Proteger el certiticado digital

[wilecoyote]

Buenas:

He estado leyendo con atención lo que comentáis, y me he planteado una pregunta quizá temeraria: ¿hasta qué punto es necesario cumplir de verdad con la normativa eiDAS? ¿Qué es lo que dice la normativa eiDAS?

Como soy un ignorante en el tema legal, le he subido la orden ministerial del Verifactu a ChatGPT y le he estado preguntando. Si hay errores aquí abajo (que es ChatGPT, después de todo), por favor corregidme.

"eIDAS establece requisitos estrictos de seguridad para el almacenamiento de certificados digitales cualificados, especialmente cuando estos son gestionados por un Prestador Cualificado de Servicios de Confianza (PCSC) (...) Las claves privadas asociadas a certificados cualificados de firma electrónica deben ser generadas y almacenadas en dispositivos seguros, llamados QSCD (Qualified Signature Creation Devices). (llaves USB seguras, tarjetas criptográficas...)


Es decir, tal como lo entiendo yo, si el certificado es cualificado, la clave que lo protege no puede estar guardada por ahí en ningún sitio: tiene que estar en un dispositivo seguro y no salir de ahí.

Ahora bien, el certificado digital que tenemos instalado todos para entrar por ejemplo en la Seguridad Social, ¿es cualificado?

"Por defecto, los certificados FNMT emitidos a través del navegador no incluyen un QSCD, por tanto permiten firma avanzada, pero no cualificada (...) Con él, estás haciendo una firma electrónica avanzada (FEA), no cualificada.
Sigue siendo legal y válida, y muchas administraciones la aceptan (de hecho, la mayoría de los trámites en España se hacen así). Pero no tiene la presunción legal de equivalencia con la firma manuscrita que tiene la firma electrónica cualificada (FEQ).
(...)
Para obtener un certificado cualificado de verdad, Tienes varias opciones: 1) Solicitar el certificado FNMT en tarjeta criptográfica (y usar un lector). La clave privada no es exportable, y el dispositivo está certificado como QSCD.
2) Usar firma en la nube cualificada (firma remota) con prestadores como Camerfirma, Firmaprofesional, etc. La clave se guarda en un HSM certificado, y tú te autenticas cada vez con doble factor (OTP, app, etc.)
"


Lo que me lleva a la pregunta: en el caso de Verifactu, ¿es obligatorio usar un certificado cualificado, o basta con usar uno "avanzado", es decir, en la misma modalidad en la que usamos el certificado en el navegador?

"Artículo 14. Firma electrónica de los registros de facturación y de evento.
En todo caso, la firma electrónica deberá ser generada con una clave privada asociada a un certificado electrónico cualificado de firma electrónica en vigor. "
(...)
Artículo 5. Para remitir los registros de facturación a la sede electrónica de la Agencia Estatal de Administración Tributaria, los sistemas informáticos deberán presentar ante esta la correspondiente identificación electrónica del remitente mediante el uso de los certificados electrónicos válidos en cada momento en la sede electrónica de la Agencia Estatal de Administración Tributaria. Además, dichos certificados electrónicos deberán ajustarse a las condiciones que se establezcan en la normativa vigente en cada momento en relación con los atributos mínimos que deben incluir los certificados electrónicos cualificados y los mecanismos que permiten verificar su vigencia y contenido en el ámbito de las Administraciones Públicas."


Tal como lo entiendo yo, para enviar las facturas a la AEAT, nuestro software no necesita un certificado cualificado (aunque puede usarlo). Sin embargo, para firmar los XML y guardarlos localmente sí es necesario.

Ahora bien: si nuestro SIF funciona solamente en modo Verifactu, no es obligatorio guardar los registros de facturación localmente ni firmarlos ni nada, con lo cual no necesitarías el certificado cualificado.

(Esto explicaría cómo funcionan esas empresas que ofrecen APIs externas para integrar con Verifactu: como dicen ellos mismos en las FAQs de sus webs, presentan las facturas a la AEAT con su certificado de colaborador social, pero luego ellos no las guardan ni las firman...).

Repito que lo de arriba es la interpretación que me ha dado ChatGPT. Agradezco correcciones.