CertificAhorro
CertificAhorro
GestiónMercadoBeta
Solicitar invitaciónIniciar sesión

Beta cerrada·Primera plataforma de mercado secundario de CAE en España, en fase de desarrollo·Solicitar invitación

Mercado CAE · Seguridad

Seguridad del Mercado CAE: integridad, trazabilidad y compliance

5 capas de control que protegen a compradores, vendedores y al regulador. El Mercado Secundario de CAE es un mercado regulado de nueva creación: la confianza técnica es el primer factor de adopción, por delante del precio y de la interfaz.

La arquitectura descrita a continuación se corresponde con la versión auditada el 19 de abril de 2026: auditoría interna de conformidad reglamentaria al 99,3 % sobre 156 puntos de control (10 dominios, 151 conformes, 1 parcial justificado, 0 no conformes, 4 no aplicables).

Visión de conjunto: cinco capas de seguridad

Cada capa responde a una amenaza específica del ciclo de vida de un CAE en un mercado secundario: acceso indebido, manipulación del libro, repudio del contrato, doble venta y alteración del registro. Las cinco capas se ejecutan de forma secuencial para cada orden y son auditables de manera independiente por los reguladores competentes.

Capa 1

Acceso controlado

KYC, acreditación MITECO, cláusula penal 150 %

Capa 2

Libro de órdenes

Matching determinista, detector anti wash trading

Capa 3

Firma eIDAS

Reglamento UE 910/2014 Art. 25, audit trail SHA-256

Capa 4

Flujo SEPA

Congelación CAE en tránsito, sin escrow custodio

Capa 5

Auditoría inmutable

Triggers append-only, CSV externo firmado SHA-256

01

Acceso controlado y KYC

Ningún operador puede publicar ni cruzar órdenes sin haber superado previamente el procedimiento de Know Your Customer (KYC) aplicado por CertificAhorro. El control combina verificaciones automatizadas contra bases públicas y revisión manual por el equipo de cumplimiento de HM Capital SARL.

Elementos obligatorios del expediente KYC:

  • Para los Sujetos Delegados: verificación de la acreditación MITECO (Art. 9 del Real Decreto 36/2023) contrastada con el registro público de SD publicado por el Ministerio para la Transición Ecológica.
  • Para los Sujetos Obligados: verificación de la condición de obligado conforme al Art. 70 de la Ley 18/2014 (comercializadoras y distribuidoras acreditadas).
  • Documento oficial de identidad del representante legal con facultades de representación acreditadas.
  • CIF y razón social contrastados con bases públicas (registro mercantil, directorio MITECO).
  • Declaración responsable sobre la cadena de intermediación. El Art. 6 del Real Decreto 36/2023, en su interpretación aplicable desde el 15 de diciembre de 2024, limita la cadena a un único intermediario entre el ejecutante de la actuación y el Sujeto Obligado. La declaración se refuerza con una cláusula penal del 150 % del importe en caso de falsedad probada.

El plazo de validación es de 2 a 5 días hábiles. La revisión es manual y no subcontratada. La acreditación se renueva anualmente y se suspende de manera inmediata si alguno de los soportes deja de ser válido (caducidad del certificado MITECO, pérdida del rol reglamentario, cambio de representante no comunicado).

02

Integridad del libro de órdenes

El libro de órdenes aplica un algoritmo de matching determinista con prioridad precio-tiempo (FIFO dentro de un mismo nivel de precio). Las reglas están publicadas en los Términos y Condiciones del Mercado: a igualdad de precio prima la orden publicada antes; una mejora de precio desplaza a la orden posterior. No existen priorizaciones ocultas, rebates ni market makers subvencionados por la plataforma.

Detección anti-manipulación (wash trading detection):

La plataforma integra un módulo estadístico dedicado a la detección de patrones que puedan distorsionar el índice de precios publicado. Los detectores cubren tres familias de señales: operaciones cruzadas de ida y vuelta en el mismo día (same-day round-trip), anomalías de precio frente al precio medio ponderado de mercado, y auto-cruce entre cuentas controladas por partes relacionadas. Los listings marcados por el módulo se congelan automáticamente a la espera de revisión por el equipo de cumplimiento, sin esperar a una reclamación externa.

Por principio de seguridad, los parámetros exactos del algoritmo y los umbrales de decisión no se publican: su divulgación facilitaría que un operador malintencionado los calibrase para quedar por debajo del radar. La CNMC y el MITECO disponen de un canal reservado para acceder a la especificación completa bajo requerimiento documentado, conforme al procedimiento descrito en /mercado-cae/contacto-regulatorio.

