«Precauciones al adoptar APIs que afirman cumplir con la normativa VERI*FACTU»

En la actualidad, durante diversas auditorías en proceso, nos consultan más de 120 compañías de desarrollo, siendo referentes en el campo, acerca de soluciones que promueven APIs o similares para la implementación de la normativa antifraude o VERI*FACTU, sugiriendo su adquisición con la promesa de que estas APIs se ajustan a la legislación.

Considerando que la normativa antifraude es bastante amplia como para plantear diversas cuestiones que deben ser exigidas a estos proveedores, es importante incluir ciertos aspectos que, como compañías de desarrollo de soluciones de facturación, no deben pasar por alto al contratar una plataforma API o similar.

Al evaluar estas plataformas como opciones, tengan en cuenta los siguientes consejos:

Actualmente, no hay plataformas que permitan cumplir totalmente con la normativa antifraude.

Esto se debe a que muchas plataformas se comprometen a cumplir con VERIFACTU, sin embargo, la normativa antifraude incluye 4 epígrafes adicionales al reglamento, los cuales se relacionan con la facturación, contabilidad y procesos de gestión. Estos requisitos exceden lo establecido en VERIFACTU, RD1619/2012 y otros.

Consejo: Una plataforma API por sí sola no garantiza el cumplimiento al 100% de la normativa antifraude; es necesario también cumplir con el resto del marco legal.

Certificado de cumplimiento VERI*FACTU

Si se instala el software en 100 clientes, nuestra calculadora de sanciones estima una multa aproximada de 1.2 millones de euros por incumplimientos durante el primer año para la empresa desarrolladora. ¿Dejarán en manos de un tercero la posibilidad de enfrentarse a esta multa?

Consejo: Exijan por escrito un informe de un auditor independiente que certifique claramente el cumplimiento de VERI*FACTU, con evidencias que aseguren su funcionamiento.

Las plataformas API deben gestionar y proteger todos los registros XML durante el periodo obligatorio

Es crucial la gestión adecuada de los archivos XML durante el tiempo que el obligado tributario debe conservarlos. Las empresas API deben asegurar su integridad y conservación, así como la cadena de custodia y retención durante este periodo.

Consejo: Soliciten un informe de evaluación por parte de un auditor independiente que demuestre con evidencias los controles de seguridad adecuados.

Comunicación basada en certificado electrónico

Si el sistema API gestiona certificados y claves para facilitar la comunicación de facturas mediante VERI*FACTU, este servicio debe adherirse a eIDAS y LSEC. Un sistema que maneje certificados y claves debe cumplir con ciertos niveles de seguridad, por ejemplo, asegurar que las copias de seguridad que realice el sistema API, que contienen certificados y claves del obligado tributario, se mantengan seguras para evitar suplantaciones de identidad graves. Además, la legislación exige que los certificados y claves estén “bajo el control exhaustivo” del obligado tributario.

Si, por otro lado, se propone que la comunicación se realice con el certificado electrónico del proveedor del servicio, es necesario exigir el cumplimiento del marco legal aplicable.

Consejo: Requieren el cumplimiento legal y un informe de una tercera parte independiente que lo confirme.

Conclusiones

El uso de APIs de terceros o repositorios de certificados externos no garantiza, en ninguno de los casos que este auditor ha revisado, el cumplimiento completo de la normativa antifraude por parte de la empresa desarrolladora y su solución, siendo necesario también cumplir con otras obligaciones legales más allá de VERIFACTU. Antes de contratar una API que implemente VERIFACTU, es fundamental solicitar un informe de un tercero independiente que, mediante evidencias, demuestre que es fiable, de lo contrario, se enfrentan a sanciones millonarias tanto para la empresa desarrolladora como para los obligados tributarios.