ANEXO IV Resolución de 4...os de pago

ANEXO IV. Resolución de 4 de junio de 2026, AEAT, Procedimiento para efectuar telemáticamente el embargo de dinero en cuentas abiertas en proveedores de servicios de pago

Ver Indice
»

ANEXO IV. Condiciones de seguridad

Vigente
nuevo

GPT Iberley IA

Copiloto jurídico


El detalle para las condiciones de seguridad en el acceso a los servicios de embargo de cuentas regulados es esta resolución es el siguiente.

a) Certificados electrónicos y la gestión del ciclo de vida.

Las entidades transmisoras integradas con los servicios serán responsables de gestionar y custodiar adecuadamente los certificados electrónicos que se autorizarán para actuar con el sistema de automatización de embargo de cuentas. Los criterios para la gestión de estos certificados electrónicos son:

– Los certificados electrónicos admitidos en este servicio deberán ajustarse a los criterios recogidos en el artículo 9.2.a) y 9.2.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

– Las entidades transmisoras deberán solicitar a la Agencia Tributaria la autorización de sus certificados electrónicos en los servicios asociados al sistema de automatización de embargo de cuentas.

– Para garantizar la continuidad del servicio en los procesos de renovación de los certificados electrónicos se podrán mantener varios certificados electrónicos autorizados a los mismos servicios.

– La entidad adherida es responsable de la custodia y de garantizar el uso correcto de los certificados electrónicos que solicite autorización para invocar los servicios del sistema de automatización de embargo de cuentas. Para ello, las claves deben de estar bajo el control exclusivo de las entidades adheridas, que velarán por un uso correcto de las mismas y garantizarán su seguridad, para evitar su pérdida, revelación, alteración o uso no autorizado.

– Ante cualquier sospecha de utilización indebida de los certificados electrónicos se deberá proceder a su revocación y comunicar el incidente a la Agencia Tributaria, para que se tomen las medidas que se consideren oportunas. En esta comunicación se deberá facilitar toda la información necesaria para poder evaluar el alcance y el impacto del incidente. Para esta comunicación se utilizarán los canales que se establezcan oportunamente para gestionar las incidencias relativas al sistema de automatización de embargo de cuentas.

b) Procedimiento para la gestión de la autorización de los certificados electrónicos en PRODUCCIÓN.

La gestión de la autorización de los certificados electrónicos seguirá el siguiente procedimiento:

– La gestión de la petición de la autorización de certificados electrónicos se realizará a través del registro electrónico donde se deberá adjuntar la clave pública del certificado electrónico.

– Para utilizar el registro electrónico, se habilitará un procedimiento administrativo para que las entidades adheridas puedan gestionar estas peticiones.

– Se pondrá a disposición de las entidades un formulario donde deberán consignar la información necesaria para configurar el servicio de acuerdo a las condiciones del mismo.

– Por cada certificado electrónico que se necesite que la Agencia Tributaria autorice se deberá presentar una petición con su correspondiente certificado electrónico.

– La presentación de peticiones de autorización de certificados electrónicos se podrá realizar por una persona autorizada por la entidad adherida, para lo que se podrá utilizar:

? Un certificado electrónico cualificado de representante de Persona Jurídica.

? Un certificado electrónico cualificado de persona Física en el caso de que la Entidad adherida apodere a un empleado para realizar peticiones de autorización de certificados electrónicos.

? Cl@ve móvil (incluye Cl@ve PIN) en el caso de que la entidad apodere a un empleado para realizar peticiones de autorización de certificados electrónicos.

– Una vez presentada la petición la Agencia Tributaria comprobará que cumple las condiciones para usar el servicio y se procederá a autorizar la clave pública de la entidad adherida que quedará asociada en los sistemas de la Agencia Tributaria a su Número de Identificación Fiscal.

– Para la comunicación de los cambios de certificado por renovación o revocación se realizarán utilizando el mismo procedimiento.

– Los aspectos detallados para la gestión de la autorización de los certificados electrónicos en PRODUCCIÓN no regulados en la presente resolución quedarán recogidos en una guía técnica que se mantendrá actualizada y publicada en la Sede electrónica de la Agencia Tributaria. La Agencia Tributaria informará a las entidades adheridas de la disponibilidad en Sede electrónica de las nuevas versiones de esta guía que pudieran generarse.

c) Certificados y Procedimiento para la gestión de la autorización de los certificados electrónicos PREPRODUCCIÓN.

– Para el entorno de PREPRODUCCIÓN se deberán utilizar certificados electrónicos en las mismas condiciones que los certificados de PRODUCCIÓN.

– Las características de los certificados y el procedimiento para la gestión de la autorización de los mismos en PREPRODUCCIÓN quedarán recogidas en una guía técnica que se mantendrá actualizada y publicada en la Sede electrónica de la Agencia Tributaria. La Agencia Tributaria informará a las entidades adheridas de la disponibilidad en Sede electrónica de las nuevas versiones de esta guía que pudieran generarse.

d) Garantías de seguridad del sistema.

La seguridad del sistema de automatización de embargo de cuentas se basa en las siguientes condiciones:

– La entidad adherida es responsable de la veracidad y exactitud de la información presentada en el procedimiento de petición de autorización de certificados electrónicos para el sistema de automatización de embargo de cuentas.

– La entidad adherida es responsable de la veracidad y exactitud de las interacciones con el sistema de automatización de embargo de cuentas que realice mientras no haya comunicado cualquier cambio o incidencia que suponga la baja del sistema de automatización de embargo de cuentas o la revocación de los certificados electrónicos autorizados a su NIF.

– Tanto la entidad adherida como la Agencia Tributaria quedarán identificados en el sistema de automatización de embargo de cuentas por los certificados electrónicos autorizados y activos en cada momento. Para ello, la Agencia Tributaria garantizará que solo se podrán realizar peticiones al servicio con los certificados comunicados por cada Entidad adherida y a su vez, las Entidades adheridas deberán autorizar expresamente el certificado de la Agencia Tributaria en sus sistemas.

– Todas las comunicaciones asociadas al uso del sistema de automatización de embargo de cuentas se realizarán utilizando canales seguros basados en protocolos estándar de Internet, garantizando las condiciones suficientes de seguridad según el estado del arte de la tecnología.

– El sistema de automatización de embargo de cuentas se ofrece en la Sede electrónica de la Agencia Tributaria con un nivel de disponibilidad 24x7 en las mismas condiciones que el resto de los servicios que se ofrecen a los contribuyentes.

– Las garantías de integridad, no repudio y trazabilidad se basarán en los siguientes criterios:

? Todas las peticiones y respuestas asociadas al sistema de automatización de embargo de cuentas quedarán registradas automáticamente en los sistemas de la Agencia Tributaria, garantizando la integridad y conservación de las mismas, así como de los metadatos asociados mediante medidas técnicas que aseguren su inalterabilidad.

? Los metadatos mínimos que se registrarán de forma inalterable por cada petición y respuesta son el NIF de la Entidad adherida, el certificado electrónico utilizado en cada petición y el resumen (HASH) de la petición/respuesta.

e) Gestión de incidencias que afecten a las condiciones de seguridad del sistema de automatización de embargo de cuentas.

Las entidades adheridas y la Agencia Tributaria deberán comunicar cualquier incidencia que pueda afectar a las condiciones de seguridad del sistema de automatización de embargo de cuentas. Para ello, se establecerán los canales de comunicación oportunos, que serán los mismos que se utilizarán para comunicar cualquier otro tipo de incidencia crítica.

Esta comunicación deberá realizarse en el menor tiempo posible desde el momento que se conozca la incidencia para poder garantizar que se toman las medidas oportunas para limitar el impacto en el servicio y en las condiciones de seguridad del mismo.