Separación de datos comerciales entre competidores directos: durante la fase de publicación, la identidad del contraparte permanece anonimizada. Sólo se revela tras el casamiento y en el ámbito estrictamente necesario para generar el contrato de compraventa y las facturas.

03

Firma electrónica eIDAS de los contratos

Todos los contratos de compraventa se generan automáticamente con los datos reglamentarios exigidos por el Art. 17.2 de la Orden TED/815/2023: identificación de las partes, identificador único del CAE, volumen en MWh, precio pactado, fecha de emisión y condiciones particulares. El documento incluye la cláusula penal del 150 % sobre las declaraciones responsables del vendedor y las menciones fiscales obligatorias.

La firma se ejecuta mediante firma electrónica simple (SES) conforme al Art. 25 del Reglamento UE 910/2014 (eIDAS), integrada vía DocuSeal. El Reglamento establece literalmente que a una firma electrónica no se le denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales por el mero hecho de su forma electrónica (Art. 25.1). Cada firma genera un audit trail completo: hash SHA-256 del documento, sello de tiempo, dirección IP, user-agent, secuencia de eventos de apertura, lectura y firma.

El documento firmado se almacena en Cloudinary en carpeta de tipo authenticated, es decir con acceso restringido por token firmado. El acceso desde la plataforma pasa por un proxy autenticado que verifica el RBAC: sólo las partes del contrato, el equipo administrador y el Delegado de Cumplimiento pueden descargar el soporte. La descarga queda registrada en MktDocAccess, sujeta a las mismas garantías de inmutabilidad que la Capa 5.

Consultar la página dedicada /firma-electronica para un detalle exhaustivo del flujo eIDAS aplicado al conjunto de la plataforma CertificAhorro.

04

Flujo de fondos SEPA y congelación MITECO

El pago se efectúa mediante transferencia SEPA directa entre el comprador y el vendedor, con los datos bancarios intercambiados a través del contrato firmado. En la versión actual de la plataforma no existe escrow custodio: CertificAhorro no recibe ni mantiene los fondos de la operación principal. Únicamente factura sus comisiones de plataforma conforme al régimen fiscal descrito más abajo.

Cómo se protege la operación sin escrow custodio:

  • Congelación automática del CAE en tránsito: tras el matching, la plataforma bloquea el CAE en el libro de órdenes. El Sujeto Delegado cedente no puede re-listarlo ni casarlo con una segunda contraparte mientras la transmisión esté pendiente. Este control operativo sustituye la función que desempeña un escrow custodio en otros mercados financieros.
  • Transmisión MITECO como punto de no retorno: la solicitud de cambio de titularidad ante el Registro Nacional sólo se inicia tras la firma eIDAS del contrato. Hasta ese momento, la titularidad jurídica del CAE permanece en el SD vendedor.
  • Facturación cross-border HM Capital SARL → cliente español: se emiten dos facturas automáticas en formato XML Facturae 3.2.2 conforme a la Ley 18/2022 (Crea y Crece). La factura MKT-S se gira al vendedor, la factura MKT-B al comprador. Ambas se emiten con reverse charge conforme al Art. 84.Uno.2 de la Ley 37/1992 y al Art. 196 de la Directiva 2006/112/CE: sin IVA francés, mención expresa de inversión del sujeto pasivo y auto-liquidación por el cliente español en el modelo 303.
  • Procedimiento de disputa: si tras la transmisión efectiva del CAE una de las partes incumple el pago, la parte perjudicada abre una disputa formal desde el panel de transacción. La apertura del procedimiento congela la liquidación, activa el escalado al equipo administrador y, en caso de incumplimiento persistente, habilita la suspensión de nuevas operaciones del operador incumplidor.
05

Trazabilidad inmutable (tamper-evidence)

El registro de auditoría administrativa (AdminAuditLog) registra cada acción sensible ejecutada sobre la plataforma: intervención de un administrador, congelación de un listing por requerimiento de autoridad, publicación de una nueva versión de los Términos y Condiciones, acceso a un soporte contractual. El registro se protege mediante triggers PostgreSQL append-only instalados a nivel de base de datos.

Los triggers BEFORE UPDATE y BEFORE DELETE instalados sobre las tablas AdminAuditLog, LegalAcceptance y MktDocAccess levantan el error Postgres ERRCODE 42501 ( insufficient_privilege) fuera del rol dedicado audit_admin, que no está provisionado en el runtime aplicativo (NOLOGIN). La aplicación web no puede en ningún momento modificar ni borrar una entrada de auditoría: la escritura se realiza en modo append, cualquier tentativa de UPDATE o DELETE aborta la transacción.

Las transacciones de mercado (MktTransaction) quedan congeladas en estado COMPLETED o CANCELLED: sólo los campos ligados a la gestión de disputas (dispute*, relatedParties*) y el campo updatedAt pueden evolucionar una vez cerrada la operación. El resto de campos financieros y contractuales son inmutables.

Copia externa diaria firmada SHA-256:

El cron admin-audit-daily-export (GitHub Actions, ejecución a las 02:13 UTC) exporta en formato CSV todas las entradas AdminAuditLog del día anterior, calcula el hash SHA-256 del fichero y lo envía como adjunto al buzón [email protected]. La archivación Workspace (sello de tiempo SMTP del servidor Google) crea una copia tamper-evident externa: cualquier divergencia posterior entre la base de datos y el CSV archivado se detecta por recálculo del SHA-256. El cron funciona como heartbeat: el correo se envía incluso los días sin actividad, lo que permite detectar una interrupción del registro.

Retención documental: diez años conforme al Art. L102 B del Libro de Procedimientos Fiscales francés aplicable a HM Capital SARL, alineado con el plazo de conservación de soportes contables aplicable a las facturas cross-border del mercado. No existe purga automática.

Upgrade path regulatorio: si la CNMC exigiese en el futuro una prueba criptográfica cualificada, la estructura del AdminAuditLog ya incluye los campos sequence, prevHash y rowHash necesarios para una cadena de hashes anclada a una Autoridad de Sellado de Tiempo (TSA) conforme a RFC 3161, con provisión de activación sobre FreeTSA y, en régimen cualificado, FNMT-RCM Ceres. La activación no está desplegada por defecto por considerarse desproporcionada para un operador CAE no financiero: los controles compensatorios descritos (triggers append-only + copia externa diaria + credenciales DB restringidas con rotación semestral y backups PITR 7 días en Railway) se consideran suficientes en el contexto regulatorio actual del mercado CAE.

Auditoría de conformidad reglamentaria

La arquitectura de seguridad descrita ha sido evaluada en el marco de la auditoría interna v2.0, fechada el 19 de abril de 2026. La auditoría cubre 156 puntos de control distribuidos en 10 dominios (estructura societaria, RGPD y LOPDGDD, RD 36/2023, Orden TED/815/2023, mercado secundario, firma electrónica, sistema documental, fiscalidad cross-border, retención y tamper-evidence). El resultado en cobertura estricta es de 99,3 %: 151 puntos conformes, 1 punto parcial justificado, 0 puntos no conformes y 4 puntos no aplicables al perímetro actual.

El único punto evaluado como parcial, denominado F6.10 (tamper-evidence criptográfico), se corresponde con la ausencia de una cadena de hashes con anclaje TSA cualificado activada por defecto. La justificación documental y los controles compensatorios asociados son precisamente los descritos en la Capa 5. El detalle completo de la auditoría, su metodología y los informes de dominio se publican en /normativa#auditoria.

Contacto para auditores y autoridades

CertificAhorro mantiene un punto único de contacto regulatorio dirigido a MITECO, CNMC, AEPD, juzgados y fuerzas y cuerpos de seguridad del Estado. La página /mercado-cae/contacto-regulatorio describe el procedimiento de congelación de listings, los plazos de respuesta (ejecución de medidas cautelares urgentes en menos de 24 horas hábiles, requerimientos ordinarios en menos de 10 días hábiles), las autoridades competentes identificadas y la base jurídica aplicable a cada tipo de solicitud.

Supervisión institucional del mercado: MITECO (Real Decreto 36/2023 y Orden TED/815/2023 sobre el Sistema CAE y su Registro Nacional), CNMC (Ley 3/2013 sobre mercados energéticos y defensa de la competencia) y AEPD (Reglamento UE 2016/679 y Ley Orgánica 3/2018 sobre tratamiento de datos personales).

Beta cerrada · Acceso por invitación

Una arquitectura diseñada para ser auditada

Los controles descritos se aplican a todas las transacciones del Mercado Secundario CAE desde la apertura de la beta cerrada. El equipo de cumplimiento responde a los requerimientos de autoridad en menos de 24 horas hábiles.

Solicitar invitación betaContacto regulatorio

Última actualización: