 |
| Fuente de la imagen: Anomalías sustanciales (M. Velasco, 2008) |
Resumen: La modernización y digitalización del ecosistema empresarial en España, particularmente de las pequeñas y medianas empresas (pymes), microempresas y autónomos, ha impulsado la necesidad de establecer requisitos técnicos estrictos para los sistemas informáticos de facturación. El objetivo central de esta regulación es asegurar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros de facturación, previniendo la manipulación o la ocultación de datos que conduzcan a la evasión o defraudación tributaria. El marco normativo, desarrollado principalmente a través del Real Decreto 1007/2023, de 5 de diciembre, y la Orden Ministerial HAC/1177/2024, establece la obligatoriedad de que los sistemas generen un registro de alta por cada factura expedida de forma simultánea o inmediatamente anterior a la expedición de la misma, utilizando formatos estandarizados (XML, UTF-8). Se implementan mecanismos de seguridad como la huella o hash y la firma electrónica para garantizar la inalterabilidad y el encadenamiento cronológico de los registros. Además, se introduce el concepto de Sistemas de Emisión de Facturas Verificables (VERIFACTU), permitiendo la remisión voluntaria e instantánea de los registros a la Administración Tributaria, y se promueve la colaboración ciudadana mediante la inclusión de un código QR en las facturas. Estos avances buscan facilitar el cumplimiento tributario y reforzar la equidad en el reparto de las cargas fiscales.
Palabras Clave: Sistemas de Facturación, Registros Estandarizados, Integridad de Datos, Trazabilidad, VERIFACTU, Factura Electrónica, Obligaciones Tributarias.
Abstract: The modernization and digitization of the business ecosystem, particularly of small and medium-sized enterprises (SMEs), micro-enterprises, and the self-employed, has driven the need to establish strict technical requirements for billing systems. The central objective of this regulation is to ensure the integrity, preservation, accessibility, legibility, traceability, and immutability of billing records, preventing the manipulation or concealment of data that could lead to tax evasion or fraud. The regulatory framework, developed primarily through Royal Decree 1007/2023 of December 5 and Ministerial Order HAC/1177/2024, establishes the obligation for systems to generate a registration record for each invoice issued simultaneously or immediately prior to its issuance, using standardized formats (XML, UTF-8). Security mechanisms such as fingerprinting or hashing and electronic signatures are implemented to guarantee the immutability and chronological sequencing of the records. Furthermore, the concept of Verifiable Invoice Issuance Systems (VERIFACTU) is introduced, allowing for the voluntary and instantaneous submission of records to the Tax Administration, and citizen collaboration is promoted through the inclusion of a QR code on invoices. These advancements aim to facilitate tax compliance and strengthen equity in the distribution of the tax burden.
Keywords: Billing Systems, Standardized Records, Data Integrity, Traceability, VERIFACTU, Electronic Invoice, Tax Obligations.
1. Introducción
El contexto económico y la creciente digitalización de las transacciones comerciales exigen una adaptación urgente de los mecanismos de control fiscal. Históricamente, la Administración tributaria ha enfrentado desafíos derivados de sistemas informáticos que, en ocasiones, facilitan la ocultación o alteración de la realidad económica mediante utilidades digitales específicas (como phantomware o zapper). Para abordar esta problemática, la Ley 58/2003, General Tributaria, estableció la obligación de que los sistemas que soporten procesos de facturación garanticen la integridad y la trazabilidad de los registros.
El Real Decreto 1007/2023 y su desarrollo técnico posterior mediante la Orden HAC/1177/2024 materializan estas exigencias, enfocándose en los sistemas de facturación utilizados por las personas empresarias y profesionales. Estos sistemas deben asegurar que toda transacción comercial genere una factura y una anotación inalterable, lo que representa un paso decidido hacia el "cumplimiento tributario por diseño".
2. Marco Normativo y Evolución de las Obligaciones de Facturación
El marco regulatorio de las obligaciones de facturación en España se consolidó inicialmente con el Real Decreto 1619/2012, que transpuso la Directiva 2010/45/UE con el objetivo de armonizar y simplificar la expedición de facturas en el ámbito del Impuesto sobre el Valor Añadido (IVA). Este reglamento introdujo importantes novedades, como la sustitución de los antiguos tiques por la factura simplificada, que puede expedirse bajo ciertas condiciones (importe no superior a 400 euros o, en casos específicos, 3.000 euros, IVA incluido).
El RD 1619/2012 también promovió la factura electrónica, bajo el principio de igualdad de trato respecto a la factura en papel, buscando reducir costes y aumentar la competitividad. Se estableció que la autenticidad del origen y la integridad del contenido de la factura (electrónica o en papel) deben garantizarse mediante los controles de gestión usuales de la actividad profesional o empresarial del sujeto pasivo.
El nuevo impulso a la estandarización y control informático surge posteriormente para garantizar que las facturas expedidas utilizando sistemas informáticos cumplan requisitos adicionales de seguridad.
3. Requisitos Técnicos y Estandarización de los Sistemas de Facturación
El Reglamento aprobado por el RD 1007/2023 establece los requisitos que deben cumplir los sistemas informáticos utilizados por diversas personas obligadas tributarias, incluyendo contribuyentes del Impuesto sobre Sociedades, del IRPF que desarrollen actividades económicas, del Impuesto sobre la Renta de no Residentes con establecimiento permanente, y entidades en régimen de atribución de rentas.
3.1. Integridad, Inalterabilidad y Trazabilidad
Los sistemas informáticos deben garantizar que los registros de facturación, una vez generados, no puedan ser alterados sin que el sistema lo detecte y avise de ello. Esto se logra mediante el cumplimiento de varios requisitos técnicos:
1. Generación de Registros de Alta: Los sistemas deben generar automáticamente un registro de facturación de alta de forma simultánea o inmediatamente anterior a la expedición de cada factura. El contenido de este registro está estandarizado e incluye, entre otros, el NIF y razón social del obligado a expedir la factura, el tipo de factura, el importe total, y los detalles del IVA/impuestos aplicados.
2. Encadenamiento y Huella (Hash): Para asegurar la trazabilidad, los registros de facturación deben estar encadenados secuencialmente. Cada nuevo registro debe contener una referencia al registro cronológicamente anterior, incluyendo los primeros 64 caracteres de la huella o hash de dicho registro anterior. La huella se calcula sobre un subconjunto de datos clave del registro (como NIF, número de factura, importe total y la huella anterior).
3. Correcciones y Anulaciones: Cualquier corrección o anulación debe realizarse mediante al menos un registro de facturación adicional posterior, conservándose inalterables los datos originalmente registrados.
4. Registro de Eventos: El sistema debe mantener un registro de eventos que recoja automáticamente las interacciones y sucesos, como el inicio o fin del funcionamiento del sistema, o la detección de anomalías en la integridad y trazabilidad. Este registro también debe garantizar su propia integridad y trazabilidad.
5. Estandarización de Formatos: Los registros deben generarse en formato XML y codificación UTF-8, siguiendo la estructura y contenido detallados en el Anexo de la Orden ministerial.
3.2. Presunción de Autenticidad
La autenticidad del origen y la integridad del contenido de la factura se presumirá acreditada cuando esta haya sido expedida utilizando un sistema o programa informático que cumpla con los requisitos establecidos en el Real Decreto 1007/2023.
4. El Sistema de Emisión de Facturas Verificables (VERIFACTU)
El sistema VERIFACTU se configura como una modalidad de cumplimiento voluntaria para las personas obligadas tributarias.
4.1. Remisión Voluntaria y Beneficios
Los sistemas informáticos que opten por la denominación VERIFACTU remitirán automáticamente y de forma segura todos los registros de facturación generados a la Agencia Estatal de Administración Tributaria (AEAT). Al acogerse a este sistema:
• Se presume que cumplen por diseño los requisitos de integridad del Artículo 8 del Reglamento.
• No tendrán la obligación de realizar la firma electrónica de los registros de facturación, siendo suficiente con el cálculo de la huella o hash.
• Las personas usuarias de VERIFACTU podrán ver facilitada la llevanza de sus libros registros (IVA e IRPF) a través de las herramientas que la AEAT ponga a su disposición en su sede electrónica, utilizando la información remitida.
4.2. Elementos Adicionales en la Factura
Las facturas (completas o simplificadas) expedidas utilizando estos sistemas informáticos deben incluir dos elementos adicionales, conforme a las modificaciones introducidas en el Reglamento de Facturación (RD 1619/2012):
1. Código QR: Una representación gráfica del contenido parcial de la factura. Este código debe incluir, entre otros datos, el NIF de la persona obligada, el número de factura, la fecha de expedición y el importe total. En las facturas electrónicas, la representación gráfica puede ser sustituida por la URL contenida en el código QR.
2. Mención de Verificación: La frase “Factura verificable en la sede electrónica de la AEAT” o “VERIFACTU” debe incorporarse únicamente cuando el sistema informático realiza la remisión de todos los registros a la AEAT.
4.3. Colaboración de las Personas Receptoras
El código QR juega un papel necesario en la lucha contra el fraude al incentivar la concienciación fiscal. Permite que la persona receptora de la factura (ya sea otra empresa/profesional o una persona consumidora final) pueda proporcionar voluntariamente determinada información de la misma a la AEAT y verificar, en el caso de sistemas VERIFACTU, que el emisor ha remitido la factura a la Administración.
5. Crítica Analítica al Modelo de Sistemas Informáticos de Facturación y Registros Estandarizados (VERIFACTU)
5.1 Introducción: El Equilibrio entre Control Fiscal y Carga Empresarial
El modelo de sistemas informáticos de facturación y registros estandarizados, articulado principalmente mediante el Real Decreto 1007/2023 y la Orden HAC/1177/2024, tiene como objetivo combatir la evasión y el fraude tributario, especialmente el facilitado por herramientas digitales diseñadas para ocultar o alterar la realidad económica (phantomware o zapper).
Si bien el propósito de garantizar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros de facturación es legítimo y necesario para el sostenimiento del Estado social y democrático, la implementación detallada de este modelo presenta desafíos y críticas significativas en términos de complejidad técnica, carga administrativa y el alcance de las facultades de verificación.
5.2. La Carga Desproporcionada sobre la Microempresa y el Autónomo
Uno de los principales ejes del modelo es la modernización y digitalización del ecosistema empresarial, poniendo especial énfasis en las pymes, microempresas y autónomos. Sin embargo, la crítica reside en que la imposición de requisitos técnicos tan estrictos podría resultar en una carga administrativa y financiera indirecta considerable para estos segmentos empresariales minoritarios.
Se les exige adoptar sistemas que deben:
1. Generar automáticamente un registro de alta simultáneo o inmediatamente anterior a la expedición de cada factura.
2. Garantizar el encadenamiento cronológico mediante el cálculo de una huella o hash que referencia al registro anterior.
3. Implementar una firma electrónica para los registros (salvo en sistemas VERIFACTU).
4. Mantener un registro de eventos que recoja automáticamente sucesos específicos y garantice su propia integridad y trazabilidad.
A pesar de que la norma persigue el objetivo de "cumplimiento tributario por diseño" y busca la simplificación administrativa, la alta especificidad y rigidez técnica de estos requisitos (detallados en XML, UTF-8 y algoritmos específicos) desplaza el coste de la adaptación tecnológica hacia los obligados tributarios, que mayoritariamente son microempresas.
5.3. Complejidad Regulatoria y Dependencia Tecnológica Excesiva
El desarrollo normativo del modelo se caracteriza por su gran nivel de detalle técnico, el cual, aunque busca asegurar la integridad, introduce una complejidad regulatoria significativa.
El Real Decreto 1007/2023 y la Orden Ministerial HAC/1177/2024 delegan gran parte de las especificaciones funcionales y técnicas a la Agencia Estatal de Administración Tributaria (AEAT). Esto incluye el detalle de la estructura, formato y características técnicas de los registros, las especificaciones de la huella o hash, y las políticas de firma electrónica.
La AEAT queda habilitada para publicar en su sede electrónica los detalles técnicos necesarios para completar las especificaciones de la orden. Esta estructura regulatoria en cascada genera una dependencia constante del obligado y del productor del software hacia la publicación continua de detalles técnicos por parte de la Administración, lo que puede minar el principio de seguridad jurídica al dejar aspectos en manos de documentos técnicos dinámicos y no plenamente integrados en la norma de rango superior.
Además, la responsabilidad recae en última instancia en el obligado tributario (la persona que realiza la entrega de bienes o prestación de servicios), incluso cuando delega materialmente el cumplimiento a un tercero o cuando utiliza un sistema que porta la declaración responsable del productor de software. Esto expone al empresario o profesional a sanciones en caso de fallo del sistema informático, a pesar de haber adquirido un producto supuestamente certificado para garantizar la integridad de los datos.
5.4. Mecanismos de Control y Verificación Intrusivos
Aunque el modelo busca reforzar la asistencia al contribuyente, el sistema de verificación incorpora facultades de control que pueden ser percibidas como altamente intrusivas.
El artículo 14 del Reglamento (RD 1007/2023) establece que la Administración tributaria podrá personarse en el lugar donde se encuentre o se utilice el sistema informático y podrá exigir el acceso completo e inmediato a los registros, incluyendo su descarga, volcado o copiado, y la consulta. Más allá de esto, se habilita a la Administración a obtener el "código de usuario, contraseña y cualquier otra clave de seguridad que fuera necesaria".
Esta potestad de obtener acceso completo e inmediato a los sistemas y las claves de seguridad, si bien tiene la finalidad de verificar la situación tributaria, plantea una preocupación sobre la privacidad y la seguridad de la información confidencial no patrimonial que pueda residir en dichos sistemas. El sistema exige que el acceso a la información tributaria esté disociado de la información confidencial de carácter no patrimonial, pero la exigencia de las claves de seguridad total del sistema podría comprometer esa disociación.
Además, si bien el sistema VERIFACTU se presenta como voluntario, su adopción implica la remisión automática y segura de todos los registros de facturación generados a la AEAT de forma "continuada, segura, correcta, íntegra, automática, consecutiva, instantánea y fehaciente". Si el sistema no es VERIFACTU, la autenticidad e integridad se presume si el sistema cumple los requisitos del Reglamento, pero queda sujeto a los requerimientos puntuales de la Administración para la remisión de los registros conservados.
6. Propuesta de Mejora al Modelo de Sistemas Informáticos de Facturación y Registros Estandarizados
6.1. Reforzar y Priorizar la Solución de la Administración Tributaria para Microempresas
Una crítica recurrente al modelo es la complejidad técnica y la inversión que supone para las personas autónomas y microempresas la adaptación de sus sistemas de software. Para mitigar esta carga, se propone una acción decidida en el uso y promoción de la aplicación informática que la propia Administración tributaria está facultada a desarrollar (Artículo 7.b del Reglamento).
Propuesta de mejora:
• Expansión Funcional y Promoción Universal: La Agencia Estatal de Administración Tributaria (AEAT) debe garantizar que la aplicación informática que desarrolle sea la solución preferente y más accesible para las personas obligadas tributarias con menor capacidad económica (autónomos y microempresas). Esta aplicación es considerada automáticamente un "Sistema de emisión de facturas verificables" o VERIFACTU y, por ende, exonera a las personas usuarias de la obligación de realizar la firma electrónica de los registros de facturación y de cumplir con varios requisitos técnicos rigurosos detallados en la Orden Ministerial.
• Asistencia Integrada en Libros Registro: Se debe acelerar el desarrollo de las herramientas que faciliten la llevanza de los libros registros de IVA e IRPF utilizando la información remitida por estos sistemas VERIFACTU, convirtiendo la aplicación gratuita de la AEAT en una solución integral de facturación y contabilidad básica para las personas profesionales, lo cual se alinea con el objetivo de facilitar la simplificación administrativa.
6.2. Aumentar la Seguridad Jurídica a través de la Consolidación Técnica Regulatoria
La dependencia de detalles técnicos de las publicaciones dinámicas en la Sede Electrónica de la AEAT genera incertidumbre para las personas productoras y comercializadoras de software.
Propuesta de mejora:
• Reglamentación Consolidada de Especificaciones Críticas: Utilizar las facultades de desarrollo conferidas a la persona titular del Ministerio de Hacienda y Función Pública (Disposición Final Tercera del RD 1007/2023) para consolidar y publicar con mayor rango normativo los detalles técnicos de más relevancia en un plazo acelerado. Esto incluye:
◦ El algoritmo y codificación específicos para el cálculo de la huella o hash.
◦ Las especificaciones de política de firma electrónica (basadas en el estándar ETSI EN 319 132).
• Aunque la Orden HAC/1177/2024 habilita a la AEAT a publicar detalles técnicos, la integración de estos aspectos en la propia Orden Ministerial o en anexos más estables y referenciados que la sede electrónica, otorgaría mayor predictibilidad y seguridad a las personas productoras de los sistemas.
6.3. Establecer un Protocolo de Excepción y Verificación Menos Intrusivo
El Reglamento permite a la Administración exigir el acceso completo e inmediato a los registros, incluyendo el código de usuario, contraseña y cualquier otra clave de seguridad. Si bien esto es necesario para la comprobación del fraude avanzado, puede resultar desproporcionadamente intrusivo en comprobaciones ordinarias.
Propuesta de mejora:
• Uso del Mecanismo de No Aplicación (Artículo 5) para Controles de Gestión Equivalentes: Crear un marco de validación para aquellas personas obligadas tributarias (especialmente pymes con sistemas de contabilidad robustos) que deseen demostrar que sus "controles de gestión usuales" ya garantizan la autenticidad del origen y la integridad del contenido de la factura (conforme al artículo 8 y 8.3 del RD 1619/2012).
◦ La persona titular del Departamento de Inspección Financiera y Tributaria de la AEAT puede resolver la no aplicación del Reglamento por circunstancias excepcionales de índole técnico o por evitar perturbaciones. Se propone que esta facultad se utilice para permitir una verificación menos invasiva a quienes certifiquen la efectividad de sus controles de gestión.
◦ Este protocolo permitiría a la persona obligada suministrar la documentación de hash y trazabilidad de los registros mediante requerimiento (Artículo 14.2 del Reglamento), sin necesidad de entregar inmediatamente las claves de acceso del sistema informático completo, reservando esta medida extrema para casos justificados de indicios graves de alteración o fraude.
6.4. Simplificar el Cumplimiento Obligatorio para Sistemas "No VERIFACTU"
Los sistemas que no son VERIFACTU deben cumplir con todos los requisitos técnicos de integridad y trazabilidad, incluyendo el cálculo del hash y la firma electrónica de los registros.
Propuesta de mejora:
• Homologación de la Huella Digital (Hash) como Suficiente para No Repudio en el Ecosistema Digital: El Reglamento exime de la firma electrónica a los sistemas VERIFACTU, ya que la remisión instantánea actúa como mecanismo de no repudio y garantía de integridad. Se propone estudiar la viabilidad técnica y legal de aceptar la generación y el encadenamiento de la huella o hash (Artículo 12) como garantía suficiente de la integridad e inalterabilidad de los registros en los sistemas "No VERIFACTU", al menos para ciertos sectores o volúmenes de facturación.
◦ Esto permitiría a los sistemas "No VERIFACTU" reducir los costes operativos y de licencia de los certificados cualificados necesarios para la firma electrónica avanzada, centrando el cumplimiento en la función de encadenamiento secuencial y la trazabilidad, que son los elementos centrales del sistema de prevención del fraude.
7. Conclusiones
La implementación de los requisitos para los sistemas informáticos de facturación y la estandarización de registros marcan un hito regulatorio que busca armonizar la gestión empresarial con las exigencias de control tributario.
Se establece la obligatoriedad de garantizar la integridad, inalterabilidad y trazabilidad de los registros mediante mecanismos técnicos como el encadenamiento de hashes y el registro de eventos, lo que reduce drásticamente el riesgo de fraude asociado a la manipulación de datos. La promoción del sistema VERIFACTU y la inclusión del código QR impulsan la digitalización y refuerzan la seguridad jurídica para las personas obligadas tributarias y facilitan la labor de comprobación de la Administración, contribuyendo a una mayor eficacia fiscal.
El sistema de facturación y registros estandarizados funciona como un libro de contabilidad digital infalsificable, donde cada registro (factura) es como un eslabón sellado. Al generar una factura, el sistema la emite y crea una huella digital (hash) que incluye información de la huella anterior. Esto es comparable a un notario que, al registrar un documento, sella la página y además estampa una referencia cifrada del sello de la página anterior.
Si alguien intentara arrancar una página o modificar un dato, la secuencia de huellas se rompería instantáneamente (se perdería la trazabilidad y la integridad), alertando tanto al sistema como a la Administración Tributaria. El código QR es como un atajo rápido para que cualquier persona pueda verificar que ese eslabón existe y es genuino.
La crítica principal se centra en la tensión entre la necesidad de un control fiscal reforzado y la complejidad operativa y los costes indirectos impuestos a la vasta base de microempresas y autónomos.
La proliferación de especificaciones técnicas delegadas a la autoridad tributaria y la amplitud de las facultades de verificación inmediata y completa, a menudo mediante la exigencia de claves de acceso, sugieren que la eficiencia en la comprobación tributaria ha sido priorizada sobre la simplicidad administrativa y la minimización de la carga para el pequeño obligado.
El sistema, en esencia, obliga a las empresas a operar en una "caja negra" fiscalmente visible, donde cada paso de la facturación queda sellado y encadenado digitalmente. El reto para el futuro será lograr que esta caja negra sea lo suficientemente robusta y fácil de mantener para los pequeños contribuyentes, sin que la rigidez técnica se convierta en una barrera o en una fuente constante de incumplimientos formales involuntarios.
La mejora del modelo pasa por aprovechar las vías de flexibilidad ya previstas en la ley, como las excepciones al cumplimiento y el sistema voluntario VERIFACTU, para reducir la fricción y la inversión requerida a los pequeños negocios, mientras se formalizan y estabilizan las especificaciones técnicas para garantizar la seguridad jurídica del sector productor de software.
Si el actual sistema es una cerradura de seguridad biométrica (la firma electrónica) exigida a todos, la propuesta de mejora busca ofrecer un kit de cerradura digital estándar gratuito (la aplicación AEAT) para quienes no pueden costear o mantener la cerradura biométrica, y además, establecer un protocolo más claro para que aquellos con viejos sistemas probados (controles de gestión usuales) puedan demostrar su seguridad sin tener que entregar la llave maestra del edificio (acceso completo a claves).
8. Recursos Generativos utilizados en la redacción de este artículo
Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de ésta a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (11% de coincidencias) y de lenguaje IAG (7% de coincidencias), considerando ambos ratios razonables y asumibles.
9. Referencias
Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación. Ministerio de Hacienda y Administraciones Públicas «BOE» núm. 289, de 01 de diciembre de 2012.
Real Decreto 1007/2023, de 5 de diciembre, por el que se aprueba el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación. Ministerio de Hacienda y Función Pública «BOE» núm. 291, de 06 de diciembre de 2023.
Orden HAC/1177/2024, de 17 de octubre, por la que se desarrollan las especificaciones técnicas, funcionales y de contenido referidas en el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación, aprobado por el Real Decreto 1007/2023, de 5 de diciembre; y en el Reglamento por el que se regulan las obligaciones de facturación, aprobado por Real Decreto 1619/2012, de 30 de noviembre. Ministerio de Hacienda «BOE» núm. 260, de 28 de octubre de 2024.
Texto actualizado en base a la normativa publicadas con posterioridad.