl@ve Permanente. Permite QES desde móvil con una app oficial.

Certificado profesional sanitario (médicos)#

Específico para recetas médicas privadas. Emitido por:

  • FNMT-RCM CCM (Certificado para Colegiados Médicos).
  • ANF AC (Autoridad de Certificación específica sanitaria).
  • Algunos colegios profesionales que actúan como QTSP delegados.

Requiere verificación del colegio profesional + alta en la app de receta de la comunidad autónoma.

Certificado de empresa (persona jurídica)#

Para que la empresa firme con QES como entidad (sello electrónico cualificado o certificado de representante):

  • Requiere acreditación notarial del representante legal.
  • Coste típico: 50-150€/año.
  • QTSPs habituales: Camerfirma, FNMT, Validated ID.

eIDAS 2 y EUDI Wallet: el futuro de QES#

El Reglamento UE 2024/1183 introduce la EUDI Wallet — cartera europea de identidad digital obligatoria para todos los estados UE antes de mayo 2027.

Con EUDI Wallet, un ciudadano podrá:

  • Almacenar identidad digital + certificado cualificado en su móvil.
  • Firmar con QES desde móvil sin instalación de certificado externo.
  • Compartir identidad selectivamente.

Esto reducirá enormemente la fricción de QES y la hará viable para más casos. Hasta entonces (2026-2027), QES sigue siendo más friccionante que AES.

Casos reales donde QES es la respuesta correcta#

Despacho de abogados que gestiona trámites AEAT#

El despacho actúa como representante de varios clientes ante Hacienda. Cada presentación de modelo 200 (sociedades) requiere QES del despacho (certificado de empresa). Inevitable.

Hospital privado con receta digital#

Cada médico prescriptor necesita certificado profesional sanitario para emitir recetas dispensables. QES obligatoria.

Empresa que licita en contratación pública#

Para presentar oferta a licitación pública vía Plataforma de Contratación del Sector Público se exige QES del representante legal. Inevitable.

Notario electrónico#

Toda actuación notarial digital opera con QES en el sistema SIGNO de los Notarios.

Errores frecuentes con QES#

  1. Pedir QES en B2B comercial: añade fricción que destruye conversión sin ganancia legal real.
  2. Confundir certificado cualificado con cualquier cert. digital: no todos los certificados son cualificados QTSP. Verifica en la lista oficial del estado.
  3. No conservar la cadena de certificados: si caduca el QTSP o el certificado del firmante, verificar la QES años después puede complicarse. Buena práctica: PAdES-LTA con OCSP/CRL embebidos.
  4. Asumir que QES móvil ya está disponible: la EUDI Wallet llega 2027. Hasta entonces, QES requiere certificado en ordenador o token físico.
  5. Mezclar QES con AES en el mismo flow: si el firmante interno usa QES y el externo solo AES, el documento global podría considerarse «no cualificado» en ciertos contextos. Mejor consistencia.

Preguntas frecuentes#

¿Cuál es la diferencia operativa entre AES y QES?#

Para 95% de casos B2B comercial, legalmente equivalente: ambas equivalen a firma manuscrita. La diferencia está en la carga probatoria si alguien impugna (QES tiene presunción legal automática) y en los casos obligatorios por ley (AAPP, recetas, notariado).

¿Necesito QES para firmar contratos B2B comerciales con clientes españoles?#

No. AES con audit trail eIDAS basta y se defiende perfectamente en juicio. QES solo cuando la ley lo exige expresamente.

¿Cuánto tarda obtener un certificado FNMT?#

1-3 semanas típicamente: solicitud online + cita presencial + verificación + descarga e instalación. Algunos trámites permiten Cl@ve PIN como alternativa más rápida (mismo día).

¿La QES desde móvil ya existe en España?#

Parcialmente. Cl@ve Móvil permite QES desde móvil para algunos trámites con AAPP. La EUDI Wallet plena llega antes de mayo 2027.

¿Estipula soporta QES?#

Sí, vía partner QTSP cualificado europeo. Plan Custom incluye integración QES para sectores donde la ley la exige (sanidad — recetas, despachos — trámites AAPP, etc.). Para B2B comercial habitual, plan Basic con AES nativa basta.

¿Puedo firmar mi declaración de IRPF con AES?#

No. La AEAT exige certificado cualificado o Cl@ve PIN/Permanente para presentar IRPF. AES no es válida para trámites con AAPP en general.

¿Si firmo un NDA con QES, vale más en juicio que con AES?#

Técnicamente, una QES tiene presunción legal automática y AES requiere acreditación de la cadena. En la práctica del Tribunal Supremo, ambas se aceptan como prueba plena cuando el audit trail es coherente. La diferencia probatoria real es marginal en B2B comercial.

¿La QES caduca?#

El certificado cualificado caduca (1-4 años típicamente — 1 año FNMT-RCM persona física, 2-4 años empresas). La firma realizada con un certificado vigente sigue siendo válida después de la caducidad del certificado, pero verificarla requiere conservar la cadena. Para conservación a largo plazo se usa PAdES-LTA.

Conclusión#

La firma electrónica cualificada (QES) es el nivel máximo de eIDAS — equivale a firma manuscrita por presunción legal automática y es obligatoria en sectores específicos: trámites con AAPP, recetas médicas privadas, notariado, contratación pública.

Para B2B comercial habitual, AES es el default recomendado y NO necesitas QES. Pedir QES innecesariamente es fricción pura sin ganancia legal real.

Hablar con el equipo si tu caso requiere QES (Estipula plan Custom integra QTSP partner) o probar Estipula gratis con AES si no la necesitas.

Recursos relacionados: