SES, AES y QES: los tres tipos de firma electrónica explicados

Por qué eIDAS define tres niveles#

El Reglamento eIDAS (UE 910/2014) creó tres niveles porque las necesidades probatorias varían enormemente según el documento. No es lo mismo:

• Aceptar términos de un newsletter (riesgo legal cero).
• Firmar un contrato laboral (riesgo medio).
• Otorgar una escritura pública (riesgo máximo).

Forzar el mismo nivel de firma para todos sería:

• Excesivo en lo simple: pedir certificado FNMT para aceptar cookies es absurdo.
• Insuficiente en lo grave: aceptar un email + clic para una escritura es nulo.

Los tres niveles permiten elegir el equilibrio correcto entre garantía probatoria y fricción del firmante.

Firma electrónica simple (SES)#

Definición#

Cualquier dato en formato electrónico anejo a otros datos electrónicos o asociado lógicamente con ellos que utiliza el firmante para firmar (Art. 3.10 eIDAS). Es la definición más amplia.

Ejemplos prácticos#

• Marcar una casilla «Acepto los términos» en un formulario web.
• Hacer clic en un magic link enviado al email.
• Escribir el nombre en un campo + enter.
• Subir una imagen de la firma manuscrita escaneada (técnicamente SES, aunque débil).

Cómo se identifica al firmante#

Métodos típicos para SES en B2B serio (SES «reforzada» o «nivel 2»):

• Email validado (clic en magic link enviado a su buzón).
• Email + OTP por SMS al teléfono del firmante.
• Email + clic + audit trail (timestamp, IP, dispositivo).

Sin estos refuerzos, una SES «pura» (clic sin más) es muy débil probatoriamente.

Validez legal#

eIDAS Art. 25.1 establece el principio de no discriminación: una SES no puede rechazarse en juicio solo por ser electrónica. Pero su fuerza probatoria es menor que AES o QES — si la otra parte impugna seriamente, la carga de defender la SES es pesada.

Cuándo usar SES#

• Flujos B2B con relación previa (cliente recurrente, contraparte conocida).
• Documentos de bajo riesgo legal: NDAs estándar, aprobaciones internas, formularios.
• Casos donde minimizar fricción del firmante es prioridad y el riesgo legal lo permite.

Cuándo NO usar SES#

• Contratos con clientes nuevos o counterparties desconocidas.
• Documentos donde la otra parte tenga incentivo a impugnar (litigios laborales, médicos, importes altos).
• Procedimientos sanitarios invasivos (Ley 41/2002 exige forma escrita reforzada).

Firma electrónica avanzada (AES)#

Definición y requisitos#

AES es una SES que cumple cuatro requisitos adicionales (Art. 26 eIDAS):

1. Vinculación inequívoca al firmante — la firma identifica claramente quién firmó.
2. Identificación del firmante — el método de identificación es robusto (no solo email).
3. Control exclusivo del firmante sobre los medios de creación de la firma.
4. Detección de cualquier modificación posterior del documento — integridad criptográfica.

Una «firma electrónica avanzada» cumplirá los requisitos siguientes: a) estar vinculada al firmante de manera única; b) permitir la identificación del firmante; c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo; d) estar vinculada con los datos firmados de modo que cualquier modificación ulterior de los datos sea detectable.

Cómo funciona técnicamente#

AES utiliza firma digital (criptografía de clave pública/privada) por debajo:

1. La plataforma calcula el hash SHA-256 del PDF.
2. Cifra ese hash con una clave privada vinculada al firmante (certificado X.509).
3. Embeve la firma resultante en el PDF (PAdES).
4. Cualquier modificación posterior cambia el hash → la firma deja de validar criptográficamente.

Validez legal en España#

La Ley 6/2020 (Art. 3) equipara la firma electrónica avanzada con la manuscrita cuando se vincula a un certificado. En la práctica, los tribunales aceptan AES como prueba plena cuando el audit trail es coherente.

Cuándo usar AES#

El default recomendado para B2B:

• Contratos B2B con relación nueva o counterparty desconocida.
• Contratos laborales (alta, anexo, finiquito).
• Consentimientos informados clínicos.
• NDAs con counterparty desconocida.
• Documentos comerciales de importe medio-alto.
• Cualquier flujo donde la otra parte pueda querer impugnar.

Cuándo NO usar AES#

• Trámites con AAPP que exijan QES expresamente (recetas médicas, sede electrónica).
• Notariado y escrituras (requieren QES).

Firma electrónica cualificada (QES)#

Definición#

QES es una AES que añade dos requisitos adicionales:

1. Dispositivo cualificado de creación de firma (QSCD): tarjeta criptográfica, módulo HSM cualificado, o dispositivo móvil certificado (Cl@ve Móvil, EUDI Wallet futura).
2. Certificado cualificado emitido por un Prestador Cualificado de Servicios de Confianza (QTSP) acreditado por el ENAC y supervisado por la Secretaría de Estado de Digitalización.

QTSP españoles típicos: FNMT-RCM, Camerfirma, Viafirma, Validated ID, Signaturit, ANF AC.

Validez legal: presunción automática#

La diferencia clave: QES se presume válida automáticamente. Si la otra parte impugna, deben probar ellos que la firma es falsa. En AES la carga es más equilibrada.

Cuándo usar QES#

Solo cuando la ley lo exige expresamente:

• Recetas médicas privadas (Real Decreto 1718/2010 + ley autonómica).
• Trámites con AEAT (presentación 200, 720, IRPF, IVA si requieres firma cualificada).
• Trámites con Seguridad Social y otras AAPP españolas.
• Notariado: poderes notariales electrónicos, escrituras digitales.
• Documentos donde la ley sectorial lo exige: comercio electrónico de servicios financieros, contratación pública.

Cuándo NO usar QES#

B2B comercial habitual: la fricción que añade (firmante necesita certificado FNMT instalado, dispositivo cualificado, software específico) destruye la velocidad de la firma electrónica. Y AES ya tiene la misma validez legal en juicio práctico.

Pedir QES «por si acaso» en un contrato de NDA o un consentimiento clínico no aporta valor — solo añade fricción.

Tabla comparativa SES / AES / QES#

Característica	SES	AES	QES
Identificación del firmante	Básica (email + clic)	Robusta (cert. + factores)	Cualificada (QSCD + cert. QTSP)
Vinculación criptográfica al documento	Opcional	Obligatoria	Obligatoria + dispositivo cualif.
Detección de modificaciones	No siempre	Sí (Art. 26.d)	Sí (reforzada)
Equivalencia con firma manuscrita	Caso por caso	Sí (Ley 6/2020)	Sí, automática (Art. 25.2)
Carga de la prueba en juicio	Repartida	Repartida (favorable al firmado)	Inversa (a favor del firmado)
Certificado necesario	No	Sí	Sí, cualificado QTSP
Dispositivo cualificado	No	No	Sí
Fricción para el firmante	Mínima	Media	Alta
Coste por firma	Bajo	Medio	Alto (5-15€/firma típicamente)
B2B comercial habitual	Adecuada con relación previa	Recomendada por defecto	Excesiva
Trámites con AAPP	No válida	A veces válida	Obligatoria

Cómo decidir el nivel para tu caso#

Sigue este árbol de decisión:

1. ¿La ley exige QES expresamente para este documento?#

• Sí → QES (recetas médicas, trámites AEAT, notariado).
• No → continúa.

2. ¿La otra parte tiene incentivos a impugnar la firma?#

• Sí (litigio laboral probable, médico, importe alto, counterparty desconocida) → AES.
• No → continúa.

3. ¿Hay relación previa B2B con la counterparty?#

• Sí (cliente recurrente, contraparte conocida, equipo interno) → SES reforzada (con OTP) o AES.
• No → AES por defecto.

4. ¿La fricción del firmante importa más que la trazabilidad reforzada?#

• Sí (UX crítica, abandono real medible) → SES reforzada.
• No → AES.

Casos de uso comunes con su nivel correspondiente#

Sanidad privada#

• Anamnesis y formulario admisión: SES reforzada (bajo riesgo legal).
• Presupuesto dental / estética: SES reforzada o AES (>3.000€).
• Consentimiento informado quirúrgico: AES con OTP.
• Autorización imagen / menores: AES (RGPD reforzado).
• Receta médica privada: QES (obligatoria).

Lee firma electrónica para clínicas.

Recursos humanos#

• Onboarding (welcome pack): SES.
• Contrato laboral: AES.
• Anexo nómina, finiquito: AES.
• Comunicación interna: SES.
• Acuerdo teletrabajo Ley 10/2021: AES.

Inmobiliaria#

• Contrato alquiler: AES.
• Anexo IPC: SES o AES (relación previa).
• Mandato SEPA: AES (banca lo exige).
• Contrato arras: AES.

Despachos y asesorías#

• Encargo profesional: AES.
• NDA: SES con relación previa, AES sin ella.
• Autorización gestión AEAT: QES (necesaria para presentar via certificado del despacho).

B2B comercial#

• NDA estándar: SES o AES.
• Contrato comercial recurrente: SES (con relación previa) o AES.
• Contrato comercial nuevo cliente: AES.
• Propuesta inversión / financiero: AES.

Errores frecuentes al elegir nivel de firma#

1. Subir a QES por defecto «por si acaso»: añade fricción que destruye conversión sin ganancia legal real para B2B comercial.
2. Usar SES pura (sin OTP, sin audit trail) para documentos críticos: si la otra parte impugna, defensa débil.
3. Pedir el certificado FNMT al firmante externo cuando no es trámite con AAPP — fricción innecesaria, AES via la plataforma cubre.
4. Confundir biometría con AES: la biometría es UN factor de identificación. AES requiere los 4 elementos del Art. 26 eIDAS, no solo biometría.
5. No diferenciar SES reforzada de SES pura: un email + clic + OTP por SMS + audit trail es muy distinto de un clic «Acepto» sin más.

Preguntas frecuentes#

¿Cuál es la diferencia entre AES y QES en la práctica?#

Ambas equivalen a firma manuscrita legalmente. La diferencia operativa:

• AES: la plataforma gestiona el certificado, sin fricción para el firmante. Defendible en juicio con audit trail.
• QES: el firmante necesita certificado cualificado propio (FNMT, Cl@ve) o dispositivo cualificado. Más fricción, pero presunción legal automática a favor.

Para B2B, AES suele ser suficiente y menos friccionante. QES solo cuando la ley lo exige.

¿Es válida una SES en juicio?#

Sí, eIDAS Art. 25.1 establece que ninguna firma electrónica puede rechazarse en juicio solo por ser electrónica. Pero la fuerza probatoria de SES es menor — defenderla requiere más evidencias auxiliares. Por eso AES es el default recomendado en B2B con riesgo medio-alto.

¿La biometría sustituye al certificado en AES?#

No. La biometría es un factor de identificación del firmante, pero AES requiere los 4 elementos del Art. 26 eIDAS, incluyendo vinculación criptográfica al documento (firma digital). La biometría sin vinculación criptográfica al PDF NO cumple AES.

¿Tengo que pagar más por AES vs SES?#

Depende de la plataforma. En Estipula, plan Basic incluye AES nativa sin coste extra. Algunos competidores cobran AES como add-on enterprise.

¿Necesito QES para firmar contratos comerciales internacionales?#

No, salvo que la ley local exija QES. eIDAS aplica reconocimiento mutuo en toda la UE — una AES emitida por proveedor UE es válida en cualquier otro estado miembro. Para fuera de la UE depende del país, pero en general AES con audit trail bien documentado es defendible.

¿Qué pasa si firmo con SES un documento que requiere AES?#

Es legalmente válido pero probatoriamente débil. Si la otra parte impugna, defender la firma SES en un documento que «debería» ser AES es complicado. El consejo: si tienes dudas, sube de nivel — la AES no te penaliza nunca.

¿La firma electrónica simple del WhatsApp Business cuenta como SES?#

Sí técnicamente, pero su fuerza probatoria es muy débil — WhatsApp no es una plataforma de firma electrónica con audit trail eIDAS. Para B2B serio, usa una plataforma específica.

¿Puedo combinar varios niveles en un mismo documento?#

Sí. Un consentimiento informado puede tener AES del paciente y SES del recepcionista que actúa como testigo. Una buena plataforma permite asignar nivel distinto por firmante y por campo.

Conclusión#

Elegir el nivel correcto de firma electrónica es la decisión más infravalorada de la digitalización B2B. Las dos reglas que cubren 95% de casos:

1. AES es el default para B2B comercial con riesgo medio-alto. Equivale a manuscrita y no añade fricción si la plataforma lo gestiona bien.
2. QES solo cuando la ley lo exige (AAPP, recetas médicas, notariado). Subir innecesariamente destruye conversión.

Para profundizar en cada apartado:

• eIDAS, Ley 6/2020 y validez legal
• Firma electrónica en España: guía completa 2026
• Firma electrónica para clínicas y centros sanitarios
• Software de firma electrónica en España: comparativa 2026

Probar Estipula gratis (10 firmas/mes, sin tarjeta) o ver planes y precios.